Neutralność technologiczna przepisów prawa. Hit czy kit?

Neutralność technologiczna (techniczna) aktów prawnych to ostatnio „modny” temat. Żyjemy w czasach cyfrowych, gdzie postęp technologiczny może nie jest (jeszcze) rewolucyjny, ale co rusz pojawiają się jakieś nowinki, które można z powodzeniem zaadaptować na potrzeby komercyjne i niekomercyjne. Przykładem niech będą sztuczna inteligencji czy technologia rozproszonego rejestru (DLT). Takie rozwiązania niosą ze sobą wiele możliwości, ale mogą też tworzyć pewne zagrożenie i dlatego ich wykorzystanie – w jakimś stopniu – musi podlegać regulacji. Przynajmniej tam, gdzie jest to rzeczywiście potrzebne.

W kontekście AI częstym problemem jest znalezienie odpowiedniej metody regulacji, która sprowadza się do tego czy nakładać „twarde” obowiązki, czy raczej skłaniać się ku wytycznym i rekomendacjom, które jedynie wyznaczają pewien kierunek – pożądanych – działań. Twarde przepisy (ustawy, rozporządzenia) dają potencjalnie większą pewność prawną, ale jednocześnie mogą nadmiernie ograniczać rozwój innowacji, jeżeli nie są zaprojektowane w myśl zasady „forward-looking”.

Miękkie prawo (pytanie czy to rzeczywiście prawo) ma z kolei tą zaletę, że jest miękkie, a więc nie narzuca określonego obowiązku, ale jedynie wskazuje pożądany kierunek, ale to od danego podmiotu zależy czy się do niego zastosuje. Ciekawe jest przy tym także to, że mamy różne poziomy „soft law”, co obserwujemy chociażby w sektorze finansowym. Wytyczne, komunikaty czy stanowiska regulatorów zasadniczo nie muszą wiązać odbiorców, choć oczywiście z jakichś powodów zostali oni wyposażeni w takie instrumenty, a rynek podlega ich nadzorowi. Wiele jednak może zależeć od „siły przekonywania” regulatora.

No alt text provided for this image

Takie miękkie prawo ma tą zaletę, że zasadniczo może stanowić sposób na interpretację przepisów, które nie zawsze są do końca precyzyjne, a czasem po prostu błędnie skonstruowane, a „odkręcenie” całego procesu to może być droga przez mękę.

Ważne jest więc rozsądny wybór kierunku regulacji, bowiem:

1.    Przepisy powinny zawierać pewną „lukę” czy elastyczność, aby nie zamknąć drogi dla innowacji,

2.    Jednocześnie muszą być na tyle precyzyjne – lub zawierać stosowną delegację do wiążącej lub semi-wiążącej interpretacji – aby nie stanowiły bariery (obawy) dla podmiotów, które mają w sobie żyłkę innowatorów,

3.    Powinny być konstruowane tak, aby nie tylko człowiek był w stanie je odczytać (ten wątek często poruszam w kontekście regulacji machine-readable), ale również algorytm, co de facto wymusza spełnienie przynajmniej warunku z punktu 2.

Neutralność technologiczna

 No właśnie. Kwestia neutralności technologicznej (czy jak kto woli technicznej) aktów prawnych jest dość często poruszana w kontekście Rozporządzenia 2016/679 (RODO) czy Rozporządzenia 2018/389 (silne uwierzytelnianie klienta i otwarta bankowość). Ale czy wiemy do końca z tym to się je?

Pierwsze z rozporządzeń w punkcie 15 preambuły wskazuje, że:

„Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik”.

Zaś w drugim:

„Dynamiczne łączenie można uzyskać poprzez generowanie kodów uwierzytelniających, które podlega zestawowi restrykcyjnych wymogów bezpieczeństwa. Aby zapewnić neutralność pod względem technologicznym, nie należy wymagać stosowania konkretnej technologii do celów wdrożenia kodów uwierzytelniających”.

Jeżeli spojrzymy na powyższe przykłady nie do końca muszą się one nam spinać. W jednym z artykułów znalazłem taką definicję:

From the perspective of legislative technique, [technology neutrality]stresses that legislation should abstract away from concrete technologies to the extent that it is sufficiently sustainable and at the same provides sufficient legal certainty”.

A dlaczego niekoniecznie się spinają? RODO wskazuje, że neutralność technologiczna ma zapewnić ryzyko obchodzenia prawa i ma de facto chronić podmioty, których dane dotyczą. Zostało ono więc skonstruowane w taki sposób, aby niemożliwe było niestosowanie przepisów dot. RODO. Jednocześnie jednak spójrzmy na przykład wykorzystania blockchain i ochrony danych. To sytuacja, w której trudno mówić o pozytywnym skutku stosowania neutralności technologicznej.

W drugim przypadku mamy już jednak – bliższy mojemu rozumieniu – przykład, który „otwiera” nas na nieznane. Prawodawca wskazał, że dostawcy usług płatniczych muszą spełnić ogólny cel rozporządzenia, a więc zastosować odpowiednią analizę ryzyk etc., natomiast pozostawia się im sposób w jaki to zrobią i w jakiej technologii. Ma to tę zaletę, że zasadniczo trudno jest zarzucić takiemu podmiotowi niezgodność z przepisami, jeżeli jesteśmy w stanie wyinterpretować z przepisów, że cel został osiągnięty.

Nie jest to oczywiście proste, a przykład Rozporządzenia 2018/389 pokazuje, że nie do końca się to udało (tutaj nieco więcej), ale jednak mimo wszystko ta neutralność technologiczna istnieje. Można mieć natomiast wątpliwości co do tego czy neutralność ta pociąga za sobą tak szerokie i arbitralne uprawnienia regulatorów do kształtowania interpretacji tych przepisów (patrz opinia EBA w sprawie elementów silnego uwierzytelnienia). Innym słowy – czy nie zabija to ducha tej zasady.

Pojawia się także pytanie o to czym jest ostatecznie cel danego aktu prawnego i gdzie leżą granice interpretacji samego podmiotu go stosującego. Co z technologiami, które choć przełomowe – nie „łapią” się pod daną legislacje? Czy w takim wypadku trzeba myśleć o kolejnej iteracji aktu, czy jednak należy przyjąć szersze możliwości regulatorów i innych ciał do „wiążącej” interpretacji? I czy nasza legislacja (głównie na poziomie UE) rzeczywiście jest neutralna technologicznie, czy też to tylko modny slogan, a zasada ta nie została jeszcze tak naprawdę wypracowana? Najbliższe lata pewnie pokażą.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *