Sztuczna inteligencja to dziedzina, która nieustannie rozwija się i ewoluuje, wpływając coraz bardziej na nasze życie, zarówno prywatne, jak i zawodowe. Istotną rewolucję tym wymiarze przyniosła popularyzacja narzędzi kwalifikowanych jako generatywna sztuczna inteligencja, które przebojem wdarły się do naszych przeglądarek, serc i portfeli. Dlatego też opinia publiczna poświęca obecnie jeszcze więcej uwagi unijnej regulacji sztucznej inteligencji, której najnowsza wersja wyszła na światło dzienne w czerwcu tego roku.
Postanowiliśmy rozważyć kilka punktowych kwestii dotyczących zmiany w najnowszej wersji AI Act, dzieląc nasze przemyślenia na kilka kluczowych obszarów. Zmiany komentują Monika Kupis i Jakub Kozłowski.
Dla ułatwienia lektury zapraszamy do zapoznania się z tekstem jednolitym AI Act w wersji roboczej.
Jakie kryterium należy przyjąć, oceniając zmiany w AI Act?
Jakub Kozłowski:
Wbrew pozorom ocena określonych regulacji nie jest tak intuicyjnym zadaniem, jak mogłoby wydawać się na pierwszy rzut oka. Szczególnie w sytuacji, w której mówimy o unijnym rozporządzeniu, które nie weszło jeszcze w życie, a jego treść ciągle może ulec zmianie. Bazujemy wyłącznie na przewidywaniach, a nie realnych i namacalnych skutkach. Powinienem zatem zacząć od określenia głównego kryterium, które posłuży mi jako punkt odniesienia przy określaniu tego po co nam tak właściwie Akt o sztucznej inteligencji i czy rozporządzenie w obecnym kształcie spełnia wskazany cel.
Racjonalną metryką oceny jakości przyjętej w czerwcu 2023 r.przez Parlament Europejski regulacji jest efektywność realizacji zapowiedzi unijnego pracodawcy o takim uregulowaniu sztucznej inteligencji, które pozwoli osiągnąć balans pomiędzy jej rozwojem i komercyjnym zastosowaniem a ochroną człowieka oraz jego praw.
Postulat ten był konsekwentnie wyrażany przez Komisję od pierwszych zapowiedzi medialnych, które zmaterializowały się w Białej Księdze w sprawie sztucznej inteligencji, która nieprzypadkowo nosi tytuł: Europejskie podejście do doskonałości i zaufania [1]. „Doskonałość” symbolizuje rozwój, a „zaufanie” akcentuje wprowadzanie zmian technologicznych w taki sposób, aby jednocześnie nie czynić tego ze szkodą dla człowieka i
jego praw. Podstawą tej agendy jest założenie, że oba procesy nie są względem siebie dychotomiczne. Co więcej, unijny prawodawca przekonuje nas od kilku lat na różnych etapach prac legislacyjnych, iż możliwa jest symbioza obu wartości. Czy zmiany w najnowszej wersji szeroko komentowanego AI Act powodują, że udało się osiągnąć pożądany efekt?
Zmiana definicji systemu sztucznej inteligencji i jej konsekwencje
Monika Kupis:
Określenie AI w kontekście prawnym jest niezwykle trudnym zadaniem, ze względu na jej dynamiczny charakter, różnorodne rozwiązania technologiczne oraz etyczne i filozoficzne implikacje, a także brak powszechnego konsensusu naukowego w zakresie jednej definicji, która mogłaby zostać zaadoptowana w akcie prawnym. Jednocześnie AI staje się coraz bardziej obecna w naszym społeczeństwie, a co za tym idzie – pojawia się potrzeba precyzyjnego i aktualnego zdefiniowania tego pojęcia w aktach prawnych.
Definicje są podstawą wielu aktów prawnych nie bez przyczyny – służą zapewnieniu jednolitego rozumienia pewnych aspektów rzeczywistości, co pozwala na realizowanie tzw. zasady pewności prawa (czyli pokrótce – wiem, czego się spodziewać od danego prawa). Słowniczki ustawowe determinują w ten sposób jaki skrawek rzeczywistości jest objęty konkretnym aktem prawnym.
W przypadku takiego definiowania rzeczywistości „nie chodzi nam o to, czy dane zwierzę faktycznie jest ptakiem, ale o to, czy jest za niego prawnie uważane”[2]. Sam fakt naukowego, empirycznego spełniania kryterium uznania za „ptaka” może być bowiem zupełnie bez znaczenia w realiach aktu prawnego. Akty prawne determinują przecież tylko rzeczywistość prawną, która może, ale nie musi, czerpać z rzeczywistości empirycznej.
Dobrze ilustruje to przykład satyrycznej sprawy Regina v. Objibway [3], która dotyczy prostej sytuacji – rdzenny Amerykanin, Fred Objibway, zastawił swoje siodło i jeździł na kucyku na poduszce z pierza. Niestety, kucyk złamał nogę, co skłoniło Freda do zastrzelenia go. Został on następnie oskarżony o naruszenie tzw. ustawy o ptakach, zgodnie z którą zabijanie ptaków jest przestępstwem. Zabicie osiedlonego pierzem kucyka kwalifikowało się bowiem jako zabicie ptaka – za ptaka ustawa o ptakach uznawała “opierzone zwierzę co najmniej dwunożne”.
Siłą rzeczy podstawową kwestią podczas rozpoznawania sprawy było to, czy kucyk z poduszką z piór na grzbiecie może być uznany za ptaka. Zgodnie z definicją zawartą w ustawie o ptakach, ptak jest opisywany jako „dwunożne zwierzę pokryte piórami”. Sędzia rozstrzygający w sprawie dokonując wykładni tej definicji zinterpretował wymóg posiadania dwóch nóg jako warunek minimalny, a ponadto argumentował, że gdyby ustawodawca zamierzał ograniczyć termin „ptak” do zwierząt naturalnie upierzonych, wyraźnie by to stwierdził. Dlatego w rozumieniu ustawy o ptakach działanie Objibway można było uznać za zabicie ptaka. W konsekwencji, Amerykanin zostałby pociągnięty do odpowiedzialności zgodnie z ustawą o ptakach.
W przypadku definiowania AI jest podobnie jak w przypadku definiowania ptaka w ustawie o ptakach. Zakres wybranej definicji w prawie będzie determinował cały reżim regulacyjny dotyczący wykorzystywania AI.
Komisja Europejska podjęła się zdefiniowania systemu sztucznej inteligencji już w pierwszej wersji AI Act, która ujrzała światło dzienne w 2021 r. W celu zapewnienia jasności oraz zapewnienia „odporności na przyszłość” (tj. stworzenia AI Act jako „future-proof regulation”) w AI Act, pierwotnie do definicji dodano załącznik I. Ten załącznik zawierał szczegółowy wykaz różnych podejść i technik rozwoju sztucznej inteligencji. Miał być aktualizowany przez Komisję Europejską w miarę postępu technologicznego. To podejście zaproponowane przez KE było szeroko krytykowane. Powodem, dla którego KE chciała uznawać technologie uznawane za AI miała być odporność regulacji na zmiany technologiczne – tymczasem KE uznając technologie uznawane za AI zmierzała do osiągnięcia zupełnie przeciwnego efektu.
Po 14 czerwca 2023 r. załącznik I został usunięty. Definicję zmieniono w sposób zbliżający ją do tej prezentowanej przez OECD oraz U.S. National Institute of Standards and Technology. Obecnie AIA definiuje system AI poprzez kilka założeń. Katalog tych założeń jest zamknięty, a wszystkie założenia muszą być spełnione jednocześnie. System sztucznej inteligencji w znaczeniu AIA jest:
- maszynowym systemem – to spora zmiana w stosunku do poprzedniej wersji AI Act, gdzie system AI został zdefiniowany jako software; obecnie definicja nie wyklucza bowiem AI tworzonej w technologii analogowej czy kwantowej, całkowicie z pominięciem elementu oprogramowania,
- zaprojektowana do działania w różnym stopniu autonomicznie – to kolejna spora zmiana – w poprzedniej wersji prawodawca unijny nie wspominał o autonomii, która przecież w znacznej mierze odróżnia AI od innych technologii,
- może generować wyniki, takie jak przewidywania, rekomendacje lub decyzje, które wpływają na środowiska fizyczne lub wirtualne, mając na celu jasne lub ukryte cele.
Zmiana (czy konieczność zmiany) definicji systemu AI w AI Act podkreśla trudności w tworzeniu regulacji w duchu „future-proof”. Dynamiczny charakter rozwoju AI i ewolucja technologii stawiają pod znakiem zapytania, czy obecne podejście w wystarczający sposób przewiduje przyszłe wyzwania i zmiany w dziedzinie sztucznej inteligencji. Stworzenie rzeczywiście „future-proof” regulacji AI będzie wymagało analiz, badań, dialogu z ekspertami i elastycznego podejścia, które będzie w stanie dostosować się do rosnących potrzeb i rozwoju tej innowacyjnej dziedziny. W mojej ocenie żadna deterministycznie stworzona definicja zakładająca wykorzystanie konkretnych elementów charakteryzujących daną technologię nie wytrzyma próby czasu. Obecne podejście KE ma jednak szansę utrzymać definicję z AI Act w użyciu dłużej, niż w pierwszej próbie zdefiniowania systemu AI.
Jakub Kozłowski:
Warto zastanowić się nad tym po co tak właściwie definicja sztucznej inteligencji w akcie normatywnym. Jej rola jest bowiem kluczowa, bo wyznacza zakres przedmiotowy aktu prawnego. Innymi słowy, określa to czego on dotyczy, szczególnie iż dyskutujemy na temat aktu o … sztucznej inteligencji. Nie powinna zatem być zbyt szeroka, ani zbyt wąska. Poza tym powinna być na tyle uniwersalna, aby rozwój technologii nie spowodował jej dezaktualizacji, a tym samym sytuacji, w której z technologia wyprzedza prawo. Naturalnym skutkiem takiego stanu jest to, że jakieś systemy sztucznej inteligencji znajdują się poza zakresem regulacji, co oznacza brak ochrony, którą powinna zapewniać.
- Warto pamiętać, że ustawodawca unijny trafnie unika definiowania pojęcia „sztucznej inteligencji”. Odcina się dzięki tego od dyskursu na temat istoty sztucznej inteligencji, co do której nie ma konsensusu wśród naukowców, co powoduje naturalne problemy z przeniesieniem jej do aktu normatywnego.
- Zamiast tego, znajdziemy w Akcie o sztucznej inteligencji definicję „systemu sztucznej inteligencji”, co przesuwa obszar zainteresowania prawodawcy na faktyczne przejawy wykorzystania sztucznej inteligencji w różnych obszarach naszego życia np. marketingu, edukacji czy służbie zdrowia.
- W porównaniu do pierwotnego ujęcia, obecnego w poprzedniej wersji Aktu o sztucznej inteligencji nastąpiła zasadnicza zmiana. Zrezygnowano z modelu hybrydowego, zakładającego obecność w rozporządzeniu odwołania do załącznika zawierającego wykaz konkretnych technik z zakresu sztucznej inteligencji, których wykorzystanie wprost kwalifikowałoby dany system jako objęty zakresem przedmiotowym aktu. Wśród wymienianych w załączniku technik można wymienić:
a. mechanizmy uczenia maszynowego, w tym uczenie nadzorowane, uczenie się maszyn bez nadzoru i uczenie przez wzmacnianie, z wykorzystaniem szerokiej gamy metod, w tym uczenia głębokiego;
b. metody oparte na logice i wiedzy, w tym reprezentacja wiedzy, indukcyjne programowanie (logiczne), bazy wiedzy, silniki inferencyjne i dedukcyjne, rozumowanie (symboliczne) i systemy ekspertowe;
c. podejścia statystyczne, estymacja bayesowska, metody wyszukiwania i optymalizacji.
Podejście to zakładało potencjalną możliwość szybkiej aktualizacji wykazu zawartego w załączniku, w celu „uszczelnienia” aktu w sytuacji powstania nowej technologii, która mogłaby nie kwalifikować się wprost jako system sztucznej inteligencji zgodnie z definicją ogólną zawartą w rozporządzeniu. Miałoby to służyć jako narządzie „uszczelniania” prawa. Zasadniczą wadą takiego rozwiązania byłoby ciągłe „gonienie króliczka”, polegające na nieustannym sporze interpretacyjnym wzmaganym próbami uzupełniania listy przez Komisję. Warto zaznaczyć, że katalog zawarty w załączniku nie odwoływał się wprost do systemów tzw. generatywnej sztucznej inteligencji, której czołowym przedstawicielem jest popularny ChatGPT. Nawiasem mówiąc, AI Act w nowej wersji poświęca tego typu systemom szczególną uwagę.
Obecna definicja, która wskazuje, że system sztucznej inteligencji to: system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii i który może – do wyraźnych lub dorozumianych celów – generować wyniki, takie jak przewidywania, zalecenia lub decyzje wpływające na środowiska fizyczne lub wirtualne; jest szersza, ma większą szansę bycie odporną na zmiany technologiczne. Wynika to między innymi z odwołania się do pojęcia autonomii, które jest bardzo pojemne i faktycznie nierozerwalnie z wykorzystaniem sztucznej inteligencji.
Nie należy się obawiać „przeregulowania”, czyli w sytuacji w której wykorzystamy zbyt szeroką definicję systemu sztucznej inteligencji, ponieważ realne obowiązki, a tym samym być może ograniczenia Akt nakłada kiedy mówimy o systemach związanych z wysokim ryzykiem. Dlatego też, warto zadbać o odpowiednią „szerokość” definicji, ponieważ znacznie poważniejszym zagrożeniem jest potencjalna sytuacja, w której dana technologia nie będzie objęta zakresem rozporządzenia ze względu na zbyt wąską definicję.
Nowe kategorie systemów AI w AI Act
Monika Kupis:
Czy we wrześniu 2023 r. ktokolwiek z dostępem do Internetu jeszcze nie słyszał o ChatGPT i możliwościach generative AI? Nagły rozwój tych systemów AI zaskoczył europejskich legislatorów, którzy musieli szybko znaleźć sposób regulowania ich w proponowanym i na wówczas już dość zaawansowanym w pracach projekcie AI Act. Przez rozwój samej technologii regulacja sztucznej inteligencji staje się coraz bardziej skomplikowana, a ustawodawcy muszą podejmować szybkie i trafne decyzje, aby dostosować się do szybko zmieniającego się krajobrazu technologicznego.
Zasadniczym problemem dla Unii Europejskiej okazała się nieskończona liczba sposobów, na jakie można wykorzystać duże modele językowe LLM (Large Language Models) – takie jak ChatGPT. Pierwotnie AI Act koncentrował się na aplikacjach o zdefiniowanych zastosowaniach, które można było ocenić pod kątem ryzyka. Jednak wprowadzenie na rynek potężnych modeli, takich jak GPT-3.5 i GPT-4, które miały znacznie szerszy zakres zastosowań, spowodowało konieczność dostosowania regulacji do tej nowej rzeczywistości – modele GPT choć są swego rodzaju czatami, nie stanowią zwykłych czatbotów (wykluczonych z zakresu obowiązywania AI Act w pierwotnej jego wersji).
W wyniku tych zmian, ustawodawcy zaproponowali liczne poprawki, aby zapewnić, że modele generatywne i ich jeszcze nieznane zastosowania zostaną uwzględnione w AI Act. Szybki rozwój tych technologii i ich potencjalne zagrożenia dla użytkowników spowodowały, że ustawodawcy na całym świecie zaczęli alarmować i poszukiwać rozwiązań regulacyjnych.
Wskutek tego obecnie AI Act definiuje dokładnie czym na jego potrzeby będzie generative AI, general purpose AI (GPAI) czy nawet leżące u ich podstawy foundation models.
Szczególnie GPAI jest coraz bardziej popularna, a przedsiębiorcy w UE nie wahają się jej używać. Według badania przeprowadzonego przez appliedAI w grudniu 2022 roku, 45 procent wszystkich zbadanych startupów uważało swoje systemy AI za GPAI [4]. Tymczasem Europarlamentarzyści podczas czerwcowego głosowania nad zmianami AIA odrzucili poprawkę, która wprowadziłaby etykietę „wysokiego ryzyka” na wszystkie systemy AI o ogólnym zastosowaniu (GPAI).
Nowe kategorie zakazanych praktyk w AI Act
Monika Kupis:
W AI Act przyjęto podejście oparte na ryzyku i jego stopniowaniu – charakterystyczne dla regulacji produktowej w UE. W konsekwencji AI Act klasyfikuje wykorzystanie AI według poziomu ryzyka (niedopuszczalne, wysokie, ograniczone oraz minimalne ryzyko) i nakłada ograniczenia stosowne do poziomu ryzyka stwarzanego przez konkretny rodzaj technologii.
Szczególną uwagę UE zwraca na niedopuszczalne ryzyko, jakie mogą stwarzać pewne systemy AI. Z tego względu w UE projektowane jest zakazanie wykorzystywania AI w pewnych celach – w tym systemów AI służących do rozpoznawania twarzy w przestrzeni publicznej i tzw. systemów inwigilacji biometrycznej używających wrażliwych cech, takich jak płeć czy pochodzenie etniczne.
Po 14 czerwca 2023 r. KE postanowiła również zabronić wykorzystywania systemów AI do predykcyjnego policyjnego działania, a także systemów AI wykorzystujących podświadome techniki mogące wpływać zarówno na indywidualne podmioty praw jak i na całe grupy społeczne.
W UE zabronione również będzie wykorzystywanie AI do tworzenia systemów rozpoznawania emocji w służbach porządkowych, zarządzaniu granicami, miejscu pracy i instytucjach edukacyjnych oraz do zbierania danych biometrycznych z nagrań z kamer CCTV lub mediów społecznościowych w celu tworzenia baz danych do rozpoznawania twarzy (z ograniczonymi wyjątkami dotyczącymi rozpoznawania przez organy ścigania, pod warunkiem zatwierdzenia przez sąd). AI Act ponadto zakazuje wykorzystywania systemów rozpoznawania twarzy w przestrzeni publicznej.
Mimo tych zakazów oczywiście nadal pojawiają się i będą się pojawiać wyzwania związane z wykorzystywaniem AI. Dobrym przykładem są niebezpieczne, potencjalnie krzywdzące informacje generowanymi przez te systemy (sam prawodawca unijny w nowej wersji AIA definiuje deepfake i jest to pierwsza legalna definicja tego zjawiska w prawie unijnym), problemy z ochroną własności intelektualnej i danych osobowych wykorzystywanych.
Zmiany w klasyfikacji systemów i lepsze narzędzia ochrony systemów wysokiego ryzyka
Jakub Kozłowski:
To, jakie systemy sztucznej inteligencji zostaną zaklasyfikowane jako systemy sztucznej inteligencji wysokiego ryzyka bezpośrednio wpływa na poziom ochrony obywateli. Dlatego też na tym froncie odbywa się największa batalia pomiędzy organizacjami społecznymi dążącymi z reguły do jak najszerszego ujęcia tego katalogu, a przedstawicielami biznesu dążącymi do jak najwęższego spojrzenia na tę kwestię. Przykładem takiej kategorii systemów są ten dotyczące zatrudnienia, zarządzania pracownikami i dostępu do samozatrudnienia.
Wynika to między innymi z ograniczeń i obowiązków, które generują postanowienia AI Act, właśnie wobec systemów tej kategorii. Mówimy w tym wypadku między innymi o konieczności dokonywania oceny działania systemów pod kątem wpływu na prawa podstawowe, co także stanowi nowość w porównaniu do poprzedniej wersji rozporządzenia. Co ważne, ów proces, określany jako fundamental rights impact assessment miałby odbywać się przed wprowadzeniem danego systemu do użytkowania. W związku z tym systemy wysokiego ryzyka będą podlegały kontroli przed oraz w trakcie jego obecności na rynku.
Moim zdaniem w zakresie narzędzi ochrony, obecna wersja AI Act jest znacznie lepsza. Warto wspomnieć jeszcze o formie obowiązku rejestracyjnego, poprawieniu i poszerzeniu katalogu środków, którymi dysponują jednostki pokrzywdzone w wyniku wykorzystania systemu wysokiego ryzyka czy zwiększeniu uprawnień krajowych organów nadzorczych do spraw sztucznej inteligencji. Poszerzeniu uległ także katalog systemów, których wykorzystywanie będzie zakazane. Warto w tym zakresie wspomnieć szczególnie o predykcyjnych systemach wykorzystywanych przez policję. Dysponujemy bardzo szerokim studium przypadków, które wskazuje że tego typu rozwiązania obarczone są zjawiskiem tzw. przechyłu algorytmicznego (algorithmic bias). Tworzyło (i może tworzyć) to sytuacje, w których generowane przez narzędzia oparte na algorytmach wyniki były w istocie dyskryminujące [5].Nie wynika to z faktu jakoby sztuczna inteligencja przejawiała skłonności do dyskryminacji, jak często upraszcza się w dyskusji na ten temat. Często u źródła takich efektów leżą problemy z danymi, którymi “nakarmiony” został dany system. Mogą być one np. związane z obecnymi w danym momencie w społeczeństwie stereotypami, uprzedzeniami, które odzwierciedlają dane wykorzystywane przez system.
Wyłączenie open-source
Monika Kupis:
Dostęp do oprogramowania AI na licencji open-source przyczynia się do zrównoważonego, otwartego i transparentnego rozwoju AI. Prawodawca unijny w nowej wersji AI Act właśnie w imię innowacji, ale także bezpieczeństwa, robi ukłon w stronę potencjału open-source dla rozwoju AI w UE (kiedy milion programistów zobaczy kod źródłowy konkretnego oprogramowania AI jest przecież większa szansa, że dostrzegą błąd, dyskryminujący zbiór danych czy błędnie ustalone wagi poszczególnych elementów sieci).
Globalny ekosystem open-source napędza powszechną innowację oprogramowania, i w Law4Tech zdecydowanie podzielamy entuzjazm Parlamentu co do tego, jak open-source może przyczynić się do rozwoju AI. Te przepisy odegrają bowiem istotną rolę w promowaniu odpowiedzialnego i dostępnego rozwoju sztucznej inteligencji [6].
Obecnie AI zawiera zwolnienie spod reżimu regulacyjnego dla niekomercyjnego oprogramowania AI dostępnego na licencji open-source. Jednocześnie deweloperów korzystających z możliwości dostępu do oprogramowania AI open-source zachęca się do stosowania jak najlepszych i starannych praktyk prowadzenia dokumentacji oprogramowania. Niemniej, odpowiedzialność za zgodność regulacyjną oczywiście spoczywać będzie na podmiotach, które włączają komponenty open-source w rzeczywiście wprowadzane do obrotu systemy AI.
Warto podkreślić, że niektóre kwestie wciąż pozostają przedmiotem żywej dyskusji, na co wskazują różnice opinii Jakub i Moniki.
Dziękujemy za śledzenie naszego bloga i zapraszamy do dołączania do tej ważnej dyskusji. Wspólnie możemy kształtować przyszłość sztucznej inteligencji, zapewniając jednocześnie ochronę naszych wartości i praw.
Źródła:
[1] BIAŁA KSIĘGA w sprawie sztucznej inteligencji, Europejskie podejście do doskonałości i zaufania, Bruksela 2020.
[2]M. Bayles w Definitions in Law, w: Fetzer J., Shatz D., Schlesinger G., Definitions and definability; philosophical perspectives, 1991, Springer Science+Business Media B.V., s. 251, https://link.springer.com/content/pdf/10.1007/978-94-011-3346-3.pdf?pdf=button
[3] Ibid.
[4] https://www.theverge.com/2023/6/29/23777239/eu-ai-act-artificial-intelligence-regulations-europe
[5] Fundacja Panoptykon, Sztuczna inteligencja non-fiction, https://panoptykon.org/sztuczna-inteligencja-non-fiction
[6] https://fortune.com/2023/07/17/eu-ai-act-democratic-control-artificial-intelligence-open-source-developers-tech-politics-shelley-mckinley/