Czy nasza legislacja rzeczywiście jest neutralna technologicznie, czy też to tylko modny slogan?
W kontekście AI częstym problemem jest znalezienie odpowiedniej metody regulacji, która sprowadza się do tego czy nakładać „twarde” obowiązki, czy raczej skłaniać się ku wytycznym i rekomendacjom, które jedynie wyznaczają pewien kierunek – pożądanych – działań.
Twarde przepisy (ustawy, rozporządzenia) dają potencjalnie większą pewność prawną, ale jednocześnie mogą nadmiernie ograniczać rozwój innowacji, jeżeli nie są zaprojektowane w myśl zasady „forward-looking”.
Miękkie prawo (pytanie ‒ czy to rzeczywiście prawo) ma z kolei tę zaletę, że jest miękkie, a więc nie narzuca określonego obowiązku, ale jedynie wskazuje pożądany kierunek, i to od danego podmiotu zależy czy się do niego zastosuje.
Ciekawe jest przy tym także to, że mamy różne poziomy „soft law”, co obserwujemy chociażby w sektorze finansowym. Wytyczne, komunikaty czy stanowiska regulatorów zasadniczo nie muszą wiązać odbiorców, choć oczywiście z jakichś powodów zostali oni wyposażeni w takie instrumenty, a rynek podlega ich nadzorowi. Wiele jednak może zależeć od „siły przekonywania” regulatora.
Takie miękkie prawo ma tą zaletę, że zasadniczo może stanowić sposób na interpretację przepisów, które nie zawsze są do końca precyzyjne, a czasem po prostu błędnie skonstruowane, a „odkręcenie” całego procesu to może być droga przez mękę.
Kierunki legislacji, co wybrać
Ważny jest więc rozsądny wybór kierunku regulacji, bowiem:
1. Przepisy powinny zawierać pewną „lukę” czy elastyczność, aby nie zamknąć drogi dla innowacji;
2. Jednocześnie muszą być na tyle precyzyjne – lub zawierać stosowną delegację do wiążącej lub semi-wiążącej interpretacji – aby nie stanowiły bariery (obawy) dla podmiotów, które mają w sobie żyłkę innowatorów;
3. Powinny być konstruowane tak, aby nie tylko człowiek był w stanie je odczytać (ten wątek często poruszam w kontekście regulacji machine-readable), ale również algorytm, co de facto wymusza spełnienie przynajmniej warunku z punktu 2.
Czytaj także: BigTech, fintech, banki. Jak regulować, żeby nie przeregulować, ale jednocześnie stabilność zachować?
Neutralność technologiczna
No właśnie. Kwestia neutralności technologicznej (czy jak kto woli ‒ technicznej) aktów prawnych jest dość często poruszana w kontekście Rozporządzenia 2016/679 (RODO) czy Rozporządzenia 2018/389 (silne uwierzytelnianie klienta i otwarta bankowość). Ale czy wiemy do końca ‒ „z czym to się je”?
Pierwsze z rozporządzeń w punkcie 15 preambuły wskazuje, że:
„Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik”.
Zaś w drugim:
„Dynamiczne łączenie można uzyskać poprzez generowanie kodów uwierzytelniających, które podlega zestawowi restrykcyjnych wymogów bezpieczeństwa. Aby zapewnić neutralność pod względem technologicznym, nie należy wymagać stosowania konkretnej technologii do celów wdrożenia kodów uwierzytelniających”.
RODO wskazuje, że neutralność technologiczna ma zapewnić ryzyko obchodzenia prawa i ma de facto chronić podmioty, których dane dotyczą
Jeżeli spojrzymy na powyższe przykłady, to nie do końca muszą się one nam spinać. W jednym z artykułów znalazłem taką definicję:
„From the perspective of legislative technique, [technology neutrality]stresses that legislation should abstract away from concrete technologies to the extent that it is sufficiently sustainable and at the same provides sufficient legal certainty”.
A dlaczego niekoniecznie się spinają? RODO wskazuje, że neutralność technologiczna ma zapewnić ryzyko obchodzenia prawa i ma de facto chronić podmioty, których dane dotyczą. Zostało ono więc skonstruowane w taki sposób, aby niemożliwe było niestosowanie przepisów dot. RODO.
Czytaj także: Czy zbyt samodzielne bankowe algorytmy AI mogą dyskryminować klientów ubiegających się o kredyty?
Jednocześnie jednak spójrzmy na przykład wykorzystania blockchain i ochrony danych. To sytuacja, w której trudno mówić o pozytywnym skutku stosowania neutralności technologicznej.
Można mieć wątpliwości co do tego, czy neutralność pociąga za sobą tak szerokie i arbitralne uprawnienia regulatorów do kształtowania interpretacji tych przepisów
W drugim przypadku mamy już jednak – bliższy mojemu rozumieniu – przykład, który „otwiera” nas na nieznane. Prawodawca wskazał, że dostawcy usług płatniczych muszą spełnić ogólny cel rozporządzenia, a więc zastosować odpowiednią analizę ryzyk etc., natomiast pozostawia się im sposób w jaki to zrobią, i w jakiej technologii.
Ma to tę zaletę, że zasadniczo trudno jest zarzucić takiemu podmiotowi niezgodność z przepisami, jeżeli jesteśmy w stanie wyinterpretować z przepisów, że cel został osiągnięty.
Nie jest to oczywiście proste, a przykład Rozporządzenia 2018/389 pokazuje, że nie do końca się to udało, ale jednak mimo wszystko ta neutralność technologiczna istnieje. Można mieć natomiast wątpliwości co do tego, czy neutralność ta pociąga za sobą tak szerokie i arbitralne uprawnienia regulatorów do kształtowania interpretacji tych przepisów (opinia EBA w sprawie elementów silnego uwierzytelnienia). Innymi słowy – czy nie zabija to ducha tej zasady.
Pojawia się także pytanie o to, czym jest ostatecznie cel danego aktu prawnego i gdzie leżą granice interpretacji samego podmiotu go stosującego.
Co z technologiami, które choć przełomowe – nie „łapią” się pod daną legislacje? Czy w takim wypadku trzeba myśleć o kolejnej iteracji aktu, czy jednak należy przyjąć szersze możliwości regulatorów i innych ciał do „wiążącej” interpretacji?
I czy nasza legislacja (głównie na poziomie UE) rzeczywiście jest neutralna technologicznie, czy też to tylko modny slogan, a zasada ta nie została jeszcze tak naprawdę wypracowana? Najbliższe lata pewnie pokażą.
Michał Nowakowski,
https://pl.linkedin.com/in/michal-nowakowski-phd-35930315,
Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.
