Czy sztuczna inteligencja zapłaci nam odszkodowanie?
Raport dotyka wielu aspektów prawnych wykorzystania AI, ale również Internet of Things. Przejdźmy przez Raport i zderzmy go z „naszą” Polityką Rozwoju Sztucznej Inteligencji oraz obowiązującymi przepisami.
Gdzie jesteśmy? I gdzie możemy być?
Autorzy raportu zwrócili uwagę na to, że reżimy odpowiedzialności, które obowiązują w państwach członkowskich zapewniają przynajmniej podstawową ochronę osób poszkodowanych przez „czyny” dokonane przez sztuczną inteligencję (lub inne nowe technologie), jednakże jest to niewystarczające (i niedostosowane do rozwoju technologicznego) w kontekście wykorzystania samouczących się algorytmów.
W raporcie zauważono także, że obecnie stosowane rozwiązania prawne mogą być nie tylko nieefektywne, ale i niesprawiedliwie. W konsekwencji należy poważnie rozważyć wprowadzenie odpowiednich zmian do systemów prawnych, zarówno na poziomie UE, jak i poszczególnych jurysdykcji.
Ponadto w raporcie możemy znaleźć listę podstawowych zasad, które powinny znaleźć swoje odzwierciedlenie w systemach prawnych regulujących odpowiedzialność AI. Są one następujące:
- Wyższe ryzyko szkody wyrządzonej przez AI to bardziej restrykcyjny reżim odpowiedzialności;
- Jeżeli dostawca AI zapewnia odpowiednią infrastrukturę (i/lub system) techniczną, za pomocą której ma większe możliwości kontroli niż użytkownik czy właściciel AI, to ten fakt powinien być wzięty pod uwagę przy ocenie kto odpowiada za sztuczną inteligencję. Może to mieć znaczenie np. w przypadku modelu subskrypcyjnego – odpowiedzialność za produkt niebezpieczny (449(1) czy może 429 i profesjonalny charakter działalności – Kodeksu cywilnego?);
- Osoby, które wykorzystują technologię, która nie generuje podwyższonego ryzyka wyrządzenia szkody, nadal powinny mieć obowiązek dochowania należytej staranności przy wyborze tej technologii, jej wykorzystaniu, utrzymaniu i monitorowaniu, a jeżeli dopuszczą się przewinienia w tym zakresie, to również powinny ponosić odpowiedzialność;
- Osoba, która używa technologii posiadającej określony poziom autonomii, powinna podlegać odpowiedzialności jak za powierzone czynności (tutaj od razu zastanawiam się − czy stosujemy art. 429 czy 430 Kodeksu cywilnego);
- Wytwórcy produktów, w tym treści cyfrowych powinni podlegać odpowiedzialności jak za produkt (czy niebezpieczny?) również po wprowadzeniu na rynek;
6. Jeżeli zastosowana technologia utrudnia wyraźne określenie, czy może ona „samoistnie” ponosić winę, to osoby poszkodowane powinny móc skorzystać z ułatwień dowodowych (tutaj rola KPC);
7. Stosowaniu nowoczesnych technologii powinno towarzyszyć tworzenie rozwiązań, które umożliwiają zapisywanie i przechowywanie danych (logów) dotyczących ich działalności, a także umożliwiać łatwy dostęp do tych danych;
8. Zniszczenie (wykasowanie) danych osoby poszkodowanej powinno być kwalifikowane jako szkoda i podlegać stosownym zasadom odszkodowawczym – co z Rozporządzeniem 2016/679 (RODO)?;
9. Nie ma potrzeby nadawania urządzeniom czy autonomicznym systemom osobowości prawnej, ponieważ wina może być przypisana zarówno człowiekowi, jak i osobom prawnym – tuta pokrywa się to z wnioskami płynącymi z Polityki Rozwoju Sztucznej Inteligencji – i chyba dobrze.
Jakie są wyzwania?
Jest ich całkiem sporo i pokrywają się one z założeniami Polityki. Autorzy raportu zwrócili uwagę na to, że obecnie funkcjonujące rozwiązania prawne często mogą utrudniać wyraźne określenie „aktorów” danego deliktu. M.in. ze względu na trudności w jednoznacznym określeniu czyje działanie tak naprawdę doprowadziło do powstania szkody i kto na tej szkodzie skorzystał?
Przykład: mamy aplikację opartą o robo − doradztwo (abstrahuję od przepisów obowiązujących w Polsce).
Algorytm został przygotowany przez zewnętrznych ekspertów IT wraz z doradcami inwestycyjnymi i funkcjonuje „dobrze”. Jego działanie jest należycie monitorowane. Klient korzysta z aplikacji i na podstawie rekomendacji (uprzednio została wypełniona odpowiednia ankieta odpowiedniości) podejmuje decyzję inwestycyjną, która generuje mu olbrzymią stratę.
Okazuje się, że w czasie wydawania rekomendacji pojawił się chwilowy brak energii elektrycznej, który odciął algorytm od danych rynkowych i przez to rekomendacja opierała się na danych sprzed x minut.
Kto przyczynił się do powstania szkody? Firma inwestycyjna? Inżynier oprogramowania, który nie przewidział takiego błędu? A może sam klient, który nie sprawdził aktualnych danych (może byłby to bardziej realny scenariusz przy pośrednictwie)6
Odpowiedzialność osób z większą kontrolą
Ponadto zwrócono uwagę na konieczność wyraźnego określenia odpowiedzialności osób, które posiadają „większą” kontrolę, np. frontend developer versus back-end analyst.
Jeżeli mamy tutaj ciągłe usprawnianie funkcjonowania algorytmu, to uznać należy, że nawet jeżeli zakupiliśmy określone rozwiązanie, ale jego częścią jest wykrywanie bugów przez dostawcę i ich „patchowanie”, to uznać – chyba – można, że nadal ma on kontrolę nad algorytmem.
Takie podejście jest szczególnie ciekawe w kontekście autonomicznych pojazdów, które nie dość, że są nieustannie aktualizowane, to jeszcze „feedowane” (karmione) zewnętrznymi danymi, m.in. z GPS, ale i systemów kontroli ruchu.
Dochodzenie winy
To co jest równie istotne, to kwestia odwrócenia zasad w zakresie dowodzenia powstania szkody. Miałoby mieć to jednak miejsce nie w każdym przypadku, a jedynie, jeżeli są istotne (nieproporcjonalne) trudności lub koszty w ustaleniu czy odpowiednie środki bezpieczeństwa zostały spełnione.
Jeżeli więc dany algorytm został opracowany w taki sposób, że nie jest możliwe wyraźne wskazanie, czy na jego działanie wpływ miał rzeczywiście czynnik ludzki (np. błąd w oprogramowaniu), to jego producent powinien przedstawić dowody wyłączające jego winę.
Tutaj warto zwrócić uwagę na fakt, że w Raporcie wskazano na sytuacje, które mogą wspomóc udowodnienie winy. Takie sytuacje to np.:
- Prawdopodobieństwo, że technologia przyczyniła się (nie musiała jej spowodować) do powstania szkody;
- Znane „analogiczne” przypadki wystąpienia błędu będącego przyczyną powstania szkody;
- Asymetria informacyjna;
- Trudności w dostępie do danych (m.in. logów). To oczywiście nie są jedyne przykłady.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315,
Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.