Odpowiedzialność za produkty i usługi o charakterze cyfrowym, rekomendacje Komisji Europejskiej
Tematyka obejmuje też, co zresztą pojawia się już na samym początku dokumentu, rekomendacje związane z ramami prawnymi i regulacyjnymi dla IT w kontekście oprogramowania. Ponieważ ilość zagadnień jest dość spora, to przejdziemy jedynie przez wybrane i subiektywnie najciekawsze.
Powinniśmy przyjąć definicję software wyrażoną w dyrektywie 2019/770 w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych, którą mielibyśmy rozumieć jako treści cyfrowe lub usługi cyfrowe
Całkiem sporo miejsca poświęcono samej definicji oprogramowania, a właściwie brakowi definicji legalnej. Wskazano tutaj na kilka koncepcji, m.in. tę przedstawioną przez WIPO, która pozwala na bardziej wyraźne odróżnienie oprogramowania od programu komputerowego. Generalnie jednak – przynajmniej na tym etapie – Komisja przyjęła, że w kontekście odpowiedzialności i bezpieczeństwa powinniśmy przyjąć definicję software wyrażoną w dyrektywie 2019/770 w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych, którą tutaj mielibyśmy rozumieć jako treści cyfrowe lub usługi cyfrowe.
Nie jest więc to jednolita i zawsze klarowna definicja, ale zgodne jest to z podstawową zasadą, którą wyrażono w dokumencie, a więc neutralnością technologiczną prawa dotykającego szeroko rozumianej sfery IT.
Czytaj także: Globalne rekomendacje UNESCO w sprawie etyki przy stosowaniu sztucznej inteligencji
Odpowiedzialność za oprogramowanie
Jaka jest tego konsekwencja? W kontekście planowanych zmian w zakresie odpowiedzialności za oprogramowanie – całkiem doniosła. Jeżeli przyjmiemy definicję zbliżoną do tej ze wspomnianej dyrektywy, to okaże się, że oprogramowaniem mogą być:
1. Dane wytwarzane i dostarczane w postaci cyfrowej oraz
2. Usługi pozwalające na wytwarzanie, przetwarzanie i przechowywanie danych lub dostęp do nich w postaci cyfrowej oraz usługi pozwalające na wspólne korzystanie z danych w postaci cyfrowej, które zostały wytworzone przez konsumenta lub innych użytkowników tej usługi lub inne formy interakcji przy pomocy takich danych.
Nowe obowiązki, wymagania czy zakresy odpowiedzialności rozciągać się będą na równie szeroko kategorię „dóbr i usług”
Jeżeli teraz zaczniemy tworzyć nowe rozwiązania prawne dotykające sfery odpowiedzialności, m.in. za produkt niebezpieczny, ale także za działanie sztucznej inteligencji, to nieodpowiednie – zbyt szerokie – zakreślenie tej definicji spowoduje, że nowe obowiązki, wymagania czy zakresy odpowiedzialności rozciągać się będą na równie szeroko kategorię „dóbr i usług”.
Kwestia zarządzania ryzykami
Jeżeli mamy mniej więcej określone czym jest oprogramowanie, to warto zastanowić się jakie może ono generować ryzyka. Klasyfikacja podstawowa zakłada, że możemy wyróżnić trzy rodzaje:
1. Ryzyka fizyczne obejmujące m.in. uszkodzenie cała czy utratę życia, ale także uszkodzenie danych czy ryzyko działania wpływającego negatywnie na funkcjonowanie algorytmów;
2. Ryzyka o charakterze czysto ekonomicznym oraz
3. Ryzyka dotyczące sfery praw podstawowych.
Już na pierwszy rzut oka widać, że dość często będą tutaj pojawiać się więc rozwiązania związane z wykorzystaniem szeroko rozumianej sztucznej inteligencji. Szczególnie, że eksperci Komisji (UE) wskazują tutaj także na negatywne rezultaty psychologiczne, obejmujące m.in. zaburzenia i choroby wyszczególnione przez WHO. O tym mieliśmy okazję przeczytać w najnowszym projekcie rozporządzenia w sprawie AI.
Komisja wskazuje na konieczność podejmowania działań zarówno uprzednich, jak i następczych. Najczęściej będziemy także stosować tzw. risk-based aproach, czyli podejście oparte na ryzyku
Na tym nie kończy się jednak klasyfikacja ryzyk, bowiem w dokumencie znajdziemy m.in. podział na ryzyka bezpośrednie i pośrednie czy ryzyka atypowe. Jest to o tyle istotne, że właściwa identyfikacja i klasyfikacja ryzyk (a także zarządzanie) będzie wymagana w większości sektorów regulowanych, a w konsekwencji będzie podlegała badaniu nadzorcy, choć oczywiście nie można też zapominać o ryzykach o charakterze reputacyjnym, które niekiedy mogą mieć bardziej doniosłe konsekwencje dla podmiotu.
Kwestia zarządzania ryzykami jest zresztą również istotną częścią dokumentu. Komisja wskazuje na konieczność podejmowania działań zarówno uprzednich, jak i następczych. Najczęściej będziemy także stosować tzw. risk-based aproach, czyli podejście oparte na ryzyku, ale nie można wykluczyć, że w niektórych przypadkach zastosowanie znajdą inne rozwiązania. To będzie później rzutowało m.in. na kwestię odpowiedzialności, choć w większości przypadków – np. w zakresie odpowiedzialności za produkt niebezpieczny – będziemy mieli odpowiedzialność opartą na ryzyku, a nie na winie.
Czytaj także: Badanie SAS: zarządzanie ryzykiem głównym wyzwaniem branży finansowej po pandemii
Softwarowe rekomendacje Komisji Europejskiej
To z grubsza tyle, choć dokument bardziej szczegółowo określa poszczególne aspekty odpowiedzialności i z pewnością tymi zagadnieniami jeszcze się w przyszłości zajmiemy, bo zakładam, że wraz z rozwojem software, pojawi się też coraz więcej spraw dotyczących odpowiedzialności za produkty i usługi o charakterze cyfrowym.
Jedną z rekomendacji jest stworzenie nowych rozwiązań w zakresie bezpieczeństwa oprogramowania, które powinny obejmować najszerszą klasyfikację software (jako tzw. standalone, ale także część jakiegoś produktu)
Spójrzmy jednak na rekomendacje, które mogą pokazywać w którym kierunku pójdzie prawo i regulacja.
Po pierwsze nowy reżim prawny dla oprogramowania. Tak, dobrze czytacie. Jedną z rekomendacji jest stworzenie nowych rozwiązań w zakresie bezpieczeństwa oprogramowania, które powinny obejmować najszerszą klasyfikację software (jako tzw. standalone, ale także część jakiegoś produktu). Miałaby to być tzw. Software Safety Directive, która powinna odnosić się też w wielu miejscach do już istniejącego porządku prawnego. Towarzyszyć ma temu także rewizja rozwiązań w zakresie produktu niebezpiecznego, która miałaby obejmować m.in. rozszerzenie zakresu istniejących aktów prawnych na software właśnie.
Powinniśmy też „otrzymać” nowy porządek prawny dla odpowiedzialności za sztuczną inteligencję oraz ogólnie stworzenie ram prawnych dla AI (to już częściowo się dzieje). Rekomendacje są zasadniczo zbieżne z tym, co już widzieliśmy (w tym w rozporządzeniu w zakresie odpowiedzialności za sztuczną inteligencję wysokiego ryzyka) – generalnie odpowiedzialność na zasadzie ryzyka, ale są też pewne smaczki, jak chociażby uregulowanie tej kwestii dyrektywą, a nie rozporządzeniem czy wyłączenie odpowiedzialności tzw. front-end operatora, będącego konsumentem z tych zasad. Miałyby też pojawić się inne typy odpowiedzialności, uzależnione od tego kto, jak i kiedy odpowiada(ł) za działanie oprogramowania.
Na koniec w rekomendacjach znajdziemy konieczność dostosowania już istniejącego prawa do wyzwań nowej ery cyfrowej, co obejmować miałoby m.in. zmiany w szeroko rozumianym prawie konkurencji czy prawa mediów. Ogromna praca, która może przynieść efekty tylko wtedy, gdy będzie wola współpracy.
Jak to oceniać? Cóż, to kolejny dokument „wyprodukowany” przez UE, w którym mamy bardzo sensowne rekomendacje dotyczące szeroko rozumianego digitalu.
Problem w tym, że po pierwsze potrzeba bardziej stanowczych i konkretnych działań (a tu na przeszkodzie może stać konsensus polityczny), a po drugie ilość proponowanych zmian i konieczność wprowadzenia zmian w znaczącej liczbie aktów prawnych, może spowodować jeszcze większy chaos legislacyjny i brak przejrzystości. Musi to być więc zadanie zakrojone na szeroką skalę. Zobaczymy, co z tego wyjdzie. Jedno jest pewne – będzie nas czekało sporo pracy…
Michał Nowakowski,
https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Head of NewTech w NGL Advisory oraz Counsel w NGL Legal, założyciel www.finregtech.pl, wykładowca studiów podyplomowych SGH: FinTech ‒ nowe zjawiska i technologie na rynku finansowym. Adres e-mail: michal.nowakowski@ngladvisory.com
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.
Czytaj także: „FinTech” ‒ nowy kierunek w Szkole Głównej Handlowej
Zobacz film o Studiach Podyplomowych FinTech: tutaj