Projekt unijnego rozporządzenia ws. AI Act; czy wszystkie zmiany są potrzebne?

Projekt unijnego rozporządzenia ws. AI Act; czy wszystkie zmiany są potrzebne?
Michał Nowakowski. Źródło: NGL Advisory, NGL Legal
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Prace nad ostatecznym kształtem rozporządzenia unijnego ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji, tzw. AI Act (AIA) nadal trwają i nie ma wątpliwości, że czekają nas jeszcze istotne zmiany. Możemy także założyć, że ogólny zarys i podejście skoncentrowane na człowieku i jego ochronie pozostaną z nami na dłużej. Ostatnio w Parlamencie Europejskim pojawiła się kolejna propozycja wprowadzająca znaczne modyfikacje, które niedługo mają zostać przedyskutowane (i miejmy nadzieję przegłosowane) w celu wypracowania kompromisowego rozwiązania. Akt - z chwilą jego wejścia w życie - będzie miał istotne znaczenie dla całego rynku algorytmów i modeli sztucznej inteligencji, a także w pewnym stopniu automatyzacji, dlatego już dzisiaj warto wiedzieć, co prawdopodobnie nas czeka we wcale nie tak odległej przyszłości, pisze Michał Nowakowski.

Ze względu na dość szeroki zakres projektu nie sposób przedstawić tutaj wszystkich zmian, toteż zajmiemy się jedynie wybranymi aspektami.

Pierwszą widoczną zmianą jest rozszerzenie zakresu obowiązywania (terytorialnego) aktu, bowiem wymogi w nim określone mają być rozszerzone także na dostawców lub użytkowników systemów sztucznej inteligencji, którzy ulokowani są poza Unią Europejską, jeżeli rezultat ich działania ma miejsce na terytorium Unii lub ‒ i to jest nowość ‒ mają wpływ na osoby fizyczne na jej terytorium. To dość szerokie określenie i myślę, że nieco zbyt szerokie, bo jak określić taki wpływ?

Podobne trudności pojawiają się już na gruncie działalności transgranicznej podmiotów sektora finansowego. Rozstrzygnięcie tego zagadnienia wydaje się więc kluczowe. W akcie zawarto także, że będzie on miał zastosowanie do takich właśnie osób, na które system SI miał wpływ.

Doprecyzowano także, że rozporządzenie miałoby mieć zastosowanie także do instytucji unijnych, organów i instytucji (publicznych), jeżeli działaliby oni w charakterze dostawcy lub użytkownika systemów SI.

Zmiana definicji sztucznej inteligencji

Kolejną zmianą jest sama propozycja definicji systemów sztucznej inteligencji, która doznałaby dość istotnej zmiany. Przypomnijmy, że zgodnie z pierwotnym brzmieniem taki system oznacza oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik i podejść wymienionych w załączniku I, które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję.

Parlamentarzyści zaproponowali niewielką, ale całkiem istotną modyfikację, bowiem chcą oni, aby cele nie musiały być określane przez człowieka (jak zakładam, chodzi i możliwość tworzenia algorytmów i modeli przez inne systemy), jak również dołożenie do katalogu potencjalnych rezultatów działania systemów SI – hipotez.

Po co to zmiany? Nie wiem, ale jak rozumiem chodziło tutaj o rozszerzenie zakresu definicji o systemy, które mogą nie być „budowane” przez człowieka. Jest to istotna zmiana, bowiem może doprowadzić do bardzo szerokiego stosowania rozporządzenia. Propozycja zakłada również inne zmiany do „słowniczka”, ale nie będziemy się nimi dzisiaj zajmować. Dla zainteresowanych – warto zwrócić uwagę na wprowadzenie pojęcia ryzyka – pkt 44c projektu.

Czytaj także: Proces AI & Data Governance z perspektywy instytucji ‒ czy uczenie maszynowe potrzebuje własnego ładu?

Katalog praktyk zakazanych

Ciekawe zmiany dostrzeżemy w art. 5, który odnosi się do katalogu praktyk zakazanych. Zmiana dotyczy dodania punktu 4a, zgodnie z którym te ograniczenia nie będą wpływały na zakazy, które mogą mieć zastosowanie, jeżeli systemy sztucznej inteligencji naruszają inne przepisy, w tym o ochronie danych osobowych, dotyczące zakazu dyskryminacji, ochrony konsumenta czy prawa konkurencji. Pytanie ‒ jak rozstrzygnięty zostanie wątek podwójnego karania?

Zmiany „dotknęły” także zmian do załącznika III, który zawiera listę systemów kwalifikowanych z góry jako systemy wysokiego ryzyka. Parlamentarzyści zaproponowali tutaj wykreślenia kilku zapisów i zastąpienie ich szerszym mandatem dla Komisji Europejskiej do zmiany zawartości tego załącznika, np. w sytuacji, gdy jakieś systemy mogą przykładowo generować ryzyko dla praw podstawowych albo jeżeli będą one w sprzeczności z art. 2 Traktatu o Unii Europejskiej ‒ oczywiście z pewnymi safeguards, aby nie było w tym zakresie pełnej dowolności. Zmiany są daleko idące i dotykają także kryteriów, które Komisja powinna wziąć pod uwagę rozważając wprowadzenie zmian.

(Treść art. 2 TUE jest dość szeroka: Unia opiera się na wartościach poszanowania godności osoby ludzkiej, wolności, demokracji, równości, państwa prawnego, jak również poszanowania praw człowieka, w tym praw osób należących do mniejszości. Wartości te są wspólne Państwom Członkowskim w społeczeństwie opartym na pluralizmie, niedyskryminacji, tolerancji, sprawiedliwości, solidarności oraz na równości kobiet i mężczyzn.)

Systemy zarządzania ryzykiem AI

Propozycja zakłada także zmiany w zakresie systemów zarządzania ryzykiem dla systemów AI i to są zmiany, które nie uszczęśliwią inżynierów. W ramach takiego systemu zarządzania ryzykiem powinniśmy bowiem dokonać analizy znanych i „rozsądnie” przewidywalnych ryzyk, które systemy wysokiego ryzyka mogą generować dla:

1.    Zdrowia i bezpieczeństwa osób fizycznych.

2.    Praw lub statusu prawnego osób fizycznych.

3.    Praw podstawowych osób fizycznych

4.    Równego dostępu do usług i szans dla osób fizycznych

5.    Wartości wskazanych we wspomnianym już art. 2.

Przyznam szczerze, że nawet ja jestem zaskoczony. Taki postulat nadaje się bardziej do wytycznych (miękkich) o charakterze etycznym, a nie takiego aktu prawnego. Bez wątpienia będzie to ogromne wyzwanie przy tworzeniu systemów wysokiego ryzyka, które będzie wymagało interdyscyplinarnego podejścia i angażowania osób, które zajmują się tą tematyką na co dzień. I dobrze, i źle. Zależy z której strony patrzeć.

Czytaj także: Sztuczna inteligencja ‒ możliwości są duże, ale czy można jej zaufać?

Nowe wymogi dla systemów wysokiego ryzyka

Zmiany znajdziemy też w pozostałych przepisach dotyczących wymogów specyficznych dla systemów wysokiego ryzyka, które również nie pozostaną bez znaczenia i kosztów tworzenia takich rozwiązań. Przykładowo nowa propozycja zakłada wymóg posiadania odpowiednich rozwiązań pozwalających na wykrywanie i usuwanie potencjalnych biasów algorytmicznych, czyli unikania stronniczości, która może skutkować dyskryminacją. Bez wątpienia będzie to wymagało rozwoju oprogramowania, a także rozwiązań organizacyjnych i technicznych, które mogą być kosztowne. Tym bardziej, że jest to dziedzina, która dopiero się rozwija.

Parlamentarzyści proponują także uszczegółowienie przepisów dot. danych wykorzystywanych do trenowania, testowania i walidacji modeli. Poza tym, że zestawy danych mają być odpowiednie i reprezentatywne, nowa wersja zakłada wymóg aktualności oraz – zasadniczo – muszą być wolne od błędów, choć tutaj jest pewna furtka. To będzie dość trudne. Co ciekawe, takie zestawy danych powinny także uwzględniać kulturowe elementy, a nie tylko geograficzne czy funkcjonalne. Ciekawe ‒ trudne do zrealizowania.

Ważna, choć kontrowersyjna zmiana dotyczy także możliwości wykorzystania danych wrażliwych z art. 9 Rozporządzenia 2016/679 (RODO) na potrzeby wykrywania biasu czy innych błędów algorytmu i modelu. W propozycji mamy też doszczegółowienie w zakresie stosowania wymogów z RODO, m.in. w zakresie minimalizacji danych. Poza tym większy zmian brak.

Duża zmiana znajduje się w art. 16, bowiem do obowiązków dostawców systemów wysokiego ryzyka dodano konieczność zapewnienia osobom fizycznym, które sprawują nadzór nad systemami wysokiego ryzyka informacji na temat tzw. risk of automation bias. Szkolenia będą więc absolutnie konieczne.

Dalej mamy doszczegółowienie kilku kwestii, m.in. w zakresie konieczności umieszczenia znaku jakości CE. Zwrócić trzeba jeszcze uwagę na jedną istotną zmianę – wykreślenie obowiązku dokonywania tzw. conformity assessment w sytuacjach określonych w art. 19. Jednocześnie nie oznacza to, że sama ocena nie powinna być dokonana, bowiem pozostał art. 43, który odnosi się wprost do tego obowiązku.

I tutaj dzisiaj utnę, a jesteśmy dopiero w połowie. Przejrzeliśmy jednak znaczną część wymogów, które będą miały znaczenie dla dostawców i użytkowników systemów wysokiego ryzyka. Jeżeli czas pozwoli, to postaram się zebrać pozostałe wymogi, choć do tego czasu możemy mieć już kolejną wersję. Zobaczymy.

Warto jednak już teraz zastanowić się na ile będziemy w stanie spełnić te wymogi.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Head of NewTech w NGL Advisory oraz Counsel w NGL Legal, założyciel www.finregtech.pl, wykładowca studiów podyplomowych SGH: FinTech ‒ nowe zjawiska i technologie na rynku finansowym. Adres e-mail: michal.nowakowski@ngladvisory.com
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: aleBank.pl