Bruce Willis zezwolił na wykorzystanie swojego wizerunku w ramach technologii deepfake w reklamie pewnej sieci komórkowej. Algorytmy SI i obróbka komputerowa pozwoliły na hiperrealistyczne odtworzenie postaci Johna McClane’a, znanego z filmu “Szklana Pułapka” bez fizycznego udziału aktora. Mimo, że technologia deepfake znana jest wielu internautom od dawna, to skala popularności wyżej wskazanego przypadku widocznie zaogniła dyskurs na temat zagrożeń związanych z mistrzowsko zmanipulowanymi treściami.  

Poprzednią część wypowiedzi na temat Sztucznej Inteligencji wieńczyła informacja o projekcie pierwszych w historii ram prawnych dotyczących tej materii – Rozporządzenia UE ws. SI, którego ostateczny kształt wciąż nie jest znany. Przypomnijmy, że jednym z elementów unijnej strategii cyfrowej jest zapewnienie rozwoju sztucznej inteligencji w sposób gwarantujący poszanowanie praw człowieka i zdobycie zaufania ludzi. Model ten zwany jest „antropocentryczną SI”. Rozporządzenie nie omija problematyki zagrożeń związanych z użyciem technologii deepfake, o czym mowa w dalszej części niniejszej wypowiedzi.  

W poprzedniej części zasygnalizowano propozycję ustawodawcy UE wyodrębnienia czterech kategorii systemów SI zależnych od poziomu ryzyka, jakie stwarza ich zastosowanie: ryzyka niedopuszczalnego (systemy zakazane), wysokiego, ograniczonego i minimalnego. Przybliżyliśmy nieco te podstawowe pojęcia i historię terminów związanych z rozwojem SI. 

Poniżej kontynuujemy wypowiedź o Rozporządzeniu UE ws. SI, w tym omówimy dopuszczone systemy SI i warunki ich dopuszczenia do obrotu, a także wskażemy najistotniejsze propozycje poprawek komisji Parlamentu Europejskiego do tego aktu. 

 

Systemy Wysokiego Ryzyka 

Systemy wysokiego ryzyka to takie, które same stanowią produkt lub też element produktu związany z bezpieczeństwem lub należą do tzw. obszarów oceny zgodności w celu wprowadzenia do obrotu. Do omawianej kategorii należą systemy m.in. z kategorii: identyfikacji biometrycznej i kategoryzacji osób, zarządzania obsługą ruchu drogowego oraz zaopatrzenia w wodę, gaz, ciepło i energię elektryczną, dostępie do kształcenia i szkolenia zawodowego czy rekrutacji pracowniczej. Nadto kategoria ta obejmuje obszary służące oceny kwalifikowalności do świadczeń i usług publicznych lub wykorzystywane w celach oceny zdolności kredytowej. W omawianej kategorii mieszczą się również systemy wykorzystywane w celu ustalania priorytetów w wysyłaniu służb ratunkowych czy egzekwowania prawa, w tym m.in. systemy przeznaczone do oceny ryzyka popełnienia przestępstwa, wykrywania stanu emocjonalnego osób, czy związane ze sprawowaniem wymiaru sprawiedliwości lub dotyczące procesów demokratycznych. 

Systemy wysokiego ryzyka to również zabawki dziecięce, wyroby medyczne, odbiorniki radiowe czy produkty z zakresu transportu. 

Nie sposób nie zauważyć, że odnośnie takich produktów istnieje dedykowane ustawodawstwo. 

Wymogi dla systemów SI wysokiego ryzyka 

Jako, że wskazane wyżej obszary określone przez ustawodawcę dotyczą bezpieczeństwa i praw podstawowych, a systemy te nie są zakazane, to muszą spełniać wymogi określone w Rozporządzeniu UE ws. SI.   Do najważniejszych obowiązków należy wdrożenie systemu zarządzania ryzykiem w całym cyklu życia systemu SI wysokiego ryzyka jak i jego aktualizowanie. Taki system zarządzania ryzykiem winien nie tylko identyfikować i analizować ryzyko ale i dokonać jego ewaluacji, a następnie przyjąć środki zarządzania tym ryzykiem. 

Koniecznym będzie przyjęcie właściwych praktyk w celu gromadzenia danych do trenowania systemu SI np. w celu zminimalizowania ryzyka występowania danych tendencyjnych oraz prowadzenie rejestru zdarzeń. Wreszcie systemy SI wysokiego ryzyka muszą być zaprojektowane tak, aby umożliwić człowiekowi skuteczne ich nadzorowanie. Nadzór obejmuje również możliwość podjęcia decyzji o nieużywaniu systemu SI w danej sytuacji, zignorowanie decyzji podjętej przez system SI lub przerwanie jego działania. 

Oprócz powyższego ustawodawca stawia wymogi odnośnie cyberbezpieczeństwa, przejrzystości i dokumentacji. Warto wskazać, że Rozporządzenie kreuje obowiązki nie tylko dla dostawców Systemów SI wysokiego ryzyka ale i dla importerów lub użytkowników. 

System SI wysokiego ryzyka przed wprowadzeniem go do obrotu lub przed oddaniem go do użytku musi zostać zarejestrowany w unijnej bazie danych. 

Systemy ograniczonego ryzyka 

Do tej kategorii należą systemy o niższym ryzyku, stąd ich stosowanie wiąże się z obowiązkami informacyjnymi i tymi w zakresie przejrzystości. Tak, by użytkownik miał możliwość podjęcia decyzji o zakończeniu ich używania. Do tej kategorii należą m.in. chatboty. 

 

Uwaga, Deepfake! 

Wartym odnotowania jest, że użytkownicy systemu SI, który generuje obrazy, treści dźwiękowe lub treści wideo, które łudząco przypominają istniejące osoby, obiekty, miejsca lub inne podmioty lub zdarzenia, lub który tymi obrazami i treściami manipuluje, wskutek czego ich odbiorca mógłby niesłusznie uznać je za autentyczne („deepfake”), mają obowiązek ujawniania, że te treści zostały poddane manipulacji. Obowiązek oznaczania treści ma dotyczyć również systemów rozpoznawania emocji. Pewne wyjątki od powyższych obowiązków dotyczą systemów służących wykrywaniu przestępstw. 

 

Minimalne ryzyko 

W ocenie Komisji Europejskiej większość systemów SI wykorzystywanych obecnie w Unii stanowią systemy minimalnego lub zerowego ryzyka i można je wykorzystywać z uwzględnieniem obowiązujących przepisów i bez dodatkowych obowiązków. Do tej kategorii należą tzw. translatory czy filtry spamu. 

W podsumowaniu informacji nt. kategorii systemów SI zależnych od poziomu ryzyka, warto wskazać że ich wyodrębnienie przez ustawodawcę stanowi próbę odpowiedzi na postulat zawarty w Białej Księdze SI do wprowadzania regulacji w obszarach, w których stosowanie SI wiąże się z wysokim ryzykiem. 

 

Dalsze propozycje ustawodawcy UE

Europejska Rada Sztucznej Inteligencji 

Rozporządzenie UE ws. SI zakłada powołanie nowego organu UE-. Europejskiej Rady Sztucznej Inteligencji, w skład której wejdą przewodniczący lub inni wysocy rangą urzędnicy organów nadzorczych do spraw sztucznej inteligencji z Państw Członkowskich oraz Europejski Inspektor Ochrony Danych. Do zadań Rady będzie należało gromadzenie i rozpowszechnianie wiedzy specjalistycznej i dobrych praktyk w ramach EU, wydawanie opinii i rekomendacji w sprawach związanych z wdrażaniem Rozporządzenia SI i przyczynianie się do jednolitego jego stosowania. 

 

Uwagi i poprawki do Rozporządzenia 

Europejski Inspektor Ochrony Danych 

Warto zacząć od przytoczenia stanowiska Europejskiego Inspektora Ochrony Danych, który co prawda popiera przyjęte w Rozporządzeniu SI podejście oparte na ryzyku, ale równocześnie postuluje wprowadzenie całkowitego zakazu zdalnej identyfikacji biometrycznej w przestrzeni publicznej, co nie zostało zagwarantowane w Rozporządzeniu SI 

Inspektor zapowiedział kontynuację restrykcyjnego podejścia do automatycznego rozpoznawania cech w przestrzeni publicznej takich jak twarze, chód, odciski palców, DNA, głos, naciśnięcie klawiszy i innych sygnałów biometrycznych lub behawioralnych – niezależnie od tego, czy są one wykorzystywane w kontekście handlowym lub administracyjnym.  

Inspektor podkreślił, że bardziej rygorystyczne podejście jest konieczne, jako że zdalna identyfikacja biometryczna, w której przypadku sztuczna inteligencja może przyczynić się do bezprecedensowego rozwoju, wiąże się z niezwykle wysokim ryzykiem niedemokratycznej ingerencji w życie prywatne ludzi. 

 

Raport Mniejszości, a poprawki Komisji Parlamentu Europejskiego 

Raport sporządzony przez komisje Parlamentu Europejskiego ds. rynku wewnętrznego i konsumentów (IMCO) oraz wolności obywatelskich, sprawiedliwości i spraw wewnętrznych (LIBRE) zawiera propozycje zmian omówionych poniżej.  

Pod koniec września odbyły się głosowania w komisjach, a następnie- plenarne w Parlamencie Europejskim ws. poprawek do Rozporządzenia UE ws. SI ujętych w ww. raporcie. 

1. Zakaz predictive policing 

Predictive policing przywodzi na myśl fabułę filmu „Raport Mniejszości”, w którym system przewidywał przestępstwa, które miały być z pewnością popełnione. Duże ryzyko błędu wobec bazowania takich systemów na historycznych danych i nierzadko uprzedzeniach prowadzi do niesprawiedliwych osądów oraz może naruszać ludzką godność. Stąd w Raporcie zaproponowano zakaz stosowania tego typu systemów.   

2. Nowy kształt definicji systemu SI

W raporcie zaproponowano, by zakres definicji systemów SI rozszerzyć o systemy budowane przez inne systemy AI. Dotąd definicja zakładała, że systemy winny być budowane przez człowieka. 

3. Ostrzeżenie o korzystaniu z SI

W Raporcie zaproponowano rozszerzenie obowiązków informacyjnych związanych ze stosowaniem systemów SI wysokiego ryzyka, w tym dodanie obowiązku informowania użytkowników o tym fakcie. Jak wskazano powyżej do tej kategorii będą się kwalifikowały tylko najbardziej ryzykowne systemy. Wartym odnotowania jest, że zgodnie z aktualną definicją do tej kategorii nie zaliczają się zastosowania SI, które dokonują oceny (profilowania) użytkowników w celach komercyjnych. 

4. Prawo do skargi

W Raporcie zaproponowano novum w postaci prawa do skargi. Prawo to ma przysługiwać osobom poddanym działaniu systemu wykorzystującego SI w przypadku, gdy system naruszy ich prawa. Skarga miałaby przysługiwać przeciwko dostawcom lub użytkownikom i dopuszczać możliwość odszkodowania. 

 

Problematyka dotycząca interakcji zachodzących pomiędzy prawem, a rozwojem technologii opartych na sztucznej inteligencji jest nie tylko niezwykle ciekawa, ale i znajduje się w procesie kształtowania. Wskutek powyższego, ocena proponowanych rozwiązań wymaga monitorowania przebiegu tego procesu oraz ciągłej aktualizacji wiedzy w tym zakresie, do czego gorąco zachęcam!  

 

Na zakończenie tej części serii publikacji o Sztucznej Inteligencji w prawie warto zadać pytanie czy Rozporządzenie UE ws. SI w aktualnym brzmieniu a nawet w brzmieniu uwzględniającym poprawki zaproponowane w Raporcie eliminuje ryzyko nadmiernej ingerencji w życie ludzi, w tym ich procesy decyzyjne. 

Należy zasygnalizować też, że zgodnie z aktualnym brzmieniem Rozporządzenie UE ws. SI ma być stosowane po upływie dwóch lat od jego wejścia w życie. 

 

Umów bezpłatną konsultację
Opublikowano: 26 października, 2022 / Kategorie: Cyberbezpieczeństwo, Prawo IT /

Zostaw komentarz

osiemnaście − dwanaście =

Informacja o Administratorze i treść Polityki prywatności znajduje się tutaj: (link)

Zapisz się na newsletter

Z naszą kancelarią nie zbłądzisz w świecie prawa IT.

Informacja o Administratorze i przetwarzaniu danych w celu wysyłki Newslettera znajduje się tutaj

Pełna treść Polityki prywatności znajduje się tutaj

Powiązane wpisy