Projekt unijnego rozporządzenia w sprawie sztucznej inteligencji

Wstęp

Dnia 21 kwietnia 2021 r. Komisja Europejska przedstawiła projekt unijnego rozporządzenia w sprawie sztucznej inteligencji (Artificial Intelligence Act). W artykule omawiamy najważniejsze postanowienia projektu.

Kontekst i cel projektu

Projekt rozporządzenia w sprawie sztucznej inteligencji wpisuje się w szerszą strategię Komisji Europejskiej – „Europa na miarę ery cyfrowej”[1]. W 2018 r. Komisja opublikowała europejską strategię na rzecz sztucznej inteligencji i po konsultacjach z zainteresowanymi stronami Grupa ekspertów wysokiego szczebla ds. sztucznej inteligencji opracowała w 2019 r. wytyczne dotyczące wiarygodnej sztucznej inteligencji[2], a w 2020 r. – listę kontrolną w zakresie wiarygodnej sztucznej inteligencji. Realizując strategię na rzecz sztucznej inteligencji, przyjętą w kwietniu 2018 r., Komisja przedstawiła opracowany wspólnie z państwami członkowskimi skoordynowany plan wspierania rozwoju i stosowania sztucznej inteligencji w Europie[3]. W 2020 r. Komisja opublikowała białą księgę w sprawie sztucznej inteligencji[4], w której przedstawiono wizję rozwoju sztucznej inteligencji w Europie jako ekosystemu doskonałości i zaufania. Na dokumencie tym bazuje projekt rozporządzenia (wniosku Komisji) w sprawie SI.

Rozporządzenie w sprawie SI ma na celu sprawienie, że Unia Europejska stanie się globalnym centrum wiarygodnej sztucznej inteligencji i będzie odgrywać główną rolę w jej rozwoju. Są to bowiem pierwsze ramy prawne w UE dotyczące sztucznej inteligencji, które uwzględniają zagrożenia z nią związane. W założeniu dzięki proponowanym przepisom systemy sztucznej inteligencji stosowane w UE staną się bezpieczne, przejrzyste, etyczne, bezstronne i kontrolowane przez człowieka.

Podejście oparte na ryzyku

Zgodnie z przyjętym podejściem opartym na ryzyku Komisja klasyfikuje systemy wykorzystujące sztuczną inteligencję według poziomu ryzyka. Uznano, że im wyższe ryzyko dla praw i wolności człowieka związane z wykorzystywaniem konkretnego systemu, tym większe obowiązki dla jego twórców i podmiotów, które mają ów system wdrażać. Każdy system SI będzie można przypisać do jednej z czterech kategorii ryzyka: niedopuszczalne, wysokie, ograniczone lub minimalne.

• Niedopuszczalne ryzyko

Zakazana zostanie ograniczona grupa szczególnie szkodliwych, sprzecznych z wartościami UE zastosowań sztucznej inteligencji, ponieważ naruszają one prawa podstawowe. Do takich zastosowań SI należą np.: prowadzona przez rządy ocena punktowa obywateli (tzw. social scoring), wykorzystywanie słabości u dzieci, stosowanie technik podprogowych i – z zastrzeżeniem wąsko określonych wyjątków – systemów zdalnej identyfikacji biometrycznej w czasie rzeczywistym funkcjonujących w przestrzeni publicznej i wykorzystywanych do celów egzekwowania prawa.

• Wysokie ryzyko

Za obarczone wysokim ryzykiem uznano ograniczoną liczbę systemów SI, które mają negatywny wpływ na bezpieczeństwo ludzi lub ich prawa podstawowe. W załączniku nr 3 do projektu rozporządzenia wskazano wykaz systemów SI wysokiego ryzyka, który może być poddawany przeglądowi, aby dostosować go do rozwoju zastosowań SI.

Do systemów SI wysokiego ryzyka należą systemy z następujących obszarów:

• Identyfikacja biometryczna i kategoryzacja osób fizycznych.
• Zarządzanie infrastrukturą krytyczną.
• Kształcenie lub szkolenie zawodowe – możliwość decydowania o dostępie do kształcenia i szkolenia zawodowego danej osoby (np. ocenianie egzaminów).
• Elementy bezpieczeństwa produktów (np. zastosowanie sztucznej inteligencji w chirurgii wspomaganej robotami).
• Zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia (np. oprogramowanie do analizowania CV na potrzeby procedur rekrutacji).
• Podstawowe usługi prywatne i publiczne (np. ocena zdolności kredytowej, scoring kredytowy).
• Egzekwowanie prawa – kolizja z prawami podstawowymi osób (np. weryfikacja autentyczności dokumentów).
• Zarządzanie migracją, azylem i kontrolą granic (np. ocenianie wniosków o udzielenie azylu).
• Sprawowanie wymiaru sprawiedliwości i procesy demokratyczne (np. sugerowanie rodzaju kary i wymiaru kary dla osoby skazanej za przestępstwo).

Wymagania wobec systemów SI wysokiego ryzyka

W celu zapewnienia zaufania do systemów SI oraz spójnego i wysokiego poziomu ochrony bezpieczeństwa i praw podstawowych zaproponowano obowiązkowe wymogi dla wszystkich systemów SI wysokiego ryzyka. Wymogi te obejmują:

• Obowiązek wdrożenia systemu zarządzania ryzykiem – system powinien być wdrożony w całym cyklu życia systemu SI wysokiego ryzyka i ma być stosowany w celu identyfikacji i oceny ryzyka związanego z systemem SI oraz podejmowania odpowiednich środków zarządzania ryzykiem.
• Kryteria jakości dla zbiorów danych wykorzystywanych do szkolenia i testowania tych systemów, m.in. w celu zminimalizowania ryzyka dyskryminujących wyników działania systemu SI. Dostawcy systemów SI będą mogli przetwarzać szczególne kategorie danych osobowych (w rozumieniu art. 9 ust. 1 RODO[5]) w celu monitorowania, czy dany system SI nie działa w sposób stronniczy (dyskryminujący).
• Wymóg sporządzania i aktualizowania dokumentacji technicznej systemu.
• Rejestrowanie zdarzeń (logi) – systemy SI wysokiego ryzyka powinny być projektowane w taki sposób, aby automatycznie rejestrowały zdarzenia podczas działania systemu (aby prowadzone były logi). Ma to zapewnić identyfikowalność działania systemu SI.
• Wymogi dotyczące przejrzystości – działanie systemów SI wysokiego ryzyka musi być wystarczająco przejrzyste, aby umożliwić użytkownikom interpretację wyników działania systemu i odpowiednie ich wykorzystanie. Dla systemów SI wysokiego ryzyka powinny być opracowywane instrukcje użytkowania.
• Nadzór człowieka – systemy SI wysokiego ryzyka muszą być zaprojektowane tak, aby umożliwić ludziom skuteczne ich nadzorowanie, w tym zrozumienie możliwości i ograniczeń danego systemu sztucznej inteligencji. Odpowiednie środki nadzoru obejmują m.in. podjęcie decyzji o nieużywaniu systemu AI w danej sytuacji, zignorowanie decyzji podjętej przez system SI lub przerwanie działania systemu za pomocą przycisku STOP.
• Dokładność, solidność i cyberbezpieczeństwo – systemy SI wysokiego ryzyka muszą być projektowane w taki sposób, aby w świetle zamierzonego celu osiągały odpowiedni poziom dokładności, solidności i cyberbezpieczeństwa oraz działały w spójny sposób pod tymi względami przez cały cykl życia. Systemy powinny być odporne na ataki i próby manipulowania zbiorami danych służącymi do szkolenia systemu lub algorytmami.

• Ograniczone ryzyko

W przypadku niektórych systemów SI, gdy istnieje wyraźne ryzyko manipulacji (np. w wyniku zastosowania wirtualnych rozmówców, tzw. chatbotów), wprowadzono minimalne obowiązki w zakresie przejrzystości, które mają umożliwić podejmowanie świadomych decyzji osobom wchodzącym w interakcję z tego rodzaju systemami. Użytkownicy powinni być świadomi, że wchodzą w interakcję z maszyną, tak aby mogli podjąć decyzję o kontynuowaniu korzystania z danej aplikacji (narzędzie) lub o rezygnacji z jej używania.

• Minimalne ryzyko

Wszystkie pozostałe systemy SI kwalifikuje się jako systemy minimalnego lub zerowego ryzyka. Można je opracowywać i wykorzystywać z zastrzeżeniem obowiązujących przepisów bez konieczności stosowania się do dodatkowych obowiązków. W ocenie Komisji większość systemów SI wykorzystywanych obecnie w UE zalicza się do tej kategorii. Dostawcy tych systemów mogą dobrowolnie zdecydować się na stosowanie wymogów dotyczących wiarygodnej sztucznej inteligencji i zobowiązać się do przestrzegania dobrowolnych kodeksów postępowania.

Nowy organ – Europejska Rada Sztucznej Inteligencji

Projekt zakłada powołanie nowego organu – Europejskiej Rady Sztucznej Inteligencji, w skład której wejdą przewodniczący lub inni wysocy rangą urzędnicy organów nadzorczych do spraw sztucznej inteligencji z państw członkowskich oraz Europejski Inspektor Ochrony Danych (EIOD). Do zadań Rady będzie należało m.in. gromadzenie i rozpowszechnianie wiedzy specjalistycznej i dobrych praktyk wśród państw członkowskich, wydawanie opinii i rekomendacji w sprawach związanych z implementacją rozporządzenia i przyczynianie się do jednolitego stosowania rozporządzenia, szczególnie w odniesieniu do tzw. piaskownic regulacyjnych (regulatory sandbox) SI, o których mowa w art. 53.

Wysokie kary za nieprzestrzeganie rozporządzenia

Projekt rozporządzenia przewiduje trzy maksymalne wysokości administracyjnych kar pieniężnych w zależności od naruszanych przepisów rozporządzenia:

1. Kara w wysokości do 30 mln euro lub do 6% całkowitego rocznego światowego obrotu za poprzedni rok budżetowy za nieprzestrzeganie zakazu stosowania niedozwolonych systemów SI (art. 5) oraz niezgodności systemów SI wysokiego ryzyka z wymogami dotyczącymi używania wysokiej jakości danych do uczenia i testowania systemów SI (art. 10).
2. Kara w wysokości do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu za poprzedni rok budżetowy za nieprzestrzeganie przez system SI innych wymogów niż z art. 5 i 10.
3. Kara w wysokości do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu za poprzedni rok budżetowy za udzielanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji dotyczących systemów SI.

Stanowisko EIOD

EIOD co do zasady popiera propozycję Komisji i przyjęte podejście oparte na ryzyku, ale uważa, że konieczne jest wprowadzenie zakazu zdalnej identyfikacji biometrycznej w przestrzeni publicznej[6]. EIOD opowiada się za bardziej rygorystycznym podejściem do automatycznego rozpoznawania cech ludzkich w przestrzeni publicznej – takich jak twarze, chód, odciski palców, DNA, głos, naciśnięcia klawiszy i inne sygnały biometryczne lub behawioralne. W przypadku zdalnej identyfikacji biometryczna sztuczna inteligencja może przyczynić się do bezprecedensowych zmian, wiążących się z niezwykle wysokim ryzykiem istotnej i niedemokratycznej ingerencji w prywatne życie osób, których dane dotyczą.

Źródło: https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence; https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/excellence-trust-artificial-intelligence_pl.

[1] Dokument dostępny pod adresem: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_pl (dostęp: 4.06.2021).

[2] Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions – Building Trust in Human Centric Artificial Intelligence (COM(2019)168), dostępne pod adresem: https://digital-strategy.ec.europa.eu/en/library/communication-building-trust-human-centric-artificial-intelligence (dostęp: 4.06.2021).

[3] Dokument dostępny pod adresem: https://ec.europa.eu/commission/presscorner/detail/pl/IP_18_6689 (dostęp: 4.06.2021).

[4] Dokument dostępny pod adresem: https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_pl.pdf (dostęp: 4.06.2021).

[5] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[6] Zob. https://edps.europa.eu/press-publications/press-news/press-releases/2021/artificial-intelligence-act-welcomed-initiative_en (dostęp: 4.06.2021).