Opublikowany w kwietniu bieżącego roku przez Komisję Europejską projekt unijnego rozporządzenia ws. sztucznej inteligencji (Artificial Intelligence Act) stanowi pierwszą próbę stworzenia kompleksowych ram prawnych dla zautomatyzowanych, samouczących się rozwiązań. W czerwcowym wydaniu newslettera zespołu RODO kancelarii przedstawialiśmy najważniejsze elementy proponowanego aktu prawnego. W tym numerze przyglądamy się stanowisku dwóch najważniejszych unijnych organów nadzorczych z zakresu ochrony danych osobowych: Europejskiego Inspektora Ochrony Danych (EIOD) i Europejskiej Rady Ochrony Danych (EROD) na temat projektu rozporządzenia. Oba organy wydały niedawno wspólną opinię, w której przedstawiają swoje uwagi dla unijnego prawodawcy w zakresie regulacji sztucznej inteligencji w UE. Przekazujemy wybrane ustalenia EIOD i EROD dotyczące projektu rozporządzenia.

Podejście oparte na ryzyku i systemy sztucznej inteligencji wysokiego ryzyka

  • EIOD i EROD pozytywnie oceniają przyjęcie przez unijnego prawodawcę podejścia opartego na ryzyku jako głównej zasady projektowanego aktu prawnego. Niemniej oba organy stoją na stanowisku, że zasada ta powinna zostać dookreślona na etapie dalszych prac legislacyjnych, a związane z nią pojęcie „zagrożenia dla praw i wolności” – dostosowane do sposobu, w jaki jest ono rozumiane w świetle RODO.
  • W ocenie organów w projekcie rozporządzenia za mało uwagi poświęca się osobom, których dotyczą działania systemu sztucznej inteligencji. W tym kontekście autorzy opinii sugerują europejskiemu prawodawcy wyraźne uwzględnienie w ostatecznej wersji rozporządzenia środków ochrony prawnej dostępnych dla osób fizycznych, na które wpływ wywarły systemy sztucznej inteligencji.
  • EROD i EIOD zwracają także uwagę, że wprowadzenie w projekcie rozporządzenia zamkniętej listy systemów sztucznej inteligencji wysokiego ryzyka w formie załączników może podważyć kluczowe dla tego aktu prawnego podejście oparte na ryzyku. EROD i EIOD podkreślają, że lista systemów wysokiego ryzyka będzie musiała być regularnie aktualizowana, aby jej zakres odpowiadał rzeczywistym uwarunkowaniom społecznym i technologicznym. Ponadto oba organy spostrzegają, że klasyfikowanie systemu sztucznej inteligencji jako systemu wysokiego ryzyka nie zawsze oznacza, że jest on sam w sobie zgodny z prawem i jako taki może być wdrożony przez inny podmiot (użytkownika).
  • W opinii podkreśla się, że dostawcy systemów sztucznej inteligencji nie zawsze będą w stanie przeprowadzić wymaganą ocenę ryzyka dla wszystkich przypadków wykorzystania oferowanego przez nich systemu sztucznej inteligencji. Zdaniem organów przeprowadzenie pełnej oceny ryzyka wymaga również uwzględnienia charakterystyki technicznej danego rozwiązania oraz konkretnych przypadków jego zastosowania.

Zakazane wykorzystanie systemów sztucznej inteligencji

  • EIOD i EROD wzywają unijnego prawodawcę do wprowadzenia ogólnego zakazu wykorzystywania wszelkiego rodzaju systemów sztucznej inteligencji do rozpoznawania cech ludzkich (np. twarz, chód) w publicznie dostępnych przestrzeniach w jakimkolwiek zakresie.
  • Organy uznają wprowadzenie wyjątków od generalnego zakazu używania systemów biometrycznej identyfikacji w miejscach publicznych za wadliwe samo w sobie, ponieważ takie podejście może sprzyjać powstawaniu nadużyć.
  • EIOD i EROD stoją na stanowisku, że wykorzystanie sztucznej inteligencji do wnioskowania o emocjach osoby fizycznej jest wysoce niepożądane i powinno być zabronione, z wyjątkiem pewnych ściśle określonych przypadków użycia, mianowicie do celów zdrowotnych lub badawczych, przy zachowaniu odpowiednich zabezpieczeń i przestrzeganiu wymogów prawnych.

Certyfikacja i kodeksy postępowań

  • W zakresie zaproponowanego mechanizmu certyfikacji systemów sztucznej inteligencji organy zauważają, że w projekcie brakuje wyraźnego odniesienia do prawa ochrony danych oraz innych unijnych i krajowych przepisów mających zastosowanie do każdego obszaru systemów sztucznej inteligencji wysokiego ryzyka, wymienionych w załączniku III do projektu rozporządzenia. Zdaniem EROD i EIOD w szczególności unijny prawodawca powinien uwzględnić zasady minimalizacji danych i ochrony danych jako jeden z aspektów, które należy wziąć pod uwagę przed uzyskaniem certyfikatu przez konkretny system.
  • Odnośnie do przepisów rozporządzenia dotyczących kodeksów postępowania EIOD i EROD wskazują, że należy wzmocnić konstrukcję tych instrumentów poprzez wprowadzenie mechanizmów monitorowania przestrzegania kodeksów postępowania, mających na celu sprawdzenie, czy dostawcy systemów AI niezwiązanych z wysokim ryzykiem przestrzegają ich postanowień. Brak obowiązku uwzględnienia w kodeksie mechanizmu monitorowania jego przestrzegania może bowiem osłabić skuteczność kodeksu jako instrumentu zapewniającego zgodność działania systemu sztucznej inteligencji z unijnymi przepisami.

Komentarz

Jako że sztuczna inteligencja jest nierzadko wykorzystywana jako narzędzie służące do ingerowania w autonomię informacyjną jednostki (np. systemy rozpoznawania twarzy, systemy podejmujące decyzje o jednostce na podstawie profilowania, bez udziału czynnika ludzkiego), a dane osobowe są wykorzystywane jako materiał szkoleniowy dla algorytmów opartych na uczeniu maszynowym, można się spodziewać, że projekt rozporządzenia ws. sztucznej inteligencji będzie jeszcze wielokrotnie analizowany przez unijne i krajowe instytucje zajmujące się ochroną prywatności osób fizycznych. Wspólna opinia EROD i EIOD pokazuje, że najważniejsze unijne organy dążą do jak największej ochrony osób fizycznych, które będą obcować z systemami sztucznej inteligencji.

Ze wspólną opinią EROD i EIOD na temat rozporządzenia ws. sztucznej inteligencji można zapoznać się pod adresem.