Systemy oparte na sztucznej inteligencji już dziś podejmują decyzje, które wywierają bezpośredni wpływ na zdrowie, bezpieczeństwo, a choćby życie ludzi. A co, jeżeli taka decyzja okaże się błędna? Kto odpowiada: programista, użytkownik, producent, a może… nikt? Wprowadzenie unijnego AI Act (Rozporządzenia Parlamentu Europejskiego i Rady w sprawie zharmonizowanych przepisów dotyczących sztucznej inteligencji) ma uregulować te kwestie, ale nie rozwiązuje wszystkich problemów – szczególnie w zakresie odpowiedzialności cywilnej i karnej.
Przełomowe regulacje, które wciąż zostawiają znaki zapytania
13 marca 2024 r. Parlament Europejski przyjął finalną wersję AI Act – pierwszego kompleksowego aktu prawnego na świecie, który klasyfikuje systemy AI według poziomu ryzyka i nakłada na ich dostawców oraz użytkowników określone obowiązki. Choć regulacja wprowadza pojęcie „dostawcy AI”, „użytkownika” czy „importera”, przez cały czas pozostawia wiele luk interpretacyjnych w zakresie odpowiedzialności za szkody spowodowane przez działanie (lub zaniechanie) systemu AI.
– AI Act skupia się głównie na ex ante – czyli zapewnieniu zgodności systemu AI z wymaganiami jeszcze przed jego wdrożeniem. Tymczasem praktyka przyniesie sytuacje, w których pojawią się szkody już po rozpoczęciu użytkowania. Pytanie o to, kto wtedy odpowiada, pozostaje otwarte – komentuje adwokat Anna Kobylińska, właścicielka Kancelarii Adwokackiej Legal Eagles, specjalizująca się w prawie nowych technologii i ochronie danych osobowych.
Odpowiedzialność? Rozmyta
W przypadku szkody wyrządzonej przez system AI, linia orzecznicza oraz przepisy dotąd nie nadążają za rzeczywistością. Problemem jest chociażby to, iż sztuczna inteligencja – przynajmniej w tej chwili – nie posiada osobowości prawnej. Nie może więc ponosić odpowiedzialności, jak człowiek czy spółka. Odpowiedzialność może zatem ciążyć na twórcy systemu (programiście), producencie sprzętu, użytkowniku końcowym lub podmiocie, który dokonał wdrożenia.
Równolegle z AI Act, realizowane są też prace nad Dyrektywą w sprawie odpowiedzialności za sztuczną inteligencję (AI Liability Directive), która ma wzmocnić ochronę poszkodowanych. Projekt zakłada m.in. domniemanie związku przyczynowego między działaniem systemu AI a szkodą, co ma ułatwić dochodzenie roszczeń. Jednak do wejścia w życie tych przepisów minie jeszcze co najmniej kilkanaście miesięcy, a krajowe regulacje przez cały czas będą odgrywać zasadniczą rolę.
Biznesie – przygotuj się teraz
Wbrew pozorom, temat ten dotyczy nie tylko firm IT. Sektor bankowy, ubezpieczeniowy, medyczny, HR, e-commerce – wszędzie tam, gdzie podejmowanie decyzji częściowo lub w całości przekazywane jest algorytmom, powstaje ryzyko prawne.
– Przedsiębiorcy już teraz powinni analizować swoje procesy z użyciem AI pod kątem zgodności z przyszłymi regulacjami i wdrażać zasady odpowiedzialnego rozwoju AI (ang. responsible AI). Warto nie tylko ocenić ryzyka, ale też przygotować dokumentację, polityki wewnętrzne oraz procedury reagowania na incydenty – zaznacza adwokat Anna Kobylińska. – Kancelarie wyspecjalizowane w prawie nowych technologii mogą odegrać kluczową rolę jako partnerzy prawni w tym procesie – dodaje.
Ekspercka luka, którą warto wypełnić
AI Act wprowadza m.in. obowiązek przeprowadzania oceny zgodności i audytów dla systemów wysokiego ryzyka. Jednak brakuje wytycznych, jak dokładnie dokumentować działania, jak interpretować „przejrzystość algorytmu”, czy na czym dokładnie polega „odpowiedzialne zarządzanie ryzykiem”. Tutaj pole do interpretacji mają właśnie prawnicy – specjaliści, którzy mogą pomóc w budowaniu standardów compliance w świecie, w którym prawo dopiero dogania technologię.
Czy polskie firmy są gotowe na AI Act?
Wdrożenie regulacji unijnych to nie tylko obowiązek, ale też szansa na uwiarygodnienie swojego podejścia do innowacji i budowanie zaufania klientów. Nadchodzące miesiące to czas intensywnych zmian regulacyjnych – warto je wykorzystać, zanim stanie się to obowiązkiem.
Julia Knychała
