Rozwój sztucznej inteligencji budzi coraz więcej wątpliwości w kwestii prawnego bezpieczeństwa jej wykorzystania. Z jednej strony konsumenci chcą mieć pewność ochrony przed nadużyciami tych zaawansowanych narzędzi, z drugiej – ich producenci poruszają się nieco po omacku bez pewności, czy nowo wytworzony produkt zawierający elementy sztucznej inteligencji nie narusza prawa lub norm etycznych.
Wiele państw pracuje i uchwala nowe regulacje dotyczące AI. Decydenci polityczni po obu stronach Atlantyku przedstawili istotne propozycje regulacyjne w tej dziedzinie. Unia Europejska osiągnęła porozumienie w sprawie warunków AI Act, przełomowego aktu prawnego, uchwalonego w 2024 roku. Jednocześnie prezydent USA, Joe Biden, podpisał rozporządzenie wykonawcze, które stanowi kluczową inicjatywę polityczną w dziedzinie AI w Stanach Zjednoczonych w bieżącym roku. Zgodnie z raportem Artificial Intelligence Index Report 2024[1], „, liczba przepisów regulujących AI w USA wzrosła znacząco, z jednego w 2016 roku do 25 w 2023 roku. Liczba postępowań regulacyjnych dotyczących AI na świecie niemal podwoiła się w ciągu roku – z 1247 w 2022 r. do 2175 w 2023 r. Sztuczna inteligencja jest obecnie tematem dyskusji regulacyjnych w 49 krajach na wszystkich kontynentach, co podkreśla globalny charakter dyskursu legislacyjnego.
Dla Polski kluczowy jest AI Act, uchwalony przez Unię Europejską 13 marca 2024 roku. W swojej wymowie regulacja porównywana jest do GDPR (RODO) i przewiduje się, że może mieć ogromny wpływ na rozwój ekonomiczny i sposób, w jaki podchodzi się do technologii sztucznej inteligencji w Europie. Kategoryzuje on aplikacje AI na podstawie poziomu ryzyka, które wprowadzają:
- Niedopuszczalne ryzyko: Zakazane są aplikacje AI, które manipulują ludzkim zachowaniem, używają biometrycznej identyfikacji w czasie rzeczywistym (w tym rozpoznawanie twarzy) w miejscach publicznych, lub służą do oceny społecznej (np. ranking osób).
- Wysokie ryzyko: Aplikacje stanowiące znaczne zagrożenie dla zdrowia, bezpieczeństwa lub podstawowych praw człowieka, jak te używane w ochronie zdrowia, edukacji, rekrutacji, zarządzaniu infrastrukturą krytyczną, egzekwowaniu prawa i sądownictwie. Muszą one spełniać wysokie standardy jakości, przejrzystości, nadzoru ludzkiego i bezpieczeństwa.
- AI o ogólnym przeznaczeniu (GPAI): Obejmuje modele podstawowe, takie jak ChatGPT, które są zobowiązane do przestrzegania wymogów przejrzystości. Systemy o dużym wpływie podlegają dogłębnej ocenie ryzyka.
- Ograniczone ryzyko: Systemy, które muszą informować użytkowników o interakcji z AI. Do tej kategorii należą np. aplikacje do generowania lub manipulowania obrazami, dźwiękiem lub filmami (jak deepfakes).
- Minimalne ryzyko: W tej kategorii znajdują się aplikacje AI stosowane w grach wideo lub filtrach antyspamowych, które w większości przypadków nie podlegają dodatkowej regulacji. Przepisy krajowe dotyczące projektowania lub użytkowania takich systemów są nieaktywne.
Na mocy AI Act, państwa członkowskie są zobowiązane do utworzenia własnych organów kontrolnych. Ocena, czy systemy AI spełniają standardy określone w akcie, może być przeprowadzana na dwa sposoby: przez samoocenę, gdzie dostawca systemu AI samodzielnie weryfikuje zgodność, lub przez ocenę zewnętrzną, realizowaną przez niezależny organ kontrolny.
Obecna forma AI Act sugeruje, że nie wszystkie systemy AI o wysokim ryzyku wymagają oceny zgodności przez niezależną stronę trzecią, co spotyka się z dezaprobatą części ekspertów ds. cyber-bezpieczeństwa. Podkreślają, że niezależna ocena jest niezbędna dla zapewnienia pełnego bezpieczeństwa systemów AI o wysokim ryzyku. Prawnicy podnoszą również kwestię deepfakes, używanych do rozpowszechniania dezinformacji politycznej lub tworzenia obrazów intymnych bez zgody, które według nich powinny być klasyfikowane jako systemy o wysokim ryzyku i podlegać surowszym regulacjom. Podobnie jak w przypadku RODO, wydaje się, że pełne wdrożenie AI Act zajmie jeszcze kilka lat i jego ostateczna forma będzie zależeć od dalszych rozporządzeń wykonawczych w poszczególnych krajach.
Kto jest prawdziwym twórcą?
Kontrowersje budzi także wykorzystanie wielkich modeli językowych, takich jak ChatGPT czy copilot, do tworzenia kreatywnych tekstów, obrazów, kodu źródłowego, a nawet krótkich filmów. Choć narzędzia umożliwiają szybkie generowanie treści, wciąż nie jest jednak do końca jasne, czy nie są one obarczone wadami prawnymi. Modele te są trenowane na ogromnych zbiorach danych, a ich twórcy nie zawsze mogą zagwarantować, że wszystkie wykorzystane treści są wolne od praw autorskich osób trzecich. W rezultacie może powstać materiał niezamierzenie naruszający prawa autorskie, co nosi znamiona plagiatu. Ten obszar wydaje się być jednym z największych wyzwań, wymagającym pilnej regulacji.
W tym kontekście, wiele firm informatycznych stoi przed dylematem, czy zezwolić programistom na swobodne wykorzystanie narzędzi typu Copilot. Z jednej strony, oferują one znaczne przyspieszenie pracy i mogą poprawić jakość kodu, co jest kuszącą perspektywą. Jednak z drugiej strony istnieje ryzyko, że kod wygenerowany przez te modele może nie być całkowicie wolny od wad prawnych. To stwarza znaczące ryzyko biznesowe, gdyż potencjalne naruszenia praw autorskich mogą prowadzić do poważnych konsekwencji prawnych i finansowych.
Pytanie o znaczenie analizy ryzyka prawego przy korzystaniu z narzędzi AI staje się coraz istotniejsze. Dokładna ocena wymagań regulacyjnych odgrywa kluczową rolę w identyfikacji potencjalnych zagrożeń związanych z implementacją technologii AI. Instytucje nadzorcze Unii Europejskiej coraz częściej zwracają uwagę na przypadki wykorzystania sztucznej inteligencji w sposób niezgodny z aktualnymi normami prawnymi. W rezultacie nakładane są pierwsze kary finansowe, jak w przypadku francuskiego organu ochrony danych CNIL, który nałożył karę w wysokości 20 milionów euro na jedną z amerykańskich firm za naruszenie przepisów RODO. Zatem niezwykle istotna jest dogłębna analiza aspektów prawnych oraz kompleksowe uwzględnienie kontekstu legislacyjnego. Dotyczy to zarówno obecnych, jak i przyszłych regulacji dotyczących sztucznej inteligencji. W tym kontekście, rozwój AI nie tylko nie zabiera miejsc pracy, ale wręcz otwiera nowe wyspecjalizowane ścieżki kariery dla specjalistów z zakresu nauk prawniczych, compliance czy bezpieczeństwa.
Nie ulega wątpliwości, że rozwój sztucznej inteligencji postępuje w szybkim tempie i nic nie wskazuje na jego spowolnienie. Z jednej strony, otwiera to drzwi do rozwoju nowych innowacji i technologii, z drugiej strony rodzi nowe wyzwania i dylematy. Zdecydowanie kluczowe jest odważne eksplorowanie świata aplikacji AI, jednak każde takie działanie musi być przeprowadzane z rozwagą, z uwzględnieniem potencjalnych ryzyk, w tym tych prawnych. Stosownie przytoczyć można tutaj łacińską paremię: *ignorantia iuris nocet* (nieznajomość prawa szkodzi), która znajduje zastosowanie także w kontekście korzystania i implementacji technologii AI.
Autorzy: Paweł Wróblewski, Head of Data Practice, oraz Tomasz Szczęsny, Line Manager w Tietoevry
[1] “The AI Index 2024 Annual Report,” AI Index Steering Committee, Institute for Human-Centered AI, Stanford University, Stanford, CA, April 2024.