Pakiet o sztucznej inteligencji
– Przedstawiona Dyrektywa o Odpowiedzialności za AI stanowi uzupełnienie Rozporządzenia AI. Podstawowym celem projektowanych regulacji jest ochrona konsumentów i przedsiębiorstw oraz dostosowanie przepisów do dynamicznie rozwijającego się rynku innowacji i ery cyfrowej. Dzięki nowym regulacjom powinno być jasne kto, kiedy i na jakich zasadach ponosi odpowiedzialność za produkty wadliwe – od inteligentnych technologii, takich jak IoT, po produkty farmaceutyczne – mówi Zuzanna Nowak-Wróbel, associate w kancelarii Wolf Theiss.
Opublikowany projekt Dyrektywy o Odpowiedzialności za AI z jednej strony zmienia obowiązującą dyrektywę w sprawie odpowiedzialności za produkty, jednocześnie dostosowując ją do transformacji technologicznej, a z drugiej proponuje nowe przepisy dedykowane sztucznej inteligencji. Dyrektywa wskazuje wprost, że nie ma zastosowania do odpowiedzialności karnej – projektowane regulacje dotyczą wyłącznie kwestii odpowiedzialności pozaumownej opartej na zasadzie winy, czyli za szkody wyrządzone umyślnie lub w wyniku niedbałego działania, czy zaniechania. Obejmuje to m.in. naruszenie prywatności czy szkody spowodowane błędami algorytmów AI oraz wadliwymi produktami wykorzystującymi AI. Tak jak w przypadku obowiązujących przepisów dotyczących odpowiedzialności za produkty, produkt AI uznaje się za wadliwy, jeżeli nie zapewnia bezpieczeństwa, jakiego użytkownik ma prawo oczekiwać, biorąc pod uwagę np. wygląd produktu, spodziewany sposób użycia czy też moment wprowadzenia produktu na rynek. Nowe przepisy ułatwią konsumentom m.in. uzyskanie odszkodowania, gdyby produkty takie jak roboty, drony lub systemy inteligentnego domu stały się niebezpieczne z powodu aktualizacji oprogramowania i wyrządziły szkody użytkownikowi.
– Dzięki zmienionym przepisom przedsiębiorstwa zyskają pewność prawa, co pozwoli im inwestować w nowe i innowacyjne produkty, a konsumenci będą mogli uzyskać godziwe odszkodowanie, gdy wadliwe produkty spowodują szkodę. Generalnie, osoby poszkodowane będą mogły korzystać z takich samych standardów ochrony w przypadku szkody spowodowanej przez produkty lub usługi związane ze sztuczną inteligencją, jakie obowiązywałyby w przypadku wystąpienia szkody w jakichkolwiek innych okolicznościach – mówi Jakub Pietrasik, counsel kierujący praktyką IP i TMT w warszawskim biurze kancelarii Wolf Theiss.
Domniemanie związku przyczynowo-skutkowego
Proponowana Dyrektywa o Odpowiedzialności za AI wprowadza tzw. domniemanie istnienia związku przyczynowego – oznacza to, że w okolicznościach, w których stwierdzono zdarzenie wywołujące szkodę, szkodę jako taką i winę, a związek przyczynowy z funkcjonowaniem sztucznej inteligencji wydaje się być prawdopodobny, przyjmuje się istnienie związku przyczynowego wystarczającego do dochodzenia odszkodowania za działania lub braki działania systemu sztucznej inteligencji. Niemniej jednak domniemanie takie należy zastosować tylko wtedy, gdy spełnione są określone warunki.
– Przyjęcie domniemania istnienia związku przyczynowego pozwoli uniknąć konieczności żmudnego udowadniania i wyjaśniania, w jaki sposób szkoda została spowodowana, co niejednokrotnie wymaga znacznej wiedzy technicznej i zrozumienia złożonych systemów sztucznej inteligencji. Eliminujemy w ten sposób tzw. problem czarnej skrzynki (black box effect), czyli kłopot ze zrozumieniem funkcjonowania algorytmów, na których oparte są modele sztucznej inteligencji. Umiemy bowiem ustalić jakie informacje trafiają do systemu i wiemy, co z niego wychodzi. Nie wiemy natomiast, w jaki sposób przebiega sam sposób wnioskowania. Jest to trudne nie tylko dla laików, ale zarówno dla specjalistów, dlatego dobrym krokiem jest wyeliminowanie tego problemu na poziomie sporów jak i dochodzenia odszkodowań za błędy AI – dodaje Zuzanna Nowak-Wróbel.
Ułatwienia dowodowe
Projekt dyrektywy odrębnie traktuje systemy AI wysokiego ryzyka. Zgodnie z aktualną wersją Rozporządzenia AI, systemami AI wysokiego ryzyka są m.in. wszelkie systemy, które wymagają oceny zgodności z udziałem jednostki notyfikowanej, jak również na przykład systemy do identyfikacji i kategoryzacji biometrycznej, pojazdy autonomiczne, systemy scoringowe czy systemy zarządzające infrastrukturą krytyczną (dostawy wody, paliw czy ogrzewania i elektryczności). Dyrektywa wprowadza dodatkowe narzędzie, którym mogą posłużyć się ofiary, dochodząc zadośćuczynienia od dostawców takich systemów – planowane jest wprowadzenie prawa dostępu do dowodów od dostawców systemów AI. Z tego względu dostawca lub użytkownik systemów AI może zostać zobowiązany do ujawnienia dokumentacji technicznej systemu, wyników testów walidacyjnych algorytmów AI czy też dokumentacji systemu zarządzania jakością. Tutaj ustawodawca również wprowadza instytucję domniemania – bowiem w przypadku niezastosowania się do nakazu ujawnienia informacji dostawca ma zostać uznany za winnego niedochowania należytej staranności w związku z działaniem systemu AI.
Co ciekawe, w przypadku systemów AI wysokiego ryzyka domniemanie istnienia związku przyczynowego może zaistnieć wyłącznie, gdy powód udowodni, że dostawca naruszył obowiązki nałożone na niego na podstawie Rozporządzenia AI. Naruszenia takie mogą polegać m.in. na stworzeniu systemu z wykorzystaniem danych treningowych, walidacyjnych i testowych, które nie spełniają kryteriów jakościowych lub na zaprojektowaniu systemu z naruszeniem zasad dotyczących przejrzystości działania i interpretowalności wyników działania, czy zasad dotyczących nadzoru człowieka nad działaniem systemu. Z kolei w przypadku dochodzenia roszczeń przeciwko użytkownikowi systemu AI wysokiego ryzyka konieczne jest wykazanie działania użytkownika niezgodnego z przedstawionymi mu instrukcjami lub narażenie systemu AI na wprowadzenie danych, które nie są istotne z punktu widzenia przeznaczenia tego systemu.
– Strategia zarządzania ryzykiem realizowana w trakcie cyklu życia systemu AI wysokiego ryzyka może być elementem przydatnym do celów oceny zgodności systemu z obowiązkowymi wymogami nakładanymi na dostawców takiego systemu. Stąd też wszelkie kroki podejmowane przez dostawców w ramach systemu zarządzania ryzykiem i same wyniki, tj. decyzje o przyjęciu lub nieprzyjęciu określonych środków, powinny być na bieżąco monitorowane i dokumentowane, gdyż ich prawidłowość i kompletność wpływać będzie nie tylko na ich zgodność z przepisami, ale również wprost na odpowiedzialność odszkodowawczą – mówiJakub Pietrasik.
Ujednolicenie przepisów o sztucznej inteligencji
Wyraźnie widać, że ustawodawca unijny aktywnie pracuje nad regulacjami AI i dąży do możliwego ich ujednolicenia we wszystkich państwach członkowskich. W efekcie powstał pakiet różnego rodzaju regulacji unijnych odnoszący się do systemów AI. Pakiet ten na chwilę obecną obejmuje trzy uzupełniające się obszary:
- podstawowe przepisy horyzontalne dotyczące systemów sztucznej inteligencji (Rozporządzenie AI);
- aktualizacje i dostosowanie sektorowych i horyzontalnych przepisów dotyczących bezpieczeństwa produktów (zmiany przepisów dyrektywy o bezpieczeństwie produktów);
- nowe przepisy dotyczące kwestii odpowiedzialności związanych z systemami AI (projekt dyrektywy odpowiedzialność AI).
– W odróżnieniu od przepisów Rozporządzenia AI, przepisy Dyrektywy o Odpowiedzialności za AI nie będą obowiązywać w państwach unijnych bezpośrednio, dlatego czeka nas konieczność implementacji nowych regulacji i szereg zmian w prawie krajowym. Póki co trzeba uzbroić się w cierpliwość, gdyż jeszcze sporo czasu upłynie, zanim poznamy finalne przepisy, które opracują i przyjmą państwa członkowskie. Niemniej jednak projektowane akty związane z odpowiedzialnością za systemy AI są bardzo dobrym krokiem w stronę zwiększania pewności prawnej regulacji dotyczących nowych technologii. Producenci, ubezpieczyciele oraz użytkownicy powinni zyskać pewność, w jaki sposób będą stosowane przepisy dotyczące odpowiedzialności w odniesieniu do szkód spowodowanych systemami AI, a tym samym w ocenie i ubezpieczeniu swojego ryzyka związanego z działalnością opartą na rozwiązaniach AI – podsumowuje Jakub Pietrasik.