AI i nie tylko

W 2022 roku postanowiłem co 2 tygodnie publikować artykuł, w którym będę zbierać wątki, o których zwykle piszę w ramach krótkich postów na LinkedIn lub Twitterze. Artykuły te będa publikowane tutaj oraz w formie newslettera.

Newsletter można zasubskrybować poprzez mój profil na Twitterze, na Revue lub poprzez LinkedIn.

Zachęcam do lektury (i subskrypcji newslettera) wszystkich, którzy interesują się:

• stykiem prawa i technologii (projektami IT, cyfryzacją, podpisem elektronicznym, sztuczną inteligencją, blockchainem, NFT itd.);
• zamówieniami publicznymi (zwłaszcza takimi, które dotyczą projektów technologicznych);
• LegalTech – technologiami, które zmieniają usługi prawne i ułatwiają życie prawnikom oraz klientom.

Dziś parę słów o jednej z najważniejszych regulacji prawnych dla technologii w najbliższych latach czyli o przepisach regulujących wytwarzanie i korzystanie ze sztucznej inteligencji oraz o tzw. etyce AI.

Nie tylko AI. Jedenaście nowych regulacji prawnych dla technologii

Najbliższe lata to prawdziwe wyzwanie dla przedsiębiorców korzystających w swej działalności z technologii informatycznych (czyli w praktyce – wszystkich przedsiębiorców) oraz prawników.

W perspektywie 2-3 lat wejdzie w życie szereg nowych przepisów prawa unijnego, które w zasadniczy sposób wpłyną na to, jak korzystamy z technologii w biznesie i w życiu codziennym. Część z nich będzie miała formę dyrektywy (które wymagają implementacji poprzez przepisy prawa krajowego), a część rozporządzenia (stosowanego bezpośrednio w każdym kraju unijnym).

Będą to (wymieniam najważniejsze):

1. Akt o usługach cyfrowych (Digital Services Act)
2. Akt o rynkach cyfrowych (Digital Markets Act)
3. Data Governance Act)
4. Rozporządzenie w sprawie kryptoaktywów (Regulation for Markets in Crypto-Assets)
5. Civil Liability Regime for AI
6. Regulation on a European approach for Artificial Intelligence
7. Rozporządzenie  w sprawie produktów maszynowych (Regulation on machinery products)
8. ePrivacy – Regulation on Privacy and Electronic Communications
9. NIS 2 (Directive on measures for a high common level of cybersecurity across the Union)
10. Digital Operational Resilience Act for the Financial Sector (DORA)
11. Rozporządzenie eIDAS (eIDAS Regulation) (nowelizacja rozporządzenia z 2014 r. – wprowadzenie EUid – europejskich ram tożsamości cyfrowej).

Jeśli ktoś chciałby zorientować się „z lotu ptaka” w aktualnym stanie prac nad tymi regulacjami oraz spróbować zrozumieć, w jaki sposób te regulacje wzajemnie na siebie oddziaływują i jaki mogą mieć wpływ na biznes i nasze życie, zachęcam do zapoznania się z przewodnikiem Digital Rights & Assets – European Digital Strategy Developments przygotowanym przez Bird & Bird.

Prawo sztucznej inteligencji

Jedną z najważniejszych nowych regulacji prawnych może być rozporządzenie dotyczące sztucznej inteligencji.

Po pierwsze – będzie ono stosowane bezpośrednio we wszystkich krajach członkowskich.

Po drugie – będzie miało ono miało charakter regulacji horyzontalnej, co oznacza m.in., że kraje członkowskie nie będą mogły wprowadzać swoich własnych przepisów regulujących systemy sztucznej inteligencji.

Po trzecie – ponieważ zakres stosowania planowanych przepisów jest niezwykle szeroki.

Pierwotny projekt rozporządzenia opublikowany w maju 2021 r. można było śmiało nazwać nie tyle „AI Act” (prawo AI) co All Computer Technology Act (prawo wszystkich technologii komputerowych).

Zawarta w proponowanym projekcie definicja prawna “systemów AI” była bowiem tak szeroka, że obejmowała systemy, które zazwyczaj nie są definiowane jako AI, np. algorytmy wyszukujące lub sortujące. Stało się to za sprawą połączenia w tej definicji trzech elementów. Wg niej systemem AI jest:

• program komputerowy,
• opracowany przy użyciu co najmniej jednej z technik wymienionych w załączniku I (wymienia on zarówno uczenie maszynowe jak i takie techniki jak „metody oparte na logice i wiedzy”, „systemy ekspertowe”, „podejścia statystyczne”, „metody wyszukiwania i optymalizacji”,
• który może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję.

W rezultacie tak szerokiego ujęcia definicji AI planowana regulacja mogła być nie tyle regulacją sztucznej inteligencji, co prawie wszystkich programów komputerowych.

Co ciekawe, wśród zgłoszonych propozycji zmian tej definicji pojawiły się zarówno propozycje rozszerzenia zakresu regulacji, tak aby jednoznacznie objąć nią wszystkie systemy obliczeniowe wykorzystywane w zidentyfikowanych zastosowaniach wysokiego ryzyka, niezależnie od tego, czy zostaną one uznane za AI, jak i propozycje ograniczenia tego zakresu poprzez np. wyłączenie systemów AI tworzonych i wykorzystywanych w celach badawczych oraz oprogramowania typu open source.

Nowa definicja AI

Jedną z konsekwencji takiego podejścia do definicji AI jest to, że planowana regulacja może dotknąć praktycznie wszystkich producentów i użytkowników wszystkich programów komputerowych, gdyż i tak będą oni musieli przynajmniej sprawdzić, czy ich programy nie mieszczą się w tak szerokiej definicji systemu AI.

Mamy jednak już nową propozycję. Pod koniec listopada został opublikowany zmodyfikowany projekt rozporządzenia w sprawie sztucznej inteligencji.

Zgodnie z nową wersją projektu, systemem AI jest system, który:

1. otrzymuje dane wejściowe od człowieka lub maszyny;

• wnioskuje, w jaki sposób osiągnąć zestaw celów określonych przez człowieka, używając uczenia się, rozumowania lub modelowania z wykorzystaniem technik i metod wymienionymi w załączniku 1, oraz,

• generuje dane wyjściowe w postaci treści, przewidywań, zaleceń lub decyzji, które wpływają na otoczenie, z którym wchodzi w interakcje (generatywne systemy AI).

Definicja ta została doprecyzowana w motywie 6 projektu, w którym wskazano, że definicja powinna opierać się na kluczowych cechach charakterystycznych sztucznej inteligencji, które odróżniają ją od klasycznych systemów oprogramowania i programowania.

Tym, co odróżniać ma systemy AI od „zwykłego” oprogramowania, ma być przede wszystkim zdolność uczenia się, rozumowania lub modelowania.

To bardzo dobra zmiana. Nawiasem mówiąc, gdy w 2019 roku zastanawiałem się nad tym, jakie cechy powinna obejmować legalna definicja sztucznej inteligencji, doszedłem do wniosku, że podstawowym wyróżnikiem powinna być zdolność uczenia się. Moja propozycja takiej definicji (zawarta w ramach publikacji “Prawo sztucznej inteligencji” C.H. Beck 2020) brzmiała tak

„sztuczna inteligencja to system, który pozwala na wykonywanie zadań wymagających procesu uczenia się i uwzględniania nowych okoliczności w toku rozwiązywania danego problemu i który może w różnym stopniu – w zależności od konfiguracji – działać autonomicznie oraz wchodzić w interakcję z otoczeniem”.

Więcej na temat tej definicji AI możecie znaleźć w artykule: „Sztuczna inteligencja – definicja”.

Zawężenie definicji systemów sztucznej inteligencji powinni z ulgą powitać producenci wielu programów komputerowych.

Nowy projekt rozporządzenia powinien także spodobać się producentom tzw. systemów sztucznej inteligencji ogólnego zastosowania, czyli producentom oprogramowania narzędziowego lub platform służących do wytwarzania własnych systemów AI przez użytkowników. Rozporządzenie nie będzie stosowane do takich systemów.

Nowy projekt rozporządzenia w sprawie AI zawiera więcej zmian – po ich opis odsyłam tutaj. Są one istotne zwłaszcza dla branży finansowej i ubezpieczeniowej, gdyż projekt uznaje teraz wprost za systemy AI wysokiego ryzyka (objęte szczególnym, dość uciążliwym reżimem prawnym) systemy wykorzystywane przy ustalaniu składek ubezpieczeniowych, ubezpieczeń i oceny roszczeń.

O co chodzi w etyce AI?

Równolegle do prac nad prawnymi regulacjami sztucznej inteligencji trwają intensywne dyskusje dotyczące tzw. etyki AI lub AI godnej zaufania. Najlepszym przykładem może być np. przygotowany przez Komisję Europejską dokument Ethics Guidelines for Trustworthy AI lub rekomendacje stworzone niedawno pod auspicjami UNESCO Recommendation on the ethics of artificial intelligence (unesco.org). O skali zainteresowania świadczy choćby liczba opublikowanych takich etycznych wytycznych dla AI (już w 2019 roku zidentyfikowano ich aż 84).

Ale czym jest taka etyka i czemu służą analizy tego zagadnienia?

Niektórzy podnoszą, że prowadzenie prac nad etyką AI jest sprytnym sposobem producentów systemów AI na przekonanie regulatorów, że nie jest konieczne wprowadzanie przepisów prawa regulujących AI, gdyż wystarczą samoregulacje oparte o wypracowane wytyczne etyczne. Zjawisko to określa się czasami mianem ethic washing. Na pewno nie jest to jednak główny nurt analiz dotyczących etyki AI.

Niezależnie od tego, przyznam, że czytając kolejne publikacje na ten temat miałem problem ze zrozumieniem tego fenomenu.

Etyka AI nie jest bowiem etyką do stosowania przez systemy AI. Określenie „etyka AI” to pewien skrót myślowy dla wskazania na problem odpowiedzialnego projektowania i używania technologii wykorzystujących AI przez ludzi.

Niewątpliwe analizy tego, w jaki sposób technologie, których skutków zastosowania jeszcze nie do końca znamy, wpływają na życie ludzi, są potrzebne. Takie analizy i ich wyniki oddziaływują na regulatorów, na odbiór technologii przez społeczeństwo i być może na ludzi, którzy decydują o korzystaniu z nich. Na pewno potrzeba zatem dobrych praktyk w stosowaniu systemów AI – z uwzględnieniem aspektów etycznych – i tu rzeczywiście trzeba łączyć dyskurs etyczny z konkretnymi technicznymi uwarunkowaniami.

Nie ulega bowiem wątpliwości, że jest wiele potencjalnych – zamierzonych i niezamierzonych – niewłaściwych zastosowań badań i technologii sztucznej inteligencji. Typowe przykłady to broń, systemy identyfikacji biometrycznej w przestrzeni publicznej, dyskryminacja w odniesieniu do rasy lub płci w systemach scoringowych i rekomendacyjnych.

Poza tworzeniem takich dobrych praktyk, rozmowa o etyce AI koncentrować się będzie de facto na człowieku i jego ograniczeniach czy uwarunkowaniach, które sprawiają, że wpływ AI na nasze życie może być większy niż by to wynikało z suchych liczb.

Zatem etyka AI to tak naprawdę etyka ludzi tworzących lub używających technologie wykorzystujące AI, a jeszcze konkretniej to po prostu odpowiedzialne projektowanie i używanie takich technologii przez ludzi. To złożony problem, ale dla większości użytkowników technologii (którzy czasami są także jej nabywcami) etyczne aspekty AI sprowadzają się do tzw. dobrych praktyk w zakresie korzystania z takich systemów (o resztę bowiem zatroszczy się ustawodawca – patrz rozporządzenie o AI).

Etyka technologii

Jeśli tak będziemy rozumieć etykę AI – jako etykę projektowania i stosowania technologii – to polecam wszystkim zainteresowanym tą tematyką lekturę bardzo zwięzłego (6 stron) artykułu Harry Surden pt Values Embedded in Legal Artificial Intelligence, który doskonale wprowadza w tę problematykę i pokazuje, że etyka AI to tylko czubek góry lodowej oraz, że każde (nie tylko te oparte na AI) rozwiązanie technologiczne jest związane z wyborami etycznymi dotyczącymi wartości, tyle, że najczęściej sobie tego nie uświadamiamy.

Polecam także lekturę mojego artykułu na podobny temat Cyfrowa transformacja a wartości.

Brittle AI – krucha AI

Na koniec odrobina dziegciu. Sztuczna inteligencja jest terminem nadużywanym, często jest on błędnie używany jako wręcz synonim programu komputerowego lub dowolnej metody automatyzacji. W efekcie wydaje nam się, że systemy AI są niemal wszechobecne i wszechmocne. Rzeczywistość jest zupełnie inna. Są dziedziny, w których faktycznie systemy AI radzą sobie znakomicie (a przynajmniej lepiej od ludzi) jak np. rozpoznawanie obrazów. Są jednak także takie, w których radzą sobie tak sobie lub wręcz gorzej od prostych algorytmów (np. systemy rekomendacyjne). Dobre omówienie tego tematu znajdziemy tutaj: How to Recognize AI Snake Oil

Warto także zapamiętać termin “Brittle AI” czyli “krucha SI”. A co on oznacza? Okazuje się, że systemy AI działają tak dobrze, jak dobre są bazy danych, które zostały wykorzystane do ich treningu i jak dobry był trening (lub trener). Zaś takie bazy danych raczej nigdy nie będą kompletne. I jak na razie często nie potrafią sobie radzić w sytuacjach, w których człowiek nawet nie zauważy jakiejkolwiek trudności. 

System nawigacji samochodu autonomicznego potrafi oszukać niewinna naklejka na znaku drogowym, a nawet może on pomylić strony jezdni, zaś system naprowadzania pocisków oparty na AI potrafi się mylić w 75% przypadków. Oczywiście systemy te są ciągle udoskonalane, jednak problem wrażliwości systemów AI na drobne zakłócenia pozostaje. Ponadto udoskonalane są konkretne systemy, najczęściej te, z których potencjalnie może korzystać najwięcej ludzi. Im bardziej specjalistyczny system, im bardziej niszowy – tym mniejsza szansa na jego szybki rozwój i eliminację opisywanych podatności.

Już teraz wiemy, że ludzie korzystający z systemów AI bardzo szybko przyzwyczajają się do nich i nawet wówczas, gdy mają prawny obowiązek nadzoru na ich działaniem (np. w samochodzie), ulegają fałszywemu poczuciu bezpieczeństwa i przestają je kontrolować. Wyobraźmy sobie, że w taki sam sposób systemy AI używane w rekrutacji mogą przestać podlegać jakiejkolwiek faktycznej kontroli człowieka. Albo, że prawnik przestanie weryfikować wyniki rekomendacji co do wykładni przepisów wygenerowanej przez system informacji prawnej oparty o AI, mimo, że klientowi przedstawia te wnioski jako swoje własne.

Rozwój technologii musi następować razem z rozwojem odpowiedzialności za nią. Cdn.