U okviru svoje digitalne strategije EU želi regulirati i umjetnu inteligenciju kako bi osigurala bolje uvjete za razvoj i upotrebu te inovativne tehnologije. Umjetna inteligencija može stvoriti brojne koristi, kao što su bolja zdravstvena skrb, sigurniji i čišći prijevoz, učinkovitija proizvodnja te jeftinija i održivija energija.
Iako je umjetna inteligencija strateška tehnologija s ogromnim mogućnostima, ona donosi (?) znatne rizike povezane s primjenom različitih pravila EU-a namijenjenih zaštiti temeljnih prava.
Europska komisija podnijela je u travnju 2021. prijedlog regulatornog okvira EU-a za umjetnu inteligenciju. Nacrt tzv. Zakona o umjetnoj inteligenciji (u nastavku: Zakon o UI) prvi je pokušaj donošenja horizontalne uredbe za umjetnu inteligenciju.
Komisija predlaže da se u pravu EU-a uspostavi tehnološki neutralna definicija sustava umjetne inteligencije i da se utvrdi klasifikacija za sustave umjetne inteligencije (u nastavku: sustav UI) s različitim zahtjevima i obvezama prilagođenima pristupu koji se temelji na riziku.
Neki sustavi UI koji predstavljaju neprihvatljiv rizik bili bi zabranjeni. Predlaže se odobravanje širokog raspona visokorizičnih sustava UI koji moraju zadovoljiti niz zahtjeva i obveza za pristup tržištu EU-a. Sustavi UI koji predstavljaju samo ograničeni rizik podlijegali bi vrlo blagim obvezama transparentnosti.
U prosincu 2021. Vijeće EU-a postiglo je dogovor o općem stajalištu država članica EU-a. Parlament je o svojem stajalištu glasao u lipnju 2023. Zakonodavci EU-a sada započinju pregovore o finalizaciji novog zakonodavstva, uz znatne izmjene prijedloga Komisije, uključujući reviziju definicije sustava UI, proširenje popisa zabranjenih sustava UI i nametanje obveza umjetnoj inteligenciji opće namjene i generativnim modelima umjetne inteligencije kao što je ChatGPT.
Što je umjetna inteligencija?
Umjetna inteligencija je ˝ sposobnost nekog uređaja da oponaša ljudske aktivnosti poput zaključivanja, učenja, planiranja i kreativnosti˝.
Umjetna inteligencija omogućuje tehničkim sustavima da percipiraju svoje okruženje, nose se s onim što percipiraju, rješavaju probleme i djeluju kako bi postigli određeni cilj. Računalo prima podatke već pripremljene ili prikupljene putem vlastitih senzora kao što je kamera, obrađuje ih i reagira. Sustavi UI mogu u određenoj mjeri prilagoditi svoje ponašanje analizom učinaka prethodnih djelovanja i autonomnim radom.
Prijedlog Zakona o UI osmišljen je kao horizontalni zakonodavni instrument EU-a koji se primjenjuje na sve sustave UI koji se stavljaju na tržište ili upotrebljavaju u EU. Komisija stoga predlaže da se u pravu EU-a uspostavi pravna definicija sustava umjetne inteligencije, koja se u velikoj mjeri temelji na definiciji koju OECD već koristi.
U članku 3. stavku 1. nacrta Zakona o UI navodi se da sustav UI znači:
…softver koji je razvijen pomoću barem jedne tehnike ili pristupa iz Priloga 1. i koji može, za zadani skup ciljeva koje odredi čovjek, generirati izlazne rezultate, kao što su sadržaj, predviđanja, preporuke ili odluke, koji utječu na okruženja s kojima su u interakciji.
Pristup temeljen na riziku - različita pravila za različite razine rizika
Nacrt Zakona o UI kombinira pristup temeljen na riziku, odnosno piramidi kritičnosti sa slojevitim mehanizmom provedbe. To znači da se s povećanjem rizika primjenjuju stroža pravila. Ulazak na tržite EU-a za UI sustave s neprihvatljivim rizikom prema sadašnjem prijedlogu je zabranjen, a kazne za kršenje pravila mogu biti do 6% globalnog prometa kompanija.
Zakon o UI nameće zahtjeve za ulazak na tržište i certifikaciju visokorizičnih UI sustava kroz obvezni postupak označavanja CE oznakom. Ovaj režim usklađenosti prije stavljanja na tržište također se primjenjuje na skupove podataka za obuku, testiranje i evaluaciju strojnog učenja.
Neprihvatljiv rizik
Predloženi Zakon o umjetnoj inteligenciji izričito zabranjuje štetne prakse umjetne inteligencije koje se smatraju jasnom prijetnjom sigurnosti, egzistenciji i pravima ljudi zbog neprihvatljivog rizika koji stvaraju.
U skladu s navedenim, bilo bi zabranjeno stavljati na tržište, stavljati u usluge ili upotrebljavati u EU-u:
- sustave UI kojima se primjenjuju štetne manipulativne "subliminalne tehnike"
- sustavi UI koji iskorištavaju određene ranjive skupine (tjelesni ili mentalni invaliditet)
- sustave UI koje javna tijela ili u njihovo ime upotrebljavaju u svrhu društvenog bodovanja
- sustavi daljinske biometrijske identifikacije u stvarnom vremenu u javno dostupnim prostorima za potrebe kaznenog progona, osim u ograničenom broju slučajeva
Visoki rizik - regulirani visokorizični sustavi umjetne inteligencije
Sustavi UI koji negativno utječu na sigurnost ljudi ili njihova temeljna prava smatrat će se visokorizičnima i podijelit će se u dvije kategorije:
- Sustavi koji se upotrebljavaju kao sigurnosna komponenta proizvoda ili su obuhvaćeni zakonodavstvom EU-a o usklađivanju zdravlja i sigurnosti (npr. igračke, zrakoplovstvo, automobili, medicinski proizvodi, dizala).
- Sustavi raspoređeni u osam posebnih područja koji će se morati registrirati u bazi podataka EU-a:
- biometrijska identifikacija i kategorizacija fizičkih osoba
- upravljanje i rad kritične infrastrukture
- obrazovanje i strukovno osposobljavanje
- zapošljavanje, upravljanje radnicima i pristup samozapošljavanju
- pristup osnovnim privatnim uslugama i javnim uslugama i pogodnostima te njihovo uživanje
- provedba zakona
- upravljanje migracijama, azilom i graničnim kontrolama
- upravljanje pravosuđem i demokratskim procesima
Ograničeni rizik - obveze transparentnosti
Sustavi UI koji predstavljaju ograničeni rizik, kao što su sustavi koji su u interakciji s ljudima („chatbotovi“), sustavi za prepoznavanje emocija, sustavi biometrijske kategorizacije i sustavi umjetne inteligencije koji generiraju ili manipuliraju slikovnim, audio ili video sadržajem („deepfakeovima“), podlijegali bi ograničenom skupu obveza transparentnosti.
Nizak ili minimalan rizik - nema obveza
Svi ostali sustavi UI koji predstavljaju samo nizak ili minimalan rizik mogli bi se razviti i upotrebljavati bez ispunjavanja dodatnih pravnih obveza. Međutim, predloženim Zakonom o UI predviđa se stvaranje kodeksa ponašanja kako bi se pružatelje nerizičnih sustava UI potaknulo da dobrovoljno primijene obvezne zahtjeve za visokorizične sustave UI.
Jedan od nedostataka provedbenih instrumenata predviđenih prijedlogom Zakona o UI je da se za takozvane visokorizične sustave UI nacrt Zakona o UI uglavnom oslanja na ex ante ocjenjivanje sukladnosti koje bi pružatelj u pravilu trebao provoditi na vlastitu odgovornost. Za većinu takozvanih samostalnih sustava UI, odnosno onih uređenih u Prilogu 3. predviđa se ex ante ocjenjivanje sukladnosti od strane vanjskih trećih strana. Ovaj pristup može biti neprikladan jer potencijalno dovesti do sukoba interesa.
Pružatelji bi morali donijeti tešku odluku o tome hoće li provesti ocjenjivanje sukladnosti s resursima i vremenom koja može zahtijevati skupi redizajn sustava ili pokušati što prije staviti sustav UI na tržište EU-a uz niže troškove.
Umjetna inteligencija i zaštita osobnih podataka
Umjetna inteligencija nije izričito spomenuta u GDPR-u, ali mnoge odredbe GDPR-a relevantne su i za umjetnu inteligenciju, a neke su doista dovedene u pitanje novim načinima obrade osobnih podataka koje omogućuje umjetna inteligencija.
Suštinski gledano između tradicionalnih načela zaštite podataka kao što su ograničenja svrhe, smanjenja količine podataka, posebnog postupanja s osjetljivim podacima, ograničenja automatiziranih odluka i pune implementacije mogućnosti umjetne inteligencije i obrade velike količine podataka (Big Data Processing), postoje naizgled nepomirljive razlike.
Hoće li se GDPR i AI pomiriti…
Pojedini sustavi UI podrazumijevaju prikupljanje golemih količina podataka koji se odnose na pojedince i njihove društvene odnose te obradu takvih podataka u svrhe koje nisu bile u potpunosti utvrđene u trenutku prikupljanja. Međutim, postoje načini za tumačenje, primjenu i razvoj načela zaštite podataka koja su u skladu s korisnom uporabom umjetne inteligencije i velikih količina podataka.
Iz perspektive GDPR-a, svi sustavi UI koji obrađuju osobne podatke trenutačno su klasificirani kao sustavi koji mogu predstavljati visok rizik za prava i slobode tih pojedinaca jer mnoga nacionalna nadzorna tijela preporučuju (minimalno, ali ne i jedino) provođenje procjene učinka na zaštitu podataka (DPIA) kada sustavi UI namjeravaju obrađivati osobne podatke.
U skladu sa Zakonom o UI, kojim se predviđa drugačija klasifikacija visokorizičnih sustava UI, mnogi sustavi UI koji se trenutačno upotrebljavaju ne bi se klasificirali kao visokorizični. Posljedično neki pružatelji umjetne inteligencije u budućnosti bi mogli tvrditi da njihovi sustavi ne predstavljaju visok rizik za prava i slobode osobnih podataka, a samim time bi izbjegavali procjenu učinka na zaštitu podataka. U ovom dijelu sigurno neće izostati reakcije nadzornih tijela, a samim time i izricanje novčanih kazni.
Takav pristup predstavljao bi ozbiljnu povredu iz perspektive zaštite podataka, što bi moglo rezultirati visokim novčanim kaznama za društvo.
Konflikt fundamentalnih načela vjerojatno će dovesti do veće pravne nesigurnosti za mnoge pružatelje umjetne inteligencije, što se mora izbjeći pod svaku cijenu. U završnoj fazi donošenja Zakona o UI potrebno je razmotriti moguća pitanja neusklađenosti, a klasifikaciju visokorizičnih sustava UI trebalo bi u skladu s tim prilagoditi. Osim toga, možda će biti potrebno uključiti klasifikaciju sustava UI temeljenu na riziku GDPR-a.
Usklađivanje s GDPR-om moglo bi se postići na način da se pri provođenju analize rizika (u vezi i sa provedbom DPIA-e) za visokorizične sustave UI obvezno provodi detaljna procjena rizika na zaštitu osobnih podataka.
Isto tako, trebalo bi donijeti odredbu o sustavima UI s minimalnim ili niskim rizicima na način da provode „prethodnu ocjenu“ u smislu da prvo moraju provesti analizu rizika kako bi utvrdili postoji li visok rizik za obradu ili su izuzeti od provođenja DPIA-e.
Postoji još načina kako se AI i GDPR mogu pomiriti.
Koji su sljedeći koraci?
Nakon što je Parlament EU-a u lipnju glasao o prijedlogu Zakona o UI, slijedi usuglašavanje stajališta Europske komisije, Vijeća EU-a i Parlamenta EU-a o konačnoj verziji Zakona o UI. Očekuje se da bi konačna verzija zakona mogla biti donesena do kraja godine. Europa kao i u slučaju kreiranja GDPR-a, nastoji biti globalni predvodnik u reguliranju umjetne inteligencije. S obzirom da i druge zemlje intenzivno rade na reguliranju umjetne inteligencije, pred nama je dinamično razdoblje razvoja i pokušaja reguliranja umjetne inteligencije na globalnoj razini.
I u razdoblju iščekivanja kazne nadzornih tijela za zaštitu privatnosti neće izostati s obzirom da sve više zemalja provodi nadzore i nad onima koji koriste AI u redovnom poslovanju (primjerice ChatGPT da si ubrzaju poslovanje).
