Stanowisko fundacji w zakresie tzw. AI Act

21 kwietnia 2021 roku Komisja Europejska przedstawiła europejski akt prawny dotyczący sztucznej inteligencji (dalej tzw. AI Act), który ma regulować rozwój i wykorzystanie sztucznej inteligencji (dalej „AI”) w Unii Europejskiej. AI jest jedną z przełomowych technologii dla naszej przyszłości, dlatego ważne jest, aby była ona stosowana w duchu wartości europejskich i demokratycznych. Z jego obecną z połowy 2022 roku możesz zapoznać się tutaj.

Poniżej znajdziesz nasze uwagi do AI Act. Jeśli prowadzisz firmę tworzącą AI to zachęcamy abyś do 21.10.2022 wypełnił 10 minutowe badanie, którego podsumowanie przedstawimy parlamentarzystom europejskim na zamkniętym spotkaniu pod koniec października 2022 r.

Nasze uwagi do AI Act

1. Niewłaściwa definicja AI

Ani w nauce, ani w praktyce nie ma ogólnie przyjętej definicji AI. Proponowany akt prawny zawiera zatem własną definicję AI w art. 3.1 i załączniku 3, która obejmuje wszelkie oprogramowanie wykorzystujące metody statystyczne lub metody wyszukiwania i optymalizacji. To o tyle problematyczne podejście, że klasyfikuje jako AI prawie dużą część już stworzonego oprogramowania i wiele przyszłych rozwiązań, które wg nas nie są AI. Stwarza to wg nas b. duże ryzyko dla firm, które tworzą lub wykorzystują oprogramowanie. Dlatego proponujemy aby definicja AI w rozporządzeniu UE była zgodna z ogólnie przyjętą definicją OECD.

 2. Zbyt szerokie pojęcie zastosowań tzw. wysokiego ryzyka

 O ile cieszymy się, że Unia Europejska dąży do uregulowania kwestii AI w tych obszarach, w których istnieje duży potencjał szkodliwości, o tyle jednak  istnieje możliwość znacznej poprawy aktu w zakresie klasyfikowania aplikacji AI do różnych poziomów ryzyka. Wg nas opis wysokiego ryzyka jest zbyt szeroki. Powinien on obejmować wyłącznie systemy, które mogą stanowić potencjalnie wysokie ryzyko dla bezpieczeństwa lub praw podstawowych. Obecnie jednak przewiduje, że aplikacje stwarzające niskie ryzyko również wchodzą w zakres wymagań dotyczących AI wysokiego ryzyka.

 3. Zbyt droga ocena ryzyka dla MŚP oraz brak ujednoliconego podejścia w Europie

 Zwracamy uwagę na wg nas gorszą przystępność ocen ryzyka przeprowadzanych samodzielnie i przez osoby trzecie, zwłaszcza dla firm rozpoczynających działalność (startupy) oraz MŚP. Zlecanie usług zewnętrznym ekspertom i wyspecjalizowanym firmom audytorskim oznacza w przypadku wyceny przez stronę trzecią koszty, które mogą ponieść tylko duże lub większe średnie firmy. Wymienione w projekcie środki mające na celu uniknięcie niekorzystnej sytuacji dla nowo powstałych firm i MŚP są niewystarczające i powinny zostać rozszerzone.

W przypadku samooceny, w zależności od zakresu i związanego z nim ryzyka odpowiedzialności, nadal pojawia się pytanie o możliwość ustanowienia systemu zarządzania jakością przez MŚP i inne przedsiębiorstwa nieposiadające własnej, znaczącej infrastruktury kontroli i testowania. Ocena ryzyka aplikacji krytycznych powinna uwzględniać kilka kryteriów, które muszą być łącznie sprawdzone i spełnione. Brakuje nam wyważonego podejścia do ryzyka i korzyści w sensie stosunku ryzyka do korzyści, więc szybko może dojść do nieproporcjonalnej oceny ryzyk. Proponujemy stworzenie zharmonizowanej infrastruktury „sankcji” w całej Europie. Nie powinno być różnic w traktowaniu tych samych faktów i danych pomiędzy poszczególnymi państwami członkowskimi. Z aktu nie wynika wystarczająco jasno, w jaki sposób można ustanowić i zapewnić zharmonizowane podejście do procesów audytu w ramach europejskich.

 4. Niekompletne dane?

 Ograniczona dostępność wysokiej jakości danych, które dokładnie reprezentują daną populację, może być jedną z największych przeszkód w rozwoju AI, również w Polsce. Dostawcy rozwiązań AI zastanawiają się jak zapewnić nierealny cel artykułu 10.3 bowiem najczęstszym źródłem stronniczości są dane, które nie reprezentują odpowiednio docelowej populacji. Ciężko nam znaleźć w ogóle przykład zbiorów danych, które są kompletne, bo co w ogóle oznacza kompletność i reprezentatywność danych?

AI Act powinien uwzględniać fakt, że jeśli na przykład dyskryminacja mniejszości wynika z wykorzystania nieodpowiednich zestawów danych, do rozwiązania problemu wystarczy modyfikacja tych zestawów lub niektórych parametrów. Zamiast więc karać twórców oprogramowania AI za korzystanie z niereprezentatywnych (lub starszych) danych, które mogą prowadzić do takich uprzedzeń/dyskryminacji, Komisja Europejska powinna zachęcać do tworzenia uczciwych i dobrze przygotowanych zbiorów danych we wszystkich instytucjach. Warto więc powiązać AI Act z Data Act i zastanowić się jak możemy to zrobić najlepiej. Dane mogłoby być zagregowane i udostępnione, aby uchwycić zróżnicowanie pomiędzy grupami demograficznymi i w ich obrębie.

 5. Zbyt skomplikowany język, mniej regulacji dla MŚP

 Wg nas celem regulacji powinno być zminimalizowanie złożoności akty w takim stopniu, aby nie powodował on niekorzystnych skutków dla przedsiębiorstw rozpoczynających działalność i małych firm (MŚP). Złożoność językowa wniosku jest już tak duża, że bezpośrednio zainteresowane przedsiębiorstwa nie są w stanie zrozumieć prawa, a tym bardziej jego skutków. Należy unikać nadmiernej regulacji i nadmiernych wymogów biurokratycznych, zwłaszcza w przypadku mniejszych firm rozpoczynających działalność oraz MŚP. Firmy te w przeciwieństwie do dużych firm, nie dysponują nadmiarem zasobów ludzkich i finansowych, aby wdrożyć nowe ramy. W efekcie mogą one szybko pozostać w tyle za swoimi pozaeuropejskimi konkurentami, a rozwój europejskich innowacji AI będzie utrudniony i spowolniony. W związku z tym regulacje dotyczące AI muszą być tak skonstruowane, aby poradziły sobie z nimi także młode polskie i europejskie przedsiębiorstwa.

6. Niejasne kompetencje w zakresie wdrażania

 W naszej ocenie nie jest jasne, do którego organu będą należały kompetencje decydujące o realizacji aktu. Na przykład, czy obowiązki zostaną podzielone pomiędzy różne ministerstwa i urzędy, czy też zostanie powołana osobna instytucja? Jaka będzie rola UODO, UKNF, UKE? W obu przypadkach konieczne będzie zwiększenie zasobów i możliwości działania, zatrudnienia kompetentnych urzędników. Choć Polska reprezentuje stosunkowo dużą gospodarkę i potencjalnie dysponuje zasobami, pozostaje jednak pytanie, jak realizować będą akt mniej zamożne i mniejsze kraje członkowskie, które dysponują niewielkimi środkami? Istnieje ryzyko, że regulacja, której celem jest stworzenie równych szans rozwoju AI, stworzy nierówne szanse i powstaną miejsca na terenie UE, które będą służyć jako „furtka” i baza dla tworzenia niebezpiecznych rozwiązań.

7. Wprowadzenie innych kategorii niż "provider" i klient (użytkownik)

W naszej opinii świat tworzenia AI jest bardziej skomplikowany niż model "dostawca" i "użytkownik". Jesteśmy świadomi polskich firm, które np. skupiają się tylko na tworzeniu algorytmów i "nakarmieniu" systemu AI, jednak całe wdrożenie przechodzi na firmę, która następnie oferuje rozwiązanie AI. Są też modele tworzenia i wykorzystania danych i AI w chmurze, czy edge computing i nie jest łatwo wskazać kto jest "jedynym" dostarczycielem rozwiązania AI. Dlatego wnosi o rozszerzenie kategorii o kilka innych podmiotów z łańcucha wartości AI.

Zalecenia

• użycie definicja AI OECD i bazowanie na wielu efektach prac grup i ekspertów skupionych wokół OECD

• urealnienie pojęcia aplikacji „wysokiego ryzyka”, tak by definicja nie obejmowała aplikacji o niskim ryzyku i była bardziej czytelna

• unikanie nieproporcjonalnych ocen ryzyka, zwłaszcza w przypadku młodych i mniejszych firm (MŚP)

• brak karania dostawców rozwiązań AI za korzystanie ze starszych lub niekompletnych zbiorów danych. Lepiej promować bardziej zrównoważoną reprezentację populacji w przyszłych zbiorach danych

• unikanie nadmiernej regulacji, skomplikowanego języka i złożoności aktu w celu ograniczenia niekorzystnych warunków konkurencji dla mniejszych przedsiębiorstw

• ustalenie podziału kompetencji i wskazania organów w zakresie terminowego wdrażania regulacji

• dodanie nowych "kategorii" twórców AI (oprócz dostawców i użytkowników) np. "wdrażających AI".