Bejelentkezés Hírlevél

A ChatGPT és a képrajzoló eszközök EU-s szabályozása


A jövő jogásza
2024. május 7. dr. Ződi Zsolt
, , , , , ,

Kapcsolódó termékek: Jogi kiadványok, Ügyvéd Jogtár demo

A ludovika.hu-n megjelent blogbejegyzés az unió vonatkozó rendeletének a generatív mesterséges intelligenciák, így a ChatGPT és a képrajzoló eszközök szabályozását elemzi.

Az NKE Információs Társadalom Kutatóintézetének blogján, a ludovika.hu-n megjelent eredeti cikk bevezetőjében a szerző emlékeztet, megelőző blogbejegyzésében ígéret tett arra, hogy a következőkben áttekinti a generatív mesterséges intelligenciák (MI), az EU Mesterséges Intelligencia Rendeletének[1] szóhasználatában az „általános célú MI-modellek” (mint a ChatGPT és a képrajzoló eszközök) szabályozását. Mint írja, e témáról két ok miatt is fontos minél többet beszélni. Az egyik, hogy egy hétköznapi ember számára a legtöbb MI lényegében láthatatlan. Hiába fut tucatnyi, gépi tanuláson alapuló algoritmus, mondjuk a Facebook használata közben, ezeket nem érzékeljük. A legtöbbünk „a” mesterséges intelligenciával a Chat GPT megjelenésekor szembesült, és máig a legtöbben ezzel, és a néha lenyűgöző tudású kép– és videogeneráló szoftverekkel azonosítják ezt a technológiát. A másik ok, ami miatt érdemes beszélni ezeknek az eszközöknek a szabályozásáról, mert azt rengeteg félreértés övezi, amiket fontos (elkezdeni) tisztázni.

Az utóbbi időben sok előadást tartok ebben a témában, és szinte mindenhol megkapom ugyanazokat a kérdéseket: ugye az MI-rendelet szabályozza hogy kinek a tulajdona a(z X képgenerálóval) rajzoltatott kép? Ugye az MI-rendelet szabályozza, hogy nem lehet Chat GPT-vel beadandót íratni? Ugye az MI-rendelet betiltja a deepfake-eket? És folytathatnám a sort. Erre a három kérdésre például a válasz – meglepő módon – egyértelműen „nem”. Ezeket a kérdéseket az MI-rendelet vagy nem szabályozza, vagy – mint a deepfake-ek esetében – csak tájékoztatási kötelezettséget ír elő. Az ok: az MI-rendeletnek egyszerűen más a szabályozási logikája.

Hogy mi ez a logika? Ennek megértéséhez azzal érdemes indítani, hogy az MI-rendelet eredeti, Bizottság által beterjesztett verziója nem tartalmazott semmilyen szabályt a generatív MI-kről. A kiindulópont az EU-ban már évtizedekre visszanyúló termékbiztonsági–termékmegfelelőségi gondolkodásmód volt, amelynek a legfontosabb jellegzetessége, hogy mindenekelőtt osztályokba sorolja a termékeket az általuk képviselt kockázat alapján, majd részletesen leírja, hogy milyen követelményeknek kell az egyes kategóriákba tartozó termékeknek megfelelniük.

Pontosan ez történt MI-rendszerekkel is. A rendelet három ilyen kockázati osztályt állapított meg: az „elfogadhatatlan”, a „magas”, a „kis (de még létező)” kategóriát. (És létezik a „nem szabályozott” kategória is, negyedikként.) Ezeket persze nem így fogalmazta meg, ezt az interpretációt már a kezdetektől burjánzó magyarázatok terjesztették el, a rendelet csak tiltott és magas kockázatú MI-„gyakorlatokról” beszél, és egy cikkben olyan alacsony kockázatú rendszerekről, amelyek esetén csak tájékoztatási és átláthatósági kötelezettségek terhelik a szolgáltatókat vagy a rendszereket használókat (akiket a rendelet „alkalmazóknak” – deployers-nek nevez). Ilyen kis kockázatúak a chatbotok, amelyeknek tájékoztatniuk kell az embereket, hogy ők gépek, és a szintetikus tartalmakat előállító rendszerek, amelyeknek szintén meg kell jelölniük szintetikus kimeneteiket. Utóbbiba tartoznak a deepfake képek, hangok és videók is.

A rendelet tehát egy elég vegyes kritériumrendszert alkalmaz. A tiltott és magas kockázatú rendszerek esetén nem konkrét MI-rendszereket tilt be vagy szabályoz, hanem bármilyen, MI-nek minősülő technológiát (azt most hagyjuk, mi különbözteti meg a „sima” szoftvert az „MI”-szoftvertől, ez is külön megér majd egy blogbejegyzést), amennyiben vagy meghatározott funkciót lát el, célt követ vagy kimenetet produkál (arcfelismerés, szubliminális manipuláció, deepfake létrehozás), vagy valamilyen „fontos” életbeli szférában, területen használják (így például kritikus infrastruktúrák üzemeltetése vagy hitelképesség ellenőrzése a bankokban).

A generatív MI-k másfél évvel a bizottsági szövegjavaslat után robbantak be a köztudatba, és azonnal háromféle módon is kihívást intéztek az MI-rendelet addig senki által meg nem kérdőjelezett logikája ellen. Egyrészt itt olyan technológiákról van szó, amelyek mind a célok, mind a felhasználási területek szempontjából nehezen, illetve egyáltalán nem megfoghatók, mert többcélúak és több területen használhatók. Másrészt ezek a rendszerek teljesen újfajta, addig a jogalkotó fejében meg sem forduló konkrét problémákat és kockázatokat vetettek fel: például a szerzői jogilag védett tartalmak felhasználását a tanítás során, az általuk generált termékekhez fűződő felhasználási („tulajdon”-) jogokat, és a „hallucinációs hajlamukat”, hogy csak hármat említsek. Harmadszor pedig ezek a rendszerek már kész rendszerekként érkeztek meg az európai piacra, tehát a szabályozásnak az a logikája, hogy ha egy szoftvercég egy új MI-t akar kifejleszteni, akkor a fejlesztés első lépéseitől kezdve az MI-rendelet előírásainak megfelelően fejlesszen és dokumentáljon, már nem volt érvényesíthető.

Ezek tehát az előzmények és a problémák, amelyekkel a jogalkotó szembesült. Hogy kísérli megoldani ezeket?

Először is definiálnia kellett, miről is beszél – ez sajnos egy jogszabálynál elkerülhetetlen és gyakran fájdalmas feladat. A rendelet úgy definiálja az általános célú MI-t (General Purpose AI Model, GPAIM), hogy az olyan MI-modell, „amely különféle feladatok széles körének elvégzésére képes, valamint többféle downstream rendszerbe vagy alkalmazásba integrálható”. Hogy mi a különbség az „MI-rendszer” és az „MI-modell” közt, azt nem tartalmazza a szöveg, de a bevett szóhasználat szerint az MI-rendszer konkrét, felhasználói felülettel rendelkező szoftver vagy olyan szoftverkomponens, amely beépül más szoftverekbe, míg a modell szoftverek és adatok (általában hatalmas méretű adatbázisok) összekapcsolt egysége, amelyek együtt képesek bizonyos feladatokat elvégezni, és jellemzően azzal a céllal építették őket, hogy többféle, előre nem is látható más szoftverbe épüljenek be. Ezek a szoftverek a definíció által emlegetett úgynevezett downstream (magyarul kb. „alkalmazott”) szoftverek, mint amilyen egy csevegőrobot, dokumentumszerkesztő, keresőmotor, moderálószoftver, a programozók munkáját segítő „co-pilot” vagy képrajzoló- és manipuláló szoftver. A ChatGPT-t alapul véve ebben a GPT (General Pretrained Model) értelemszerűen a modell, míg a ChatGPT már egy downstream MI-rendszernek minősül. Vagy mondjuk az Adobe Photoshop a downstream rendszer, és mögötte a Firefly a képgeneráló modell. A modell és a szoftver megkülönböztetésével a jogalkotónak nem kellett feladnia az eredeti, termékmegfelelőségi alapú koncepciót. Ez azt jelenti, mindegy, hogy én egy hitelbírálati szoftvert teljesen a nulláról fejlesztve vagy egy általános modellre építve hozok létre, az így is, úgy is magas kockázatú lesz, és nekem kell betartanom az MI-rendeletben írt szabályokat.

Látható, hogy ez a szabályozási logika azonban lényegében ellehetetlenítené mindazokat, akik általános modellekre fejlesztenek. Hiszen hogyan tudna megfelelni a szigorú termékmegfelelőségi előírásoknak az, aki egy számára teljesen ismeretlen fekete dobozt (azaz az általános modellt) épít be a szoftverébe? Például hogyan tudja bizonyítani és garantálni, hogy a rendszer minden lényeges állapotváltozást naplóz, ami a magas kockázatú rendszereknél előírás. Ezért az általános célú MI-modell-szolgáltatók számára a legfőbb kötelezettség ez alapján lényegében kétféle dokumentáció elkészítése lett.

Az első a nemzeti hivatalnak, illetve az uniós MI-hivatalnak szól. Ez a rendeletben egy külön mellékletben szerepel, minden elemét nem tudom itt ismertetni, csak néhány fontos pontot emelek ki: le kell írni a dokumentációban a modell rendeltetése szerint ellátandó feladatokat, és hogy milyen MI-rendszerekbe integrálható, a paraméterek számát és az architektúrát (a rendszer felépítését), valamint egy sor információt a fejlesztési folyamatról. Így például, hogy mi volt a tanítási folyamat és milyen adatokat használtak a teszteléshez, milyen erőforrásokkal fejlesztették, és mekkora az energiafogyasztása. A nagyon kockázatos MI-modellek szolgáltatóinak ezen felül még olyan információkat is rendelkezésre kell bocsátaniuk, mint az értékelési stratégiák részletes leírása – az a folyamat, amikor például a ChatGPT-t olcsó afrikai munkások tanították arra, hogy ne legyen mondjuk rasszista.

A második dokumentációt az MI-modellek szolgáltatóinak azok számára kell elkészíteniük, melyek szoftvereket akarnak építeni a modellekre, azaz a downsteam provider-eknek – épp azért, hogy meg tudjanak felelni az MI-rendelet követelményeinek. Ez a dokumentáció nagyban hasonlít az előzőre, de olyan pontokkal egészül ki, mint például az, „a modell miként működik együtt olyan hardverrel vagy szoftverrel, amely nem része magának a modellnek, vagy miként használható fel az együttműködésre”.

Ezen felül a jogalkotók felismerték, hogy az általános célú modellek nem képviselnek egyforma kockázatot, ezek közt vannak viszonylag ártalmatlanok, és vannak olyanok, amelyeknek hatalmas a felhasználói bázisa és emiatt társadalmi hatásuk lehet. Viszont az MI-modellek esetén nem lehetett a célból vagy a felhasználási területből kiindulni, így a jogszabály eredeti felosztásától (tiltott, magas kockázatú stb.) független új felosztást vezettek be az általános célú MI-modellekre. Eszerint a legfontosabb, és az előállítókra nézve a legtöbb kötelezettséget rovó kategória a „rendszerszintű kockázatokat jelentő MI-modellek”. Ezek azok a nagy modellek, amelyek „nagy hatású képességekkel rendelkeznek,” amelyeket vélelmezni kell, ha a tanításhoz használt kumulált gépi teljesítmény meghaladt egy meghatározott mértéket. Vannak azután a „normál” modellek, amelyek e határ alatt vannak, és ezen belül is könnyítést kaptak azoknak a modelleknek a szolgáltatói, amelyeket „szabad és nyílt forráskódú licenc alapján bocsátanak ki”, amely magában foglalja a modell „paramétereit – beleértve a súlyokat, a modellarchitektúrára vonatkozó információkat és a modellhasználatra vonatkozó információkat”.

A rendszerszintű kockázatokat jelentő szolgáltatókat a fenti, főleg dokumentációs kötelezettségeken felül egy sor többletkötelezettség terheli, így például „modellértékelést kell végezniük a technika állásának megfelelő, szabványosított protokollokkal és eszközökkel összhangban, ideértve a modell támadó szempontú tesztelésének elvégzését és dokumentálását”, illetve nyomon kell követniük és jelenteniük a váratlan eseményeket (incidenseket).

Ha visszatérünk a három kiinduló kérdésre, így már érthető, hogy az MI-rendelet miért nem rendezi, vagy nem rendezi úgy ezeket a kérdéseket, ahogy azt mi egyszerű hétköznapi állampolgárok gondolnánk. Azért, mert ez a rendelet az MI-rendszerek (mint „termékek”) előállításának és biztonságos használatának szabályait tartalmazza – leegyszerűsítve: mit és hogyan kell a „gyártóknak” tenniük és dokumentálniuk annak érdekében, hogy a „termék” biztonságos legyen. A három említett példa egyike sem a „gyártó” felelőssége. Az, hogy az egyetem hogyan küzd (és egyáltalán küzd-e) a ChatGPT-vel íratott beadandók és szakdolgozatok ellen, nagyrészt az egyetem belső ügye, amelynek szabályozása során el kell döntenie, hogy akar-e és tud-e küzdeni az ellen, hogy a hallgatók ilyen rendszereket használjanak, vagy inkább integrálja ezek használatát az oktatásba. Az, hogy le lehet-e védetni (nem nálunk, nálunk nem a „levédéssel” lesz az „enyém” egy alkotás) egy művet sajátomként, ha egy gép „köpte” ki, az adott ország szerzői jogi szabályai (és esetleg a perek nyomán a bíróságok egyedi esetekben) fogják majd kimondani. Végül pedig a deepfake esetén, akárcsak a két előző esetben, az MI-rendelet csak annyit mond, hogy a szintetikus tartalmakat meg kell valahogy jelölni. Hogy ez tényleg bekövetkezik-e, illetve lesznek-e más jogszabályok, amelyek egyes területek esetleg betiltják a deepfake-et, azzal az MI-rendelet már nem foglalkozik.

Sokaknak talán csalódást jelentenek a fent leírtak. Azonban azt érdemes látni, hogy a közeljövőben a ChatGPT nyomán jelentkező kérdésekhez és dilemmákhoz nagyon hasonló újabb dilemmák fognak jelentkezni, és az élet különböző területein levő szervezeteknek, embereknek maguknak kell majd elgondolkodniuk, hogyan kezelik ezeket. Ezt a gondolkodást nem tudjuk megspórolni, az MI-rendelet sajnos nem fogja helyettünk megmondani.

Lábjegyzet:

[1] A rendelet legutolsó szövegverziója egy „Corrigendum” (helyesbítés) formájában található meg több nyelvi verzióban is a parlament honlapján. A szerző is ebből a (magyar) szövegverzióból dolgozott

Kapcsolódó cikkek

2024. május 17.

Jog és kommunikáció konferencia: a jog nemcsak a jogászoké

A Wolters Kluwer Hungary, a Szegedi Tudományegyetem Üzleti Jogi Intézete és az SZTE Európai Értékek Elemző Központja szervezésében május 15-én Szegeden rendezett konferencia célja volt, hogy megvilágítsa, felkészültek vagyunk-e mindazokra a kommunikációs jelenségekre, amelyekkel a technológiai fejlődés eredményeként a digitális környezetünkben nap mint nap szembesülünk és miként kezelhetők ezek adatvédelmi, versenyjogi és fogyasztóvédelmi jogi nézőpontból.

2024. május 16.

Az egyenlőség a digitális világban sem jelent egyformaságot

Sokfélék vagyunk, és digitális eszközeinket is sokféleképpen használjuk. A digitális térben sincs ez másképp. Idén májusban a harmadik csütörtök május 16-ra esik, ez a Global Accessibility Awareness Day (GAAD), az egyenlő esélyű digitális hozzáférés világnapja. A digitális akadálymentesség kiemelt témája volt a nemrégiben megrendezett Digital Compliance by Design & Legaltech konferenciának is. A GAAD alkalmából tesszük közzé a konferencia két résztvevője, dr. Megyeri Andrea és dr. Velegi Dorottya beszélgetését.