Mesterséges intelligencia: Európa világelső a szabályozásban

Az EU a világon elsőként szabályozza a mesterséges intelligenciát (MI). Jogvédők szerint túl megengedően. A fejlesztők szerint viszont túl szigorúan, versenyképtelenné téve az európai IT-szektort.

AI Act

Amikor a Bizottság, az Európai Parlament (EP) és a Tanács képviselői egy decemberi szerda délutánon összejöttek, hogy egyességre jussanak az MI-t szabályozó rendelet végső változatáról, már estére eredményt ígértek. A formalitásnak tervezett egyeztetésen azonban elmérgesedett a vita. Végül három nap alatt készült el a jogszabály, amit a szakma AI Act néven emleget az angol artificial intelligence (AI) kifejezés alapján.[1]

A vita érthető. Egy új, de máris kulcsfontosságú és villámgyorsan fejlődő technológia szabályozásnak alapköveit tették le. Az MI a jövőben az életünk minden aspektusában jelen lesz, ha ugyan nincs már jelen ma is. Például az orvosnál, ahol már napjainkban algoritmusok keresik a röntgenen a tumor-gyanús elváltozásokat. A közösségi oldalakon, ahol az MI feltérképezi az érdeklődésünket és ennek megfelelő tartalmakat kínál. A bűnüldöző szerveknél, ahol az MI pillanatok alatt átkutatja gigantikus adatbankok képeit és azonosítja a térfigyelő kamerán látható személyt. Bizonyos témák, mint az arcfelismerés politikailag kényesek, más területek, mint fogyasztási preferenciáink kutatása a gazdaság számára kulcsfontosságúak. „Nincs olyan jogterület, amit ne érintene az AI Act” – magyarázza az Odera-Frankfurti Viadrina Európa Egyetem digitális társadalom és etika tanszékének vezetője, Philipp Hacker professzor egy interjúban. „Hatalmas intellektuális kihívás érteni a technológiát és egyszerre mindet jogi kérdést átlátni.”[2]

A fogyasztók minden előtt

 Az AI Act deklarált célja a felhasználók védelme, ezért a fogyasztóvédelmi jog tárgykörébe tartozik. Mindenekelőtt a felhasználók alapjogainak megsértését, illetve veszélyeztetését kell megakadályoznia. Ezért a jövőben az MI-rendszerek üzemeltetőinek számos előírásnak kell megfelelniük; hitelt érdemlően kell igazolniuk, hogy mindet megtettek a fogyasztókkal szembeni jogsértések megakadályozása érdekében. Jogszabálysértés esetén pedig súlyos anyagi szankciókkal kell számolniuk. Végső esetben ki kell vonniuk a piacról a jogsértő MI-rendszerüket.

A Bizottság a javaslata bemutatásakor azon meggyőződésének adott hangot, hogy a jogalkotásnál tekintettel voltak a fejlesztőkre is. Sőt, a politikusok meggyőződése, hogy a rendelet segíteni fogja az európai MI-szektort. Az európai start-up-ok és informatikai konszernek lehetnek az elsők, akik alapvető jogelveket tiszteletben tartó MI-rendszereket fejlesztenek ki, amiket aztán bárhol a világon értékesíteni, illetve üzemeltetni tudnak. Brüsszel ugyanis abban bízik, hogy középtávon máshol is jön a szabályozás.[3]

Hogyan tovább?

A tárgyalópartnerek február végére ígérték a decemberi kompromisszum részletes technikai paramétereket tartalmazó rendelt-tervezetbe öntését és nyilvánosságra hozatalát. Erről szavazhatnak majd az EP szakbizottságai várhatóan április elején, hogy április végén az állam- és kormányfők rábólinthassanak a javaslatra a Tanács menetrendszerinti ülésén.

A rendelet elfogadása után két évvel, tehát 2026-ban fog hatályba lépni. Két kivétel azonban van:

• Az elfogadhatatlanul magas rizikójú rendszereket hat hónapos türelmi idő elteltével le kell kapcsolniuk a szolgáltatóknak.
• Az alacsony rizikójú, általános felhasználású MI-rendszerekre vonatkozó – kevés és elég megengedő – szabályok már tizenkét hónap után alkalmazandók lesznek.

A kétéves várakozási idő áthidalására alapította a Bizottság az MI-paktumot (AI Pact). A név megtévesztő, együttműködési fórumot takar. Ebbe azokat a szolgáltatókat várják, aki felelősségük tudatában hamarabb, önként teljesítik az előírásokat. Eddig körülbelül 100 start-up és konszern csatlakozott az AI Pact-hoz. A paktum bemutatásakor a Bizottság ígéretet tett, hogy diplomáciai szinten mindet meg fog tenni – elsősorban az Nemzetközi Elektrotechnikai Szabványosító Szervezet (IEC) keretében, az amerikai kormányra különösen koncentrálva-, hogy meggyőzze a partnereket a szabályozás szükségességéről. Brüsszel el akarja érni, hogy az európai az első, de ne az utolsó jogrendszer legyen, ami jogi kereteket szab az MI-nek.

Egy másik testület, az eddig a technikai részletek kidolgozásában központi szerepet játszó Európai Elektrotechnikai Szabványügyi Bizottság (CENELEC) feladata lesz a 2026-ig tartó átmeneti időben, hogy az addig végbemenő technikai, piaci változásokra figyelemmel javaslatokat tegyen a rendelet modernizálásra, még annak alkalmazási startja előtt.

 Definíció, személyi és tárgyi hatály   

Azt nem tudni, hogy pontosan melyek voltak a legvitatottabb kérdések a zárt ajtók mögötti brüsszeli egyeztetésen. Csak az biztos, hogy a legtöbb ponton követték a Bizottság 2021-es javaslatát, de néhány területen a szédítő technikai fejlődés miatt alapvetően kellett változtatni rajta.

A terület komplexitását jó mutatja, hogy már az MI definíciója is vitatott. A tágabb megközelítés szerint MI minden informatikai segédlet az emberi döntéshozatalban, tehát például az Excel oszlop-kalkulációja is. Az eredeti javaslat ezt a tág megközelítést alkalmazta. A decemberi csúcson hamar egyetértés volt abban, hogy az MI fejlődéséhez igazodva szűkebb legyen a definíció: egy gép intelligens, ha képes a tanulásra és ez alapján az önálló döntéshozatalra. Az EU arra számít, hogy az OECD belátható időn belül nemzetközi kompromisszumon alapuló definícióval fog előállni, amit aztán az EU-rendeletnek is része lehet.

Egyétértés van a rendelet személyi hatályában: kiterjed minden vállalkozásra, amely az európai piacon MI-n alapuló szolgáltatást kínál. Szolgáltató alatt kell érteni minden természetes és jogi személyt, amely MI-rendszert fejleszt, üzemeltet vagy a piacon hozzáférhetővé tesz. A rendelt kiterjed az importőrökre, kereskedőkre, sőt, az MI-t egyéb szolgáltatásuk nyújtása érdekében alkalmazókra is. Utóbbiaknak az MI-rendszer fejlesztőjétől kell beszerezniük a dokumentációt, ami igazolja, hogy eleget tett a jogszabályi előírásoknak.

A szabályozás elve

Maradt a Bizottság által javasolt alapelv, mi szerint az MI-t az alkalmazási terület veszélyessége szerinti mértékben és szigorral kell szabályozni. Így az MI alkalmazása spam-szűrőkben és videójátékokban gyakorlatilag szabályozatlan marad. Míg az oktatásban, a HR területén és kulcs-infrastruktúrákkal, például a határőrizettel összefüggésben részletesen és szigorúan lesz szabályozva, mit szabad a MI-nek.

Hogy mit jelent a visszaélés a HR területen azt az Amazon 2018-as esete mutatja. Algoritmusoknak kellett az állás hirdetésre jelentkezőket első körben kirostálni. Utóbb kiderült, az MI előnyben részesítette a férfiakat. Az Amazonnál meglepődtek és bocsánatot kértek. Mint utóbb kiderült az MI azért diszkriminált, mert a beletáplált, korábbi, HR-szakemberek által hozott döntésekből leszűrte, hogy az Amazon inkább férfiakat vesz fel, mint nőket.

A rendelet különbséget tesz két MI-fajta között:

• A hagyományos MI-modellek (General Purpose AI, GPAI), amik általánosan felhasználhatók. Ezeket bázis-modell néven is szokás emlegetni.
• A generatív MI (Artificial General Intelligence), ami a betáplált adatok alapján tanulásra képes.

Minthogy a hagyományos MI-modellek (bázis-modellek) sokféleképp felhasználhatók, a szabályozás a funkciójukhoz és nem konkrét felhasználáshoz igazodik, de minden bázis-modellnek meg kell felelnie az átláthatóság követelményének. Ez magában foglalja

• a technikai paraméterek és működés dokumentálását és
• az MI tréningezéséhez használt adatok nyilvántartását, különös tekintettel a szerzői jogi védelem alatt álló információkra.

További kötelezettség minden bázis-modell esetén annak nyilvánvalóvá tétele, ha egy tartalmat az MI generált. A számottevő kihatással rendelkező bázis-modellekről akkor kell beszélni, ha széleskörű felhasználása révén rendszerszerű rizikót jelent, mért például a működése egy egész gazdasági szektorra kihatással van. Ezek esetében további kötelezettség a működési zavarok dokumentálása és külső (cyber)támadások rendszer modellezése, hogy az éles támadások visszaverhetőek legyenek. A rendelet objektíven vizsgálható technikai paraméterrel határozza meg, mikortól van számottevő kihatása a bázis-modellnek: 10^25 flop-tól. A flop (FLoating point Operations Per Second, ’lebegőpontos műveletek másodpercenként’) egy informatikai művelet gyorsaságát, illetve egy számítógépek teljesítményét fejezik ki.

Minthogy a szabályozásban nagy szerepet kap a belső ellenőrzés, az úgynevezett compliance. Az angol kifejezés megfelelőséget jelent, amiről a vállalkozás belső ellenőrzési rendszer kiépítésén keresztül maga gondoskodik.  A szabályoknak megfelelő működés a szabályok megsértéséből eredő következmények elkerülése mellett a vállalkozás jó hírnevének védelmét is szolgálja és elősegítheti az üzleti partnerek általi megbecsülését, valamint a fejlődését is. A compliance szerepére tekintettel a Bizottság az ipar és a tudomány képviselőivel, valamint jogi szakértőkkel irányelveket fog kidolgozni a compliance rendszerek kiépítésére és működtetésére.

Középpontban a rizikó

Függetlenül attól, hogy bázis-modell vagy generatív az MI, közös szabályok is vonatkoznak rájuk, az általuk okozott rizikóhoz igazodva. A rizikószint három kategóriája: a korlátozott, a magas és az elfogadhatatlan kockázat. A korlátozott kockázatúakra nem fog speciális szabályozás vonatkozni, a vállalhatatlan kockázatúak üzemeltetése pedig tilos lesz.

A magas kockázatú MI ismérve, hogy a fogyasztók biztonságára, illetve alapjogaira negatív hatással van, tehát veszélyezteti, vagy sérti azokat. A magas kockázatú MI-rendszerek két csoportba sorolandók:

1. Olyan termékeknél és szolgáltatásoknál használt MI, amire vonatkoznak az EU termékbiztonsági előírásai, például a háztartási gépek, játékok, közlekedési eszközök, orvosi műszerek, vagy akár liftek. Ha ezek működése részben vagy egészben MI-vel történik, külső, pártatlan szereplőnek kell ellenőriznie az MI-előírásoknak való megfelelést.
2. A jogszabály mellékletében felsorolt nyolc területen szolgáltatást nyújtók maguk végezhetik a jogkonformitási vizsgálatot, mert ezeken a területeken a külső hozzáférés üzleti- vagy államtitkot sérthet. Ide tartoznak:

• a kritikus infrastruktúrák üzemeltetői,
• az oktatási és szakképzési szolgáltatók,
• a HR tevékenység,
• az alapvető magán- és közszolgáltatásokhoz való hozzáférés lehetővé tétele,
• az állami és önkormányzati szervek,
• a bűnüldözés, a büntetésvégrehajtás, a határvédelem és bevándorlás,
• a demokratikus döntési eljárások, mindenekelőtt választások lebonyolítása és a jogszolgáltatás.

A magas kockázatú rendszerek üzemeltetőinek még a piacra vitel előtt analízist kell készíteniük a várható alapjogi kihatásokról és igazolniuk kell, hogy mindent megtettel az alapjogsértések kiküszöbölése érdekében. Később, az üzemeltetés alatt pedig belső ellenőrzési, tehát compliance rendszert kell alkalmazniuk.

Bármely kockázati kategóriába is tartozzék az MI, az uniós polgároknak joguk lesz a nemzeti hatóságoknál panasszal élni az MI-n alapuló, illetve algoritmusokkal hozott döntések esetén, amik álláspontjuk szerint megsértették alapjogaikat.

Technikailag lehetséges, jogilag tilos

A szolgáltatók számára a legfontosabb kérdés, mely MI-rendszerek esnek az elfogadhatatlan kockázatú kategóriába, mert ezeket tilos lesz üzembe helyezni az EU-ban, a már működőket pedig a rendelet hatályba lépésétől számított hat hónapon belül le kell kapcsolni.

Tilos lesz:

• Valós idejű és távoli felismerést lehetővé tevő biometrikus azonosítási rendszert üzemeltetni. Ez olyan rendszert jelent, amiben összekapcsolódnak egy kiválasztott személyek biometrikus ismérvei kényes, személyes információkkal, mint a politikai és vallási hovatartozás, világnézet, szexuális orentáció, etnikai háttér.
• Az arcfelismerés az interneten fellelhető képek és térfigyelő kamerák felvételei alapján adatbank összeállítása céljából, a konkrét felhasználás előzetes meghatározása nélkül.

Ez a terület napjainkban szürke-zónának számítanak. A legismertebb ilyen alkalmazás a photos.google.com/people, ez viszont legális. A program a computeren tárolt, tehát a saját képek közül pillanatok alatt kikeresi azokat, amik ugyan azt a személyt ábrázolják. Viszont nem adja meg az illető nevét. Ami jelenleg szürke-zóna és az AI Act hatályba lépésével tilos lesz, az, amikor egy weblap a felhasználó által feltöltött kép alapján pillanatok alatt kikeresi az adott személyről fellelhető online információkat és így egy-kettőre megállapítható a személyazonossága. Ezzel a programmal gyakorlatilag lehetetlenné válik, hogy anonimek maradjunk a közterületen.

Ugyan a magas rizikójú kategóriába sorolva és kivételes esetekben, de megengedett lesz a biometrikus élő távolsági azonosítás. Tehát például egy személyt drónnal követni, majd az élő videókép alapján, arcfelismerővel azonosítani. Kivételes esetnek számít:

• bűncselekmény áldozatának keresése (például elrabolt személy);
• terrortámadás elhárítása konkrét, közvetlen veszélye;
• súlyos bűncselekmény elkövetője személyazonosságának megállapítása.

Ezekben az esetekben is időben és helyben korlátozottan szabad csak folytatni a követést.

• Személyek kognitív viselkedésének, tehát hangulatának analizálása munkahelyen és oktatási intézményben.
• A kognitív viselkedés manipulációja. Ez például olyan hangvezérelt játékok tilalmát jelenti, amelyek veszélyes viselkedésre ösztönzik a gyermekeket, mert például ’lőj’ felszólítással lehet tüzelni a virtuális ’játszótársra’.
• Social-Scoring-System üzemeltetése. Az angol kifejezés a személyeket viselkedésük és tulajdonságaik alapján értékelő szisztémát takarja. Ennek legismertebb példája a társadalmi pontozás, mint a kínai társadalmi kreditrendszer, amiben a kínai állam minden állampolgár és működő gazdasági társaság pontokat kap a kormány által gyűjtött adatok alapján, a szerint, hogy a hatóságoknak tetsző-e a tevékenysége.
• Manipulatív és a szabad akaratot tiszteletben nem tartó rendszerek üzemeltetése.
• Emberi döntések manipulálása, a szabad akarat megkerülése és annak elérése, hogy valaki olyat tegyen, amit nem akar.
• A korból, társadalmi helyzetből, vagy szociális státuszból folyó hátrányok kihasználása. Tehát az MI-val is tilos lesz, ami az emberi döntéshozatalban, tevékenységben is tilos. Jól hangzik, de az ördög azonban a részletekben rejlik. Mert például nagyon szűk a határmezsgye megengedett életkor specifikus csoportnak szóló reklám és a kort kihasználó manipuláció között.

Mindezek tilalmak alól van egy kivétel: nemzetbiztonsági okokból a tiltott felhasználás is megengedett a tagállamoknak. A szakértők ezt túl általános kivételnek, a végtelenségig nyújtható gumiszabálynak tartják. Az EP is ellene volt, de miután a Tanács ragaszkodott hozzá, a maratoni tárgyalások végén az AI Act része lett.

Veszélytelen, ezért szabályozatlan

Korlátozott rizikójú az MI-rendszer, ha működése kevés veszélyt jelent, vagy kockázat nélküli. Ilyen az MI-rendszer, ha besorolható a két csoport valamelyikébe:

• Természetes személlyel kommunikál, mint a híres chatbot. Magyarul csetrobot, ami egy szoftveralkalmazás, amelyet arra használnak, hogy szöveges vagy szövegről beszéddé átalakított online kommunikációt folytasson élő személyekkel – például ügyfelekkel, vagy ügyintézőkkel – előre betanított szabályok és betáplált információk alapján. A csetrobotok üzemeltetőinek ezeknél mindig egyértelművé kell tennie a felhasználó és harmadik fél számára is a tartalom MI által generált részét.
• Adminisztratív vagy belső, működést biztosító rendszerek, mint például a spam-szűrők. Ebbe a kategóriába tartozik a Predictive-Maintenance-System Ez személyek várható viselkedését prognosztizálja, események bekövetkeztének valószínűségét számolja ki. Ilyenek például a rizikó kalkulációs algoritmusok a biztosítása oldalakon.

A korlátozott kockázatú rendszerekre nem fog speciális üzemeltetési szabályokat meghatározni a készülő rendelet. Azonban függetlenül az MI-rendszer kockázati besorolásától a diszkrimináció megelőzése érdekében a fejlesztőknek, illetve üzemeltetőknek minden MI esetén igazolniuk kell, hogy tettek azért, hogy az MI ne hozzon diszkriminatív döntéseket. Nem elegendő az antidiszkriminációs erőfeszítések bizonyítására a források, például korábbi emberi döntések megjelölése, amely alapján az Mi tanú az önálló döntéshozatalhoz. Hisz – ahogy az Amazon esete is mutatja -, a korábbi humán döntéshozatal lehetett diszkriminatív. Ezért jegyzőkönyvezett próbaalkalmazásokat kell végezniük a fejlesztőknek, hogy kiderüljön, az MI alkalmazása nem vezet-e rasszizmushoz, vagy szexuális diszkriminációhoz.

Középpontban a generatív MI

A nemzetbiztonsági kivétel mellett a generatív MI (Artificial General Intelligence) volt a fő vitatéma a decemberi brüsszeli tárgyalásokon. Utóbbi a Bizottság javaslatában nem is szerepelt, mert 2021-ben még kvázi ismeretlen terület volt. A generatív MI olyan algoritmus-technika, amelynek célja új adatok generálása az előzetesen megtanított adathalmazok felhasználásával. A generatív MI működése a gépi tanulás egy speciális formáján, a mélytanuláson alapul. Ennek során a gép nagy mennyiségű adatot tanulmányoz, amit ’etetésnek’ is szokás nevezni és tipikusan a korábbi humán döntések sokaságának betáplálását jelenti. A kapott információkban az MI és mintákat keres és így megtanul saját döntéseket hozni.

A generatív MI-n alapul a tavalyi év slágere, a ChatGPT, tehát az intelligens szövegszerkesztők. A ChatGPT és a hozzá hasonló a programok képesek az önálló szövegalkotásra bármilyen témában, de akár orvosi kérdések megválaszolására, képleírásra, számitógép programozásra, vagy vitatkozni a felhasználóval. Szakértők szerein ez a tanulási képesség, tehát a generatív MI az igazi technikai forradalom, ami gazdasági ágazatokat állíthat a fejük tetejére, foglalkozásokat tehet feleslegessé. Kutatása és fejlesztése már évek óta tart, de az egyszerű felhasználók és a politika számára is csak tavaly lett közismert a már említett, a neten szabadon hozzáférhető intelligens szövetszerkesztő program, a ChatGPT felfutásával.

Nyilvánvaló, hogy a generatív MI számtalan veszélyt rejteget és jogi kérdést vet fel. Sérti-e egy művész, például egy író szellemi alkotáshoz fűződő jogát, ha művel ’etetik’ a generatív MI-t, hogy aztán az algoritmus az ő stílusában írjon új regényeket? Veszélyforrás, hogy a generatív MI könnyen és nagyon effektíven tudna gyűlöletbeszédet, hamis információkat terjeszteni, választásokat befolyásolni, computer-vírusokat írni, csalást egy módszer automatizálásán keresztül széles körben megvalósítani, vagy akár bomba összeszerelési útmutatókat írni.

Generatív MI vs. szabályozási alapelv

A generatív MI próbára tette a még el se fogadott jogszabály alapelvének alkalmazhatóságát. Felmerült ugyanis, hogy a generatív MI-t általában, az alkalmazási terület veszélyességétől függetlenül kellene szabályozni. Az EP ezt az álláspontot képviselte és számos szabály és tilalom ötletével érkezett az egyeztetésre, amiknek alkalmazási területtől függetlenül kellene vonatkoznia a generatív MI-re. A német, a francia és az olasz kormány képviselője, majd az ő hatásukra a tagállami többség a Tanácsban határozottan ez ellen volt. Minden bizonnyal gazdasági okokból: a három országban több cég üzemeltet és fejleszt a generatív MI-n alapuló alkalmazásokat. Közülük a legismertebb az elsősorban az ipar számára szoftvereteket fejlesztő német óriás, az SAP és a számos iparterületen aktív Siemens. „Különösen a német kormányon olyan erős a gazdasági nyomás, hogy szinte semmi kompromisszumkészséget nem mutatott a képviselője” – osztott meg egy kiszivárgott információt a már idézett Hacker professzor az FAZ-el.[4]

Az FAZ értesülései szerint végül mégis megoldás született. Lesz általános szabályozás, de csak szűk körűl. A generatív MI fejlesztőinek néhány minimumstandardokat a rizikó-besorolástól függetlenül kell teljesíteniük.

• Világossá kell tenni, mely tartalmat hozta létre mesterséges intelligencia.
• Egyértelműen meg kell jelölni, ha a rendszer szerzői jogilag védett adatokat használt fel. Továbbá ennek során meg kell felelni a szerzői jog védelmi előírásoknak.
• A tervezőnek nyilvánossá kell tennie, mit tett annak megakadályozásáért, hogy az MI illegális tartalmat generáljon.

Szigorúbb szabályok csak azokra a generatív MI-n alapuló programokra vonatkoznak, amik a rendszerszerű veszélyforrás kategóriába kerülnek. Ez áll fenn, ha a generatív MI

• befolyásolhat egy kulcs infrastruktúrát, például az áramellátást;
• veszélyezteti a közegészségügyet;
• alkalmas demokratikus döntéshozatali folyamatok, például parlamentek, vagy akár bíróságok működésének a befolyásolására.

A rendszerszerű veszélyforrásnak minősülő generatív MI üzemeltetőjének gondoskodnia kell a program informatikai védelméről, jelentenie kell a működési zavart az illetékes EU szervnek és kötelező az adversarial testing. Ennek során az informatikusok megpróbálják elérni, hogy a program adjon ki olyan, az ’etetés’ alatt felszedett információkat, amik figyelembevétele a későbbi MI általi döntéshozatalnál nemkívánatos. Tehát például az adversarial testing során próbálnak a fejlesztők rájönni, hogy az MI a korábbi emberi döntésekből azt a következtetést vonta-e le, hogy inkább a nőket kell az állásra jelentkezettek közül kirostálni, ahogy ez az Amazonnál történt.

A kérdést, hogy egy program rendszerszerű veszélyforrás-e, az új uniós szakhatóság, az AI Office fogja eldönteni részben informatikai kritériumok alapján. Döntő lesz, mennyire bonyolult, azaz, hány flops a MI. A világhírűvé vált ChatGPT például a határérték alatt lenne, mégis minősülhetne rendszerszerű veszélyforrásnak a felhasználok extrém magas száma miatt.

Korlátozott kockázatú MI

A korlátozott kockázatú MI-rendszereknek csak a minimális átláthatóság követelményének kell megfelelniük. Ennek során biztosítani kell, hogy a felhasználó az MI közreműködése ellenére szabad akaratából hoz döntést az MI segítségével előállt tartalom felhasználásról és az MI további használatáról. Ezen kívül világosan jelezni kell a felhasználónak, mikor kommunikál MI-vel. Ez akkor különösen fontosa, ha az MI kép-, hang- vagy video tartalmat generál vagy manipulál, mint például a deepfakes. Ez egy olyan technológia, amelyben az MI hihetetlenül valósághű, de hamis tartalmakat, leginkább videókat és képeket készít, úgy, hogy nagy mennyiségű adatot használ fel egy adott személyről vagy hangról, majd gépi tanulási algoritmusok segítségével hitelesnek tűnő, mégis hamis felvételt hoz létre. Minél több adatot használt fel az MI a tanulás során, annál hitelesebb az eredmény. Tehát bárkinek a szájába lehet adni bármit, amit sosem mondott.

AI Act: túl szigorú? Túl megengedő?

Mindebből kiderül, hogy az AI Act szabályai viszonylag tág teret adnak a jogalkalmazói értelmezésnek. Ez azonban szükségszerű, ha a jogalkotó el akarja kerülni, hogy a 2026-ra tervezett hatályba lépésekor a szabályok nagy része a gyors technikai fejlődés miatt már használhatatlan legyen.

A tárgyalásokon részt vett egyik szakértő, Kai Zenner a nagy jogalkalmazói szabadsággal kapcsolatos veszélyekre figyelmeztet. „A multinacionális konszernek egész jogi osztályukat be fogják vetni, például hogy megindokolják, miért nem tartozik az MI-rendszerük a rendszerszerű veszélyforrás kategóriájába.”[5] Félelmét igazolja, hogy az európai tech-konszernek az AI Act lazítása mellett vannak. A decemberi tárgyalások előtt óvva intették az EU-t a túl szigorú szabályozástól. Ezek szerintük behozhatatlan előnyt jelentenének az amúgy is gazdasági, méretbeli és ezért technikai versenyelőnnyel induló amerikai konkurenciának. Az amerikai óriásoknak, mint a Google, vagy a Open AI sokkal több anyagi és humán erőforrásuk van a szabályok jogi, illetve technikai megkerülésére – figyelmezettet például az európai IT vállalkozások. Félelmeik szerint az AI Act az európai innováció sírja lehet.

Philipp Hacker, az Odera-Frankfurti Viadrina Európa Egyetem már idézett társadalom és etika professzora más véleményen van. Egy tanulmányra hívja fel a figyelmet a témához kapcsolódó blog-bejegyzésében, amely szerint az MI alapú programok fejlesztési költségének alig egy százalékát okozza a szabályozások való megfelelés. „Annak, aki a Champions League-ban akar játszani, teljesítenie kell az UEFA előírásait” – él közérthető foci hasonlattal. „Az AI Act nem fogja fékezni az innovációt.”[6] Szerinte a szigorú szabályok akár segíthetik is az európai fejlesztőket. Ugyanis ő is arra számít, hogy más országokban is jönni fog a szabályozás, amire az európai fejlesztőknek – az AI Act-nek való megfelelés kényszere miatt – már kész válaszaik lesznek.

Sandra Wachter, az Oxford Internet Institute (OII) technikai szabályozás professzora is az AI Act innovációt gyorsító hatása mellett érvel. A vízforrást és a vízcsapot hozza példának egy publikációjában. „Ha szennyezett a víz, a forrásnál kell megoldani a problémát és nem filter installálni csapok sokaságára, ha effektíven akarjuk megelőzni az emberek megbetegedését.”^[7] Ehhez hasonlóan az MI programokat, és nem a felhasználásukat kell szabályozni. Szerinte az AI Act éppen erre kényszeríti a fejlesztőket: rögtön jogszabály-szerűen működő rendszerekben kell gondolkozniuk. Ez pedig később előny, mert a már meglévő rendszereket utólag alakítgatni, ’fabrikálni’ egy új szabályozás miatt nehézkes és időigényes. Abban pedig Wacht is biztos, hogy előbb utóbb minden nyugati országban, az USA-ban is jönni fog a szabályozás.

Tehát Hacker, Wachter és Zenner is szigorúbb szabályozást javasolják; mindenekelőtt a flops-határérték leszállítását. Hacker a rendszerszerű veszély nélküli programokat is szabályozná; kötelezővé tenné a fejlesztők számára védelmi intézkedéseket a cyber-támadások ellen és a rendszeres tesztelést is. Nem tartja elég széleskörűnek azokat az adatokat se, amiket az üzemeltetőknek nyilvánosságra kellene hozniuk annak érdekében, hogy jogszabályi kötelezettségeik teljesítése ellenőrizhető legyen. De megérti, hogy nem várható el a konszernektől know-how-juk teljes nyilvánosságra hozatala. Ezért azt javasolja, hogy az EU által kiválasztott szakemberek szűk csoportja kapjon mélyreható hozzáférést az MI-üzemeltetőknél az ellenőrzés céljából.

Szankciórendszer

Az AI Act megsértése esetén szankciók alkalmazandók. A szabályokhoz hasonlóan a jogkövetkezmények, mindenekelőtt a pénzbírságok felső határa is az MI-rendszerek kockázat szerinti besorolásához igazodik. A határokon belül kiszabott mérték pedig a jogsértés súlyosságától függ, amit a pénzbírságot kiszabó nemzeti szakhatóságnak kell az eset összes körülményére figyelemmel meghatároznia.

• Tiltott MI-rendszerek üzemeltetőire 35 millió euróig, vagy az előző évi globális bevételük 7 százalékáig terjedő bírság szabható ki.
• Vállalható kockázatú MI esetében 15 millió euróig, vagy az előző évi globális bevétel 3 százalékáig terjedő bírság szabható ki az üzemeltetőkre.
• Valótlan adatok szolgáltatása 7,5 millió euróig, vagy az előző évi globális bevétel 1,5 százalékáig terjedő bírsággal sújtható.
• Kirívóan súlyos és ismételt jogsértés esetén a nemzeti szakhatóság megtilthatja az MI-rendszer további használatát.

A vállalható kockázatú MI esetében a kkv-ékre és start-up-okra alacsonyabb bírságok vonatkoznak. Ezen kívül számukra az EU sandbox-ot, magyarul homokozót hoz létre. Ez az informatikai biztonság területén programok elkülönített futtatására szolgáló biztonsági mechanizmust jelent. Így tehát az éles alkalmazás előtt, a jogszabálysértés elkerülése érdekében, tessztetni lehet az MI-rendszereket.

MI-szakigazgatás

A terület súlyát jelzi, hogy az EU külön szerveket hozott létre, és fog még létrehozni a rendelet adta felhatalmazás alapján.

• A Mesterséges Intelligenciával Foglalkozó Európai Hivatal (AI Office) a Bizottság szakigazgatás, azon belül a Tartalmak, Technológiák és Kommunikációs Hálózatok Főigazgatósága része. Fő feladata az AI Act végrehajtásának koordinálása lesz a tagállamokkal és azok között. Leginkább az általános felhasználású MI-rendszerek fognak a hatáskörébe tartozni.
• A Mesterséges Intelligencia Bizottság már működő, a gazdaság és a civil szféra képviselőiből álló tanácsadó testület. Ennek kell biztosítania, hogy a rendelet végrehajtása során, különösen a kezdeti időszakban eljussanak az EU-hoz a gazdasági szereplők és a felhasználók észrevételei, változtatási javaslatai.
• A már szintén felállt Tanácsadófórum független szakértőkből áll, akiktől azt reméli az EU, hogy a segítségükkel kellő időben értesül az MI technikai, piaci és felhasználási változásairól, amikre aztán jogalkotási szinten reagálni tud.

A tagállamok feladata lesz a nemzeti MI-szakhatóságok létrehozása, vagy egy meglévő megbízása az MI-vel összefüggő feladatokkal. A gyakorlatban ez lesz a gazdasági szereplők közvetlen partnere; ez fog gondoskodni az AI Act gyakorlati alkalmazásáról és ez fogja ellenőrizni az előírások betartását. A szakhatóság feladata lesz, külső szakértők bevonásával, az MI-rendszerek rendeletben előírt hatósági monitorozása is. Tovább a nemzeti szakhatóságoknak kell majd a kapcsolatot tartaniuk az EU szakigazgatási szerveivel.

Jó, hogy jön az AI Act, de sok vonatkozásban nem elég bátor

Így foglalható össze a szakértők túlnyomó többségének véleménye. Azt is hozzáteszik, hogy az AI Act jó kiegészítés lenne jelentős forrásokat a szektor európai szereplőinek rendelkezésére bocsájtani az innovációhoz. Így meg lehetne akadályozni, hogy a – mindenekelőtt amerikai – konkurencia behozhatatlan előnyre tegyen szert. E nélkül félő, hogy „az USA technológiai, míg Európa csak szabályozási MI-világbajnok lesz” – olvasható a találó megállapítás az FAZ egyik témával foglalkozó véleménycikkében.[8]

A cikk a Wolters Kluwer Hungary termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz

[1] Eljárás 2021/0106/COD, COM (2021) 206: Javaslat

[2] https://www.faz.net/aktuell/wissen/computer-mathematik/was-der-ai-act-der-eu-kann-und-was-nicht-19386784.html

[3] https://digital-strategy.ec.europa.eu/hu/policies/regulatory-framework-ai

[4] https://www.faz.net/aktuell/wissen/computer-mathematik/was-der-ai-act-der-eu-kann-und-was-nicht-19386784.html

[5] https://www.kaizenner.eu/post/digital-factsheet-5

[6] https://verfassungsblog.de/whats-missing-from-the-eu-ai-act/

[7] https://www.oii.ox.ac.uk/news-events/thinking-around-corners-how-to-regulate-ai-based-medical-devices-effectively/

[8] Piotr Heller, FAZ Sonntagszeitung NR. 50, 17.12.2023, S. 53.