Az MI-rendelet kockázatalapú megközelítése a felelősségi kérdések vonatkozásában
Az új uniós rendelet választ ad a szolgáltatók és a felhasználók közötti felelősségi kérdésekre, valamint arra, hogy hogyan nézhet ki a végrehajtás Európában a GDPR után.
Közel három évvel az Európai Bizottság javaslata után, az Európai Parlament március 13-án „elsöprő többséggel” elfogadta a mesterséges intelligenciáról szóló, (EU) AI Act névre keresztelt rendeletet, amely a világ első átfogó mesterségesintelligencia-szabályozásának tekinthető.
Az EU MI-törvénye kockázatalapú megközelítést alkalmaz a technológia szabályozásában, és különböző követelményeket és végrehajtási mechanizmusokat határoz meg attól függően, hogy az AI-rendszerek milyen kockázatot jelenthetnek a felhasználók számára. Hatálya szándékosan széleskörű, nemcsak a robosztusság okán, hanem azért is, mert megosztja a megfelelőségi követelményeket az AI-rendszerek fejlesztői és telepítői között – ez a megközelítés egyesek szerint egyedülálló az EU-szabályozásban.
Ismert kockázatalapú megközelítés
A végleges szöveg minden meglepetés nélkül követi az Európai Unió eredeti kockázatalapú megközelítését a mesterséges intelligencia szabályozására vonatkozóan. A törvény a mesterséges intelligencia rendszereit különböző kockázati szintekre – elfogadhatatlan, magas, korlátozott és minimális – osztja fel.
„A legtöbb mesterséges intelligencia, az általunk ismert generatív AI (artificial intelligence – a ford.) rendszerekre jellemző átláthatósági követelményekkel korlátozott vagy a minimális kockázati kategóriába fognak tartozni” – magyarázta Sara Susnjar, a Winston & Strawn párizsi partnere.
A spektrum másik végén a tiltott MI rendszerek állnak, mint például a közösségi pontozásra vagy valós idejű távoli biometrikus azonosításra való technológiák.
A magas kockázatú felhasználási esetek, amelyeket egyesek a szabályozás magjának tekintenek, több garanciális jelentőségű, úgynevezett átláthatósági kritériumnak kell megfeleljenek. Egyrészt ilyen az AI-eszközök termékbiztonsági szempontjainak biztosítása – gondoljunk csak az önvezető autókra.
„Sok olyan termékbiztonsági eszköz kell a biztonságos használathoz, melyek az EU eszköztárában rendelkezésre állnak, mint például a CE (Comformite Europeene – európai megfelelőség – a ford.) jelölés, a kockázatértékelés és mindazok a dolgok, amelyeket az EU szabályalkotásában használnak és ismernek” – magyarázta Charles-Albert Helleputte, az EU adatvédelmi, kiberbiztonsági és digitális eszközök gyakorlatának vezetője.
Olyan szintén magas kockázatú rendszerekre is kiterjed a rendelet hatálya, amelyeket az egészségügyi diagnosztika, a prediktív igazságszolgáltatás, illetve a munkavállalók megfigyelése vagy értékelése keretében használnak, így egyértelműen érintve az egyének alapvető jogait.
„Mindegyik szabályozási elem hatékony, mert sok olyan mesterségesintelligencia-felhasználást érintenek, amelyekkel a piaci szereplők valószínűleg már rendelkeznek, vagy hamarosan fognak. Továbbá, ha megnézzük a fejlesztők és a felhasználók helyzetét az EU MI-rendeletében, akkor a láthatjuk a felelősségi körök eltolódását, azonban a határvonal nem ilyen egyértelműen meghatározható.” – mondta Helleputte.
A szolgáltatók és felhasználók közötti felelősségi kérdések azóta fennállnak, hogy a generatív mesterségesintelligencia-eszközök ellen felmerültek az első jogi panaszok. A rendelet azonban megadta az egyértelmű választ: a felelősség mindkét felet terheli.
A gyakorlati tapasztalások azt mutatják, hogy a szolgáltatókat és a fejlesztőket terheli a legtöbb megfelelési követelmény. Így az, hogy a felhasználók hogyan kezelik a mesterségesintelligencia-eszközöket, meghatározza, hogy milyen kötelezettségekkel kell szembenézniük.
„A rendelet egyértelműsíti, hogy ha a rendszert telepítő jelentős változtatást eszközöl a technológia alapelemeiben, akkor fejlesztő és telepítő is lesz egy személyben” – mondta Ashley Casovan, az Adatvédelmi Szakértők Nemzetközi Szövetségének ügyvezető igazgatója. „Véleményem szerint sok érdekes végrehajtási kérdést kell majd feltennie a tudományos diskurzusnak azzal kapcsolatban, hogy mit jelent a „jelentős változtatás” esete.
A trükkös genAI
A végső normaszöveg sok tekintetben bizonyítéka annak a feszült megalkuvásnak, amelynek tavaly decemberben meg kellett történnie a generatív mesterséges intelligencia fejlődése miatt. Akkoriban egy tárgyalásokban részt vevő névtelen forrás azt mondta a Reutersnek, hogy a jogalkotók „kimerültek” és „pihenésre van szükségük”.
A 272 oldalas rendelet már csak kétszer utal kifejezetten „generatív modellekre”, de ezeket a rendszereket az úgynevezett „általános célú MI (GPAI – global partnership of artificial intelligece – globális MI partnerség – a ford.) modellek keretei közé sorolta. Attól függően, hogy ezek a modellek „rendszerszintű kockázatot” jelentenek-e, eltérő követelmények vonatkozhatnak rájuk.
„Megvan az a közvetítő kategória is [az átláthatósági követelmények], amely a magas kockázatú MI rendszereket igyekszik korlátok és garanciák közé szorítani. Nem éppen a legjelentősebb kategória, de a lépcsőzetes rendszer közepén helyezkedik el, így rengeteg nehézséghez gördít végrehajtás elé, hiszen speciálissá teszi a szabályozást. Na ez trükkös folyamat lesz.” – mondta Helleputte.
„Azokra a technológiákra, melyek „rendszerkockázatot” jelentő modellnek minősülnek, kvázi magas kockázati követelmények vonatkoznak majd” – magyarázta. Másoknak meg kell felelniük az átláthatósági és közzétételi kötelezettségeknek.
„Az átfogó szabályozás sajátosság, hogy a generatív mesterségesintelligencia-modellek végrehajtása nem tagállami szinten, hanem uniós hivatali szinten valósul majd meg” – mondta. Hozzátette: „Ez a fajta hibrid végrehajtási modell önmagában bizonyosan nehézségeket fog okozni.”
Egyesek úgy vélik, hogy ez az egyedülálló végrehajtási rendszer válasz arra a kritikára, amelyet egyes adatvédelmi hatóságok kaptak a GDPR végrehajtásának kezelése és a tagállamok közötti egységes végrehajtás biztosítása miatt.
„Az uniós szintű centralizáció mögött meghúzódó szándék annak biztosítása, hogy a Bizottság legyen az, akinek jogában áll érvényesíteni a rendeletben szereplő szabályokat azokkal az eszközökkel szemben is, amelyeket nem az EU-ban fejlesztettek ki. Természetes azt elkerülendő, hogy ezt a tagállamokra hagyják, nehogy esetleg úgy döntsenek, hogy lesznek elég következetesek” – jegyezte meg Helleputte.
Ha az EU AI-hivatala felügyeli ezeket a GPAI-modelleket, az lehetővé teszi a hatóságok számára, hogy megbízható nyilvántartást, regisztert vezessen az összes ilyen típusú rendszerről az átláthatóság érdekében.
A más kockázati szintekbe tartozó rendszerek esetében a végrehajtást a GDPR végrehajtási mechanizmusaihoz hasonló módon delegálják. Minden tagállam köteles kijelölni egy hatóságot, amely nemzeti szinten juttatja érvényre a rendeletet. Néhány uniós ország, köztük Spanyolország és Írország, már kiválasztotta illetékes hatóságát.
„Brüsszel-hatás”
Tavaly nyáron a Meta, a Renault és az Airbus több mint 150 vezetője nyílt levelet adott ki a jogalkotók felé, melyben ragaszkodtak hozzá, hogy vizsgálják felül az AI Act rendelkezéseit, különben külföldre helyezik át tevékenységüket.
Bár ezeknek a vállalatoknak a többsége végső soron nem valószínű, hogy teljesen kivonja jelenlétét az EU-ból, a szabályok megkerülése igen jelentős problémának bizonyul, különösen mivel más országok is fontolgatják, hogyan alkosság meg saját, mesterséges intelligenciával kapcsolatos szabályozási kereteiket.
Még mindig vita tárgyát képezi, hogy a „brüsszeli hatás” milyen mértékben lesz érezhető, de a legtöbb adatvédelmi szakértő arra számít, hogy a rendelet hatásai legalább a nyugatibb országokra is átterjednek, mint például az Egyesült Államok, Kanada vagy az Egyesült Királyság.
Megfigyelhető, hogy a mesterséges intelligencia más angolszász jogrendszerekben történő szabályozására irányuló erőfeszítések a rendelet zárószavazása előtt nemsokkal kezdődtek. Elsőként a mesterséges intelligencia biztonságos, biztonságos és megbízható fejlesztéséről és használatáról szóló elnöki rendelettel az Egyesült Államokban. Bár az Egyesült Királyságban ehhez hasonló jogalkotási előrelépés nem történt, a kötelező mesterségesintelligencia-elveket mindkét állam már a tavalyi évben megjelentette.
„Ez határozottan katalizátora a mesterséges intelligenciát jelentő technológiáról és a szabályozási kérdésekről szóló világméretű vitának” – mondta Susnjar.
Az AI Act – a korábbi európai szabályozásoktól eltérően – erős elvekre támaszkodik. Olyan értékeket foglal magában a szabályozás, melyek nem feltétlenül érvényesülnek a világ más részein. Épp ezért sajnos a töredezettség valószínűleg idejekorán éreztetni fogja destruktív hatását.
„Meglátásom szerint kifejezetten érdekes lesz látni, hogyan alakul a vita olyan országokban, amelyek mesterséges intelligencia-nagyhatalmakká válnak” – mondta Casovan. „Sőt, különösen érdekel, hogy vajon mi fog történni Indiában és Kínában.”
Fordította: Takács Fanni Bernadett
Eredeti cikk: Inside the EU AI Act’s Risk Classes, Liability Placement and Enforcement