Výhrady k návrhu Nařízení o AI

Návrh AIA

Lehce otřepaná fráze zní, že otázkou není, zda regulace AI bude, ale pouze jaká bude. Ač názory na potřebu regulace samotné se různí, snad všichni se shodneme, že žádoucí je regulace co možná nejkvalitnější. Unijní návrh Nařízení o AI neboli AIA jsme stručně představili v dubnu, nyní se na něj podíváme z kritičtějšího pohledu.

Legislativní projednávání návrhu AIA se odhaduje na 3-5 let. Jako myšlenka je obecně přijímáno převážně kladně. Za přínosnější, než debatovat o smyslu a nutnosti regulace jako takové, považujeme konkrétní a konstruktivní výtky k jednotlivým bodům návrhu. 

Shrnout by se daly takto: lze jen přivítat regulatorní přístup na základě posuzování rizik (risk based assesment). Současně je však sporné, zda má být postaveno na takové míře posuzování sebe sama (self enforcement), s jakou návrh AIA pracuje. Výhrady lze mít i k některým dílčím aspektům návrhu, které se zdají nepřesné a neberou v potaz celkový přístup. A konečně samostatným a velmi komplexním tématem je už samotná definice umělé inteligence či systémů s ní pracujících.

Definice AI a AI systémů

Software, který je vyvinut pomocí jedné nebo více technik a přístupů uvedených v příloze I, a který může pro danou sadu cílů definovaných člověkem generovat výstupy, jako je například obsah, predikce, doporučení nebo rozhodnutí ovlivňující prostředí, s nimiž komunikují.

Návrh AIA reguluje a definuje „AI systémy“, aniž by určil, čím se odlišují od samotné „AI“. Definice AI systémů je navíc pojatá tak široce, že může zahrnovat celé spektrum „obyčejných“ počítačových programů. To může vést k přílišné regulaci systémů nepracujících na bázi strojového učení a tedy nespojených s některými jeho riziky (namátkou komplexnost, závislost na datech, autonomní prvky či netransparentnost). Návrh také pomíjí, že dané systémy se mohou skládat z komponent různých původců či zpřístupněných v odlišných časech a podmínkách.

Působnost návrhu AIA

Nařízení se vztahuje na poskytovatele, kteří uvádějí na trh nebo do provozu systémy UI v Unii bez ohledu na to, zda jsou tito poskytovatelé usazeni v Unii nebo ve třetí zemi.

Teritoritoriální princip AIA lze obecně uvítat. Je však vhodné specifikovat, co přesně se myslí „umístěním“ v EU (ideálně vztažením k zúčastněným osobám, a ne systému samotnému). Lze tak zabránit některým spekulacím a obcházení úpravy.

Kromě toho návrh AIA (na rozdíl třeba od GDPR) nepřipouští výjimku pro výzkumné účely či neupravuje open source software.

Dostatečně vyřešená není ani možnost odlišné (přísnější) úpravy jednotlivých členských států.

Zakázané a vysoce rizikové AI systémy

Je jistě vhodné zcela vyloučit některé škodlivé praktiky v čele s těmi manipulativními a záměrně škodlivými, AIA by však měl řádně specifikovat, co se myslí některými pojmy („podprahové techniky“, či ty „podstatně zkreslující chování“). Nežádoucí je naopak omezení zákazu social scoringu či biometrické identifikace pouze na veřejný sektor, či nezahrnutí zákazu jiných typů rozpoznávání a kategorizace (biometrické BCS či emoční ERS).

Kategorie vysoce rizikových AI systémů jako hlavního předmětu regulace AIA by si také zasloužila důkladnější definici. A to včetně vyřešení otázky, zda je možné stanovit zakázané či vysoce rizikové systémy dodatečně.

Data a databáze

Návrh AIA se na jednu stranu omezuje na regulaci jen některých fází při strojovém učení (trénování, validaci a testování) data setů. Zároveň však od nich vyžaduje naprostou bezchybnost a úplnost, což je prakticky nemožné a navíc zcela pomíjí jiná kritéria pro jejich kvalitu.

Zúčastněné osoby a jejich práva a povinnosti

Založen na posouzení rizik, návrh AIA směřuje povinnost posouzení výhradně na poskytovatele (vývojáře) a (opět na rozdíl od GDPR) pomíjí uživatele. Ty navíc dostatečně neidentifikuje, když například vůbec neřeší situace, kdy bude osob užívajících AI systém celá řada (a ne vždy v úplně srovnatelném postavení).

Neřeší ani vztah k pojmu „fyzické osoby“ (používaném například v rámci požadavku transparentnosti). Uvedené souvisí i s nedostatečným důrazem na účel a způsob užití AI systému v situacích, nad kterými již poskytovatel nemá kontrolu či poskytováním AI jako služby (AI as a Service).

Nevhodným se zdá také pouhý všeobecný důraz na základní práva, nikoliv konkrétní práva jednotlivců. Zároveň však ale pomíjí i určitá kolektivní práva. Chybí v něm totiž možnost kontrolních mechanismů veřejnosti včetně možnosti podání stížností či námitek. Návrh AIA zkrátka nestanoví žádná nová práva, jen vybrané povinnosti.

Vztah návrhu AIA k souvisejícím právním předpisům

Ačkoliv si AIA do značné míry bere za vzor zmíněné GDPR, v několika aspektech volí (neodůvodněně) odlišný přístup. Nejasné zůstává také zařazení AIA do širšího rámce nových předpisů týkajících se digitalizace a dat. Především ale vztah k úpravě soukromoprávní odpovědnosti v čele s PLD směrnicí  (v této souvislosti aktuálně probíhá konzultace budoucí úpravy ohledně nových technologií).

Výchozí a související dokumenty

Výše uvedené závěry vychází především z detailního rozboru členů Robotics and AI Law Society. Rozboru opatření proti možné společenské újmě způsobené AI se široce věnuje například článek Nathalie A. Smuha.

Máte k tématu dotazy či komentáře?

Začněme spolupracovat ještě dnes

Kontaktujte nás