Sign in Subscribe

Inteligencja sztuczna, odpowiedzialność prawdziwa? Kto odpowie za błędy AI?

Last updated on 
Inteligencja sztuczna, odpowiedzialność prawdziwa? Kto odpowie za błędy AI?
Photo by Barbara Zandoval on Unsplash

Systemy sztucznej inteligencji nie mają atrybutu osobowości prawnej, więc trudno przypisać im odpowiedzialność za szkody wyrządzone użytkownikom. Scenariusze niebezpieczeństw związanych ze stosowaniem AI mogą wydawać się przesadzone, ale zagrożenia dotyczą już teraz rozpowszechnionych urządzeń bazujących na prostszym oprogramowaniu. Na przykład kilka lat temu analitycy bezpieczeństwa z Islandii odkryli wady w inteligentnych zegarkach dla dzieci - informacje o lokalizacji dziecka i jego danych osobowych mogły dotrzeć do przestępców.
O ile AI Act skupia się na zapobieganiu szkodom poprzez nadzór nad bezpieczeństwem systemów, o tyle ważne pozostaje pytanie: Komu wobec tego i jak taką odpowiedzialność przypisać?

Zagrożenia AI, IoT i robotyki

Cechą wspólną AI, IoT oraz robotyki jest dążenie do systematycznego zmniejszania kontroli człowieka nad wykonywanymi przez oprogramowanie zadaniami. W tej sytuacji, biorąc pod uwagę olbrzymie ilości danych, którymi zasilamy AI oraz zjawisko black box, przewidywalność zachowania AI eroduje. Na dokładkę AI jest zależne od internetu, przez co podlega cyberzagrożeniom, które tylko poszerzają listę niebezpieczeństw.


Co więcej, im dalej AI posuwa się w mechanice samouczenia, tym bardziej znajdujemy się w świecie, w którym maszyna może podjąć decyzję istotnie inną niż zakładał producent, a oczekiwał użytkownik. Decyzję krzywdzącą, obarczoną tzw. bias, np. dyskryminującą osobę ubiegającą się o pracę, gdy mówimy o automatycznych systemach rekrutacji.


Kwestia uczenia mechanicznego jest niezwykle problematyczna dla reguł odpowiedzialności za szkodę spowodowaną przez AI. Możemy nie być w stanie ex post zrozumieć, jak i dlaczego algorytm podjął określoną decyzję.
Innymi słowy - na jakim etapie (projekt? rozwój? użytkowanie?) wystąpiła przyczyna. W razie wypadku z udziałem AI twórcy algorytmów mogą być zobowiązani do ujawnienia parametrów projektowych i metadanych zawartych w zbiorach danych, ale to wciąż może pozostawiać wątpliwości co do ciągu wydarzeń prowadzących do błędu AI.

Co mamy teraz

Na poziomie unijnym mamy przepisy dotyczące bezpieczeństwa produktów i odpowiedzialności za produkt (dyrektywa 85/374/EWG), zaś na poziomie krajowym niezharmonizowane ramy odpowiedzialności cywilnej, które zapewniają odszkodowanie z tytułu szkód z różnych przyczyn (takich jak produkty i usługi) oraz regulują kwestię różnych odpowiedzialnych osób (takich jak właściciele, operatorzy lub usługodawcy).

Dyrektywa 85/374/EWG zakłada odpowiedzialność producenta na zasadzie ryzyka za wady w jego produktach. W przypadku szkody fizycznej lub materialnej mamy więc prawo do odszkodowania, jeżeli udowodnimy szkodę, wadę w produkcie (tj. brak zapewnienia bezpieczeństwa) oraz związek przyczynowy między produktem wadliwym a szkodą. Niezharmonizowane przepisy krajowe przewidują odpowiedzialność na zasadzie winy, tj. aby nasze roszczenie zostało uznane, musimy dowieść winy osoby odpowiedzialnej, szkody i związku przyczynowego między wadą a szkodą.

Problem w tym: jak przy systemie AI ustalić, czy szkoda jest rezultatem ludzkiego zachowania, które mogłoby być podstawą roszczenia na zasadzie winy zgodnie z prawem cywilnym? Może to być wybitnie kosztowne i czasochłonne, a w efekcie pozostawiać poszkodowanego bez właściwego zadośćuczynienia.

W chwili obecnej, rozważania post AI Act prowadzą do wniosku, że sposób egzekwowania odpowiedzialności będzie zależeć od rodzaju ryzyka, jakie stwarza dany system sztucznej inteligencji.

W projekcie rozporządzenia PE o odpowiedzialności cywilnej za działania AI mamy takie założenie, że w przypadku systemów wysokiego ryzyka, podmiot odpowiedzialny nie będzie mógł zwolnić się z odpowiedzialności, wykazując że działał z należytą starannością czy argumentując, że system AI był autonomiczny.

Zasada ryzyka występuje w przepisach o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny. Przepisy te wyraźnie rozdzielają funkcje producenta od konsumenta - ten drugi nie ma wpływu na charakter rzeczy, której używa. Zauważ, że inaczej jest w przypadku AI - użytkownik może być współproducentem systemu, ponieważ korzystając z niego dodaje mu danych, na których system się rozwija. Innymi słowy, proces użytkowania zmienia parametry systemu.

Regulacje w toku

Weźmy najbardziej popularny przykład szkody, do której przyczynia się inteligentne oprogramowanie, czyli kejs autonomicznego pojazdu, który na skutek błędu/niedopatrzenia algorytmu powoduje wypadek.

W chwili obecnej przepisy unijne, które korespondują z tą sytuacją możemy podzielić na dwa wymiary:

  • dotyczące bezpieczeństwa produktu, określające jakie warunki musi spełnić pojazd, aby został dopuszczony do ruchu

Te przepisy są specyficzne dla każdej branży, tj. inne dla pojazdów, a inne np. dla zabawek dziecięcych.

  • dotyczące odpowiedzialności za produkt, określające kto odpowiada za ww. sytuację.

Te przepisy możemy podzielić na dwie kategorie: jedna to przepisy unijne, zharmonizowane (Product Liability Directive), druga to przepisy krajowe, właściwe dla każdego państwa członkowskiego np. Kodeks cywilny

To oznaczałoby, że producent inteligentnego oprogramowania musiałby zachować compliance zarówno z przepisami unijnymi, jak i krajowym.

Teraz, jak ten scenariusz zmienia się wraz z wejściem AI Act i zaproponowanej w 2022 r. dyrektywy w sprawie odpowiedzialności za sztuczną inteligencję?

Znów mamy dwa wymiary:

  • unijne przepisy dotyczące bezpieczeństwa produktu, i to jest właśnie AI Act, który kategoryzuje AI w zależności od ryzyka, ale nie określa wprost kto jest odpowiedzialny za szkodę związaną z działaniem systemu AI.
  • unijne przepisy dotyczące odpowiedzialności, na których pakiet składa się:

-> AI Liability Directive, będąca próbą ujednolicenia przepisów państw członkowskich, której wdrożenie stoi pod znakiem zapytania, ponieważ państwa członkowskie nie są chętne do ingerencji w ich systemy prawa w tym zakresie,

-> poprawka do dyrektywy dotyczącej odpowiedzialności za produkt, która ma rozszerzyć standardową dziś odpowiedzialność za produkty na inteligentne oprogramowania

Zajmijmy się poprawką, ponieważ jest większa szansa, że w momencie wejścia w życie AI Act, to ona stanie się prawem.

Z treści przepisów wynika, że konsument musi wykazać defekt oprogramowania.

Pierwsze pytanie, które się tutaj pojawia to pytanie, jakim cudem konsument ma wiedzieć w przypadku systemu AI, że taki defekt był oraz jak ma go wykazać?

UE planuje zaadaptować tu pewien mechanizm. Powiedzmy, że Tesla nie rozpoznaje nas jako człowieka i prowadzi do wypadku. W tej sytuacji, o ile przeżyliśmy, musimy uprawdopodobnić roszczenie. Jeśli to zrobimy, mamy prawo uzyskać od producenta dane, które mogą - przy udziale specjalistów - wskazać przyczynę wypadku w oprogramowaniu pojazdu.

Inny mechanizm to tzw. oczywiste nieprawidłowe działanie produktu. Jeżeli np. autonomiczny pojazd zderzy się frontalnie z ciężarówką - mamy do czynienia z takim właśnie oczywistym defektem.

Ale, poprawka odnosi się bezpośrednio do machine learning i wprowadza kolejny mechanizm. Mówi nam, że skoro AI oparte o machine learning są wybitnie skomplikowane, to wystarczy, że poszkodowany wystąpi z domniemaniem szkody. Co to oznacza? W przypadku domniemania, to producent musi wykazać, że szkoda nie była związana z działaniem oprogramowania.

Generatywna AI a odpowiedzialność

Zastanówmy się przez moment, jak to wszystko odnosi się do generatywnej AI, która przede wszystkim może wprowadzać nas w błąd, który doprowadzi do szkody.

W 2021 r. Trybunał Sprawiedliwości UE orzekł w sprawie C-65/20 Krone, że niedokładne porady zdrowotne zawarte w drukowanym egzemplarzu gazety nie stanowią "wadliwego produktu" w rozumieniu dyrektywy 85/374/EWG w sprawie odpowiedzialności za produkt.

Co to wnosi? Otóż jeśli output generatywnej AI jest błędny - nie mamy kejsa związanego z odpowiedzialnością za produkt.

Jakie zatem przepisy możemy odnieść do generatywnej AI w zakresie dezinformacji?

UE wprowadza tu przepisy regulujące usługi cyfrowe: ustawę o rynkach cyfrowych (DMA) i ustawę o usługach cyfrowych (DSA), które stworzą jednolity zestaw przepisów mających zastosowanie w całej UE.

Prawo to przede wszystkim ma zmusić gigantów technologicznych np. do ułatwienia użytkownikom zgłaszania problemów czy zakazania reklam internetowych skierowanych do dzieci, a za brak compliance grozi sankcjami finansowymi. Ale bez wątpienia sięgnie też po generatywną AI, biorąc pod uwagę już udokumentowane przypadki np. kejs Elizy - obywatel Belgii zakończył swoje życie po sześciotygodniowej rozmowie na temat kryzysu klimatycznego z chatbotem Eliza, który zachęcał go do manifestacyjnego popełnienia samobójstwa.

Podsumowanie

Uregulowanie sprawnych mechanizmów, które ochronią interesy konsumentów korzystających z systemów AI jest i przez najbliższe lata będzie jednym z największych wyzwań prawodawców. Skomplikowane działanie systemów zrodzi olbrzymie problemy na gruncie dowodowym, co może utrudnić dochodzenie roszczeń. Rezultat? Stopniowa utrata zaufania do AI. Już teraz toczą się prawne pojedynki z ChatemGPT. Włochy stały się pierwszym zachodnim krajem, który podjął działania przeciwko ChatGPT pod koniec marca. Krajowy organ nadzorczy ds. ochrony danych stwierdził, że jego twórcy nie mieli podstawy prawnej uzasadniającej przechowywanie i gromadzenie danych osobowych użytkowników w celu szkolenia algorytmów. Przyszłość przyniesie bez wątpienia poważne pytania, na które prawodawcy będą musieli znaleźć wiarygodne odpowiedzi i rozwiązania.