Transparentny czyli jawny, przeźroczysty lub lekko prześwitujący. Transparentny może być przekaz, farba czy sukienka. Transparentna może być też – wreszcie – a tak właściwie to powinna być sztuczna inteligencja (AI). W artykule wyjaśniam skąd ta transparentność wynika oraz o wyzwaniach, jakie są z nią związane w tym obszarze.
Zacznijmy od ugruntowanej już w praktyce zasady transparentności wynikającej z Rozporządzenia o Ochronie Danych Osobowych (“RODO”), która brzmi następująco: „Przetwarzanie powinno odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą”. Zasada przejrzystości dotyczy informowania o tożsamości administratora, celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o ich przetwarzanych danych osobowych.
Dane osobowe w systemach AI
W przypadku, gdy w systemach AI przetwarzane są dane osobowe zasada transparentności może być realizowana dwojako. Zobowiązanymi do jej wykonywania administratorami w przypadku AI mogą być zarówno dostawcy systemów AI, jak i ich użytkownicy, czyli przedsiębiorstwa korzystające z systemów.
Będzie to na początku sytuacja “karmienia” modeli AI danymi osobowymi. Wykorzystania ich jako danych wejściowych. Jeśli w Europie mamy do czynienia z danymi osobowymi powinniśmy mieć do tego podstawę prawną, jedną z nich – możliwą do zastosowania w kontekście trenowania AI – jest zgoda na przetwarzanie osoby, której dane dotyczą.
Jedną z popularnych metod pozyskania dużej ilości danych jest web-scrapping (pozyskiwanie danych ze stron internetowych). Z punktu widzenia ochrony danych osobowych pojawia się tu ryzyko gromadzenia ich bez żadnej podstawy prawnej. Internauci publikujący w sieci zazwyczaj nie wyrażają zgody na to, aby ich dane osobowe były wykorzystywane komercyjnie do trenowania modeli. Jeśli opublikowane przez nich treści będą wykorzystywane do trenowania modeli powinni oni być o tym poinformowani i mieć możliwość wycofania się z udziału w takim procesie (tzw. “opt out”).
Obowiązek dotyczący transparentnej AI staje się w kontekście AI Act niezależny od przetwarzania danych osobowych. Umieszcza on transparentność wśród metazasad, która powinna być utrzymywana przez cały cykl życia systemów AI.
Podobne wątpliwości pojawiają się na gruncie ochrony praw autorskich. Podnoszone jest to, że twórcy treści nim chronionych powinni być wynagradzani za wykorzystywanie ich dzieł do uczenia systemów AI. Zasygnalizowane powyżej aspekty są głośno dyskutowane (korzystanie z wytwarzanego przez AI wizerunku artystów było jednym z głównych postulatów protestującego Hollywood), weszły już też na sale sądowe (zainteresowanych tematem odsyłam np. do sporu Open AI i The New York Times). Próby interwencji podjęli również unijni ustawodawcy w AI Act (ale o tym później).
Kolejnym przypadkiem, do którego prowadzi zasada transparentności w RODO w kontekście AI jest wykorzystywanie systemów AI do przetwarzania danych osób fizycznych. Będzie to miało miejsce przede wszystkim, gdy system będzie profilował użytkowników i podejmował wobec nich decyzje w sposób zautomatyzowany.
Na podstawie Art. 22 RODO, jeśli zautomatyzowana decyzja wywołuje wobec osób skutki prawne lub istotnie na nią wpływa osoba ma prawo jej nie podlegać, chyba że decyzja została podjęta za wyraźną zgodą tej osoby, jest niezbędna do zawarcia umowy z organizacją, lub jest dozwolona na mocy określonych przepisów prawa. Osoby, wobec których podjęto zautomatyzowane decyzje powinny więc zostać jasno informowane o tym procesie, mieć możliwość uzyskania wyjaśnienia dotyczącego logiki i kryteriów zastosowanych do podjęcia tej decyzji oraz zakwestionowania decyzji.
Warto zwrócić uwagę, że jeżeli system o opisanych funkcjonalnościach będzie implementowany w organizacji, to obowiązujące w niej regulaminy i polityki prywatności powinny jasno o takim przetwarzaniu danych informować.
Przejrzystość oznacza, że systemy sztucznej inteligencji są opracowywane i wykorzystywane w sposób umożliwiający odpowiednią identyfikowalność i wyjaśnialność, jednocześnie uświadamiając ludziom, że komunikują się lub wchodzą w interakcje z systemem AI.
Transparentność w AI Act
Przejdę teraz do przepisów świeżych, których funkcjonowanie w praktyce rynek będzie dopiero weryfikował – mowa o Artificial Intelligence Act (AI Act). Transparentność w przypadku AI wychodzi poza ramy pojęciowe RODO. Obowiązek dotyczący transparentnej AI staje się tu bowiem niezależny od przetwarzania danych osobowych.
AI Act umieszcza transparentność wśród metazasad, która powinna być wdrażana zaczynając od etapu tworzenia systemów AI i utrzymywana przez cały jej cykl życia. Powinna stanowić punkt wyjścia przy interpretowaniu AI Act i opracowywaniu kodeksów postępowania na jej mocy.
Jak przejrzystość definiuje sam AI Act? Przejrzystość oznacza, że systemy sztucznej inteligencji są opracowywane i wykorzystywane w sposób umożliwiający odpowiednią identyfikowalność i wyjaśnialność, jednocześnie uświadamiając ludziom, że komunikują się lub wchodzą w interakcje z systemem sztucznej inteligencji, a także należyte informowanie podmiotów wdrażających o możliwościach i ograniczeniach tego systemu sztucznej inteligencji, a osoby, których on dotyczy, o przysługujących im prawach.
Obowiązki w zakresie przejrzystości w AI Act dotyczą:
1. Systemów sztucznej inteligencji wysokiego ryzyka – high-risk – powinny być projektowane w sposób, który zapewni przejrzystość ich działania, umożliwiającą użytkownikom interpretację wyników działania systemu i ich właściwe wykorzystanie.
2. Systemów AI niekwalifikujących się jako high-risk, które charakteryzują się jednak konkretnymi funkcjonalnościami: bezpośrednio wchodzą w interakcję z człowiekiem; generują dźwięk, obraz, wideo lub text; wykorzystywane są do wykrywania emocji lub kategoryzacji biometrycznej; generują lub manipulują treściami audio lub video (technologia DeepFake).
3. Modeli AI tzw. ogólnego przeznaczenia – wyrazem realizacji zasady transparentności jest tutaj przede wszystkim nakładany na dostawców modeli AI ogólnego przeznaczenia obowiązek publicznego udostępniania szczegółowego podsumowania treści wykorzystywanych do szkolenia modelu, w szczególności tekstu i danych chronionych prawem autorskim.
Ze skonkretyzowanymi obowiązkami w zakresie przejrzystości mamy do czynienia w AI Act na trzech, różnych płaszczyznach.
AI wysokiego ryzyka
Po pierwsze, będzie to przejrzystość wymagana od systemów klasyfikowanych jako AI wysokiego ryzyka – high-risk. Systemy sztucznej inteligencji wysokiego ryzyka powinny być projektowane w sposób, który zapewni przejrzystość ich działania, umożliwiającą użytkownikom interpretację wyników działania systemu i ich właściwe wykorzystanie.
Przejrzystość jest też tutaj wyznacznikiem, w jaki sposób powinna zostać zapewniana zgodność z innymi obowiązkami nakładanymi na dostawców systemu high-risk (np. przy sporządzaniu dokumentacji technicznej lub systemów zarządzania jakością).
Pogłębieniem realizacji zasady przejrzystości jest również konieczność dołączenia do systemów AI wysokiego ryzyka instrukcji obsługi zawierającej zwięzłe, kompletne, poprawne i jasne informacje, które będą zrozumiałe dla użytkowników. AI Act precyzuje jakie elementy powinny się w takiej instrukcji znaleźć.
Wymagania wobec systemów o konkretnych funkcjonalnościach
Główne obowiązki wynikające z AI Act dotyczą systemów AI wysokiego ryzyka i to przede wszystkim dostawcy i użytkownicy, których systemy kwalifikują się do tej kategorii powinni szczególnie uważnie do AI Act się przygotować.
Zasada transparentności przełamuje jednak systematykę AI Act i zostaje wyjęta przed nawias. Kierowana jest również do systemów AI niekwalifikujących się jako high-risk, które charakteryzują się jednak konkretnymi funkcjonalnościami.
Będą to systemy, które:
- bezpośrednio wchodzą w interakcję z człowiekiem – osoby powinny być informowane, że wchodzą w interakcje z AI, chyba że jest to oczywiste z punktu widzenia osoby rozsądnie dobrze poinformowanej, uważnej i ostrożnej, biorąc pod uwagę okoliczność i kontekst użycia;
- generują dźwięk, obraz, wideo lub text – wytworzone z ich użyciem treści powinny być w formacie nadającym się do odczytu maszynowego i wykrywalne jako sztucznie wygenerowane;
- wykorzystywane są do wykrywania emocji lub kategoryzacji biometrycznej – konieczne jest informowanie o działaniu systemu osoby fizyczne wobec których systemy są stosowane (tutaj też pojawia się odesłanie, że takie przetwarzanie powinno być zgodne z RODO);
- generują lub manipulują treściami audio lub video (technologia DeepFake) – tutaj również konieczne jest informowanie, że treści zostały zmanipulowane i wykrywalne jako sztucznie wygenerowane, chociaż pojawia się też złagodzenie wymogu w kontekście ewidentnie twórczego zastosowania materiału.
Podkreśla się, że opisane powyżej informacje powinny być przekazywane w sposób jasny i wyraźny, najpóźniej w momencie pierwszej interakcji z danym systemem AI. Należy nadmienić, że prawodawca wprowadza też wyjątki i ograniczenia opisanych obowiązków transparentności, które wiążą się przede wszystkim z zastosowaniem systemów AI w celu wykrywania przestępstw.
Dobór odpowiedniego otoczenia regulacyjnego do danego systemu AI i jego zastosowania będzie wymagał każdorazowo dokładnej analizy. Na pewno ponad AI Act pojawią się dodatkowe wytyczne sektorowe, przepisy na poziomach krajowych i dalsze przepisy unijne.
Modele AI ogólnego przeznaczenia
Po trzecie, na mocy ostatnich zmian do AIA (wynikających m.in. z wzrostu popularności rozwiązań generatywnej sztucznej inteligencji) została wyróżniona jeszcze jedna grupa, wobec której zasady transparentności będą szczególnie istotne – są tzw. modele AI ogólnego przeznaczenia. Wyrazem realizacji zasady transparentności jest tutaj przede wszystkim nakładany na dostawców modeli AI ogólnego przeznaczenia obowiązek publicznego udostępniania szczegółowego podsumowania treści wykorzystywanych do szkolenia modelu, w szczególności tekstu i danych chronionych prawem autorskim.
Transparentność materializuje się też w obowiązku dokumentowania technicznego modelu – procesu jego szkolenia, testowania oraz wyników oceny. Twórcy modeli ogólnego przeznaczenia będą musieli dostarczać taką dokumentację na żądanie urzędowi ds. AI i innym organom krajowym. Ponadto konieczne będzie przygotowanie dokumentacji udostępnianej dostawcom systemów AI, którzy będą planowali zintegrować dany model ogólnego przeznaczenia do ich systemów AI. Dokumentacja powinna przede wszystkim umożliwiać dostawcom dobre zrozumienie możliwości i ograniczeń modelu.
Wymagania wobec obu rodzajów dokumentacji zostały rozwinięte w załącznikach do AIA i obejmują zarówno ogólne opisy modeli jak i bardziej szczegółowe aspekty jak m.in. informacje na temat danych wykorzystanych do szkolenia, testowania i walidacji w tym rodzaj i pochodzenie danych, a także sposób, w jaki dane zostały uzyskane i wybrane oraz środki mające na celu wykrycie nieodpowiednich źródeł danych. Warto nadmienić, że powyższe obowiązki są ograniczane wobec modeli AI ogólnego przeznaczenia udostępnionych na darmowych oraz licencjach open source.
Jeśli w Europie mamy do czynienia z danymi osobowymi powinniśmy mieć do tego podstawę prawną, jedną z nich – możliwą do zastosowania w kontekście trenowania AI – jest zgoda na przetwarzanie osoby, której dane dotyczą.
Czy całkowita transparentność jest w ogóle osiągalna?
Podsumowując opisane w artykule obowiązki wynikające z zasady transparentności, z punktu widzenia osoby zobowiązanej kierowane są one w obu aktach do innych podmiotów. W AI Act kierowane są do dostawców i użytkowników systemów AI, w RODO zaś do administratorów danych osobowych. Natomiast patrząc przez pryzmat systemów AI – RODO będzie nakładać obowiązki na wszystkie systemy AI, które przetwarzają dane osobowe, AI Act przede wszystkim będzie koncentrował się na tych z kategorii wysokiego ryzyka.
W AI Act podkreśla się, że to rozporządzenie nie wyłącza obowiązków w zakresie transparentności wynikających z innych przepisów. Obowiązki nakładane przez RODO będą istotne równolegle z AI Act. Wskazano, że systemy AI powinny być rozwijane w zgodzie z istniejącymi przepisami dotyczącymi prywatności i ochrony danych. W efekcie choć transparentność z RODO ma inny wydźwięk niż transparentność z AI Act to niewątpliwie te obowiązki (oraz całe akty) oddziałują na siebie i pozostają ze sobą w ścisłym związku.
Widzimy, że dobór odpowiedniego otoczenia regulacyjnego do danego systemu AI i jego zastosowania będzie wymagał każdorazowo dokładnej analizy. Na pewno ponad AI Act pojawią się dodatkowe wytyczne sektorowe, przepisy na poziomach krajowych oraz dalsze przepisy unijne, które będą miały na celu rozwijanie zasad umieszczonych w AI Act – prace nad wypracowaniem transparentności AI będą procesem ciągłym i bardzo złożonym.
Przykładów jest wiele: złożoność systemów AI utrudnia dokładne wywiązanie się z obowiązku informacyjnego zawartego w RODO. Francuski organ ochrony danych osobowych Commission Nationale de l’Informatique et des Libertés (CNIL) wydał więc wytyczne, wg których – w przypadku, gdy dane nie zostały zebrane bezpośrednio przez administratora danych wdrażającego system AI i trudno jest wrócić do osób, których dane dotyczą – w wyjątkowych przypadkach możliwe jest odstąpienie od prawa do bycia poinformowanym (np. przy przetwarzaniu danych do celów badań naukowych). Ponadto, niedawno opublikowana rezolucja parlamentu europejskiego dotycząca propozycji zmian w zakresie streamingu muzyki wskazuje, że powinna zostać opracowana specjalna etykieta, która będzie informowała użytkowników, że dany utwór został stworzony przez AI, wzywa również do zwiększenia poziomu transparentności systemów AI służących do rekomendacji treści dla użytkowników.
Co do zaś do postawionego pytania, czy transparentność jest osiągalna, chyba nie podejmę się odpowiedzi. Wolałabym je zadać twórcom systemów AI. Z punktu widzenia prawniczki mogę powiedzieć, że naszą rolą jest ustanawianie i stosowanie zasad, które będą kompromisowym rozwiązaniem godzącym interesy różnych stron, ważącym różne dobra. Systemy AI z założenia nie są transparentne. Sam pomysł, aby zamknąć skomplikowaną sztuczną inteligencję w ramy instrukcji obsługi wydaje się trochę kuriozalny. Wiele obowiązków stawianych wobec systemów AI będzie zero jedynkowych, ale wiele wypracowanych zasad jest również wyznacznikiem, do którego należy dążyć – próbą określenia ogólnych wytycznych wobec technologii, które jako społeczeństwo chcemy rozwijać.
Czy usuwanie treści z wytrenowanych modeli jest możliwe? Czy kształt przepisów RODO przystaje do skomplikowanego cyklu życia AI? Czy jesteśmy w stanie jasno wytłumaczyć jak AI działa? Pytań i wątpliwości pozostaje dużo. Samo ustalanie już końcowego tekstu AI Act poprzedzone było długimi i burzliwymi dyskusjami. Najbliższe lata pokażą i zrewidują, w jaki sposób przepisy znajda zastosowanie w życiu. Niewątpliwie jednak im lepszą zgodność z przepisami dostawcy AI będą potrafili zapewnić tym bardziej konkurencyjne na rynku stanie się ich rozwiązanie.
Paulina Perkowska, Associate, kancelaria Osborne Clark Poland, specjalizuje się w prawie autorskim oraz prawie nowych technologii