Co jeśli AI zawiedzie, czyli odpowiedzialność cywilna za sztuczną inteligencję

W polskim systemie prawa cywilnego mianem „czynu niedozwolonego”, tudzież „deliktu”, określa się zdarzenie prawne, z którego wystąpieniem łączy się powstanie zobowiązania do naprawienia szkody – bądź w naturze, bądź poprzez zapłatę odszkodowania pieniężnego.

Pojęcie „czynu niedozwolonego” ma znaczenie techniczne (F. Zoll, Zobowiązania w zarysie według polskiego Kodeksu zobowiązań, Warszawa 1948, s. 119). Odnosi się ono do szerokiego wachlarza możliwych zdarzeń, niekoniecznie będących wynikiem zachowania człowieka, jednakże skutkujących zagrożeniem lub naruszeniem dóbr, a w efekcie mogącym prowadzić do powstania szkody.

Polski Kodeks cywilny zawiera bogaty katalog takich, innych niż bezpośrednie czyny człowieka, zdarzeń. Tytułem przykładu wskazać można art. 431 k.c., który reguluje odpowiedzialność za szkody spowodowane przez zwierzęta lub art. 435 k.c., odnoszący się do odpowiedzialności prowadzącego przedsiębiorstwo wprawiane w ruch za pomocą sił przyrody. Co więcej, owa „techniczność” pojęcia „czynu niedozwolonego” objawia się również w fakcie, że dla powstania obowiązku naprawienia szkody nie ma znaczenia, czy dany czyn był prawnie zakazany lub chociażby negatywnie oceniany społecznie.

Odpowiedzialność deliktowa za zdarzenia wywołane działaniem AI

Powyższe uwagi mają niebagatelne znaczenie, bowiem otwierają możliwość, aby w ogóle rozmawiać o odpowiedzialności deliktowej za zdarzenia wywołane działaniem sztucznej inteligencji. Ciężko sobie wyobrazić, aby sztuczna inteligencja, jako taka, ponosiła „winę” za jakiekolwiek swoje „zachowania” i ich skutki. Z całą pewnością jednak może ona być przyczyną zaistnienia zdarzeń, które mogą prowadzić do naruszenia dóbr innych podmiotów, co z kolei prowadzić może do powstania u tych podmiotów szkody.

Sztuczna inteligencja może być zatem przyczyną powstania deliktu. Tytułem przykładu, można wskazać: wypadek spowodowany przez samochód autonomiczny; zbicie szyby w oknie przez dron sterowany przez AI; obrażenia spowodowane w fabryce przez kierowanego za pomocą AI robota; zniszczenie zawartości inteligentnej chłodni przez błąd w wyborze temperatury; skierowanie komornika do niewłaściwej osoby przez system AI.

Zasadniczym pytaniem, na które trzeba znaleźć odpowiedź, to jaka jest podstawa odpowiedzialności za taki delikt oraz kto powinien tę odpowiedzialność ponosić. Jak należy prawnie kwalifikować delikty związane z funkcjonowaniem sztucznej inteligencji?

Wbrew pozorom pytanie to nie jest ani przesadnie nowe, ani ubogie w możliwe odpowiedzi. W istocie, w polskiej nauce prawna dyskusja na ten temat toczy się już od przynajmniej kilku lat. Jej efekty potwierdzają przy tym ponadczasowość konstrukcji funkcjonujących w prawie cywilnym, które przyzwoicie radzą sobie z wyzwaniami rzucanymi im przez nowe technologie. Te dywagacje naukowe mają przy tym coraz większe znaczenie dla biznesu.

Szkody wywołane przez AI i człowieka, który z niej korzysta

Potencjalne szkody, które mogą zostać wywołane przy użyciu sztucznej inteligencji są niezwykle zróżnicowane, podobnie jak zróżnicowana może być ich przyczyna. Należy pamiętać, że AI może działać jako „czysto software’owe” narzędzie do pracy na danych, jak i jako operator autonomicznych pojazdów i maszyn (samochody, drony, roboty itp.). Szkody mogą mieć charakter majątkowy lub niemajątkowy (krzywda ludzka). Wreszcie, szkody mogą zostać wywołane przez człowieka przy użyciu sztucznej inteligencji (AI jako narzędzie) lub „autonomicznie”, bez jego bezpośredniego udziału.

Czyny niedozwolone wywołane przez człowieka, jak np. atak hakerski z wykorzystaniem sztucznej inteligencji, nie stanowią wielkiego wyzwania z punktu widzenia analizy odpowiedzialności deliktowej. Oceniać je można jak tradycyjne czyny niedozwolone, popełniane z wykorzystaniem specyficznego narzędzia. Pewien problem pojawia się jednak w sytuacji, kiedy to sztuczna inteligencja „samodzielnie” – bez wiedzy i woli człowieka – wywoła jakieś zdarzenie faktyczne, którego skutkiem będzie szkoda danego podmiotu. W anglosaskiej literaturze prawniczej występuje pojęcie „liability gap” i oznacza ono sytuację, w której występuje luka prawna odnosząca się do możliwości przypisania odpowiedzialności. Czy tego typu sytuacja może istnieć w polskim porządku prawnym?

Po pierwsze, podmiotów, którym mogłaby zostać potencjalnie przypisana odpowiedzialność jest na pierwszy rzut oka tak dużo, że ciężko wskazać ten właściwy: projektant algorytmów, producent, podmiot wdrażający lub trenujący model AI, użytkownik końcowy.

Po drugie, należy pamiętać, że rzeczywistość zawsze pozostaje o krok przed prawem. Niechybnie więc w prawie powstawać muszą luki. W takich przypadkach jednak prawo cywilne radzi sobie od wielu lat swoją podstawową bronią: analogią. Analogia jest w prawie cywilnym zabiegiem absolutnie podstawowym, zwyczajnym i stanowi niekwestionowaną zasadę (J. Nowacki, Analogia legis, Warszawa 1966, s. 218–221). Z tego też powodu nawet jeżeli mielibyśmy do czynienia z czymś na kształt „liability gap”, to lukę tę można (i należy) wypełnić, stosując analogię. System prawa cywilnego nie zniósłby próżni.

Wybór zasady odpowiedzialności za sztuczną inteligencją

Kluczowym pytaniem w kontekście odpowiedzialności cywilnej za AI jest wybór zasady tej odpowiedzialności, spośród: zasady winy (uznawanej często za domyślną w prawie cywilnym, wiążącej się z największymi trudnościami dowodowymi dla poszkodowanego), winy w nadzorze, ryzyka (znacznie korzystniejszej dla poszkodowanego), słuszności, czy może wręcz zasady gwarancyjnej (obecnej szerzej właściwie tylko w umowach ubezpieczenia i gwarancji).

Dla tzw. słabej sztucznej inteligencji (tj. przeznaczonej do realizacji zadań jednego rodzaju o stosunkowo nieznacznym stopniu złożoności), jeśli jest ona realnie wyłącznie narzędziem w rękach człowieka (tzn. poziom jej autonomii jest niewielki), nie ma przeszkód, aby stosować zasadę winy. Użycie sztucznej inteligencji nie różni się tutaj niczym od np. intencjonalnego poszczucia psem (poprzez wydanie mu polecenia ataku) lub użyciem łomu (A. Chłopecki, Sztuczna inteligencja – szkice prawnicze i futurologiczne, Warszawa 2021 r., SIP Legalis).

Problem wyłania się w sytuacji, w której człowiek nad sztuczną inteligencją systemowo nie panuje, tzn. poziom jej autonomiczności jest wysoki. Pojawia się wówczas poczucie, że zasada winy może być nieadekwatna. Operator czy producent AI nie powinien móc „umyć rąk”, bo AI zachowała się inaczej, niż przewidział.

Proponuje się czasem (zob. A. Chłopecki, Sztuczna inteligencja – szkice prawnicze i futurologiczne, Warszawa 2021 r., SIP Legalis), aby dysponent AI niebędący przedsiębiorcą odpowiadał na zasadzie winy w nadzorze, a dysponent AI będący przedsiębiorcą na zasadzie ryzyka. W praktyce zatem przedsiębiorca odpowiadałby za każdy skutek działania AI, o ile nie byłby spowodowany okolicznością niedotyczącą AI (np. gdy ktoś wskakuje pod koła auta autonomicznego, albo gdy błąd AI wynika z ataku hakerskiego, przed którym nie dało się obronić); a konsument odpowiadałby za szkodę wyrządzoną przez sztuczną inteligencję, o ile w sposób nieprawidłowy („niezgodny z instrukcją”) by z niej skorzystał. Jest to ciekawa koncepcja, jednak tylko koncepcja. Póki co nie ma podstaw w ustawie.

Niezależnie od tego, prawo daje pewne podstawy, które należy wykorzystywać w kontekście AI – instytucje odpowiedzialności za pojazd i za przedsiębiorstwo wprawiane w ruch za pomocą sił przyrody. Można też przyjrzeć się odpowiedzialności za zwierzęta, jako ciekawej koncepcji, do której można sięgać przez analogię. Trwają już także prace nad specjalnymi przepisami dot. odpowiedzialności za AI, jednolitymi w całej Unii Europejskiej.

Przypadek 1: przedsiębiorstwo wprawiane w ruch za pomocą sił przyrody

Reżim odpowiedzialności oparty na zasadzie ryzyka, dotyczący przedsiębiorstw wprawianych w ruch za pomocą sił przyrody, jest potencjalnie bardzo atrakcyjnym z punktu widzenia osoby dochodzącej roszczeń i można się spodziewać, że będzie cieszyć się największą „popularnością” w zakresie szkód powodowanych przez AI wykorzystywaną w przemyśle.

Zgodnie z art. 435 k.c., odpowiedzialność na zasadzie ryzyka ponosi każdy podmiot prowadzący na własny rachunek przedsiębiorstwo lub zakład wprawiany w ruch za pomocą sił przyrody, w szczególności pary, gazu, elektryczności, paliw płynnych. Przyjmuje się, że owo „wprawianie w ruch za pomocą sił przyrody” oznacza, że przedsiębiorstwo wykorzystuje bezpośrednio siły przyrody w ramach procesów polegających na przetwarzaniu energii na pracę lub inne postacie energii z wykorzystaniem maszyn lub innych urządzeń, będąc wprawiane w ruch jako całość przez te siły przyrody w tym sensie, że funkcjonowanie przedsiębiorstwa jest uzależnione od wykorzystania tych sił przyrody (por. m.in. w wyroku Sądu Najwyższego z dnia 27.9.2018 r., III PK 77/17).

Wydaje się zatem, że przedsiębiorstwa, które używają szeroko rozumianych robotów lub maszyn sterowanych w jakimś zakresie przez AI, będą podlegać regulacji art. 435 k.c. Znakomicie pasują tutaj zakłady energetyczne, kopalnie, fabryki, automatyczne magazyny czy lotniska. Spełniona zostaje przy tych przykładach przesłanka „przetwarzania” energii celem „wprawiania w ruch” przedsiębiorstwa – a zatem jego funkcjonowanie dzięki „pracy” robotów czy maszyn.

Warto zauważyć, że kwestia sterowania przez AI jest tutaj obojętna (liczy się źródło energii dla przedsiębiorstwa), ale opisywana instytucja, choć leciwa, znakomicie wpisuje się w aktualne potrzeby. Natomiast w zakresie przedsiębiorstwa, którego istotną część wprawiającą w ruch jest oprogramowanie, lub – idąc dalej – którego działalność wyczerpuje się wyłącznie w obszarze wirtualnym, np. wirtualna elektrownia sterowana AI, nie będzie można stosować art. 435 k.c. (zob. A. Michalak, Odpowiedzialność cywilnoprawna w obrocie oprogramowaniem komputerowym w erze sztucznej inteligencji).

Zasada ryzyka dotycząca ruchu przedsiębiorstwa będzie oznaczać, zgodnie z art. 435 k.c., że dysponent tego przedsiębiorstwa będzie odpowiadał za każdą szkodę wyrządzoną osobie trzeciej, nawet jeśli nie był tego winien (np. kiedy zdarzyło się coś nieprzewidzianego, mimo utrzymywania staranności w nadzorze nad przedsiębiorstwem). Granicą odpowiedzialności będą tutaj – zgodnie z przepisem – siła wyższa albo wyłączna wina poszkodowanego lub osoby trzeciej pozostającej poza odpowiedzialnością dysponenta przedsiębiorstwa (czyli poza odpowiedzialnością będzie szkoda wywołana np. pogwałceniem przez pracownika oczywistych norm bezpieczeństwa).

W naszej opinii, w sferze postulatów legislacyjnych, pożądane byłoby zbudowanie dla przedsiębiorców posługujących się AI w sposób mogący powodować znaczące szkody, w zakresie w jakim nie obejmuje takiej działalności art. 435 k.c., analogicznego mechanizmu.

Przypadek 2: odpowiedzialność posiadacza autonomicznego pojazdu

Analiza art. 435 k.c. od razu kieruje uwagę czytelnika na jego rozwinięcie – art. 436 k.c., statuujący odpowiedzialność samoistnego posiadacza mechanicznego środka komunikacji poruszanego za pomocą sił przyrody (przepis mówi, że do posiadacza takiego pojazdu stosuje się taką samą zasadę odpowiedzialności jak do dysponenta przedsiębiorstwa z art. 435 k.c.). Słusznie na myśl przychodzą od razu autonomiczne samochody, zatem tego wątku odpowiedzialność deliktowej nie sposób w tym miejscu pominąć.

Pojazd autonomiczny z całą pewnością jest objęty dyspozycją art. 436 k.c., z tego samego powodu, z którego praca maszyn czy robotów może przesądzać o kwalifikacji przedsiębiorstwa jako wprawianego w ruch za pomocą sił przyrody, niezależnie od zastosowanego w nich oprogramowania. Pojazd autonomiczny ma wszystkie cechy tradycyjnego pojazdu, a ponadto posiada dodatkową cechę, jaką jest sterowanie przez software. Nie ma zatem żadnego powodu, aby nie stosować do niego art. 436 k.c.

Problemem na tle odpowiedzialności za pojazd autonomiczny pozostaje jednak kwestia podmiotu odpowiedzialnego – czy powinien to być twórca oprogramowania, producent samochodu, a może jego użytkownik? Aktualna treść art. 436 k.c. dość stanowczo przesądza tę kwestię, obciążając odpowiedzialnością użytkownika (posiadacza samoistnego) pojazdu (przepis wskazuje go wprost). Należy przy tym przypomnieć, iż jest to odpowiedzialność oparta o zasadę ryzyka (odpowiedzialność wyłącza tylko siła wyższa albo wyłączna wina poszkodowanego lub osoby trzeciej), która uzasadniona jest aspektem istotnego niebezpieczeństwa związanego z poruszaniem się takim środkiem transportu.

Wydaje się, że w przyszłości korzystanie z aut sterowanych przez AI może powodować na drogach mniejsze niebezpieczeństwo niż kierowanie przez człowieka i instytucja art. 436 k.c. może stać się zupełnie nieaktualna. Na chwilę obecną, co do zasady, posiadacz pojazdu autonomicznego odpowiada za szkody wyrządzone przez ten pojazd. Dla porządku należy przy tym zwrócić uwagę, że odpowiada każdorazowo posiadacz samochodu, a więc osoba sprawująca nad nim faktyczne władztwo, nie zaś wyłącznie jego właściciel. O ile jest to nadal sensowne dla aut wspomagających kierowcę, o tyle wydaje się to jednak mało słuszne w odniesieniu do prawdziwie autonomicznych aut.

Z istoty samochodów autonomicznych wynika, że rola “operatora”, oprócz tego, że wyznacza cel podróż, właściwie sprowadza się do biernego pasażera. Dlaczego zatem on miałby ponosić ryzyko odpowiedzialności za błąd software’u sterującego autem albo jego sensorów? Wydaje się tutaj konieczna interwencja ustawodawcza, przypisująca odpowiedzialność deliktową za zdarzenia z udziałem samochodów autonomicznych jego producentom lub dystrybutorom (dyskusję na ten temat komplikuje fakt, że niewątpliwa w przyszłości dominacja na ulicach miast aut autonomicznych może głęboko przeobrazić model własnościowy samochodów).

Jako twórcy lub nabywcy i podmioty kontrolujące modele AI sterujące samochodami (i w jakimś zakresie odpowiadający za fizyczne czujniki zainstalowane w aucie), producenci lub dystrybutorzy są najwłaściwszymi podmiotami, którym odpowiedzialność powinna zostać przypisana. Z ducha przepisów Kodeksu cywilnego wynika bowiem, że odpowiedzialność podąża za kontrolą zjawiska czy obiektu.

Jak już było mowa wyżej, omawiana odpowiedzialność nie jest absolutna i doznaje ograniczeń takich samych jak w art. 435 k.c. Są nimi sytuacje, gdy szkoda powstała wskutek: działania siły wyższej; z wyłącznej winy poszkodowanego; z wyłącznej winy osoby trzeciej, za którą posiadacz nie ponosi odpowiedzialności. Od razu uwagę przykuwa wyłączna wina osoby trzeciej. Czy może to być zatem przykładowo wina twórcy oprogramowania lub producenta pojazdu? Wydaje się, że jak najbardziej. Niestety, szanse dowodowe na wykazanie, że szkoda powstała z wyłącznej winy jednego z tych dwóch podmiotów są niskie.

Widać tu jak na dłoni konieczność zmian prawa przed dopuszczeniem pojazdów autonomicznych do powszechnego użytku. Na marginesie, ma to niebagatelne znaczenie dla systemu ubezpieczeń obowiązkowych, w zakresie którego przepisy ustawy o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych ustalają wysokość odszkodowania na mieszczącą się „w granicach odpowiedzialności cywilnej posiadacza lub kierującego pojazdem”.

Dodatkowo, nie jest jasne czy hipoteza normy art. 436 k.c. pokrywa drony, czyli obiekty poruszające się w powietrzu, służące rozrywce, fotografice i filmowaniu, albo do przenoszenia paczek. Naszym zdaniem drony sterowane przez AI powinny zostać uregulowane w aspekcie odpowiedzialności w taki sam sposób, jak samochody autonomiczne.

Przypadek 3: odpowiedzialność za AI, a odpowiedzialność za zwierzę domowe

Niezbyt oczywistą, ale wartą rozważenia jest możliwość zastosowania do sztucznej inteligencji art. 431 k.c. – przepisu konstruującego odpowiedzialność za posiadane zwierzę. Porównanie AI do zwierzęcia rodzi pewien wewnętrzny konflikt, bowiem wydaje się być równocześnie adekwatne i nietrafione. Z jednej strony sztuczna inteligencja jest tworem niematerialnym, sztucznym, stworzonym przez człowieka, efektem skomplikowanej pracy programistycznej i matematycznej. Zwierzę z kolei jest istotą żywą o ograniczonym, względem człowieka, stopniu świadomości i poziomie inteligencji.

Równocześnie, zarówno sztuczna inteligencja – na obecnym poziomie rozwoju – jak i zwierzęta, mają pewne, wspólne cechy, które mogą nabrać znaczenia prawnego. Przede wszystkim zarówno sztuczna inteligencja jak i zwierzęta, cechują się przynajmniej pewnym stopniem autonomiczności działania. Są w stanie się uczyć, nabywać nowe umiejętności i działać samodzielnie, a jednak nie sposób mówić o ich świadomości (w znaczeniu pełnym), czy intencji. Człowiek ma na nie ogromny wpływ, ale nie jest w stanie zdeterminować lub przewidzieć każdego ich zachowania.

Zwierzęta i modele AI pozostają przy tym pod kontrolą człowieka, co samo w sobie nasuwa pojęcie „nadzór”. Z powyższych powodów ani zwierzęciu, ani sztucznej inteligencji, nie da się obecnie przypisać czegoś takiego jak wina za żadne ze swoich działań, można ją z kolei przypisać nadzorującemu człowiekowi. Czy odpowiedzialność za zachowanie AI można opierać na tożsamych podstawach jak odpowiedzialność za zwierzę?

Zgodnie z art. 431 § 1 k.c., „kto zwierzę chowa albo się nim posługuje, obowiązany jest do naprawienia wyrządzonej przez nie szkody niezależnie od tego, czy było pod jego nadzorem, czy też zabłąkało się lub uciekło, chyba że ani on, ani osoba, za którą ponosi odpowiedzialność, nie ponoszą winy”. Z kolei z godnie z § 2 tego przepisu: „chociażby osoba, która zwierzę chowa lub się nim posługuje, nie była odpowiedzialna według przepisów paragrafu poprzedzającego, poszkodowany może od niej żądać całkowitego lub częściowego naprawienia szkody, jeżeli z okoliczności, a zwłaszcza z porównania stanu majątkowego poszkodowanego i tej osoby, wynika, że wymagają tego zasady współżycia społecznego”.

Ww. konstrukcja sprowadzałaby się do tego, że operator AI odpowiada za jej działania, chyba że mimo starannego działania zgodnie z instrukcjami, AI wymknęła się spod kontroli. Być może zasadne będzie stosowanie art. 431 k.c. odpowiednio, przez analogię. Również ustawodawca mógłby wprost przewidzieć podobny mechanizm dla AI.

Przypadek 4: odpowiedzialność za produkt niebezpieczny

Rozważając możliwość stosowania względem sztucznej inteligencji przepisów o produktach niebezpiecznych napotykamy zasadniczy problem – art. 4491 § 2 k.c. stanowi, iż „przez produkt rozumie się rzecz ruchomą, choćby została ona połączona z inną rzeczą; za produkt uważa się także zwierzęta i energię elektryczną”. Czy zatem przepisy dotyczące rzeczy, a zatem w rozumieniu Kodeksu cywilnego – przedmioty materialne, można stosować do sztucznej inteligencji? Jeśli chodzi o sam model AI i oprogramowanie, w którym jest osadzony, odpowiedź jest negatywna. Regulacje o produkcie niebezpiecznym, zgodnie z intencją ustawodawcy unijnego, mają dotyczyć rzeczy – materialnych obiektów, nie oprogramowania (zob. J. M. Kondek, Odpowiedzialność odszkodowawcza za oprogramowanie i sztuczną inteligencję [uwagi de lege lata i de lege ferenda], Prawo prywatne, Warszawa 2021).

Nie ma natomiast przeszkód, aby umieścić AI w reżimie odpowiedzialności za produkt wtedy, kiedy jest ona elementem jakiegoś przedmiotu materialnego, tj. stanowi oprogramowanie obsługujące rzecz, np. robota czy zabawkę. Przesłanką warunkującą dopuszczalność takiej kwalifikacji jest „zakotwiczenie” sztucznej inteligencji w świecie materialnym i „powiązanie” lub zintegrowane jej z rzeczą. Natomiast nie może znaleźć się w takim reżimie samo „czyste” oprogramowanie, zarówno udostępniane per se, czy tym bardziej w modelu SaaS.

Reżim produktów niebezpiecznych zakłada, że jeśli produkt jest niebezpieczny (tj., zgodnie z art. 4491 k.c., niezapewniający bezpieczeństwa, jakiego można oczekiwać, uwzględniając normalne użycie produktu, czyli zachowujący się w sposób, którego nie można było oczekiwać – np. jeśli telefon się przegrzewa i doprowadza do poparzenia, albo robot kuchenny wybucha), to za szkodę wywołaną przez produkt niebezpieczny odpowiada producent przedmiotu (a w pewnym zakresie także dystrybutor czy importer). Wydaje się, że jest to interesująca opcja prawna dla ucieleśnionej AI (w robotach, dronach i innych pojazdach, sprzęcie AGD, zabawkach, czujnikach i innych urządzeniach).

Należy pamiętać, że odpowiedzialność za produkt niebezpieczny doznaje licznych ograniczeń, w tym: gdy właściwości niebezpieczne produktu ujawniły się po wprowadzeniu go do obrotu, chyba że wynikały one z przyczyny tkwiącej poprzednio w produkcie; gdy nie można było przewidzieć niebezpiecznych właściwości produktu, uwzględniając stan nauki i techniki w chwili wprowadzenia produktu do obrotu, albo gdy właściwości te wynikały z zastosowania przepisów prawa; a także, w odniesieniu do rzeczy zniszczonych przed produkt niebezpieczny – gdy nie były one używane przede wszystkim do osobistego użytku (czyli reżim ochrony za szkody na mieniu właściwie w niewielkim zakresie może dotyczyć przedsiębiorców).

Niezależnie od ograniczeń, reżim odpowiedzialności za produkt niebezpieczny wydaje się właściwie nas chronić w obszarze „życia codziennego” w zakresie AI ucieleśnionej w produktach, których niechybnie będziemy na co dzień używać.

Przypadek 5: odpowiedzialność kontraktowa

W przeciwieństwie do odpowiedzialności deliktowej, czy za produkt niebezpieczny, nie wydaje się, aby odpowiedzialność kontraktowa – z tytułu niewykonania lub nienależytego wykonania umowy – wymagała szczególnych zmian powodowanych przez rozwój rozwiązań AI. Ten rodzaj odpowiedzialności, w naszej kulturze prawnej, opiera się na zasadzie wolności stron (skoro można się umówić, co „będzie się robiło” to tym bardziej można się umówić co do efektów, gdy „nie zrobi się tego, co się miało zrobić na podstawie umowy”). Doznaje ona pewnych ograniczeń (w Polsce wina umyślna – art. 473 § 2 k.c.; w krajach anglosaskich przeważnie fizyczna szkoda na osobie), jednak nie są one zbyt daleko posunięte.

Na rynku IT od lat funkcjonuje zbiór standardów, które powtarzają się praktycznie w każdej umowie. Należą do nich: wyłączenie odpowiedzialności za utracone korzyści (np. jeśli „padnie” system transakcyjny banku z winy dostawcy IT, to dostawca odpowiada wtedy w granicach kosztu naprawienia „popsutych” elementów, ale nie odpowiada za wartość transakcji bankowych, które bank zrealizowałby, gdyby system nie doznał awarii); ograniczenie całkowitej odpowiedzialności za szkody do wartości kontraktu (np. 100% wynagrodzenia za wdrożenie i licencjonowanie systemu); wyjątki od ww. ograniczenia odpowiedzialności, obejmujące aktualnie najczęściej (oprócz winy umyślnej wynikającej z przepisów): rażące niedbalstwo, szkodę wywołaną istnieniem wady prawnej produktu, ujawnieniem informacji poufnych, naruszeniem w obszarze danych osobowych, naruszeniem istotnych zasad cyberbezpieczeństwa; wyłączenie rękojmi za wady fizyczne.

Należy się spodziewać, że opisany wyżej standard utrzyma się również dla umów dot. AI. Zmiany, jakie zajdą, mogą dotyczyć rozszerzenia listy wyjątków od limitu odpowiedzialności. W naszej ocenie powinny do nich dołączyć szkody wynikające z niezapewnienia przez AI-providera leżących po jego stronie wymagań z AI Act. Mogą to być też inne rodzaje szkód, które są specyficzne dla AI i potencjalnie dotkliwe.

Kwestia mechanizmów kontraktowych w zakresie odpowiedzialności za AI została szerzej omówiona w artykule „Jak zakontraktować projekt na wdrożenie algorytmów AI”. Tutaj należy jedynie podkreślić, że sankcje wynikające z umowy powinny być odpowiednio zagregowane z odpowiednio opisanymi wymaganiami wobec modelu AI, w tym parametrami jakościowymi w kontrakcie. Wymagania te i parametry nie mogą być prostą kalką postanowień z dotychczasowych umów IT ubraną w nowy AI-owy wording. Konieczne jest ich realne dostosowanie do celów i wyzwań związanych ze sztuczną inteligencją.

Należy mieć na uwadze, że niezależnie od tego kto aktualnie lub w przyszłości będzie odpowiadał za szkody wywołane przez określone systemy czy modele AI, już dzisiaj, kontraktując ich dostarczenie, trening, rozwój i utrzymanie, trzeba mieć wyobraźnię i odpowiednio się zabezpieczyć. Podmioty, które są lub z dużym prawdopodobieństwem będą wystawione na „front” odpowiedzialności jako producenci lub dystrybutorzy produktów lub usług AI. Wcale nie musi to dotyczyć klasycznych AI-providerów; to mogą być firmy przewoźnicze udostępniające autonomiczne taksówki, banki korzystające z AI, placówki medyczne stosujące AI do diagnozy; fabryki korzystające z AI sterującego robotami przemysłowymi., etc.

„Kupując” AI, z której będą korzystać dla obsługi klientów, firmy powinni stosować odpowiednie mechanizmy kontraktowe, które w razie zgłoszenia szkody przez konsumenta, pozwolą im następnie „przerzucić” poniesione koszty na dostawcę (tzw. regres) albo zaangażować go do aktywnej obrony przed roszczeniami osób trzecich.

Odpowiedzialne podejście do tematu odpowiedzialności

Kwestia odpowiedzialności cywilnej za AI jest mocno pofragmentowana. Pewne, istniejące instytucje wydają się być gotowe na nowe wyzwania rzucane przez sztuczną inteligencję. Inne wymagają drobnych modyfikacji, a czasem po prostu otworzenia na AI. Stoimy także w obliczu obszarów, które mogą ulegać istotnym przeobrażeniom, zwłaszcza w wyniku działań legislacyjnych Unii Europejskiej.

Rosnąca w coraz szybszym tempie obecność sztucznej inteligencji w otaczającej nas rzeczywistości będzie powodować rosnącą liczbę szkód spowodowanych jej (nie)działaniem. Wzrost liczby problemów z AI wymusi reakcje w prawie. Albo na poziomie jego stanowienia, albo na poziomie jego stosowania (sądy mogą naginać granice instytucji cywilistycznych w drodze nowej interpretacji przepisów). Status quo co prawda przedstawia się jako pełen wyzwań, ale dający dobry fundament do poradzenia sobie z AI.

Organizacje zastanawiające się, czy inwestować w rozwiązania AI nie powinny traktować kwestii odpowiedzialności cywilnej jako „blokera”. Wprost przeciwnie, akurat w tym zakresie prawu wystarczą drobne parametryzacje i rekonfiguracje, bez potrzeby przepisywania i zmiany struktury (co nie jest już takie pewne w kontekście praw autorskich, o czym była mowa w artykule „Trudne związki sztucznej inteligencji i prawa autorskiego”).

Nie mniej, należy spodziewać się niespodziewanego i być gotowym na rozwój sytuacji w różnych kierunkach. To znaczy, że pewne ryzyka, które mogą generować ruchy ustawodawców i sądów w zakresie odpowiedzialności deliktowej za AI, trzeba przewidywać i zabezpieczać w umowach między dostawcami rozwiązań AI, a ich klientami, którzy następnie będą dalej dystrybuować produkty lub usługi wykorzystujące sztuczną inteligencję.

Wyobraźnia, intuicja prawnicza oraz znajomość materii AI są nieodzownymi atrybutami wymaganymi od prawników zajmujących się kontraktami dot. AI.

Piotr Kaniewski, Counsel, Adwokat, kancelaria Osborne&Clarke Polska
Krzysztof Kowacz, Counsel, Adwokat, kancelaria Osborne&Clarke Polska

Dyrektywa odpowiedzialności za sztuczną inteligencję (AILD)

Niedawno Komisja Europejska przedstawiła projekt aktu prawnego, który może na tę sytuację dość istotnie wpłynąć. Mowa o wniosku Komisji Europejskiej z dnia 28 września 2022 r., w którym proponuje ona nową dyrektywę unijną, dotyczą odpowiedzialności za sztuczną inteligencję – Dyrektywę Parlamentu Europejskiego i Rady w sprawie dostosowania przepisów dotyczących pozaumownej odpowiedzialności cywilnej do sztucznej inteligencji (AILD). Projekt dyrektywy niejako zastępuje wcześniej zaproponowany projekt rozporządzenia. Rozporządzenie obowiązuje w identycznym brzmieniu w każdym kraju UE. Tymczasem każdy kraj UE ma odrębny system odpowiedzialności cywilnej. Regulowanie pewnego jego wycinka rozporządzeniem mogłoby prowadzić do jego rozbicia.

Dyrektywa AILD natomiast wyznacza zasady i kierunki odpowiedzialności deliktowej za AI, pozwalając na ich implementację w porządkach prawnych państw członkowskich we właściwy dla nich sposób, z uwzględnieniem lokalnej specyfiki. Tak poczyniono m.in. z odpowiedzialnością za produkt niebezpieczny.

Co do meritum, projekt AILD zakłada szereg interesujących zmian w uregulowaniach dotyczących deliktów popełnianych przy udziale AI. Przede wszystkim, dotyka ona wyłącznie czynów niedozwolonych opartych na zasadzie winy. Jak bowiem głosi art. 2 ust. 1 AILD: „niniejsza dyrektywa ma zastosowanie do pozaumownych cywilnoprawnych roszczeń odszkodowawczych opartych na zasadzie winy w sytuacjach, gdy szkoda spowodowana przez system sztucznej inteligencji”. Zatem nie będzie ona miała zasadniczo zastosowania np. do sytuacji, o których mowa w art. 435 lub 436 k.c. (przedsiębiorstwa wprawiane w ruch siłami przyrody i pojazdy mechaniczne). Modyfikuje jednak istotnie regulacje poza tymi obszarami.

Najważniejsze zmiany AILD sprowadzają się do wprowadzenia domniemań korzystnych dla poszkodowanych i „przerzucenia” ciężaru dowodu na operatorów AI. Art. 4 ust. 1 AILD wprowadza generalną zasadę, zgodnie z którą: „z zastrzeżeniem wymogów ustanowionych w niniejszym artykule sądy krajowe domniemywają, do celów stosowania przepisów dotyczących odpowiedzialności na potrzeby roszczenia odszkodowawczego, istnienie związku przyczynowego między winą pozwanego a wynikiem uzyskanym przez system sztucznej inteligencji lub faktem nieuzyskania przez taki system wyniku”, jeżeli zostaną spełnione wszystkie warunki wymienione w tym przepisie (wykazanie winy polegającej na niedochowani należytej staranności; związek z nieprawidłowym działaniem AI; zaistnienie szkody wskutek nieprawidłowego działania AI).

Wydaje się, że stosunkowo łagodny reżim odpowiedzialności na zasadzie winy, zostaje za pomocą AILD przesunięty w stronę odpowiedzialności na zasadzie ryzyka. Następuje bowiem, efektywnie, eliminacja dwóch przesłanek zasadności roszczenia odszkodowawczego (przesłanki zawinienia oraz adekwatnego związku przyczynowego), natomiast pozwany może się od odpowiedzialności uwolnić, jeżeli domniemania te obali. Odpowiedzialność na zasadzie winy ulega zatem znacznemu zaostrzeniu.

Trudno jednoznacznie ocenić co ma na myśli Komisja Europejska mówiąc o istnieniu związku przyczynowego między winą, a wynikiem uzyskanym przez system sztucznej inteligencji. W polskim prawie cywilnym, co do zasady, wykazać należy związek przyczynowy między danym zdarzeniem, a szkodą, nie zaś między danym zdarzeniem, a winą. Zachowanie sprawcy z kolei może być zawinione lub nie. Być może jest to pewien skrót myślowy, oznaczający domniemanie związku przyczynowego pomiędzy zawinionym zachowaniem pozwanego a szkodą powoda. Wskazuje jednak na pewną niechlujność terminologiczną prawodawcy unijnego. I trudności, przed jakimi stanie polski ustawodawca implementujący AILD (praktyka wskazuje, że w Polsce implementacja oznacza proste tłumaczenie na język polski).

AILD wprowadza też ciekawe modyfikacje do zasad procesowych (procedury cywilnej) w zakresie AI. Zgodnie z jej art. 3 ust. 1, ma zostać zapewnione, że „sądy będą uprawnione – na wniosek potencjalnego powoda, który wcześniej zwrócił się do dostawcy [lub do innej osoby z długiej listy w dyrektywie – przyp. autorów], o ujawnienie istotnych dowodów, którymi osoby te dysponują, dotyczących konkretnego systemu sztucznej inteligencji wysokiego ryzyka, co do którego istnieje podejrzenie, że spowodował szkodę, jeżeli taki potencjalny powód spotkał się z ich strony z odmową, lub na wniosek powoda – do nakazania ujawnienia dowodów”.

W przepisie chodzi o pokrycie realnego problemu w postaci sytuacji, w której poszkodowany nie jest w stanie dotrzeć do dowodów, że model AI zadziałał nieprawidłowo. Jednak przyjęty mechanizm należy oceniać z dużą dozą ostrożności. Nie jest bowiem wiadome jaki miałby być realny kształt takiego uprawnienia oraz jaka miałaby być jego relacja z już istniejącymi w porządkach krajów unijnych podobnych prerogatywami sądu (mamy takie w k.p.c.).

Opisana wyżej propozycja rodzi również potencjalne ryzyka w zakresie ochrony tajemnicy przedsiębiorstwa. Uprawnienie sądu może być bowiem wykorzystywane w celu uzyskania od dostawcy AI informacji wrażliwych. Należy też zauważyć, że AILD nie precyzuje, w jaki sposób informacje dowodowe powinny zostać dostarczone, co wróży problemy ze stosowaniem.

Na czym zatem miałaby polegać praktyczna wartość projektowanego „uprawnienia” sądów krajowych? Odpowiedzi możemy szukać w art. 3 ust. 5 AILD, zgodnie z którym, w przypadku gdy pozwany nie zastosuje się do nakazu ujawnienia lub zabezpieczenia dowodów, którymi dysponuje, (…), sąd krajowy domniemywa, że pozwany nie zastosował się do odpowiedniego obowiązku dochowania należytej staranności, w szczególności w okolicznościach, (…), które miały zostać wykazane za pomocą wnioskowanych dowodów na potrzeby odpowiedniego roszczenia odszkodowawczego. Przepis ten wprowadza zatem obligatoryjne domniemanie przez sąd krajowy winy nieumyślnej podmiotu w sytuacji niezastosowania się przez niego do zobowiązania sądu, którego nałożenie ma jednak charakter wyłącznie fakultatywny.

Chęci były dobre – oznacza to intencję ukarania podmiotu, który albo nie chce ujawnić dowodów, albo ich wcale nie zbiera (to poniekąd komplementarne z wymaganiami AI Act wobec odnotowywania przyczyn działania modelu AI). W praktyce może to być kolejne trudno egzekwowalne roszczenie. Czy dostarczenie materiałów, które są nieczytelne nawet dla dobrego analityka danych, będzie czyniło zadość wymaganiom dyrektywy? To tylko pierwsze z problematycznych pytań, na które AILD nie przynosi odpowiedzi.

Propozycja Komisji Europejskiej jawi się jako wycinkowa, kazuistyczna i wprowadzająca więcej zamieszania, niż rzeczywiście praktycznych narzędzi. Przede wszystkim, reżim odpowiedzialności na zasadzie w winy w przypadku sztucznej inteligencji ze swojej istoty jest obszarem znacznie ograniczonym i dotyczy w przeważającej mierze przypadków, kiedy winę te można przypisać ludzkiemu zachowaniu, a zatem sprawcą szkody musi być człowiek, posługujący się sztuczną inteligencją, nie zaś sztuczna inteligencja działająca autonomicznie (tj. niepodlegająca systemowej kontroli człowieka). Po drugie, nie wydaje się, aby istniało racjonalne uzasadnienie dla dokonywania tak daleko idącej ingerencji w istotę odpowiedzialności deliktowej na zasadzie winy, zamiast wprowadzenia regulacji poddającej te typy czynów niedozwolonych odpowiedzialności na zasadzie ryzyka. Należy wręcz wprost zadać pytanie, po co tego typu wynaturzenia zasady winy? Nie byłoby prościej wprowadzić zasady ryzyka dla dużych przedsiębiorców posługujących się AI?

Propozycja unijna zdaje się być próbą osiągnięcia jakiegoś bliżej niesprecyzowanego kompromisu, którego cel pozostaje jednak niejasny. W naszej ocenie, propozycja Komisji Europejskiej powinna być traktowana z dużą dozą ostrożności, a kluczowe znaczenie będzie mieć sposób jej implementacji przez ustawodawcę krajowego, co powinno nastąpić poprzez nowelizację Kodeksu cywilnego oraz Kodeksu postępowania cywilnego. Należy mieć też nadzieję, że w toku unijnych prac legislacyjnych dojdzie do dość głębokich zmian w AILD, które doprowadziłyby do jej uproszczenia i podniesienia technicznego poziomu przepisów.