Europa susitarė – naujas DI reguliavimas bus

Po intensyvių tris paras trukusių derybų ES institucijoms pavyko rasti kompromisą dėl Dirbtinio intelekto (DI) akto pagrindinių nuostatų. Pats teisės akto tekstas artimiausiu metu dar bus detalizuojamas ir turės būti oficialiai patvirtintas Europos Parlamente bei ES Taryboje. Dienos šviesą išvysiantis principinis DI akto variantas leis DI žaidimo taisykles nustatyti jau dabar ir parodys kelią (arba užtvaras) didiesiems rinkos žaidėjams vystant vis pažangesnes savo produktų versijas.

DI aktas bus pirmasis tokios plačios apimties DI gamintojams ir naudotojams privalomus reikalavimus nustatantis teisės aktas pasaulyje. Už reikalavimų nesilaikymą jame nustatomos milžiniškos baudos, skaičiuojamos procentais nuo įmonių metinės apyvartos. Už sunkiausius pažeidimus numatytos net iki 7. 5% metinės apyvartos arba 35 mln. EUR baudos. DI rinkos žaidėjams suteikiamas 24 mėn. pereinamasis pasiruošimo laikotarpis, pradedamas skaičiuoti nuo DI akto įsigaliojimo. Suėjus šiam laikotarpiui jie turės užtikrinti visišką į rinką paleidžiamų sistemų atitikį.

Pats teisės akto tekstas artimiausiu metu dar bus detalizuojamas ir turės būti išverstas į visas ES šalių valstybines kalbas. Tikimasi, jog dėl didžiausių probleminių vietų sėkmingai susitarta, tad toliau procesas bus sklandus.

Ypatingai sunkios derybos

Iki pat galutinio derybų raundo DI akto derinimo procesas buvo komplikuotas. Net patys teisės aktų leidėjai bijojo, kad egzistuoja apie 50 procentų tikimybė, jog lemiamą akimirką visgi nepavyks rasti visas derybų šalis tenkinančio kompromiso ir DI žaidimo taisyklių nustatymas įstrigs dar bent pusmečiui bei prie jo sugrįžti pavyks tik po kitų Europos Parlamento rinkimų. Jei nebūtų pavykę susitarti dabar, būtų kilusi reali grėsmė, kad DI technologijoms milžinišku tempu toliau tobulėjant, kitąmet jau būtų per vėlu uždėti reikalingus stabdžius ir galimai išvengti nepataisomos žalos esminėms ir fundamentalioms žmogaus teisėms.

Paskutinėse derinimo stadijose nemažai sumaišties įnešė gana stipri Prancūzijos, Italijos bei Vokietijos pozicija dėl ribojimų, kurie galėtų neigiamai paveikti aktyviai šiose dalyse DI technologijas naudojančias policijos institucijas bei Prancūzijoje bei Vokietijoje įsisteigusias technologijų milžines „Mistral AI“ bei „Aleph Alpha“. Taip pat bet kokias derybų metu atsirandančias kompromisines nuolaidas, galimai mažinančias fundamentalių teisių apsaugą, tiek iš anksto, tiek jau vykstant aršioms deryboms, smerkė pilietinės visuomenės organizacijos.

Palyginus su pirminiu 2021 metais Europos Komisijos parengtu ir vėliau 2023 metais Europos Parlamento papildytų tekstu, galutiniame DI akte yra nemažai pakeitimų.

Pamatiniai DI modeliai

Pirmomis derybų dienomis ypatingas dėmesys buvo skiriamas pamatinių (angl. foundation) bendrosios paskirties DI modelių reguliavimui. 2021 metais, kai buvo pateikta pirmoji DI akto projekto versija, šie modeliai buvo labiau teoriniai arba gamintojų dar tik testuojami už uždarų durų. Tačiau dabar tiek „OpenAI“ išleistas populiarusis „ChatGPT“, tiek „Google“ produktas „Bard“ jau galėtų būti laikytini plačiai naudojamais pamatinių modelių pavyzdžiais. „Microsoft“ tuo tarpu irgi neatsilieka ir po truputį diegia pamatiniais DI modeliais pagrįstus funkcionalumus į „Office“ programų paketą, kas artimiausiu metu dar labiau padidins šių modelių įtaką mūsų kasdienybei.

Atitinkamai, paskutinėse DI akto teksto derinimo stadijose skubiai reikėjo įvesti ir naujas formuluotes, tiksliai apibrėžti, ką tiksliai laikysime pamatiniais modeliais bei įvertinti nemažas tokių modelių keliamas papildomas rizikas visuomenei, pvz. kaip valdysime įgimtą modelio šališkumą teikiant atsakymus, atliekant aplinkybių ar faktų vertinimą. Vis plačiau taikant tokių modelių pajėgumus mūsų kasdieniniame gyvenime, nevaldomos rizikos galėtų paskatinti dar didesnę diskriminaciją ar visuomenės susiskaldymą.

Pirmosiomis derybų dienomis susitarta, kad pamatiniais bus laikomi tokie DI modeliai, kurie buvo apmokyti panaudojant labai plačios apimties įvairių šaltinių duomenis bei yra skirti abstrakčių ir įvairaus pobūdžio užduočių atlikimui. DI aktas siekia griežčiau reglamentuoti tik tokius pamatinius modelius, kurie galimai sukelia sistemines rizikas visuomenei. Panašiai kaip JAV neseniai išleistame DI reikalavimus nustatančiame prezidento J. Bideno įsakyme, sistemines rizikas galintys sukelti modeliai visų pirma identifikuojami, jei viršija minimalią skaičiavimų pajėgumų ribą. Iš šiuo metu egzistuojančių viešai prieinamų DI modelių, šią ribą kol kas viršija tik „GPT-4“ modelis naudojamas „ChatGPT Plus“ įrankyje.

Tokia reglamentavimo logika yra nutaikytą į ateitį. Manoma, kad didėjant pasaulyje esamiems skaičiavimo pajėgumams ir DI modelių gebėjimams, vis daugiau viešai prieinamų DI modelių viršys šią ribą, todėl jų kūrėjai bus priversti laikytis griežtų DI akto reikalavimų.

Taip pat DI akte nustatomi kriterijai, pagal kuriuos naujai steigiamas ES DI biuras galės savarankiškai arba remdamasis mokslinės bendruomenės argumentais priimti sprendimus dėl sisteminės rizikos priskyrimo DI modeliams. Kriterijai gali būti atnaujinami atsižvelgiant į technologinius pokyčius.

Teisėsaugos institucijų naudojami biometrinio atpažinimo DI modeliai

Kita derybų metu labai plačiai diskutuota sritis – vaizdo stebėjimui ir biometriniam asmenų atpažinimui viešose erdvėse naudojamų DI sistemų draudimas. Pavyzdžiui, tokios DI sistemos leistų tiksliai atpažinti skirtingose miesto vietose esančius asmenis bei sekti juos realiu laiku arba atsekti jų judėjimą vėliau – pasitelkiant ir DI algoritmu apdorojant vaizdo įrašus. Žvelgiant iš pozityvios pusės, tai galimai ženkliai padėtų kovoje prieš nusikalstamumą ar terorizmą, ar net padėtų asmenims suteikti greitą medicininę pagalbą iškart jos prireikus. Pavyzdžiui, Prancūzijoje jau dabar yra patvirtintos masinio vaizdo stebėjimo ir asmenų atpažinimo priemonės, kuriomis siekiama užtikrinti Paryžiuje 2024 vyksiančių Olimpinių žaidynių saugą. Visgi, tokie įrankiai tuo pačiu suteikia labai daug galios tokias technologijas naudojančioms institucijoms, jau nekalbant apie riziką išsipildyti futuristinių filmų scenarijams, jei tokie įrankiai patektų į gero nelinkinčiųjų rankas.

Būtent dėl pastarosios rizikos, 2023 m. viduryje Europos Parlamento pasiūlytuose DI akto pakeitimuose, toks DI naudojimas buvo planuojamas apskritai uždrausti tiek privačiame, tiek valstybės sektoriuose. Vėlesnėse dokumento versijose atsirado išimtis, su apribojimais visgi leidžianti tokias technologijas naudoti teisėsaugos institucijoms.

Pilietinės visuomenės organizacijos iki pat paskutinių derybų etapų teigė, kad siekiant apsaugoti žmonių teises į privatumą, orumą, žodžio laisvę ir lygybę, būtina visiškai uždrausti masinį sekimą ir savavališką biometrinių sistemų naudojimą bei juos griežtai kontroliuoti. Visgi, tokį stebėjimą bus galimą vykdyti tik gavus išankstinį teismo leidimą ir tiriant aukšto pavojingumo nusikaltimus.

Kiti reikalavimai DI sistemų gamintojams

Tam tikri DI akto aspektai yra mažiau problematiški ir nebuvo aptariami paskutinėse derybose. Apibendrinant, DI aktas skirstys sistemas pagal jų sukuriamas rizikas. Tam tikri DI sistemų panaudojimo būdai būtų apskritai draudžiami, pvz.: socialinis asmenų vertinimas, kurį naudoja Kinija; masinis veido vaizdų rinkimas iš interneto, siekiant sukurti veido atpažinimo duomenų bazes („Clearview AI“ technologija); ar žmonių pasąmonę veikiančių DI metodų naudojimas. Aukštos rizikos sistemų gamintojams DI akte būtų nustatomi privalomi griežti saugos ir atitikties reikalavimai bei priežiūros mechanizmai. Tuo tarpu žemesnės rizikos sistemoms būtų nustatomi tik mažesni informacijos pateikimo reikalavimai (pvz. ženklas „sukurta dirbtinio intelekto“ ar kompiuteriu atpažįstami ženklai vaizdo įrašuose ar garso failuose).

DI sistemų neigiamai paveikti asmenys turės teisę teikti skundus ir gauti paaiškinimus dėl didelės rizikos DI sistemų priimtų sprendimų, turinčiomis įtakos jų teisėms.

Reikalavimai DI sistemas naudojančiam verslui

Griežčiausi reikalavimai DI akte nustatome sistemų gamintojams, tačiau dalis reikalavimų taip pat kyla ir šias sistemas savo veikloje naudojančiam verslui. Tarp jų numatyti nauji aukštos rizikos DI sistemų naudotojų atsparumo ir kibernetinio saugumo reikalavimai, šias sistemas prižiūrinčių asmenų kompetencijos reikalavimai, privalomi pranešimai gamintojui ir priežiūros institucijai, jei būtų pastebėta sistemos neatitiktis DI akto reikalavimams ir kita.

Taip pat organizacijos naudojančios aukštos rizikos DI sistemas, privalės atlikti Poveikio duomenų apsaugai vertinimą, įtvirtintą asmens duomenų apsaugos taisykles numatančiame Bendrajame duomenų apsaugos reglamente. Toks vertinimas turės pasverti šių sistemų keliamas rizikas asmenų privatumui ir nustatyti griežtas rizikas mažinančias priemones.

Ateities perspektyva

Šiuo metu turime atsakymus dėl derybų metu aptartų esminių probleminių klausimų ir belieka laukti pilno DI akto teksto. Tik tada bus galima kritiškai įvertinti, ar jis padarys realų poveikį fundamentalių žmogaus teisių apsaugai bei kokias tiksliai atitikties priemones DI kuriantys bei naudojantys verslai privalės įgyvendinti savo kasdienėje veikloje. Būtina pažymėti, kad didelė dalis naujo reguliavimo veiksmingumo priklausys ir nuo naujai steigiamos DI priežiūrą užtikrinančios ES institucijos – DI biuro – bei kiekvienoje ES valstybėje esančių vietinių priežiūros institucijų pasirengimo praktikoje prižiūrėti tiek DI gamintojų, tiek DI sistemas naudojančių verslų veiksmus.