PRÁVO

Návrh nového nařízení EU o regulaci umělé inteligence 

Autor: Michal Matějka, Zbyněk Loebl, PRK Partners

Při prvním čtení tohoto návrhu si lze připomenout jízlivou glosu jednoho českého humoristy z období našeho předlistopadového režimu: „Oni (míněno tehdejší Západ) sice mají techniku, ale my (míněno tehdejší Východ) máme ideologii.“ Je opakovaně zmiňovaným faktem, že EU stále více zaostává ve většině oblastí umělé inteligence (AI) za USA a Čínou, avšak jsme alespoň první na světě v návrhu komplexní legislativy upravující AI.

Tím nechceme naznačit, že právní regulace AI není potřebná. Určitě je, AI stále více ovlivňuje život nás všech a tento vliv není vždy jen pozitivní, ba právě naopak. Je však historicky osvědčenou legislativní metodou nejdříve vědět co nejvíc o projevech AI – pozitivních a negativních, pak zkusit nalézt projevující se etické zásady a pak teprve navrhovat nové zákony kolem těchto objevených etických zásad. Pak by asi bylo typické, aby s první legislativou o AI přišel v rámci demokratických států ten, který je nejdál v rozvoji AI – tedy USA.

V USA se ale teprve začíná s diskusemi o budoucí nové legislativě, zatím v podstatě v odborných kruzích a v rámci různých průzkumů postojů občanů. Konkrétní regulační opatření jsou přijímána jen v závažných rizikových oblastech (např. ve vztahu k trestné činnosti využívající AI) a zatím na státní nefederální úrovni. U návrhu nového nařízení o AI byl však postup evidentně jiný. Co tedy tento návrh obsahuje?

Definice AI a působnost nařízení

Návrh obsahuje širokou definici AI, zahrnující všechny hlavní techniky, od strojového učení ke statistickým přístupům. Nařízení se má vztahovat na všechny systémy AI, které ve formě produktů nebo služeb budou dostupné v EU – rozsah aplikace nařízení má tedy být velmi široký.

Dělení regulace podle stupně rizik

Návrh uplatňuje regulaci založenou na stupni rizika, podobně jako GDPR. Návrh obsahuje následující 4 úrovně rizik a jím odpovídající povinnosti pro výrobce a uživatele AI systémů:

• AI systémy představující minimální rizika

Sem patří např. spam filtry. Pro tuto skupinu nebudou platit žádné restrikce, regulace bude hlavně prostřednictvím dobrovolné seberegulace, zejména tzv. Codes of Conduct.

• AI systémy s omezenými riziky

Do této skupiny patří např. chatboty. Na tyto systémy se má vztahovat, navíc k dobrovolné seberegulaci, zejména povinnost transparentnosti (dokumentace funkcí, vývoje a provozu systému).

• AI systémy s vysokými riziky

Tyto systémy, které jsou podle návrhu nařízení v oblastech uvedených v příloze 3 návrhu, a které zjednodušeně řečeno zahrnují většinu oblastí, v nichž se zatím s AI u nás setkáváme, budou muset procházet regulací ex-ante (před uvedením na trh) i ex-post (po uvedení na trh). Navržená regulace je založená na povinném posuzování shody těchto systémů s předepsanými povinnostmi. Návrh předpokládá vytváření jednotného EU systému certifikací akreditovanými organizacemi (tzv. CAB), které budou certifikovat AI systémy na jejich shodu. Mezi hlavní povinnosti výrobců a uživatelů AI systémů budou patřit jak známé compliance povinnosti týkající se sledování a řízení rizik, tak nové povinnosti – např. zajistit vývoj tak, aby výstupy AI systémů byly srozumitelné pro uživatele těchto systémů, nebo povinnost zajistit reálnou lidskou kontrolu nad těmito systémy.

• AI systémy s neakceptovatelně vysokými riziky

Návrh obsahuje seznam zakázaných AI systémů. Jedná se o systémy, které jsou již nyní zakázané např. podle GDPR, zejména různé systémy manipulující lidi nebo sociální skórování podle čínského vzoru apod.

Nová instituce

Návrh počítá se vznikem nového úřadu – Evropské Rady pro AI, v níž budou zástupci všech členských států EU. Hlavní slovo zde však bude mít Evropská Komise, která má podle návrhu několik důležitých pravomocí.

Standardy a standardizační organizace

Návrh obsahuje ustanovení, podle kterého současné AI systémy, které jsou/budou ve shodě se současnými harmonizovanými EU standardy, budou splňovat požadavky nového nařízení. To jen dokládá současnou obchodní důležitost standardizačních organizací. Standardy často zahrnují proprietární technologie chráněné patenty a jinými právy duševního vlastnictví a tím se stávají stále významnějším nástrojem zachování a rozšiřování ekonomické síly regionů, z nichž tyto standardy a standardizační instituce pocházejí. Pro AI to platí dvojnásob kvůli technologické a obchodní důležitosti AI směrem do budoucnosti. Podle návrh nařízení by musely velmi pravděpodobně získat certifikaci v podstatě všechny české inovativní start-upy, z nichž se staly úspěšné mezinárodní firmy, včetně např. Avastu. Je proto v našem výsostném zájmu, aby takováto certifikace byla prováděna také v ČR. Jinak hrozí, že ČR bude zaostávat za jinými státy EU v tomto klíčovém průmyslu. 

Podporuje návrh nařízení inovace?

Nemyslíme si, že stávající návrh podporuje inovace. Jde o návrh legislativy, který se až příliš podobá GDPR. A jaké inovace – technologické a obchodní – zatím GDPR přineslo? Žádné. Velké firmy si s GDPR systémově poradily zpravidla vygenerováním stohu nových dokumentů, aniž by jakkoliv zásadně měnily své přístupy k občanům, a malým firmám složitost GDPR dále zkomplikovala jejich činnost. Pokud se v návrhu nic nezmění, bude to podobné i s Nařízením o AI.

Jak píšeme výše, návrh je správně založený na systému celoevropského harmonizovaného sledování souladu AI systémů s právními požadavky a harmonizované certifikaci mnoha těchto systémů. To vyžaduje expertizu a čas. Přitom dnes v řadě zemí EU není tolik expertů na AI (včetně bohužel ČR) – mají všichni tito experti dělat certifikaci zahraničních systémů, namísto toho aby zakládali své start-upy v této oblasti? 

Další kroky

Návrh Nařízení o AI se musí projednávat v evropských institucích, u GDPR toto projednávání trvalo několik let. Ale je možné, že bude tlak na rychlejší přijetí této nové legislativy. Každopádně v mezidobí bychom měli učinit vše proto, abychom o AI systémech věděli co nejvíc a aby u nás pokud možno vznikaly nové zajímavé firmy v této oblasti, které by přesáhly naše území.

Je zřejmé, že se EU prozatím i v této oblasti řídí „osvědčeným“ principem, čím více veřejnoprávní regulace přijmeme a čím více compliance dokumentů donutíme podnikatelské subjekty vytvořit, tím zářnější bude naše budoucnost. Nebylo by možná od věci se protentokrát pokusit tento přístup změnit a soustředit se nejdříve na porozumění podstatě těchto technologií a teprve po pečlivé analýze věci přijmout promyšlenou právní úpravu, jejímž těžištěm nebudou papíry, další správní orgány a pokuty, ale skutečná ochrana práv jednotlivců na straně jedné (a to především v soukromoprávní rovině) a vytvoření příznivého prostředí pro vývoj těchto technologií v rámci EHP na straně druhé.  

Články čísla 6 /21