Odpowiedzialność za szkody wynikające z działania systemów sztucznej inteligencji. Proponowane rozwiązania legislacyjne

Uczestnicy konferencji w Dartmouth w 1956 r. prawdopodobnie nie zdawali sobie sprawy, jaką karierę zrobi ukute wtedy pojęcie sztucznej inteligencji. Po upływie 65 lat na dobre wrosła ona w krajobraz współczesnego świata doby cyfrowej. Postępujący rozwój techniczny, wzrost mocy obliczeniowej komputerów, możliwość zapisywania i analizowania ogromnych zasobów danych z wykorzystaniem chmury obliczeniowej stworzyło warunki do tworzenia wysoce złożonego oprogramowania, pozwalającego generować określone sugestie wyników czy rekomendacje działań.

Sztuczna inteligencja pojawia się zawsze w kontekście określonego oprogramowania. Mówi się więc często o systemach sztucznej inteligencji (SI), które są „wbudowane” w określone produkty czy usługi. Rosnący stopień złożoności i skomplikowania systemów sztucznej inteligencji zaczął jednocześnie uwypuklać problemy immanentne w nich tkwiące, a polegające przede wszystkim na trudności w prześledzeniu procesu decyzyjnego danego systemu SI. Produkt lub usługa oparta o system SI może więc nie działać „prawidłowo”, a w skrajnym wypadku może wręcz wyrządzić szkodę.

Ta konstatacja stała się przyczynkiem do dyskusji na temat prawnego uregulowania sztucznej inteligencji. Jednym z aspektów regulacji problematyki sztucznej inteligencji jest kwestia odpowiedzialności za szkody, które zostały wyrządzone przez sztuczną inteligencję, a precyzyjnie – przez produkty lub usługi inkorporujące systemy SI. Konkretną propozycję takiej regulacji przedstawił Parlament Europejski w ramach swojej rezolucji z 2020 r[1]. Zaproponowane przez Parlament Europejski rozporządzenie w sprawie odpowiedzialności za działanie systemów sztucznej inteligencji[2] (dalej: „Projektowane Rozporządzenie”) nie stało się jeszcze obowiązującym prawem, lecz stanowi ciekawy materiał dla poznania i zrozumienia podejścia Unii Europejskiej do kwestii odpowiedzialności za sztuczną inteligencję. W ramach niniejszego artykułu przeanalizowany zostanie projekt ww. rozporządzenia.

Geneza regulacji

UE już od kilku lat podejmuje problematykę regulacji sztucznej inteligencji. Rezolucja Parlamentu Europejskiego i Projektowane Rozporządzenie nie są jedynymi propozycjami ustawodawczymi dotyczącymi sztucznej inteligencji, jakie ujrzały światło dzienne w ostatnim czasie. W szczególności warto podkreślić, że w kwietniu 2021 r. Komisja Europejska opublikowała pierwszy na świecie, tak kompleksowy projekt aktu prawnego dotyczący wprowadzania do obrotu systemów sztucznej inteligencji (tzw. Akt w sprawie Sztucznej Inteligencji)[3].

Choć Projektowane Rozporządzenie i Akt w sprawie Sztucznej Inteligencji nie zawsze pozostają względem siebie spójne, we wszystkich ww. dokumentach UE konsekwentnie prezentuje podejście do sztucznej inteligencji oparte na humanocentryzmie. Z jednej strony jest zatem człowiek (użytkownik), który korzysta z możliwości, jakie oferują systemy SI. Człowiek jest również pierwotnym twórcą systemów SI – projektuje je, rozwija, utrzymuje, itd. Jednocześnie systemy SI wkomponowane w określone produkty czy usługi stwarzają ryzyka i zagrożenia dla użytkowników – dla ich praw i wolności, np. dla prywatności, ale też mogą godzić w życie, zdrowie czy majątek. Humanocentryczne podejście UE ma na celu zadbanie, by obywatele UE posiadali adekwatną ochronę w kontekście korzystania z produktów i usług opartych na sztucznej inteligencji, na wzór chociażby regulacji dotyczących obrotu produktami niebezpiecznymi.

Przyjęcie uregulowań dotyczących różnych aspektów korzystania z rozwiązań opartych na sztucznej inteligencji wynika z przekonania, że regulacja przyczyni się do podniesienia standardów produktów i usług bazujących na sztucznej inteligencji oraz zapewni ochronę praw i wolności obywateli UE. Można ponadto wyrazić opinię, że odważna postawa UE w zakresie regulacji dotyczących systemów SI ma również inspirować inne państwa świata do podjęcia trudu unormowania przedmiotowej problematyki.

Specyfika systemów SI

Podejście do regulacji sztucznej inteligencji jest zakotwiczone w ryzykach i zagrożeniach płynących z korzystania z produktów i usług bazujących na sztucznej inteligencji. Te ryzyka wynikają ze specyfiki systemów SI. W motywach uzasadniających potrzebę regulacji odpowiedzialności za systemy SI Parlament Europejski wskazuje, że systemy SI są złożone, nieprzejrzyste („czarna skrzynka” – trudność lub niemożność prześledzenia procesu decyzyjnego), coraz bardziej autonomiczne ze względu na postępujące uczenie się maszyn (deep machine learning), a także podatne na zagrożenia (np. naruszenia cyberbezpieczeństwa).

Ponadto wiele podmiotów (przedsiębiorców) jest zwykle zaangażowanych lub w inny sposób ingeruje w cykl życia systemów SI. Dany system SI może być tylko częścią większego systemu informatycznego, różne podmioty mogą być dostawcami komponentów czy funkcjonalności składających się na gotowy produkt. W konsekwencji rozmywa to odpowiedzialność poszczególnych podmiotów za negatywne skutki działania systemu SI.

Do argumentacji zawartej w Rezolucji Parlamentu Europejskiego można jeszcze dodać, że na systemach SI ciąży ryzyko tzw. przechyłu algorytmicznego (algorithmic bias), czyli swego rodzaju stronniczości systemu SI w zwracanych wynikach czy rekomendacjach działań. Skutkiem przechyłu algorytmicznego jest zwykle dyskryminacja (ze względu na określone cechy) i w efekcie nierzetelność lub nieprawidłowość wyniku. Ze względu na często towarzyszącą systemom SI nieprzejrzystość, zwykle trudno ustalić co konkretnie było przyczyną wygenerowania dyskryminującego wyniku.

W ramach Projektowanego Rozporządzenia Parlament Europejski nie dąży do rozwiązania wspomnianych wyżej problemów. Istotą projektu jest stworzenie ram prawnych dla obywatel UE (użytkowników) dotkniętych negatywnymi skutkami działania systemów SI. Mając na uwadze omówioną wyżej specyfikę systemów SI, w tym w szczególności brak przejrzystości systemów SI, z perspektywy osoby poszkodowanej w praktyce bardzo trudne może być ustalenie:

• kto kontroluje ryzyko związane z korzystaniem z danego systemu SI,
• który kod (źródłowy) lub które dane wejściowe wywołały szkodę,
• czy istnieje związek przyczynowy między szkodą a powodującym ją zachowaniem.

Dodatkowo, ustalenie tych elementów może być bardzo kosztowne.

W rezultacie osoba, która doznała szkody w następstwie korzystania z produktu lub usługi inkorporującej system SI, mogłaby nigdy nie uzyskać odszkodowania albo zostać istotnie zniechęcona do podjęcia trudu dochodzenia należnej rekompensaty. Konieczne zatem są regulacje prawne, które pozwolą na efektywne dochodzenie odpowiedzialności odszkodowawczej, ustalą reżim tej odpowiedzialności, a także zidentyfikują podmiot odpowiedzialny za wyrządzoną szkodę.

Status projektowanej regulacji

Publikacja Rezolucji Parlamentu Europejskiego stanowi impuls dla Komisji Europejskiej do podjęcia dalszych szczegółowych prac nad regulacją problematyki poruszonej w Projektowanym Rozporządzeniu. Jak dotąd, kwestia odpowiedzialności cywilnej za szkody wynikające z działania systemów SI nie doczekała się dalej idących kroków ustawodawczych. Projekt aktu prawnego przygotowany przez Parlament Europejski pozostaje zatem wyłącznie niewiążącą propozycją.

Co znamienne, Parlament Europejski proponuje, by regulacja odpowiedzialności cywilnej za sztuczną inteligencję przyjęła formę rozporządzenia unijnego. Rozporządzenie jest aktem prawnym wywierającym bezpośredni skutek w Państwach Członkowskich UE. Oznacza to, że materia regulowana rozporządzeniem jest w pełni samodzielna i nie wymaga implementacji do krajowego porządku prawnego (w przeciwieństwie np. do dyrektyw). Ewentualna rozbieżność regulacyjna w poszczególnych Państwach Członkowskich UE utrudniłaby rozwój jednolitego rynku cyfrowego.

Podmiot odpowiedzialny za szkodę

Jak wskazano w Rezolucji Parlamentu Europejskiego, „wszystkie działania fizyczne czy wirtualne opierające się na systemach SI, urządzenia czy procesy, w których korzysta się z tych systemów, mogą zasadniczo być bezpośrednią lub pośrednią przyczyną szkody, a jednocześnie są one niemal zawsze wynikiem tego, że ktoś skonstruował lub wdrożył taki system albo ingerował w niego”. Odpowiedzialność za szkodę wyrządzoną działaniem systemu SI powinien więc zawsze ponosić człowiek. W konsekwencji nie jest konieczne przydawanie systemom SI odrębnej osobowości prawnej, by wprzęgnąć je w system efektywnej odpowiedzialności cywilnej.

W Projektowanym Rozporządzeniu osobą odpowiedzialną za system SI jest „operator”, to jest osoba fizyczna lub prawna, która:

• do pewnego stopnia kontroluje ryzyko związane z działaniem systemu SI i czerpie korzyści z jego działania („operator front-end”; np. firma pożyczkowa) lub
• w sposób ciągły określa cechy technologii, dostarcza dane i podstawowe usługi wsparcia, a zatem też sprawuje pewną kontrolę nad ryzykiem związanym z działaniem systemu SI („operator back-end”; np. firma dostarczająca system do oceny wiarygodności kredytowej).

Projektowane Rozporządzenie pozwala więc poszkodowanemu dość łatwo ustalić adresata ewentualnych roszczeń odszkodowawczych. Jednocześnie przedsiębiorcy zaangażowani w oferowanie systemów SI otrzymują jasną informację, na kim będzie ciążyło ryzyko odpowiedzialności odszkodowawczej. Usuwa to więc niepewność prawną co do tego, który z przedsiębiorców jest eksponowany na ryzyko roszczeń. Można też założyć, że przedsiębiorcy, którzy rozpoznają swój status operatora systemu SI, będą mieć większą motywację do podjęcia starań minimalizujących ryzyka wynikające z działania systemu SI.

Odpowiedzialność za system SI

Warto podkreślić, że regulowana w Projektowanym Rozporządzeniu odpowiedzialność operatorów dotyczy szkód wyrządzonych przez system SI. Jak wskazano na początku artykułu, sztuczna inteligencja wkomponowana w produkty czy usługi to nic innego jak określone oprogramowanie. Nie może więc dziwić, że Projektowane Rozporządzenie nie definiuje sztucznej inteligencji jako takiej (co zresztą byłoby zadaniem co najmniej trudnym), lecz posługuje się pojęciem „systemu sztucznej inteligencji”. Zgodnie z zaproponowaną definicją, system SI to „system, który opiera się na oprogramowaniu albo jest wbudowany w urządzenia, wykazuje się zachowaniem symulującym inteligencję m.in. w oparciu o gromadzenie i przetwarzanie danych, analizowanie i wyciąganie wniosków dotyczących otoczenia oraz podejmuje działania w pewnym stopniu autonomicznie, aby osiągnąć konkretne cele”.

Na marginesie, odmienną, aczkolwiek wydaje się doskonalszą, definicję „systemu sztucznej inteligencji” sformułowano w Akcie w sprawie Sztucznej Inteligencji. Zgodnie z jego treścią jest nią „oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik i podejść wymienionych w załączniku I [np. mechanizmy uczenia maszynowego – przyp. aut.], które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję”. Tego rodzaju rozbieżności w projektowanych aktach prawnych dotyczących sztucznej inteligencji unaoczniają, jak wiele pracy legislacyjnej należy jeszcze włożyć w wypracowanie koherentnych, wzajemnie uzupełniających się regulacji prawnych.

Zasady odpowiedzialności

Odpowiedzialność operatorów systemów SI zaktualizuje się wtedy, gdy na terenie UE poszkodowany poniesie szkodę wskutek działania systemu SI. Oznacza to, że nie ma znaczenia, skąd pochodzi operator systemu SI. Strony danego kontraktu nie mogą przy tym tej odpowiedzialności umownie wyłączyć ani zmienić.

W aspekcie dochodzenia odpowiedzialności za szkody wyrządzone działaniem systemu SI Parlament Europejski opowiedział się za skorzystaniem z dostępnych zasad odpowiedzialności wypracowanych w prawie cywilnym opartych na zasadzie ryzyka i na zasadzie winy.

Odpowiedzialność oparta na zasadzie ryzyka charakteryzuje się tym, że podmiot odpowiedzialny nie może zwolnić się z odpowiedzialności za wyrządzoną szkodę wskazując, że nie ponosi winy. Okolicznością wyłączającą odpowiedzialność jest wyłącznie siła wyższa, własne postępowanie poszkodowanego lub osoby trzeciej. Przykładem zastosowania takiego reżimu odpowiedzialności jest odpowiedzialność za szkody wyrządzone działalnością kopalni czy elektrowni. W Projektowanym Rozporządzeniu odpowiedzialność na zasadzie ryzyka dotyczy funkcjonowania tych systemów SI, które ze swej natury wiążą się ze znacznym ryzykiem i autonomicznością, zagrażając ogółowi społeczeństwa w znacznie większym stopniu – np. pojazdy autonomiczne, drony itp. Parlament Europejski proponuje, by systemy SI wysokiego ryzyka zostały skatalogowane w załączniku do Projektowanego Rozporządzenia.

Z kolei odpowiedzialność na zasadzie winy oznacza, że podmiot odpowiedzialny ponosi winę w wystąpieniu zdarzenia wywołującego szkodę. W Projektowanym Rozporządzeniu ten rodzaj odpowiedzialności miałby obowiązywać w zakresie szkód wyrządzonych działaniem systemów SI innych niż systemy SI wysokiego ryzyka. Operator takiego systemu uwolni się od odpowiedzialności, jeżeli szkoda jest następstwem działania siły wyższej lub własnego postępowania poszkodowanego bądź osoby trzeciej, jak również wtedy, gdy wykaże, że system SI został uruchomiony bez jego zgody pomimo podjęcia rozsądnych środków zapobiegawczych lub dochował należytej staranności „dobierając odpowiedni system sztucznej inteligencji do danego zadania i umiejętności, uruchamiając go odpowiednio, nadzorując działanie i utrzymując go w dobrym stanie poprzez regularną instalację dostępnych aktualizacji”.

Jeżeli za szkodę odpowiedzialnych jest dwóch lub więcej operatorów, ich odpowiedzialność jest solidarna. Poszkodowany może wtedy żądać odszkodowania od dowolnego operatora. Podmiot, który zaspokoi roszczenie poszkodowanego, może następnie regresowo dochodzić zwrotu części wypłaconej kwoty od pozostałych zobowiązanych operatorów, zależnie od stopnia kontroli operatorów nad ryzykiem związanym z działaniem systemu SI. W tym kontekście można się spodziewać, że we wzajemnych relacjach przedsiębiorcy kwalifikowani jako operatorzy front-end lub back-end będą dążyli do umownego określania stopnia kontroli nad ww. ryzykiem i w ten sposób zarządzać ryzykiem roszczeń regresowych.

Ubezpieczenie OC i przedawnienie

Projektowane Rozporządzenie określa górne limity odpowiedzialności operatora systemu SI wysokiego ryzyka. Jest to kwota do 2 milionów euro w przypadku szkody na osobie oraz do 1 miliona euro w razie szkody niematerialnej skutkującej możliwą do zweryfikowania stratą ekonomiczną lub szkody majątkowej. Jednocześnie Parlament Europejski proponuje, by operatorzy systemów SI wysokiego ryzyka podlegali obowiązkowemu ubezpieczeniu od odpowiedzialności cywilnej w granicach wspomnianych kwot. Powyższe będzie zmuszało przedsiębiorców do przeprowadzenia dokładnej analizy, czy są operatorami systemu SI wysokiego ryzyka, by w razie ustalenia takiego statusu nabyć potrzebną polisę ubezpieczeniową.

Parlament Europejski ponadto proponuje, by roszczenia odszkodowawcze z tytułu szkód wyrządzonych działaniem systemów SI wysokiego ryzyka podlegały szczególnym zasadom przedawnienia. Roszczenia dotyczące śmierci, uszczerbku na zdrowiu lub kalectwa przedawniałyby się po 30 latach od daty powstania szkody. Z kolei roszczenia dotyczące szkód majątkowych lub poważnych szkód niematerialnych skutkujących stratą ekonomiczną przedawniałyby się:

• po 10 latach od daty powstania szkody albo
• Po 30 lat od daty „przeprowadzenia operacji z wykorzystaniem systemu sztucznej inteligencji obarczonego wysokim ryzykiem, która doprowadziła do zniszczenia własności poszkodowanego lub do poważnej szkody niematerialnej” (przy czym zastosowanie ma ten termin, który upłynie szybciej).

W przypadku szkód wyrządzonych wskutek działania systemów SI innych niż systemy wysokiego ryzyka, obowiązywałby okres przedawnienia określony w przepisach Państwa Członkowskiego, w którym powstała szkoda.

Podsumowanie

Projektowane Rozporządzenie jest niewątpliwie interesującą propozycją ustawodawczą, której potrzeba istnienia wpisuje się w plany kompleksowej regulacji problematyki sztucznej inteligencji w UE. Cele przyświecające regulacji odpowiedzialności za działania systemów SI są jasno zarysowane i konsekwentnie realizowane przez ustawodawcę unijnego.

Proponowane przez Parlament Europejski rozwiązania w zakresie ukształtowania reżimu odpowiedzialności za szkody wyrządzone działaniem systemów SI nie są rewolucyjne, dzięki czemu mogą spotkać się z łatwiejszą absorpcją ze strony przedsiębiorców oferujących produkty lub usługi oparte o sztuczną inteligencję.

Warto też podkreślić, że Projektowane Rozporządzenie wymusi na przedsiębiorcach z wielu różnych gałęzi biznesu konieczność wdrożenia mechanizmów zapewniających zgodność z projektowanymi regulacjami. Z jednej strony, przedsiębiorca będzie musiał na bieżąco monitorować i weryfikować czy jest adresatem regulacji (operatorem), a z drugiej strony – podejmować działania minimalizujące ryzyka wynikające z korzystania z danego produktu lub usługi inkorporującej system SI. Omawiane regulacje wciąż pozostają pionierskie w swej naturze, toteż dopiero przyszłość pokaże, czy i jak dodatkowe obowiązki wpłyną na konkurencyjność przedsiębiorców i rzeczywiste osiągnięcie zakładanych celów.

Łukasz Wieczorek

radca prawny, absolwent studiów prawniczych i doktoranckich na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego, partner w Konieczny Wierzbicki Kancelaria Radców Prawnych, gdzie kieruje zespołem TMT; specjalizuje się w prawie nowych technologii/IT, prawie własności intelektualnej i prawie zwalczania nieuczciwej konkurencji, koordynując w Kancelarii sprawy o charakterze międzynarodowym (International Desk) w zakresie ww. obszarów prawnych.

Artykuł pochodzi z Biuletynu Euro Info 11/2021

Przeczytaj więcej takich artykułów w strefie Wiedzy PARP

 [1] Rezolucja Parlamentu Europejskiego z dnia 20 października 2020 r. z zaleceniami dla Komisji w sprawie systemu odpowiedzialności cywilnej za sztuczną inteligencję (2020/2014(INL).

[2] Projekt rozporządzenia stanowi załącznik do wspomnianej Rezolucji Parlamentu Europejskiego; pełny tytuł projektu: Rozporządzenie Parlamentu Europejskiego i Rady w sprawie odpowiedzialności za działanie systemów sztucznej inteligencji.

[3] Projekt z dnia 21 kwietnia 2021 r., COM(2021) 206 final, 2021/0106(COD); pełny tytuł projektu: Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (Akt w sprawie Sztucznej Inteligencji) i zmieniające niektóre akty ustawodawcze Unii.