1. Definicja generatywnej sztucznej inteligencji.
W systemie prawnym Unii Europejskiej nie ma definicji legalnej generatywnej sztucznej inteligencji („GenAI”), w szczególności tego rodzaju definicji nie zawarto w Akcie w sprawie sztucznej inteligencji („AIA”, „Rozporządzenie”).[1] W uproszczeniu należy przyjąć, iż GenAI to ogólny termin określający formę sztucznej inteligencji, która wykorzystuje metody statystyczne do generowania nowych treści, takich jak cyfrowe obrazy, filmy, pliki audio, teksty, a choćby kod oprogramowania, w oparciu o prawdopodobieństwo. Wykorzystując techniki uczenia maszynowego, taki system sztucznej inteligencji jest szkolony przez algorytmy, które analizują istniejący zbiór danych i identyfikują w nim powiązania i relacje, a ostatecznie wykorzystują powstały „model” między innym do przewidywań dotyczących tworzenia nowych treści.
2. Przepisy prawne regulujące tworzenia i stosowanie GenAI.
Podstawowym aktem prawnym regulującym GenAI jest AIA. Akt ten koncentruję się przede wszystkim na zagadnieniach związanych z bezpieczeństwem tworzenia, rozwijania i stosowania z systemów AI, w tym przede wszystkim tzw. systemów wysokiego ryzyka.
Oprócz AIA, do tworzenia i korzystania z GenAI zastosowanie znajdą również przepisy innych aktów prawnych, w szczególności:
- prawa autorskiego, np. w zakresie przesłanek dopuszczalności wykorzystywania utworów jako danych treningowych na etapie tworzenia modeli AI (art.263 i wyjątek dotyczący tzw. eksploracji tekstu i danych)
- RODO, np. w zakresie dopuszczalności podejmowania automatycznych decyzji dotyczących podmiotów danych, przy wykorzystaniu narzędzi AI,
- prawa cywilnego, np. w zakresie określenia odpowiedzialności za szkody związane z korzystaniem z AI,
- nieuczciwej konkurencji, np. w sytuacji ujawnienia informacji objętych tajemnicą przedsiębiorstwa poprzez wprowadzenie do systemu AI informacji objętych tą tajemnicą, a które to informacje są następnie traktowane przez operatora systemu AI jako dane treningowe (art.11 uznk),
- prawa konsumenckiego, np. w zakresie obowiązku podania konsumentowi informacji o indywidualnym dostosowaniu ceny w oparciu o zautomatyzowane podejmowanie decyzji (art. 12 ust. 1 pkt. 5a ustawy o prawach konsumenta).
3. Modele i systemy GenAI.
Na gruncie AIA odrębne grupy podmiotów stanowią dostawcy modeli ogólnego przeznaczenia AI oraz dostawcy systemów AI. Modele ogólnego przeznaczenia cechują się zdolnością do kompetentnego wykonywania szerokiego zakresu różnych zadań. Modele te są zwykle trenowane w oparciu o dużą ilość danych dzięki różnych metod, takich jak uczenie się samodzielnie nadzorowane, nienadzorowane lub uczenie przez wzmacnianie. Chociaż modele AI są zasadniczymi elementami systemów AI (stanowiąc ich „silnik”), to nie stanowią same w sobie systemów AI. Aby model AI mógł stać się systemem AI należy dodać do niego dodatkowe elementy, takie jak na przykład interfejs użytkownika.
Powyższe rozróżnienie dobrze ilustruję przykład modelu GPT (generative pre-trained transformer), czyli dużego modelu językowego (Large Language Model, LLM), zastosowanego w powszechnie znanej aplikacji (systemie AI) ChatGPT. Model ten może być jednak wykorzystywany również w innych narzędziach AI.
4. Zakres zastosowania AIA do GenAI.
Mimo, iż AIA nie definiuje generatywnej sztucznej inteligencji, to nie ulega wątpliwości, iż przepisy Rozporządzenia – co do zasady – znajdują zastosowanie do GenAI.
W motywach nr 99 AIA jednoznacznie wskazano, iż „duże modele generatywnej sztucznej inteligencji są typowym przykładem modeli ogólnego przeznaczenia”. W ten sposób potwierdzono, iż przepisy AIA stosują się do dostawców ogólnych modeli GenAI. Przepisy AIA stosują się również do dostawców systemów, a także podmiotów stosujących systemy GenAI.
Rozróżnienie pomiędzy powyższymi kategoriami podmiotów ma istotne znaczenie prawne, ponieważ różny jest zakres obowiązków nałożonych na nie na podstawie Rozporządzenia.
5. GenAI – trzy grupy obowiązków w AIA.
W AIA wyróżnić można trzy, odrębne grupy obowiązków, które spełnić muszą spełnić podmioty tworzące i/lub stosujące GenAI:
- obowiązki przewidziane dla dostawców modeli ogólnego przeznaczenia (art.53-55 ),
- ogólne obowiązki ustanowione dla dostawców i podmiotów stosujących systemy AI (art.26-27),
- szczególne obowiązki dla dostawców i podmiotów stosujących systemy GenAI (art.50).
6. Obowiązki dostawców modeli GenAI ogólnego przeznaczenia.
Tak jak już zostało wskazane powyżej, modele GenAI mogą być modelami ogólnego przeznaczenia w rozumieniu art. 3 pkt 63 AIA. W konsekwencji, ich dostawcy muszą spełnić obowiązki określone w art. 53 AIA. Szczególne znaczenie mają w tym zakresie obowiązki dotyczące wykorzystywania utworów prawnoautorskich jako danych treningowych (art.53 ust.1 pkt c), w szczególności dostawcy modeli są zobowiązani do „wprowadzenia polityki służącej zapewnieniu zgodności z prawem Unii dotyczącym prawa autorskiego i praw pokrewnych, w szczególności z myślą o identyfikacji i zastosowaniu się, w tym poprzez najnowocześniejsze technologie, do zastrzeżenia praw wyrażonego zgodnie z art. 4 ust. 3 dyrektywy (UE) 2019/790”. Chodzi tu w szczególności o przewidzianą również w prawie polskim (art.263 ust.1 pr.aut.) możliwość sprzeciwienia się przez uprawnionych wykorzystaniu ich utworów na potrzeby „eksploracji danych i tekstu”. Dostawcy modeli są także zobowiązani do sporządzenia i podania do wiadomości publicznej „wystarczająco szczegółowego streszczenie na temat treści wykorzystanych do trenowania danego modelu AI ogólnego przeznaczenia, zgodnie ze wzorem dostarczonym przez Urząd ds. AI. (art.53 ust.1 pkt d).
Dodatkowo, w przypadku systemów ogólnego przeznaczenia o wysokim ryzyku muszą oni spełnić wymogi określone w art.54 AIA.
7. Ogólne obowiązki dostawców i podmiotów stosujących systemy GenAI.
Dostawcy i podmioty stosujące systemy GenAI muszą również spełnić ogólne wymogi określone w AIA. Ich zakres zależeć będzie od stopnia ryzyka związanego z tworzeniem, rozwijaniem i stosowaniem systemów AI. Przykładowo, korzystanie z systemu GenAI może zostać uznane za niedopuszczalną praktykę w rozumieniu art.5 (np. stosowanie chatbota w sposób wykorzystujący słabość osoby fizycznej ze względu na jej wiek). Podobnie, systemy GenAI w określonych przypadkach będą mogły zostać uznane za systemy wysokiego ryzyka (np. chatbot wykorzystywany do celów rekrutacji i profilujący dane osobowe pracowników).
Jak się jednak zgodnie podkreśla w literaturze prawniczej, w większości przypadków systemy GenAI nie będą miały jednak charakteru tzw. systemów wysokiego ryzyka i w związku z tym zastosowania znajdą do nich tylko szczególne obowiązki, określone w art.50 AIA (zob. pkt 8 poniżej).
8. Specyficzne obowiązki dla dostawców i podmiotów stosujących systemy GenAI.
Na zasadzie wyjątku od reguły, iż systemy AIA znajdują zastosowanie do systemów wysokiego ryzyka, w art.50 Rozporządzenia wprowadzono również obowiązki w zakresie transparentności, które obejmują także systemy niskiego ryzyka. Analiza treści art.50 AIA prowadzi do wniosku, iż dotyczy on „klasycznych” niejako przykładów tworzenia i korzystania z systemów GenAI.
Zgodnie z art.50 ust.1 AIA dostawcy muszą w szczególności zadbać, aby systemy sztucznej inteligencji przeznaczone do bezpośredniej interakcji z osobami fizycznymi, takie jak chatboty, były projektowane i rozwijane w taki sposób, aby osoby fizyczne były informowane o interakcji z systemem sztucznej inteligencji („Hey, I am a chatobt”). Obowiązek ten nie znajduję zastosowania, jeżeli, z uwzględnieniem okoliczności i kontekstu wykorzystywania, powinno to być oczywiste dla tych osób. Dostawcy systemów AI, w tym systemów AI ogólnego zastosowania, generujących treści w postaci syntetycznych dźwięków, obrazów, wideo lub tekstu, mają także zapewnić, aby wyniki systemu AI zostały oznakowane w formacie nadającym się do odczytu maszynowego i były wykrywalne jako sztucznie wygenerowane lub zmanipulowane (art.50 ust.2).
Z kolei, podmioty stosujące system AI, który generuje obrazy, treści audio lub wideo stanowiące treści deepfake lub który manipuluje takimi obrazami lub treściami, zobowiązane są do ujawnienia, iż treści te zostały sztucznie wygenerowane lub zmanipulowane (art.50 ust.4). Obowiązek ten nie ma zastosowania, w przypadku gdy wykorzystywanie jest dozwolone na mocy prawa w celu wykrywania przestępstw, zapobiegania im, prowadzenia postępowań przygotowawczych w ich sprawie lub ścigania ich sprawców. W przypadku natomiast, gdy treść stanowi część pracy lub programu o wyraźnie artystycznym, twórczym, satyrycznym, fikcyjnym lub analogicznym charakterze obowiązki w zakresie przejrzystości określone w niniejszym ograniczają się do ujawnienia istnienia takich wygenerowanych lub zmanipulowanych treści w odpowiedni sposób, który nie utrudnia wyświetlania lub korzystania z utworu. Obowiązek informacyjny wobec osób fizycznych został również przewidziany, niezależnie od stopnia ryzyka stosowania danych systemów, w przypadku korzystania z systemów rozpoznawania emocji lub systemów kategoryzacji biometrycznej osób fizycznych (art.50 ust.3).
Art.50 ust.5 stanowi wyraźnie, iż wszystkie powyższe informacje, wymienione w powinny być przekazywane zainteresowanym osobom fizycznym w jasny i wyraźny sposób, najpóźniej w momencie pierwszej interakcji lub pierwszego stosowania systemu AI.”
9. Harmonogram wejścia w życie obowiązków AIA.
Akt w sprawie sztucznej inteligencji wszedł w życie w dniu 2 sierpnia 2024 r., obowiązywanie jego przepisów jest jednak rozłożone w czasie. Zasadnicza datą rozpoczęcia stosowania Rozporządzenia jest 2 sierpnia 2026 r. (art.113). Przyjęto przy tym regułę intertemporalną, iż przepisy AIA stosują się do systemów wprowadzonych do obrotu lub oddanych do użytku przed tą datą, chyba iż po tej dacie w systemach tych „wprowadzane będą istotne zmiany w ich projekcie” (art.111 ust.2). Gdy takich zmian nie dokonano, to dostawcy i podmioty stosujące systemy wprowadzone do obrotu (użytku) przed dniem 2 sierpnia 2026 r., są zobowiązane do „podjęcia niezbędnych kroków w celu zapewnienia zgodności z wymogami i spełnienia obowiązków ustanowionych w niniejszym rozporządzeniu do dnia 2 sierpnia 2030 r.”
Wyjątkiem od zasady rozpoczęcia stosowania AIA w dniu 2 sierpnia 2026 r. są przepisy dotyczące niedopuszczalnych praktyk w zakresie AI, które zaczną obowiązywać już od dnia 2 lutego 2025 r. Również niektóre przepisy dotyczące systemów wysokiego ryzyka, a także modeli ogólnego przeznaczenia zaczną obowiązywać wcześniej tj. od dnia 2 sierpnia 2025 r. (art.113).
10. Organ nadzoru i sankcje.
Naruszenie którekolwiek z w/w obowiązków skutkować może odpowiedzialnością administracyjną dostawców lub podmiotów stosujących AI, w tym możliwością nałożenia kar pieniężnych (art.99). Uprawnienia w tym zakresie będzie mieć odrębny organ nadzorczy (Komisja Rozwoju i Bezpieczeństwa AI), który ma zostać powołany na podstawie ustawy wdrażającej AIA, nad którą w tej chwili realizowane są w Polsce prace legislacyjne.
Nowym, nieznanym wcześniej rozwiązaniem, jest przyznanie prawa do nakładania odrębnych kar pieniężnych również Europejskiemu Rzecznikowi Ochrony Danych (art.100 ust.1).
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 .z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji)
