– Powinniśmy znaleźć równowagę pomiędzy rozwojem a bezpieczeństwem – podkreśla wiceminister cyfryzacji Dariusz Standerski, który w tym tygodniu na posiedzeniu podkomisji ds. AI ocenił, że na świecie bezpieczeństwo związane ze sztuczną inteligencją jest niewystarczająco zagwarantowane. W Unii Europejskiej zaś – odwrotnie – jej rozwój jest nadmiernie hamowany regulacjami.
Priorytetem polskiej ustawy o AI, nad którą Sejm ma debatować w środę wieczorem, ma być zatem innowacja, a głównym narzędziem tzw. piaskownice regulacyjne, czyli kontrolowane środowiska testowania technologii przez przedsiębiorców, zanim trafią na rynek. – Chcemy stworzyć takie środowisko, w którym przedsiębiorcy, instytucje publiczne, instytucje naukowe nie będą się bały wdrażać rozwiązań sztucznej inteligencji, ale będą miały pewność prawa – dodaje Standerski.
Czytaj więcej
Wprowadzamy nowe funkcjonalności w aplikacji mObywatel, budujemy „gigafabrykę AI” oraz pracujemy nad polską ustawą o systemach AI i nowelizacją ust...
Równowaga między rozwojem a bezpieczeństwem
Procedowana w Sejmie ustawa o systemach sztucznej inteligencji zakłada, że Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI), w której kierownictwie zasiądą przedstawiciele UOKiK, KNF, KRRiT i UKE, będzie nadzorować rynek AI, kontaktować się z instytucjami UE oraz wspierać rozwój technologii. Przepisy z jednej strony określają procedurę np. wydawania opinii prawnych czy zasady nakładania kar finansowych na firmy, a z drugiej – regulują korzystne dla firm tzw. piaskownice. Nowe przepisy nie obejmą m.in. wojska i służb specjalnych ze względu na ich rolę w architekturze bezpieczeństwa państwa.
– KRiBSI będzie sprawować nadzór nad rynkiem systemów AI, czyli prowadzić działania monitorujące, informacyjne i edukacyjne, wspierające rozwój tego sektora w Polsce – mówi „Rzeczpospolitej” dr Małgorzata Wilińska, radczyni prawna i counsel w kancelarii Peak Legal, specjalizująca się w prawie nowych technologii. Dodaje też, że nowe przepisy powinny podnieść poziom bezpieczeństwa obywateli i ochrony ich praw, a jednocześnie wspierać rozwój firm technologicznych, szczególnie MŚP i startupów. – Kluczowe będą tu tzw. piaskownice regulacyjne, które KRiBSI będzie tworzyć: to przestrzeń do testowania systemów AI, ale bez ryzyka naruszenia prawa – podkreśla prawniczka.
Czytaj więcej
Pomimo formalnego wydzielenia komórki właściwej do obsługi Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji niezależność działających w jej...
Bank odrzucił wniosek? Można się poskarżyć
Co istotne, komisja ds. sztucznej inteligencji ma również aktywnie przeciwdziałać zagrożeniom związanym z bezpieczeństwem systemów AI, w tym przyjmować zgłoszenia o poważnych incydentach. Np. w sytuacjach zagrożenia dla „życia, zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych” nowy organ nadzoru będzie mógł wycofać niebezpieczny system AI w ciągu siedmiu dni.
Ustawa określi też, jak składać skargi na naruszenia przepisów AI – będzie mógł je wnosić każdy obywatel. Ministerstwo Cyfryzacji podało przykład: jeśli system AI banku odrzuci czyjś wniosek i dana osoba podejrzewa, że decyzja była niesprawiedliwa lub dyskryminująca, to będzie mogła złożyć skargę do KRiBSI, która następnie sprawdzi, czy system działał zgodnie z prawem. Resort przekonuje też, że nowe przepisy, zakładające działania edukacyjne komisji, pomogą lepiej zrozumieć sztuczną inteligencję – tak by przestała być czarną skrzynką.
Lewiatan: zbyt szeroki dostęp do danych
Ustawa ma jednak nie tylko wprowadzić nadzór nad rynkiem AI, ale też ułatwić firmom rozwijanie nowych technologii. Poza tzw. piaskownicami regulacyjnymi, za których korzystanie mikro, mali i średni przedsiębiorcy będą zwolnieni z opłat, firmy będą też mogły występować do KRiBSI o opinie indywidualne i wyjaśnienia dotyczące stosowania przepisów – brak odpowiedzi w terminie ma oznaczać zgodę z wnioskiem przedsiębiorcy.
Mimo że Konfederacja Lewiatan ocenia, że powołanie KRiBSI jest racjonalnym krokiem wobec tempa rozwoju technologii, to ma zastrzeżenia dotyczące zakresu jej uprawnień kontrolnych. Propozycja przewiduje bowiem dostęp do systemów informatycznych i zasobów chmurowych należących do podmiotów trzecich, co w praktyce ma oznaczać możliwość wglądu w dane klientów firm chmurowych, które nie są stroną ewentualnego postępowania.
Opinia dla "Rzeczpospolitej"
Eliza Turkiewicz, dyrektorka Departamentu Rynku Cyfrowego w Konfederacji Lewiatan
Nasze wątpliwości budzi zakres uprawnień organu nadzorczego – projekt przewiduje bardzo szerokie kompetencje kontrolne, czyli dostęp do systemów informatycznych i zasobów chmurowych należących do podmiotów trzecich. W praktyce może to oznaczać, że podczas kontroli kontroler będzie miał dostęp do danych klientów przechowywanych w chmurze obliczeniowej, którzy nie są stroną postępowania. Postulujemy ograniczenie tych uprawnień do danych bezwzględnie koniecznych do oceny ryzyka zgodnie z AI Actem i RODO. Organ nie powinien uzyskiwać dostępu do treści danych klientów dostawców usług chmurowych, bo istnieje realne ryzyko naruszenia tajemnicy przedsiębiorstwa, prywatności i praw podmiotów trzecich – z poważnymi konsekwencjami prawnymi dla samego organu włącznie. Tzw. piaskownice regulacyjne są potrzebnym instrumentem. To kontrolowane środowiska, w których firmy mogą testować systemy AI pod nadzorem regulatora, zanim trafią one na rynek. Dają przestrzeń do bezpiecznego eksperymentowania i dopracowania rozwiązań w dialogu z administracją, zamiast hamować je na starcie niepewnością interpretacyjną. To realne wsparcie dla innowacyjności, szczególnie dla startupów, które chcą szybciej przejść od prototypu do wdrożenia.
Resort cyfryzacji wyjaśnia z kolei, że kontrolujący musi mieć dostęp do szerokiego źródła danych, w tym do chmury obliczeniowej, ponieważ ustalenia oparte wyłącznie na dokumentacji mogą nie dać jednoznacznych wyników w zakresie bezpieczeństwa i zgodności systemów AI.
Czytaj więcej
Jeżeli europejskie ramy prawne się nie zmienią, ciężko będzie krajom UE zostać liderem innowacji AI – mówi Jakub Turowski, dyrektor ds. polityki pu...
Lewiatan krytykuje też nadmierny automatyzm w działaniu KRiBSI. Proponowane przepisy zakładają bowiem obowiązek wstrzymywania postępowań w określonych przypadkach – m.in. po rozpatrzeniu skargi lub stwierdzeniu formalnych uchybień – bez możliwości oceny ich wagi. Organizacja postuluje zastąpienie tego mechanizmu fakultatywnością, tak by komisja mogła działać proporcjonalnie do okoliczności.
Z kolei w odniesieniu do równowagi między rozwojem a bezpieczeństwem AI Konfederacja Lewiatan odrzuca tezę, że regulacje dotyczące AI szkodzą innowacjom. Kluczowa jest jednak egzekucja prawa. Lewiatan zwraca uwagę, że RODO obowiązuje dziś w ponad 20 różnych krajowych reżimach prawnych zamiast w ramach jednego jednolitego rynku. Nie sam fakt istnienia regulacji jest zły – tylko to, jak są tworzone i jak wygląda ich egzekucja.
Czytaj więcej
Branża technologiczna domaga się zawieszenia kontrowersyjnych regulacji dla sztucznej inteligencji. Rodzima izba AI Chamber, wspólnie z organizacja...
Czy Bruksela zmieni zdanie?
Zgodnie z AI Act, unijnym rozporządzeniem, które weszło w życie w 2024 r., kluczową datą jest 2 sierpnia. Do tego dnia – nie tylko w Polsce, ale w całej Europie – mają zostać wprowadzone w życie przepisy dotyczące krajowych organów nadzoru, a przedsiębiorcy i instytucje będą musiały stosować się do nowych wymogów, również w zakresie tzw. systemów wysokiego ryzyka, m.in. w obszarach zdrowia i bezpieczeństwa. Ważne jest to, że brak krajowego organu nadzoru, zdolnego potwierdzić zgodność systemu AI, może blokować albo istotnie komplikować wejście na rynek UE.
Sejmowe prace nad przepisami są zbieżne w czasie z pracami w Brukseli nad pakietem AI Omnibus, który ma nie tylko uprościć AI Act, ale i opóźnić stosowanie przepisów dotyczących systemów wysokiego ryzyka – do grudnia 2027 r. – Poprawki te mają m.in. ułatwić realizację obowiązków dla dostawców systemów AI wysokiego ryzyka przed kluczowym terminem przewidzianym na sierpień bieżącego roku – wyjaśnia mec. Wilińska.
Decyzje miały zapaść w tym tygodniu w ramach tzw. trilogu, czyli nieformalnych negocjacji między PE, Radą UE i KE. Do porozumienia jednak nie doszło i wkrótce ruszy kolejna runda rozmów. Wiceszefowa KE ds. cyfryzacji Henna Virkkunen poinformowała w środę, że stronom zależy na tym, by negocjacje zakończyć jak najszybciej. – Wszyscy są do tego zmotywowani. Ale skoro chcemy, żeby przepisy były proste i łatwe do stosowania przez biznes, to muszą być one precyzyjne i jednoznaczne. Dlatego negocjacje wymagają jeszcze trochę dodatkowej pracy – podsumowała.
