2023 m. gruodžio pradžioje ES pasiekė politinį susitarimą dėl Dirbtinio intelekto akto – pirmojo tokio akto pasaulyje. Naujojo Dirbtinio intelekto akto, turėsiančio didelės įtakos dirbantiems su dirbtiniu intelektu, teisinius aspektus 15min komentuoja verslo teisės paslaugas teikiančios įmonės „Fondia Lietuva“ vyr. teisininkė, LegalTech LL.M Katerina Jarmolovičienė.
Kūrėjų, investuotojų ir teisininkų diskusijose su DI susijusiems aspektams skiriama daug dėmesio. Tai natūralu – ne tik daugėja DI įrankių, bet ir jų veiklos erdvė sparčiai plečiasi.
Bendriausiais bruožais kalbant, dirbdamas su dideliais duomenų rinkiniais, DI juos analizuoja ir kuria naujus duomenis. Būtent duomenų naudojimas ir iškelia pagrindinius klausimus: kada duomenų naudojimas laikomas teisėtu, ir apskritai kokias rizikas gali kelti DI sistemos?
Atsižvelgdama į didėjančias dirbtinio intelekto keliamas grėsmes, ES jau nuo 2018 metų nuosekliai imasi konkrečių veiksmų šiai problemai spręsti. Tikslas – užtikrinti, kad dirbtinis intelektas būtų kuriamas ir naudojamas laikantis Europos Sąjungos teisių ir vertybių, apsaugoti piliečių teises nuo galimų pavojų. Europos Komisijos pasiūlymas dėl ES reglamento, nustatančio suderintas dirbtinio intelekto taisykles (Dirbtinio intelekto akto) svarstymams buvo pateiktas 2021 balandį, taigi apie du su puse metų vyko derybos, ir 2023 metų gruodžio 6 įvyko tų politinių ir technologinių derybų kulminacija, kurią vainikavo teisėkūros institucijų pasiektas politinis susitarimas dėl Dirbtinio intelekto akto
DI aktas buvo svarstomas labai ilgai, jis apima įvairius minėtos technologijos naudojimo aspektus, DI saugos ir atsakomybės klausimus, turinčius įtakos dirbtinio intelekto kūrimui ir naudojimui. Kada įsigalios naujasis DI aktas? Ar verslas ir visuomenė turės laiko pasiruošti?
DI akto įgyvendinimas apima kelis pagrindinius etapus, kurių kiekvienas turi savo žingsnius ir terminus. Patvirtinus galutinį tekstą, šis teisės aktas įsigalios dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje. Įsigaliojus DI aktui, prasidės pereinamasis laikotarpis, kol bus pradėtos taikyti visos jo nuostatos. Aktas bus visiškai taikomas 24 mėnesiai nuo įsigaliojimo, taikant laipsnišką metodą taip: praėjus 6 mėnesiams nuo įsigaliojimo bus taikomos nuostatos dėl nepriimtinos DI rizikos, draudžiamoms sistemoms; praėjus 12 mėnesių bus pradėti taikyti bendrosios paskirties DI valdymo įsipareigojimai; praėjus 24 mėnesiams pradedamos taikyti visos DI akto taisyklės, įskaitant įpareigojimus didelės rizikos sistemoms.
DI aktas yra Europos Sąjungos reglamentas, o tai reiškia, kad jis bus privalomas ir tiesiogiai taikomas visose ES valstybėse narėse, neperkeliant į nacionalinę teisę. Valstybės narės turėtų paskirti vieną ar daugiau nacionalinių institucijų prižiūrinčių kaip taikomas ir įgyvendinamas DI aktas. Koordinavimą Europos lygmeniu užtikrins naujai steigiamas Europos dirbtinio intelekto biuras.
Dirbtinio intelekto aktas yra pirmasis tokio pobūdžio įstatymas pasaulyje. Tai reiškia, kad jis prisidės prie pasaulinių dirbtinio intelekto įstatymų standartų kūrimo. Kokie yra pagrindiniai DI teisinio reguliavimo aspektai?
Naudojant DI, aktualiausi teisiniai aspektai yra susiję su intelektinės nuosavybės, asmens duomenų apsauga, komercinių paslapčių ir duomenų saugumas, atsakomybė, ir kt. Jie yra reguliuojami šiuo metu galiojančių teisės aktų, todėl vertinant ir naudojant dirbtinio intelekto įrankius, svarbu jais vadovautis jau dabar, užtikrinti teisinę atitiktį (compliance).
Pagrindiniai teisiniai DI akto aspektai yra pirmiausia susiję su dirbtinio intelekto rizikų klasifikacija, kas leidžia taikyti atitinkamus reguliavimo reikalavimus ir skatina atsakingas inovacijas Europoje. Kitas svarbus aspektas – duomenų apsauga ir skaidrumas. DI aktas reikalauja, kad dirbtinio intelekto sistemos būtų skaidrios, aiškios ir kad naudojami duomenys būtų apsaugoti, siekiant užtikrinti privatumą, duomenų etiką. Be to, DI aktas nustato atitikties stebėjimo mechanizmus ir numato sankcijas už taisyklių nesilaikymą, siekiant užtikrinti nuostatų laikymąsi ir vartotojų saugumą.
Skirtingi DI sprendimai kelia skirtingą riziką. Nors didžioji dauguma dirbtinio intelekto sistemų patenka į minimalios rizikos kategoriją, tačiau neatmetama galimybė, kad tobulėjant technologijomis vis daugiau bus sukurta didesnę riziką keliančių sistemų. Ar DI akto nuostatos vienodos visoms sistemoms, ar išskiriamos tam tikros rizikos kategorijos?
Dirbtinio intelekto akto nuostatos skirtingus reikalavimus nustato, priklausomai nuo DI sistemos keliamos rizikos. Dauguma DI sistemų kelia tik minimalų pavojų asmenų teisėms ar saugumui arba visai jo nekelia, tad pateks į minimalios rizikos kategoriją. Tokių sistemų tiekėjai galės pasirinkti taikyti patikimo DI (trustworthy AI) reikalavimus ir laikytis savanoriškų elgesio kodeksų. Didelę riziką keliančios DI sistemos turės atitikti griežtus reikalavimus. Pavyzdžiui, jos turi turėti rizikos mažinimo sistemas, aukštą duomenų rinkinių kokybę, aktyvumo registravimą, išsamią dokumentaciją, aiškią informaciją vartotojui, aukštą tikslumo, patikimumo ir kibernetinio saugumo lygį, būti prižiūrimos žmogaus.
Nepriimtinos rizikos DI sistemos, kurios laikomos aiškia grėsme pagrindinėms žmonių teisėms, bus uždraustos. Tai apima dirbtinio intelekto sistemas, vykdančias socialinį reitingavimą, manipuliuojančias žmonių elgesiu, išnaudojančias asmenų pažeidžiamumą, taip pat bus uždrausta naudoti kai kurias biometriniais duomenimis besiremiančias sistemas, pavyzdžiui, emocijų atpažinimo, žmonių skirstymo į kategorijas. Bus draudžiamas netikslingas veido vaizdų rinkimas (untargeted scraping) internete arba CCTV (vaizdo stebėjimas), siekiant sukurti arba išplėsti duomenų bazes.
Tam tikroms DI sistemoms pripažįstama specifinė skaidrumo rizika, pavyzdžiui, naudojant pokalbių robotus vartotojai turėtų žinoti, kad jie sąveikauja su mašina. Labai galingiems bendrosios paskirties modeliams, galintiems kelti sisteminę riziką (pavyzdžiui, GPT4), bus taikomi papildomi privalomi įpareigojimai, susiję su rizikos valdymu ir rimtų incidentų stebėjimu, modelio įvertinimu ir priešpriešiniais bandymais.
DI naudoja duomenis, be to jis vis galingesnis. Todėl kyla nerimas dėl duomenų naudojimo, bei dėl DI įrankiais sukurtų produktų, jei klastotės būt pateikiamos kaip autentiška medžiaga. Ar vartotojai turės būti informuojami, kad, tarkim, filmas ar nuotrauka sukurti pasitelkus DI?
Faktiškai jau dabar, prieš išsirenkant DI įrankį reikia atidžiai įvertinti paslaugų teikimo sąlygas ir pasirinkti saugiausią. Kai kurie įrankiai nustato galimybę vartotojams atsisakyti, kad jų duomenys būtų naudojami modelio mokymuisi, arba leisti mokytis uždaroje tam tikros organizacijos sistemoje, neišleidžiant duomenų už šios organizacijos ribų.
Kaip buvo kalbėta, DI aktas nustatys tam tikrus skaidrumo reikalavimus, pavyzdžiui, vaizdo klastotės (deepfake) ir kitas dirbtinio intelekto sukurtas turinys turės būti pažymėtas kaip toks, o naudotojai turi būti informuojami, jei naudojamos biometrinės kategorijos arba emocijų atpažinimo sistemos. Be to, paslaugų teikėjai turės kurti sistemas taip, kad sintetinis garso, vaizdo, teksto ir vaizdų turinys būtų pažymėtas mašininio skaitymo formatu ir būtų identifikuotas kaip dirbtinai sukurtas.
Pažymėtina, kad jau dabar, vadovaujantis LR Visuomenės informavimo įstatymu, dezinformaciją platinti yra draudžiama, Europos mastu kovos su neteisėtu turiniu taisykles nustato ES Skaitmeninių paslaugų aktas.
DI produktai yra sudėtingi, tad organizacijoms nebus lengva valdyti rizikas. Kokius žingsnius svarbu žengti, kad kuriami ir diegiami DI produktai atitiktų su duomenų apsauga, intelektine nuosavybe, vartotojų teisėmis ir atsakomybe susijusius įstatymus ir reglamentus?
Mes rekomenduojame atlikti išsamų teisinės aplinkos vertinimą, kad organizacijos galėtų užtikrintai priimti sprendimus sudėtingoje ir besikeičiančioje teisinėje sistemoje, taip išvengdamos teisinės atitikties spragų ir potencialių ginčų. Be to, teisinis tikrumas padeda puoselėti tvarius santykius su produktų kūrimo specialistais ir tinkamai įforminti trečiųjų šalių indėlį į DI produktų kūrimą.
Teisinė pagalba taip pat labai svarbi dirbtinio intelekto produktų platintojams, tiekėjams, nes jie yra atsakingi už teikiamų DI sistemų atitiktį, susiduria su specifiniais reikalavimais, kurių ateityje tik daugės, todėl pirmiausia tampa aktualūs sutarčių teisės klausimai, neatskleidimo susitarimai (NDA), konfidencialumo susitarimai, produktų platinimo susitarimai ir standartinės paslaugų teikimo sąlygos.Aktyvus teisinės apsaugos užtikrinimas tampa būtinas norint veiksmingai valdyti riziką, susijusią su DI produkto gedimais, klaidomis ar pažeidimais, kartu apsaugant verslo interesus.
Tačiau ir DI priemonių naudotojams reikės žinoti savo teises ir pareigas?
Taip, pavyzdžiui, organizacijos, naudojančios DI priemones, turėtų pagalvoti apie savo intelektinės nuosavybės apsaugos strategijas, sutarčių su darbuotojais, partneriais ir klientais peržiūrą, intelektinės nuosavybės ir konfidencialumo įsipareigojimų įtraukimą. Labai svarbu suprasti suteiktų teisių naudoti DI įrankį apimtį, įskaitant naudotojų, įrenginių ar vietovių skaičiaus apribojimus, įrankio sublicencijavimo, rezultatų dalinimosi apribojimus. Išsiaiškinkite intelektinės nuosavybės teisių, susijusių su DI įrankiu, nuosavybės teisę, patikrinkite, ar DI įrankis naudoja trečiosios šalies intelektinę nuosavybę, ir įsitikinkite, ar toks naudojimas leidžiamas verslo tikslais.
Naudojant DI priemones svarbu įvertinti potencialios su DI susijusios žalos tikimybę įmonėje. Apsvarstyti, kokie būtų galimi DI piktnaudžiavimo atvejai, kokias pasekmes tai gali turėti asmenims. Pirmoji šių rizikų valdymo priemonė būtų aiškių su dirbtiniu intelektu susijusių gairių, taisyklių organizacijoje parengimas, kurias galima formalizuoti DI politikos dokumente. Apmokykite savo darbuotojus ir partnerius naudoti dirbtinį intelektą ir jo išvesties rezultatus pagal šią politiką, atitinkamai atnaujinkite turimas sutartis.
Nors apie dirbtinį intelektą kalbama seniai, bendrovių veikloje – tai vis dar naujas, gerai nepažintas įrankis, kalbant ne tik apie techninę dalį, bet ir su DI susijusius teisinius aspektus. Kaip „Fondia“ padeda spręsti jau šiandien kylančias problemas bei pasiruošti ateities iššūkiams?
Organizacijos, naudojančios arba besiruošiančios diegti DI sistemas turėtų užtikrinti atitiktį galiojantiems teisiniams, etiniams, veiklos standartams, gerajai rinkos praktikai. Iš pradžių glaudžiai bendradarbiaujame su klientu, kad suprastume ir detalizuotume, kuriems tikslams įmonė ketina naudoti DI, kokie yra planuojami diegti įrankiai, įvertiname, ar įmonė teikia pirmenybę centralizuotai DI įrankių kontrolei. Atliekame teisinių rizikų vertinimą, siūlome veiksmingas rizikos mažinimo strategijas ir priemones. Šis holistinis požiūris užtikrina, kad mūsų klientai ne tik laikosi teisinių standartų, bet ir imasi proaktyvių teisinių priemonių įgyvendindami savo DI iniciatyvas.
„Fondia“ didžiuojasi savo dedikuota tarptautine Duomenų Ekonomikos komanda – teisininkų kolektyvu, besispecializuojančiu duomenų ekonomikos, DI, skaitmeninių paslaugų, duomenų reglamentavimo srityse. Teikdami teisines paslaugas Baltijos ir Šiaurės šalių regione , mes apimame kelias jurisdikcijas, užtikrindami, kad mūsų patarimai būtų pagrįsti regionine ir nacionaline teisine praktika. Nėra nei vienos pramonės šakos, kuri nebūtų tiesiogiai ar netiesiogiai susijusi su duomenų ekonomika, todėl teisinis reguliavimas reikalauja kruopštaus stebėjimo ir prisitaikymo prie besikeičiančių ES teisės aktų bei nacionalinių reglamentų.
Penki ES Skaitmeninės Strategijos „ramsčiai“ – Skaitmeninių paslaugų aktas, Skaitmeninių rinkų aktas, Duomenų valdymo aktas, Dirbtinio intelekto aktas, Duomenų aktas – yra ES skaitmeninės strategijos dalis, vienaip ar kitaip turinti įtakos daugeliui verslų Mūsų misija – suteikti klientams galimybes drąsiai žengti per duomenų reglamentavimo labirintą, užtikrinant teisinę atitiktį, kol atveriamos naujos inovacijų ir augimo galimybės.
