W pierwszej części naszego artykułu „Zakazane systemy AI – część I” tłumaczyliśmy zawiłości definicji „systemu AI” oraz staraliśmy się scharakteryzować pierwszą grupę zakazanych praktyk dotyczących systemów sztucznej inteligencji, m.in. systemów podprogowych. W niniejszej publikacji kontynuujemy opisywanie pozostałych systemów AI, które przez Unię Europejską zostały uznane za niepożądane.
Spis treści – część II:
- Systemy tworzące i rozbudowujące bazy danych z twarzami
- Systemy identyfikacji emocji
- Systemy kategoryzacji biometrycznej
- Systemy zdalnej identyfikacji biometrycznej
- Podsumowanie
Systemy tworzące i rozbudowujące bazy danych z twarzami
Dzisiejszy świat pod względem inwigilacji społeczeństw coraz bardziej zbliża się do dystopii wykreowanej przez George Orwell’a w powieści „1984”. Nie zdając sobie nawet z tego sprawy żyjemy pod ciągłą obserwacją tysięcy kamer: na ulicach w ramach miejskich systemów monitoringu, w budynkach użyteczności publicznej, w zakładach pracy, na terenach prywatnych posesji, w naszych smartfonach i komputerach, a nawet w takich miejscach odosobnienia jak lasy. We wszystkich tych lokalizacjach wchodząc w pole widzenia kamer nasze twarze są utrwalane w formie nagrań zdjęć.
Nie można również zapominać o tym, że sami dobrowolnie masowo „pozostawiamy” nasze twarze w przestrzeni publicznej, np. za pośrednictwem internetu, gdzie publikujemy zdjęcia i nagrania ze swoim wizerunkiem. Wystarczy tutaj wspomnieć choćby o social mediach, firmowych stronach internetowych, komunikatorach, etc.
Unia Europejska zauważyła ryzyka związane z tym zagadnieniem, m.in.: poczucie masowego nadzoru oraz ryzyko wystąpienia poważnych naruszeń praw podstawowych, w tym prawa do prywatności, dlatego też zdecydowała się wprowadzić stosowny zakaz w kontekście systemów AI.
Przepisy AI ACT zakazują wprowadzania do obrotu, oddawania do użytku w tym konkretnym celu lub wykorzystywania systemów AI, które tworzą lub rozbudowują bazy danych służące rozpoznawaniu twarzy poprzez nieukierunkowane pozyskiwanie (ang. Untargeted scraping) wizerunków twarzy z internetu lub nagrań z telewizji przemysłowej.
Przedmiotowy zakaz należy uznać za krok w dobrą stronę, gdyż już teraz istnieją firmy, które twierdzą że posiadają bazę danych ze zdjęciami ludzi w wolumenie 30 miliardów. Przy czym fotografie te zostały pozyskane z internetu, m.in. za pośrednictwem platform pokroju Facebook lub Twitter bez wiedzy i zgody ich użytkowników[1].
Systemy identyfikacji emocji
Kolejną kategorią zakazanych systemów AI są systemy identyfikujące emocje w zakładach pracy oraz w placówkach edukacyjnych. AI ACT zakazuje wprowadzania do obrotu oraz oddawania do użytku w tym konkretnym celu lub wykorzystywania systemów AI, które służą do wyciągania wniosków na temat emocji osoby fizycznej w miejscu pracy lub instytucjach edukacyjnych. Wyjątkiem są tutaj przypadki, w których taki system AI ma zostać wdrożony lub wprowadzony do obrotu ze względów medycznych (np. do użytku terapeutycznego.) lub bezpieczeństwa.
Unijny prawodawca w motywie 44 AI ACT tak uzasadnił wprowadzenie zakazu: „Istnieją poważne obawy co do podstaw naukowych systemów AI mających na celu rozpoznawanie emocji lub wyciąganie wniosków na temat emocji, zwłaszcza że wyrażanie emocji znacznie się różni w zależności od kultur i sytuacji, a nawet w przypadku pojedynczej osoby. Wśród głównych wad takich systemów znajdują się ograniczona wiarygodność, nieprecyzyjność i ograniczona możliwość uogólnienia. W związku z tym systemy AI rozpoznające emocje lub zamiary osób fizycznych lub wyciągające wnioski na temat emocji lub zamiarów na podstawie danych biometrycznych tych osób mogą prowadzić do dyskryminacyjnych wyników i mogą naruszać prawa i wolności zainteresowanych osób. Biorąc pod uwagę brak równowagi sił w kontekście pracy lub edukacji, w połączeniu z inwazyjnym charakterem tych systemów, systemy takie mogą prowadzić do krzywdzącego lub niekorzystnego traktowania niektórych osób fizycznych lub całych ich grup.”
Przedmiotowy zakaz doprecyzowuje definicja „systemu rozpoznawania emocji” zawarta w motywie 18 AI ACT, zgodnie z jej brzmieniem przez systemy rozpoznawania twarzy należy rozumieć systemy AI służące do rozpoznawania emocji lub zamiarów osób fizycznych na podstawie danych biometrycznych tych osób, lub wyciągania wniosków odnośnie tych emocji lub zamiarów. Pojęcie to dotyczy emocji lub zamiarów, takich jak radość, smutek, złość, zdziwienie, obrzydzenie, zakłopotanie, podekscytowanie, wstyd, pogarda, satysfakcja i rozbawienie.
Pojęcie „systemu rozpoznawania emocji” nie obejmuje natomiast stanów fizycznych, takich jak ból lub zmęczenie, w tym np. systemów stosowanych do wykrywania poziomu zmęczenia zawodowych pilotów lub kierowców w celu zapobiegania wypadkom. Systemem rozpoznawania emocji w rozumieniu AI ACT nie będzie również system służący do samego wykrywania łatwych do zauważenia form wyrazu, gestów lub ruchów, chyba że wykorzystuje się je do identyfikacji lub wnioskowania na temat emocji. Te formy wyrazu mogą obejmować podstawowe rodzaje wyrazu twarzy, takie jak grymas lub uśmiech, gesty, takie jak ruch rąk, ramion lub głowy, lub cechy głosu danej osoby, takie jak podniesiony ton lub szept.
Odnośnie monitorowania uśmiechów warto tutaj przypomnieć przypadek z 2019 r., który miał miejsce w Polsce. Mianowicie, bank PKO BP pilotażowo wprowadził w swoich wybranych placówkach system, który monitorował pracowników pod kątem liczby uśmiechów pojawiających się podczas wykonywania przez nich obowiązków służbowych. Sprawa odbiła się na tyle szerokim echem, iż zainteresowała Rzecznika Praw Obywatelskich. Po przeanalizowaniu sprawy Rzecznik Praw Obywatelskich zajął stanowisko, iż system stosowany przez bank wkraczał w prywatność i godność pracowników, a także był niedopuszczalny z punktu widzenia Kodeksu pracy, przy założeniu że miał służyć do oceny pracowników. Dodatkowo wyraził wątpliwość co do prawnej możliwości wykorzystywania tego rodzaju systemów z uwagi na ogólny zakaz przetwarzania danych biometrycznych wyrażony w RODO[2].
Systemy kategoryzacji biometrycznej
AI ACT zakazuje wyprowadzenia do obrotu, oddawania do użytku i wykorzystywania systemów kategoryzacji biometrycznej, które indywidualnie kategoryzują osoby fizyczne w oparciu o ich dane biometryczne, by wydedukować lub wywnioskować informacje na temat ich rasy, poglądów politycznych, przynależności do związków zawodowych, przekonań religijnych lub światopoglądowych, seksualności lub orientacji seksualnej.
W przypadku tego rodzaju zakazanego systemu szczególną uwagę można zwrócić na specyficzne powiązanie RODO z AI ACT, które doprecyzowuje kwestię ochrony danych osobowych w kontekście sztucznej inteligencji, w szczególności poprzez odwołanie do definicji „danych biometrycznych” zawartej w RODO.
Należy także zwrócić uwagę na wyjątek ustanowiony w kontekście tego systemu, a odnoszący się do kategoryzowania osób w przypadku etykietowania i filtrowania zgodnego z przepisami prawa, przykładowo w kontekście obrazów, czy kategoryzowania w obszarze ścigania przestępstw. Jak zostanie wyjaśnione w dalszej części artykułu, szczególnym rodzajem wyjątku w zakresie stosowania systemów zakazanych jest obszar ścigania pewnych kategorii przestępstw.
Systemy zdalnej identyfikacji biometrycznej
Tytułem wyjaśnienia należy wskazać, iż w rozumieniu AI ACT przez identyfikację biometryczną należy rozumieć zautomatyzowane rozpoznawanie cech ludzkich (fizycznych, fizjologicznych, behawioralnych lub psychologicznych) w celu porównania danych jednostki z danymi jednostek widniejących w pewnej bazie danych.
System zdalnej identyfikacji biometrycznej w czasie rzeczywistym oznacza system, który zbiera dane biometryczne, porównuje je i identyfikuje bez znacznego opóźnienia. Jako przestrzeń publiczną, zgodnie z art. 3 pkt 44) AI ACT rozumie się: „miejsce fizyczne, będące własnością prywatną lub publiczną, dostępne dla nieokreślonej liczby osób fizycznych, niezależnie od tego, czy mogą mieć zastosowanie określone warunki dostępu, oraz niezależnie od potencjalnych ograniczeń pojemności”, zaś cele ścigania przestępstw zgodnie z art. 3 pkt 45) AI ACT oznaczają: „działania prowadzone przez organy ścigania lub w ich imieniu w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom”.
Przepis art. 5 ust. 1 pkt h) AI ACT co do zasady zakazuje stosowania tego rodzaju systemów AI. Wprowadzono jednak trzy wyjątki, które pozwalają na zastosowanie systemu zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej do celów ścigania przestępstw:
- poszukiwanie konkretnych ofiar uprowadzeń, handlu ludźmi lub wykorzystywania seksualnego ludzi, a także poszukiwanie osób zaginionych;
- zapobiegnięcie konkretnemu, istotnemu i bezpośredniemu zagrożeniu życia lub bezpieczeństwa fizycznego osób fizycznych lub rzeczywistemu i aktualnemu lub rzeczywistemu i dającemu się przewidzieć zagrożeniu atakiem terrorystycznym;
- lokalizowanie lub identyfikowanie osoby podejrzanej o popełnienie przestępstwa w celu prowadzenia postępowania przygotowawczego lub ścigania lub wykonania kar w odniesieniu do przestępstw, o których mowa w załączniku II, podlegających w danym państwie członkowskim karze pozbawienia wolności lub środkowi polegającemu na pozbawieniu wolności przez okres, którego górna granica wynosi co najmniej cztery lata.
Katalog przestępstw, o których mowa w pkt 3) ma charakter zamknięty, a jako przykłady można podać następujące czyny zabronione: terroryzm, handel ludźmi, zabójstwo, ciężkie uszkodzenie ciała, nielegalny obrót środkami odurzającymi lub substancjami psychotropowymi czy zgwałcenie.
Poza ziszczeniem się jednej z trzech wyżej określonych przesłanek, zastosowanie tego rodzaju systemu AI może zostać wykorzystane jedynie w celu potwierdzenia tożsamości konkretnej poszukiwanej osoby, z uwzględnieniem przy tym następujących elementów:
- charakter sytuacji powodującej konieczność ewentualnego wykorzystania takiego systemu, w szczególności powagę, prawdopodobieństwo i skalę szkody, która zostałaby wyrządzona w przypadku niewykorzystania tego systemu;
- konsekwencje wykorzystania takiego systemu dla praw i wolności wszystkich zainteresowanych osób, w szczególności powagę, prawdopodobieństwo i skalę tych konsekwencji.
Ponadto, wykorzystywanie systemu zdalnej identyfikacji biometrycznej musi zostać uprzednio zgłoszone do organu, który będzie odpowiedzialny za wydawanie właściwych decyzji, a także organ planujący stosować ten system musi przeprowadzić ocenę skutków dla praw podstawowych oraz zarejestrować stosowany system w bazie danych UE.
Podsumowanie
Dynamiczny rozwój AI zintensyfikował dyskusje i działania globalnych liderów oraz decydentów odnośnie bezpieczeństwa systemów sztucznej inteligencji[3]. Jak istotne i doniosłe jest to zagadnienie niech świadczy choćby fakt, iż nawet papież Franciszek apelował do społeczności międzynarodowej o jak najszybsze przyjęcie wiążącego traktatu międzynarodowego regulującego rozwój i wykorzystanie AI[4].
Na tym tle uchwalenie przez Unię Europejską prawa w postaci AI ACT, w szczególności przepisów o zakazanych systemach AI jawi się jako całkiem imponujące osiągniecie. Plusem tej regulacji jest w miarę jasny rodzajowo katalog zakazanych systemów AI. Minusem z kolei jest konstrukcja tych norm, która opiera się bardzo często na nieprecyzyjnych i ogólnych klauzulach oraz na dużej liczbie wyjątków, w szczególności na początku wdrażania AI ACT będzie to źródłem problemów interpretacyjnych. Kolejnym mankamentem jest to, że w praktyce AI ACT będzie miało zasięg regionalny, de facto na terenie Unii Europejskiej wbrew życzeniowej zasadzie eksterytorialności, o której pisaliśmy już wcześniej w „AI ACT – wszystko co musisz wiedzieć„. Przynajmniej do momentu ustandaryzowania zasad bezpieczeństwa i stosowania systemów sztucznej inteligencji na poziomie międzynarodowym, co w obecnych realiach geopolitycznych wydaje się mało prawdopodobne.
AI ACT wejdzie w życie w pełnym zakresie w terminie 24 miesięcy od dnia publikacji w Dzienniku Urzędowym UE z kilkoma wyjątkami. Jednym z kluczowych wyjątków w tym zakresie jest rozdział dotyczący zakazanych systemów AI – on wejdzie w życie w terminie 6 miesięcy od dnia publikacji w Dzienniku Urzędowym UE. Pomimo, iż treść AI ACT ma już swoją urzędową wersję w języku polskim, to na dzień sporządzenia niniejszego artykułu data oficjalnego ogłoszenia tego aktu nie jest jeszcze znana. Przewiduje się, iż nastąpi to na przełomie maja i czerwca 2024r., tym samym rozdział o zakazanych praktykach zacznie prawdopodobnie obowiązywać pod koniec 2024 r.
Autorzy:
Radca prawny Marcin Siemienkiewicz
Aplikantka adwokacka Dominika Naykowska
—-
[1] https://geekweek.interia.pl/technologia/news-policja-juz-milion-razy-skorzystala-z-kontrowersyjnego-syste,nId,6683000
[2] https://bip.brpo.gov.pl/pl/content/liczenie-usmiechow-pracownikow-banku-pko-bp-budzi-watpliwosci-rpo
[3] https://businessinsider.com.pl/technologie/nowe-technologie/usa-oglasza-silne-globalne-dzialania-w-kwestii-bezpieczenstwa-ai-robi-sie-powaznie/wy1fe5f
[4] https://businessinsider.com.pl/technologie/papiez-franciszek-apeluje-o-miedzynarodowy-traktat-w-sprawie-sztucznej-inteligencji/5w2lpqf
