Dlaczego dyrektywa w sprawie odpowiedzialności za błędy AI jest tak istotna?
Obecnie teoria prawa stoi na stanowisku, że AI jako twór człowieka będący w istocie złożonym algorytmem komputerowym nie ma osobowości prawnej, więc jako taki nie może samodzielnie ponosić winy za szkody wyrządzone w związku z jego wykorzystaniem. Niemniej jednak w wielu sferach życia towarzyszą (lub w niedalekiej przyszłości będą towarzyszyć) nam urządzenia sterowane przez sztuczną inteligencję. W tym kontekście łatwo wyobrazić sobie np. wypadek, jaki w fabryce powoduje autonomiczna maszyna albo robota medycznego, który stawia błędną diagnozę skutkującą śmiercią pacjenta.
Oczywiście do samych szkód może dojść zarówno za pośrednictwem samodzielnie działającego AI, jak i w wyniku nieprawidłowego jej wykorzystania przez człowieka. Częściowo lukę w tym zakresie ma wypełnić właśnie dyrektywa AILD tak, aby ułatwić osobom poszkodowanym ochronę swych praw.
Zobacz również: Umowa wdrożeniowa na algorytm AI
Jakie zagadnienia reguluje dyrektywa AILD?
Nowa dyrektywa w sprawie odpowiedzialności za działania sztucznej inteligencji ma za zadanie ułatwienie poszkodowanemu zawinienia po stronie sztucznej inteligencji i odpowiedzialnego za nią podmiotu. Zgodnie z ogólną zasadą wyrażoną w art. 1 dyrektywy, akt prawny ma na celu ustanowienie wspólnych przepisów dotyczących:
- ujawniania dowodów dotyczących systemów sztucznej inteligencji wysokiego ryzyka, aby umożliwić powodowi uzasadnienie pozaumownego cywilnoprawnego roszczenia odszkodowawczego (wyłącznie opartego na zasadzie winy);
- ciężaru dowodu w przypadku pozaumownych cywilnoprawnych roszczeń odszkodowawczych opartych na zasadzie winy wnoszonych do sądów krajowych z tytułu szkód spowodowanych przez system sztucznej inteligencji.
Jednocześnie dyrektywa AILD pozostaje w ścisłym związku z AI Act, ponieważ w wielu miejscach odsyła wprost do treści rozporządzenia, ułatwiając dochodzenie roszczeń tam, gdzie projektowane AI można zakwalifikować jako narzędzie wysokiego ryzyka, co pociąga za sobą dodatkowe wymagania względem należytej staranności. Dlatego ważna jest szczegółowa analiza obu tych aktów prawnych.
Kluczowe znaczenie ma to, że dyrektywa w zakresie systemów sztucznej inteligencji wysokiego ryzyka nakłada większe wymagania procesowe na dostawcę oprogramowania (i jednocześnie przewiduje więcej ułatwień dla użytkownika).
Jak rozumieć sztuczną inteligencję wysokiego ryzyka?
Aby określić wymagania na etapie postępowania dowodowego, w pierwszej kolejności należy odpowiedzieć na pytanie, czy system AI, który doprowadził do powstania szkody, jest systemem wysokiego ryzyka w rozumieniu art. 6 rozporządzenia AI Act. Za high-risk AI uważa się dwie grupy systemów:
- systemy, którego działanie jest związane z bezpieczeństwem produktów objętych prawodawstwem harmonizacyjnym EU;
- systemy wymienione w załączniku nr III do AI Act, czyli m.in. związane z zarządzaniem infrastrukturą krytyczną czy identyfikacją biometryczną osób fizycznych.
Dodatkowo Komisja może rozszerzyć zakres AI wysokiego ryzyka. Nie jest więc wykluczone, że za pewien czas, kiedy sztuczna inteligencja stanie się bardziej powszechna, coraz więcej systemów zyska ten status.
Zobacz również: Wykorzystanie AI w technologii blockchain i smart contracts. Co warto wiedzieć?
Czego nie dotyczy dyrektywa AILD?
Proponowana w nowej dyrektywie regulacja dotyczy wyłącznie stosunków cywilnoprawnych, nigdy karnoprawnych, ale też nie wszystkich. Nie stosuje się jej do:
- przepisów unijnych regulujących zagadnienia związane z branżą transportową;
- praw, jakie przysługują osobie poszkodowanej z tytułu szkody wyrządzonej przez produkty wadliwe (dyrektywa 85/375/EWG);
- przypadków zwolnienia z odpowiedzialności i obowiązków w zakresie należytej staranności przewidzianych w akcie o usługach cyfrowych w zakresie usług pośrednich wymienionych w tym artykule, tj. caching, hosting, mere conduit;
- przepisów krajowych uwzględniających rozłożenie ciężaru dowodu w sprawach innych niż te, do których odnoszą się przepisy dyrektywy.
Jak rozumieć pojęcie roszczenia odszkodowawczego według dyrektywy AILD?
Przepisy dyrektywy harmonizujące dochodzenie roszczeń odszkodowawczych zostały ukształtowane w taki sposób, aby odzwierciedlić specyfikę działania systemów sztucznej inteligencji. Obejmują one szkody powstałe wskutek:
- wyniku uzyskanego przez sztuczną inteligencję;
- nieuzyskania wyniku przez AI, jeżeli można było go oczekiwać.
Dla ustalenia prawidłowości rezultatu algorytmów kluczowe znaczenie ma wdrożenie przez podmiot projektujący system wymagań zasadniczych, o których mowa w AI Act. Między innymi jest to obowiązek zachowania transparentności, o którym mowa w art. 13 AI Act. Zgodnie z tym przepisem, systemy sztucznej inteligencji wysokiego ryzyka projektuje się i opracowuje się w sposób zapewniający przejrzystość ich działania, umożliwiającą użytkownikom interpretację wyników działania systemu i ich właściwe wykorzystanie.
Koncepcja explainable AI wymusza takie opracowanie algorytmu sztucznej inteligencji, aby potencjalny powód był w stanie jednoznacznie ocenić czy wynik, który otrzymał, korzystając z narzędzia, a który przyczynił się w jego przekonaniu do powstania szkody, jest prawidłowy. Teoretycznie każda sztuczna inteligencja wysokiego ryzyka powinna spełniać te wymagania, inaczej należy się spodziewać, że nie przejdzie procedury certyfikacji.
Zobacz również: Deepfake w świetle AI Act
Ułatwienia w zakresie postępowania dowodowego
Dyrektywa w sprawie odpowiedzialności za błędy AI ma na celu ułatwienie dochodzenia swoich praw przed sądem. Akt prawny na celu wyposażenie sądów krajowych w uprawnienie zobowiązania pozwanego na wniosek powoda do nakazania ujawnienia dowodów dotyczących konkretnego systemu sztucznej inteligencji, co do których istnieje podejrzenie, że spowodował on szkodę.
Warunkiem skorzystania z uprawnienia jest wcześniejsze wystąpienie przez powoda do osoby podlegającej obowiązkom dostawcy lub użytkownika z takim wnioskiem i otrzymanie odpowiedzi odmownej.
Aby potencjalny powód mógł z takim wnioskiem, musi on:
- uprawdopodobnić istnienie roszczenia odszkodowawczego;
- podjąć proporcjonalne próby uzyskania od pozwanego dowodów.
Wniosek powoda może objąć również żądanie zabezpieczenia dowodów. Gwarantuje to zapobieżenie sytuacji w której pozwany modyfikuje algorytm sztucznego inteligencji w taki sposób, aby wymazać z niego informacje dotyczące konkretnego zdarzenia.
Zobacz również: Umowa B2B w branży IT
Jaki jest zakres żądania ujawnienia dowodów przez sąd?
Implementacja algorytmów wykorzystujących AI często idzie w parze z rozwiązaniami technologicznymi stanowiącymi tajemnicę przedsiębiorstwa. Aby nie doprowadzić do sytuacji, w której na skutek ujawnienia informacji dotyczących sztucznej inteligencji dojdzie jednocześnie do wyjawienia informacji objętych tajemnicą – co mogłoby skutkować potencjalną szkodą dla pozwanego – sądy mają za zadanie ograniczyć zakres ujawnianych informacji jedynie do tych dowodów, które są proporcjonalne i niezbędne, aby uzasadnić potencjalne lub wniesione roszczenie odszkodowawcze. To samo dotyczy zakresu wniosku o zabezpieczenie dowodu.
W celu ustalenia, które informacje są niezbędne, należy dokonać oceny informacji w kontekście art. 2 ust. 1 dyrektywy Parlamentu Europejskiego i Rady 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych przed ich bezprawnym pozyskiwaniem, wykorzystaniem i ujawnianiem.
Jeżeli okaże się, że wniosek dotyczy informacji poufnych lub stanowiących tajemnicę przedsiębiorstwa, sądy mają obowiązek z urzędu lub na wniosek zanonimizować je w taki sposób, aby ograniczyć potencjalną szkodę dla pozwanego.
Zobacz również: AI NFT, czyli sztuka generowana cyfrowo?
Kiedy na gruncie dyrektywy AILD można mówić o domniemaniu odpowiedzialności pozwanego?
Przepisy dyrektywy AILD ustanawiają system domniemań, stawiając pozwanego w dosyć niekorzystnej procesowo sytuacji. Zgodnie z art. 4 dyrektywy w razie wystąpienia szkody po stronie użytkownika systemu sztucznej inteligencji pojawia się domniemanie istnienia związku przyczynowego między winą pozwanego a wynikiem uzyskanym przez system AI lub też nieuzyskaniem wyniku, którego należało oczekiwać.
Warto zwrócić uwagę, że domniemanie dotyczy przede wszystkim systemów AI wysokiego ryzyka i to tylko wtedy, gdy nie ma możliwości wykazania winy w inny sposób. We wszystkich pozostałych przypadkach sąd może je zastosować wyłącznie wtedy, gdy stwierdzi, że udowodnienie przez powoda związku przyczynowego jest niezmiernie trudne.
Aby doszło do powstania domniemania, powinny zostać łącznie spełnione następujące przesłanki:
- powód wykazał winę pozwanego lub osoby, za którą pozwany ponosi odpowiedzialność albo też sąd zastosował domniemanie winy;
- okoliczności sprawy wskazują na to, że wina pozwanego wpłynęła na wynik AI lub brak takiego wyniku;
- powód wykazał, że szkoda powstała w związku z wynikiem uzyskanym przez AI lub brakiem wyniku, którego można było oczekiwać.
O ile druga i trzecie zasada wydają się raczej intuicyjne, wątpliwości może rodzić pierwsza z przesłanek. W jaki sposób bowiem poszkodowany, którym często będzie osoba nieposiadająca żadnej wiedzy w przedmiocie działania AI, miałaby wykazać winę pozwanego?
Dyrektywa odwołuje się po raz kolejny do rozporządzenia AI. O winie pozwanego można mówić, jeżeli dostawca AI nie spełnił wymagań zasadniczych określonych w rozporządzeniu, a także w sytuacji, kiedy:
- system sztucznej inteligencji wykorzystuje techniki obejmujące trenowanie z wykorzystaniem innych danych niż te, które zostały opracowane na podstawie danych walidacyjnych, treningowych i testowych spełniających odpowiednie kryteria jakościowe;
- system sztucznej inteligencji nie spełnia wymagań w zakresie transparentności;
- system sztucznej inteligencji został zaprojektowany w sposób, który uniemożliwia sprawowanie nadzoru w okresie korzystania z niego;
- zaprojektowane AI nie przewiduje odpowiednich mechanizmów zapewniających dokładność, solidność i cyberbezpieczeństwo z uwzględnieniem zastosowania oprogramowania;
- dostawca nie zrealizował niezwłocznie działań naprawczych mających na celu przywrócenie zgodności funkcjonowania systemu AI z przepisami.
Zobacz również: Odpowiedzialność w umowach IT i możliwość jej ograniczenia lub wyłączenia (w tym gwarancja i rękojmia)
Zasadniczo to więc dostawca AI będzie musiał wykazać, że nie ponosi odpowiedzialności za szkodę.
Domniemanie związku przyczynowego występuje także „w drugą stronę”, czyli w stosunku do roszczeń dostawcy przeciwko użytkownikowi. O istnieniu związku przyczynowego przesądza w tym przypadku:
- użytkowanie lub monitorowanie systemu niezgodnie z zasadami określonymi w instrukcji;
- wprowadzenie do systemu danych wejściowych będących w posiadaniu użytkownika, które nie są adekwatne do przeznaczenia systemu.
Czy domniemanie odpowiedzialności występuje również w przypadku korzystania z AI na użytek prywatny?
Domniemanie związku przyczynowego w przypadku roszczeń kierowanych do użytkownika co do zasady będzie występowało wyłącznie w relacjach B2B. Jeżeli roszczenie jest kierowane przeciwko użytkownikowi, który korzysta z systemu sztucznej inteligencji wyłącznie do osobistej działalności pozazawodowej, domniemanie znajduje zastosowanie wyłącznie w sytuacji, kiedy:
- pozwany w sposób istotny wpływał na warunki działania systemu sztucznej inteligencji;
- pozwany miał obowiązek i możliwość określenia warunków działania systemu sztucznej inteligencji, ale tego nie uczynił.
Ostatecznie to do sądu będzie należało podjęcie decyzji o zastosowaniu mechanizmu domniemania. Jeśli uzna on, że powód może w łatwy sposób zyskać dostęp do wiedzy eksperckiej wystarczającej, aby udowodnić związek przyczynowy, przesłanki odpowiedzialności trzeba będzie wykazać w sposób standardowy, w toku postępowania dowodowego.Obecnie jest jeszcze za wcześnie na prognozowanie, jak będą rozstrzygane spory sądowe dotyczące szkód wyrządzonych przez sztuczną inteligencję. Dyrektywa nakłada jednak na dostawców systemów AI dodatkowe brzemię w postaci ograniczeń procesowych, które warto uwzględnić na etapie projektowym tak, aby było możliwe wykazanie odpowiedzialności lub jej braku.
Zobacz również: Rozwiązanie umowy B2B w branży IT
Pytania i odpowiedzi
Za tajemnicę przedsiębiorstwa w rozumieniu unijnej dyrektywy uważa się informacje, które spełniają łącznie następujące wymogi:
- są poufne, czyli niedostępne powszechnie dla osób zajmujących się danym rodzajem informacji;
- mają wartość handlową dlatego, że są objęte tajemnicą;
- osoba sprawująca kontrolę nad tymi informacjami podjęła działania w celu zachowania ich w tajemnicy.
Zgodnie z art. 3 ust. 5 dyrektywy AILD w opisanej sytuacji pojawia się domniemanie braku dochowania należytej staranności względem okoliczności, które miały zostać udowodnione wnioskowanym dowodem. Ciężar dowodu przechodzi wtedy na pozwanego, który może usiłować takie domniemanie obalić.
Zaufali nam: