Sztuczną inteligencję da się uregulować? Prawniczka: mamy „wolną amerykankę”

Dr Maria Dymitruk to radczyni prawna, counsel w firmie doradczej Olesiński i Wspólnicy, specjalistka prawa IT oraz prawa sztucznej inteligencji, zaangażowana w projekty badawcze na styku AI i prawa, w tym m.in. „Conflict Resolution with Equitative Algorithms II”, „Digital communication and safeguarding the parties’ rights: challenges for European civil procedurę” oraz „Small Claims Analysis Net II”.

Nikola Bochyńska, redaktor naczelna CyberDefence24.pl: Sztuczna inteligencja to zdecydowanie najgorętszy trend branży nowych technologii, w dużej mierze dzięki popularności i powszechności stosowania ChatuGPT. W jakim punkcie w Polsce jesteśmy w dyskusji o AI? Czy jako użytkownicy jesteśmy w pełni świadomi, co tak naprawdę nas czeka?

Dr Maria Dymitruk, radczyni prawna, counsel w firmie doradczej Olesiński i Wspólnicy, specjalizująca się w prawie IT oraz prawie sztucznej inteligencji: To bardzo dobre, ale zarazem bardzo złożone pytanie. Mam ten przywilej, że styk prawa i sztucznej inteligencji obserwuję od prawie dziesięciu lat. W 2014 roku, kiedy zaczęłam badania naukowe na ten temat, byliśmy dopiero na początku tej długiej drogi; w Polsce niewiele mówiło się o AI w kontekstach prawnych. Obecnie przez cały świat przetacza się dojrzała debata na ten temat, przede wszystkim w kontekście potrzeby regulacji sztucznej inteligencji.

Pytanie o to, gdzie jesteśmy jako Polska, również jest złożone. Pamiętajmy bowiem, że jako Polska nie jesteśmy „samodzielnym aktorem” w tej grze o AI; jesteśmy przede wszystkim częścią Unii Europejskiej. W związku z tym współtworzymy regulację AI na poziomie unijnym i finalnie będziemy również beneficjentem wysiłków UE w tym zakresie. Raptem miesiąc temu, 8 grudnia 2023 r. w ostatniej rundzie rozmów politycznych organom unijnym (w tym Radzie UE, w której uczestniczą przedstawiciele naszego rządu) udało się osiągnąć historyczne porozumienie co do kształtu AI Actu. Na chwilę obecną nie znamy jeszcze jego finalnego brzmienia, ale wiemy już, że rok 2024 r. będzie rokiem uchwalenia rozporządzenia w sprawie sztucznej inteligencji i znacząco zmieni to krajobraz prawny, w jakim obecnie rozwija się AI. Biznes podnosi zresztą często, że będzie to wzięcie branży AI w zbyt surowe karby regulacyjne.

Jednocześnie świat pędzi do przodu, więc regulacje są potrzebne.

Trudność była i jest taka, że krajobraz technologiczny zmienia się jak w kalejdoskopie, a proces legislacyjny - chociażby w samej Unii - trwa latami. Gdyby AI Act był regulacją na poziomie polskim, krajowym, problem byłby podobny. Tworzenie prawa zajmuje dużo czasu. Nadążanie przez prawodawcę za tym, co się dzieje na rynku technologicznym, jest sporym wyzwaniem. Nie wiem, czy w ogóle da się wygrać ten wyścig. Chyba nie.

Zajmując się zagadnieniami AI z perspektywy prawnej, poświęcam tym tematom bardzo dużą część swojego życia, a nawet mnie trudno jest nadążyć za wszystkim, co się w tej branży dzieje. A regulator musi w takich warunkach tworzyć regulację, napisać tekst przepisów, przewidzieć jego konsekwencje, procedować go, ustalić sensowne vacatio legis. Miejmy nadzieję, że AI Act będzie już stosowany w całości na terenie UE w 2026 roku. A jest pisany dzisiaj.

Właśnie, oczywistym jest, że w 2026 roku będziemy w zupełnie innym miejscu, jeśli chodzi o rozwój AI. Czy za moment znowu nie okaże się, że prawo trzeba nowelizować, bo nie odpowiada na wszystkie wyzwania i problemy, które z pewnością będą nowe za 2-3 lata?

To jest problem we wszystkich sferach technologicznych, gdzie regulacja powinna – z definicji – za tymi zmianami nadążyć. Po prostu nie ma możliwości nadążyć, jeżeli mamy demokratyczne procesy decyzyjne. W tak dużym organizmie międzynarodowym, jakim jest Unia Europejska zawsze jesteśmy o krok do tyłu. I istnieje duże ryzyko, że zawsze będziemy.

Plusem jest jednak to, że nie zawsze, kiedy pojawia jakaś nowinka technologiczna, od razu pojawia się potrzeba zmiany regulacji. Czasami – jak było to w przypadku znaczącego wzrostu popularności zastosowań AI opartych na dużych modelach językowych – modyfikacja projektowanych przepisów AI Actu okazała się niezbędna. Czasami jednak istniejąca regulacja prawna pozostaje niejako odporna na zmiany technologiczne. Ale czy tak będzie z AI Actem i rozwojem AI w nadchodzących latach? W tym przypadku to to jest wróżenie z fusów.

Tego, gdzie będzie sztuczna inteligencja w 2026 roku, nie wiem ja, nie wie regulator, ani biznes.

Biznes obawia się regulacji

Wspomniała pani, że biznes sztucznej inteligencji twierdzi, że AI Act nakłada na nich zbyt surowe ograniczenia. Ostatnio rozmawiałam z naukowcami, którzy sądzą podobnie. Z drugiej strony, jeśli spojrzymy na użytkowników, czy będą mogli poczuć się bezpieczniej w kontrze do tego, co mamy obecnie, czyli takiej trochę „wolnej amerykanki” tej branży?

Czy użytkownicy internetu kiedykolwiek mogli czuć się bezpiecznie i kiedykolwiek będą mogli? To jest pytanie, na które podskórnie wszyscy znamy odpowiedź. Nie da się wytworzyć tak „kuloodpornej” regulacji, żeby poczuć się stuprocentowo bezpiecznie. Tak nigdy nie jest i to nie jest tylko kwestia branży AI.

Twórcy AI czują, że za chwilę spadnie na nich regulacyjny młot. Rozumiem to uczucie. Jeśli ktoś rozwija się w swojej branży i czyta wieści medialne, które często straszą surową regulacją, może zrodzić się poczucie nadmiaru ingerencji legislacyjnej. Trzeba być jednak świadomym, że zasadniczo AI Act poświęcony będzie zastosowaniom tzw. wysokiego ryzyka. Jeśli więc twój model biznesowy umknie zastosowaniom wysokiego ryzyka, to tak naprawdę twoja aktywność może przejść bokiem wobec tej regulacji. W czym zatem obawy? Być może są one trochę wygórowane, ale nie mówię, że zupełnie nieuzasadnione. Warto podkreślić, że aby dobrze rozpoznać przestrzeń regulacyjną, w której funkcjonuje biznes AI, trzeba znać się na prawie. Na podstawie samych doniesień medialnych można odbierać sprzeczne sygnały i stworzyć nieprawdziwy obraz wymogów prawnych AI.

Sztuczna inteligencja to także kwestia chatbotów, a tu trudno pominąć temat przetwarzania danych. Niektórzy wydawcy już podjęli decyzję i zablokowali możliwość scrapowania ich stron. Tu mowa o wydawcach medialnych, firmach, ale czy jako użytkownicy możemy sami w jakiś sposób chronić się, by chatboty nie korzystały z naszych danych? Mam na myśli możliwości - poza opcją wybrania w ustawieniach ChatuGPT, by na podstawie konwersacji z nami - nie trenować modelu OpenAI.

Wiadomo, że najlepszym sposobem, żeby ktoś nie korzystał z moich danych jest nieudostępnianie tych danych i koniec kropka. I to jest skuteczna metoda, ale właściwie… niewykonalna w kontekście, w jakim funkcjonujemy współcześnie w internecie, nie tylko w zakresie naszej interakcji ze sztuczną inteligencją.

Z perspektywy użytkownika kładłabym raczej nacisk na bardziej świadomy wybór narzędzia, którym się posługuje - jest duża różnica, czy korzysta się np. z darmowego chatbota z domyślnymi ustawieniami, czy np. z rozwiązań w formule Enterprise. Warto zainteresować się i spojrzeć, jaki zakres moich danych jest wykorzystywany przez dostawcę danego rozwiązania AI, do czego są używane moje dane, czy mam nad tym kontrolę. Na poziomie polityk prywatności i regulaminów tych narzędzi jest to doprecyzowane, tak samo jest kwestia licencjonowania treści przez nas wprowadzanych i generowanych. Dzięki analizie tych postanowień można dokonać świadomego wyboru narzędzia AI, by przynajmniej w pewnym rozsądnym stopniu nasze dane chronić.

Doniosłość tego typu wyborów jest oczywista z punktu widzenia tego, że dane to pieniądz, a firmy na nich zarabiają. Trzeba niestety przyznać, że na rynku funkcjonują też dostawcy, którzy są bardzo nieprecyzyjni w swoich regulaminach i politykach wewnętrznych i ustalenie zakresu przetwarzania danych jest w tym przypadku trudniejsze.

Natomiast zadane pytanie można też potraktować trochę szerzej: „Jak ja, jako użytkownik, który kreuje treści w internecie, który ma konto w social mediach, mogę się obronić?”. No cóż, najlepiej nie publikuj treści na platformach, bo w ich regulaminach jest punkt o tym, że mają prawo, by te treści w określony sposób wykorzystywać.

Wracając jednak do tematu generatywnej AI w kontekście treści, które nie umieszczamy w mediach społecznościowych, ale na własnych witrynach internetowych: niektórzy dostawcy rozwiązań AI deklarują ograniczenia w stosowania w takim przypadku botów scrapingowych. Tak uczyniło chociażby OpenAI, pozwalając na blokowanie dostępu do naszej witryny ich botowi przez plik robots.txt.

Niedawno popularne były posty na Facebooku, które miały rzekomo uchronić przed wykorzystaniem danych przez tę platformę. Pojawiły się przy okazji możliwości subskrypcji odpłatnego konta na platformie.

Tak jak już wskazałam, ważne są świadome decyzje już na etapie wybierania narzędzi (czy to narzędzi AI, czy to platform społecznościowych). Natomiast troszeczkę - jak to pani powiedziała - jesteśmy na etapie „wolnej amerykanki” w tym zakresie. To, że np. OpenAI deklaruje, że pominie w procesie scrapowania internetu treści zawarte na konkretnej witrynie internetowej, nie załatwia problemu całościowo. Po pierwsze dlatego, że jest to rozwiązanie, które działa tylko na przyszłość. Po drugie, w kontekście całej branży są to nadal podejścia jednostkowe, zależne od woli konkretnego dostawcy AI. Brakuje tutaj rozwiązań systemowych.

Nie łudźmy się: w odpowiednim czasie zainteresowane tym podmioty już dokonały ekstrakcji danych ze stron internetowych w procesie web scrapingu. Dzięki temu mogły powstać tak potężne modele językowe jak chociażby GPT-4 i cokolwiek, nad czym obecnie pracuje się w OpenAI. Umożliwienie blokowania botów postrzegałabym więc bardziej jako kreowanie swojego wizerunku. Deklaracja w 2023 r. czy 2024 r. o wtrzymaniu się od scrapowania witryn, które mogły zostać zescrapowane w przeszłości, pozostaje pusta.

Podkreślę przy tym jednocześnie, że zebranie danych do trenowania modeli AI przed uchwaleniem AI Actu nie oznacza jednocześnie, że procesy te realizowano przy braku regulacji prawnej. Przepisy prawne istotne z tego punktu widzenia, czy to RODO czy prawo własności intelektualnej, zawsze obowiązywały. Konsekwencją tego są chociażby głośne obecnie sprawy sądowe wytaczane przez twórców czy wydawców przeciwko dostawcom AI, w tym szeroko komentowany w ostatnich dniach pozew „The New York Times” przeciwko OpenAI i Microsoft, czy toczące się postępowania przed organami ochrony danych, w tym przed polskim Urzędem Ochrony Danych Osobowych.

Jeśli chodzi o wyszukiwarki, istnieje prawo do bycia zapomnianym. Czy ta zasada obowiązuje także pod względem zastosowania chatbotów?

Obowiązek realizacji wobec osób fizycznych prawa do bycia zapomnianym aktualizuje się w przypadku każdego administratora danych osobowych. Dostawcy rozwiązań generatywnej AI nie są tutaj wyjątkiem. Choć więc teoretycznie przepisy RODO znajdują tutaj pełne zastosowanie, w praktyce realizacja tego uprawnienia pozostaje dość problematyczna.

Żądanie usunięcia naszych danych osobowych z wyszukiwarki internetowej jest technicznie proste do spełnienia – odpowiednie strony po prostu usuwa się z wyników wyszukiwania. W przypadku rozwiązań opartych na dużych modelach językowych pozostaje to dużo bardziej złożone, ponieważ „zapomnienie”, a nawet uzyskanie dostępu do jednostkowych danych używanych do trenowania modelu jest znaczącą utrudnione, o ile wręcz niemożliwe.

Ochrona wizerunku a deepfake

W mediach społecznościowych coraz częściej pojawiają się zdjęcia wygenerowane przy pomocy sztucznej inteligencji. Załóżmy, że jeśli ktokolwiek chciałby wygenerować takie zdjęcie z wykorzystaniem wizerunku mojego czy pani - mimo że nie wyraziłyśmy na to zgody - czy istnieje możliwość roszczenia w związku z tym faktem?

Tu wchodzimy w zakres regulacji deepake’ów. I również w tym kontekście niekoniecznie musimy czekać na AI Act. Już teraz istnieje twarda regulacja w tym zakresie - w Polsce jest to prawo do ochrony wizerunku. Wizerunek jest dobrem osobistym, a na jego rozpowszechnianie wymagane jest co do zasady zezwolenie danej osoby. Jeżeli hipotetycznie zdarzyłaby się taka sytuacja: ktoś „wziął” mój wizerunek i na tej podstawie wygenerował materiał, który jest jego wykorzystaniem w taki sposób, że się z tym nie zgadzam lub taki, który w jakiś sposób mnie krzywdzi, przysługują mi wtedy roszczenia z art. 24 Kodeksu cywilnego – z tytułu ochrony dóbr osobistych właśnie. Mogę wtedy iść z tym do sądu.

Natomiast umówmy się, że tradycyjne narzędzia prawne są o tyle nieskuteczne, że możliwa jest sytuacja, że przysłowiowe pół internetu zdążyło już zobaczyć moje zdjęcie w np. krzywdzącym dla mnie kontekście. Mleko się wylało. Kluczowe są zatem zabezpieczenia, które pojawiają się przy tworzeniu takiego materiału, a je ustalają sami dostawcy usług generatywnej AI. Podam przykład na to, że producenci tych rozwiązań już dzisiaj przykładają do tego wagę: ostatnio chciałam wygenerować grafikę, na której mieli się pojawić Angela Merkel i Justinem Trudeau, idący wspólnie przez las. I mimo że kontekst nie był obraźliwy, a obydwie postaci są powszechnie znane (a w związku z tym rozpowszechnianie ich wizerunku nie wymaga zezwolenia zgodnie z art. 81 Prawa autorskiego), chatbot poinformował mnie, że nie dostarczy tej grafiki, bo pozostaje to sprzeczne z jego polityką. Dobrze byłoby, gdyby wszystkie aplikacje reagowały w taki sposób przy próbach generowania deep fake’ów z wizerunkiem Pani czy moim.

Każdy spór na tym polu z samym dostawcą narzędzia generatywnej AI byłby w praktyce potężnym wyzwaniem. Regulaminy dostawców generatywnej AI nierzadko przewidują właściwość prawa amerykańskiego/kalifornijskiego/etc. oraz jurysdykcję tamtejszych sądów. Potencjalny sukces powództwa utrudnia więc już sam fakt, że jestem maluczkim człowiekiem z Polski. Gdybym miała wytoczyć sprawę sądową przed sądem w Kalifornii, to jest to tak naprawdę niewykonalne ze względu na skalę tego przedsięwzięcia i jego koszty. I tak mimo istnienia narzędzi prawnych w moim ręku, pozostaną one tylko na papierze.

Zna pani sprawy z Polski, które już się toczą w związku z wykorzystaniem sztucznej inteligencji, chatbotów? Czy nasz rynek jest jeszcze na tyle niedojrzały, że na razie nie ma o tym mowy?

Głośno komentowana jest oczywiście sprawa skargi do Urzędu Ochrony Danych Osobowych dotycząca ChatuGPT, w której skarżący zarzuca OpenAI brak realizacji wymogów RODO. W pozostałym kontekście nie słyszałam jeszcze o żadnym toczącym się postępowaniu, który dotyczyłby stricte nierzetelnego wykorzystania narzędzi generatywnej sztucznej inteligencji. Możliwe, że na wzór amerykańskich czy brytyjskich powództw przeciwko producentom generatywnej AI również gdzieś w Polsce zostało wniesione podobne powództwo.

Czuję jednak, że nawet jeśli w tym momencie ktokolwiek miałby taką chęć, to raczej z wytaczaniem swojej sprawy sądowej czeka na wygraną w już głośnych sprawach, aby podążyć ścieżką wyznaczoną przez innych. Tak było w wielu przypadku głośnych spraw sądowych, które rozpoczynały znaczące trendy prawne, tak jak chociażby w kwestii wspomnianego prawa do bycia zapomnianym, czy z polskiego podwórka – kredytów frankowych. Musiała pojawić się jedna odważna osoba, która chciała przez kilka lat walić głową w mur w batalii sądowej. Jeśli ją wygrała, to uruchamiało całą lawinę spraw. Wydaje mi się, że w kontekście AI możemy być właśnie na etapie oczekiwania na taki trend.

"Wolna amerykanka" w AI

W skali globalnej pojawiały się natomiast doniesienia, że między innymi artyści pozwali Big Techy w związku z tym, że na podstawie ich dzieł były trenowane algorytmy sztucznej inteligencji. Jak właściwie do tego doszło? Czy z punktu widzenia praw autorskich było to zagranie „va banque”, bo nie było jeszcze konkretnych regulacji, więc „co gigantom zrobią artyści”?

Sądzę, że z punktu widzenia dostawców generatywnej AI to było zagranie va banque, by wybudować przewagę rynkową, której nigdy – w odniesieniu np. do OpenAI – nikt nie będzie w stanie zniwelować, a przynajmniej będzie to bardzo trudne. Proszę jednak pamiętać, że ta decyzja była podejmowana przez OpenAI na gruncie innego systemu prawnego, systemu common law, który charakteryzuje się innym podejściem do praw własności intelektualnej niż europejskie systemy kontynentalne. W USA zatem nie jest to tak oczywiste jak u nas, że OpenAI zrobiło coś złego.

Istnieje tam bowiem klauzula „fair use”, na którą powołują się dostawcy generatywnej AI tacy jak Meta czy OpenAI i Microsoft, przeciwko którym wydaje mi się, że obecnie wytoczono najwięcej powództw. Niejednokrotnie ta klauzula dozwolonego użytku okazała się skuteczna w obronie wielkich firm technologicznych przeciwko roszczeniom autorów. Tak było choćby w słynnej sprawie Google Books, w której chodziło o to, czy Google może publikować fragmenty książek chronionych prawem autorskim. Okazało się, że może. Zatem to, na co się obecnie powołują się Big Techy w sporze z autorami i wydawcami treści, to argument, że ich użytek utworów chronionych prawem własności intelektualnej na potrzeby treningu modelu AI mieści się w klauzuli „fair use”.

W prawie polskim nie ma odpowiednika tych przepisów – nasz dozwolony użytek ma zupełnie inne zastosowanie. Stąd sprawy przed sądami amerykańskimi nie będą łatwo przekładalne na rynek polski.Va banque w stylu OpenAI nie jest tak oczywiste i nie jest powiedziane, czy pozwy zbiorowe autorów zakończyłyby się sukcesem czy porażką. Natomiast czym się na pewno skończy się cały ten problem? W mojej ocenie pojawi się zmiana regulacyjna – widać ewidentną potrzebę, aby wynagrodzić twórcom to, że na ich dziełach są trenowane modele AI.

Być może właśnie w tę stronę skręci prawo własności intelektualnej i te kwestie zostaną doregulowane. Teraz mamy wciąż wolną amerykankę: „nie wiadomo czy mogli, a zrobili”. Autorzy czują się wykorzystywani i tak jest, bo skoro model AI potrafi wypluć informację na temat bohatera mojej książki, to mam 100 proc. przekonanie, że ten model był uczony na moim dziele. Ja jako twórca o fakcie treningu modelu na moim dziele nie wiedziałam i nie dostałam za to żadnego wynagrodzenia, więc w moim poczuciu złamano prawo. Działanie dostawców generatywnej AI jest sprzeczne z poczuciem autorów o tym, co jest słuszne. Gdy mówimy o przyszłości regulacyjnej w tym obszarze, to z pewnością musi pojawić się kwestia wynagradzania twórców. Albo wyrażania zgody i wynagradzania.

Druga część wywiadu z dr Marią Dymitruk ukaże się w najbliższy poniedziałek. Zapraszamy do lektury.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].