Maciej Gawroński: Nie mnóżmy strażników sztucznej inteligencji

„Czasy się zmieniają, ale Pan zawsze jest w komisjach”. Czyli dlaczego to Urząd Ochrony Danych Osobowych powinien kontrolować dane i sztuczną inteligencję, a nie ministerstwo cyfryzacji powoływać sobie własnego nadzorcę.

Publikacja: 06.11.2024 11:01

Wicepremier, minister cyfryzacji Krzysztof Gawkowski (C) przed posiedzeniem rządu w KPRM w Warszawie

Wicepremier, minister cyfryzacji Krzysztof Gawkowski (C) przed posiedzeniem rządu w KPRM w Warszawie

Foto: PAP/Marcin Obara

Piętnastego października ukazał się, opracowany przez Ministerstwo Cyfryzacji, projekt ustawy o Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, nazwanej dla niepoznaki ustawą o systemach sztucznej inteligencji. Niejasność celów ustawodawcy pojawia się nie tylko w samym tytule ustawy, ale i w nazwie organu, którego powstanie promuje Ministerstwo. Z nazwy wnika, że Komisja ma zajmować się zarówno rozwijaniem sztucznej inteligencji jak i bezpieczeństwem (systemów) sztucznej inteligencji. Wydawałoby się więc z nazwy, że ma to być coś w rodzaju Ligi Kobiet z Seksmisji: „Liga rządzi, Liga radzi, Liga nigdy cię nie zdradzi”.

Czytaj więcej

Firma nie ukryje stosowania AI? Związkowcy triumfują, biznes się niepokoi

Sztuczna inteligencja. Nowy urząd do spraw AI pod kontrolą resortu cyfryzacji?

Powstanie nowego urzędu jest zawsze wielkim wydarzeniem, podstawą do tego, aby obchodzić je jeszcze przez wiele lat różnymi uroczystościami i innymi rytuałami, które z kolei są znakomitą alternatywą dla pracy merytorycznej. Powstają nowe etaty, na których można umieścić znajomych polityków i urzędników. Powstanie nowej organizacji pozwala jej też, przynajmniej przez kilka lat, zająć się samą sobą, co stanowi dobre wytłumaczenie tego, że nie ma czasu zajmować się tym, do czego została powołana. Musi się w końcu wszystkiego nauczyć, jak choćby rozkładu nowych pokoi i tego, jak nazywają się koledzy z pracy. Mimo tych wszystkich niewątpliwych zalet, których listę rozwijam w dalszej części tego tekstu, krytycznie oceniam pomysł utworzenia nowego, kolegialnego, urzędu zamiast poszerzenia kompetencji urzędu istniejącego.

Systemy sztucznej inteligencji zajmują się przetwarzaniem danych. A my mamy już urząd od danych. Co więcej, potężna część danych przetwarzanych przez systemy sztucznej inteligencji, to dane osobowe. A tak się składa, że urząd od danych nazywa się Urzędem Ochrony Danych Osobowych. Ale wróćmy do początku.

Potrzeba uregulowania w porządku krajowym kwestii dotyczących sztucznej inteligencji wynika z tego, że Unia Europejska uchwaliła Akt w sprawie sztucznej inteligencji (w skrócie „AIA” od Artificial Intelligence Act). Dla zapewnienia funkcjonowania AIA potrzebne jest przypisanie nowych kompetencji organom w Państwach Członkowskich UE. Zgodnie z artykułem 70 ust 1 AIA, „każde państwo członkowskie ustanawia lub wyznacza co najmniej […] jeden organ nadzoru rynku”. Przepis ten dodaje, że te właściwe organy krajowe wykonują swoje uprawnienia w sposób niezależny.

Komisja do spraw AI zamiast Urzędu Ochrony Danych Osobowych

Autorzy projektu ustawy zaproponowali powołanie dwunastoosobowego organu o wdzięcznej nazwie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. W skład tego ciała ma wchodzić jeden Przewodniczący Komisji, dwóch Zastępców Przewodniczącego Komisji oraz dziewięciu członków Komisji. Przy okazji przesądzony został odwieczny problem, czy Przewodniczący Komisji jest członkiem Komisji. Otóż (tym razem) nie.

Czytaj więcej

Jan Skoumal: AI zamiast ekspertów i sztuczna Szymborska. Nowa, wspaniała oferta dla młodych?

Ciekawy jest już sposób powoływania składu Komisji. Przewodniczącego i jego dwóch zastępców wybiera sobie premier. Dziewięciu (pozostałych, sensu largo) członków Komisji mają pojedynczo powoływać Minister Cyfryzacji, minister do spraw służb, Prezes Urzędu Ochrony Danych Osobowych, Prezes Urzędu Ochrony Konkurencji i Konsumentów; Komisja Nadzoru Finansowego; Rzecznik Praw Obywatelskich; Rzecznik Praw Dziecka, Krajowa Rada Radiofonii i Telewizji; Prezes Urzędu Komunikacji Elektronicznej. Zatem pięć osób w Komisji powołuje rząd bezpośrednio a pozostali są mało istotni, bo muszą się utrzymać z etatu w organie macierzystym oraz projekt ustawy nie wymaga od nich, żeby się znali na tym, czym miałaby się zajmować Komisja. Niezależność od rządu więc raczej nie wchodzi w rachubę, choć doceniam próbę „schowania się słonika za latarnią" w postaci przedstawicieli Rzecznika Praw Obywatelskich i Rzecznika Praw Dziecka.

Wróćmy jednak do głównego zagadnienia – kompetencji Komisji. Komisja ma być organem nadzoru, a więc będzie kontrolować, odpytywać, nakładać kary i podejmować inne decyzje względem podmiotów, które korzystają z systemów sztucznej inteligencji lub takie systemy wprowadzają na rynek krajowy (tu już pojawiają się wątpliwości, czy projekt ustawy przypadkiem nie poszerza kompetencji Komisji poza ramy, na które pozwala AIA, gdyż AIA w zasadzie reguluje systemy wysokiego ryzyka oraz modele i systemy AI ogólnego przeznaczenia (btw. w polskim tekście urzędowym raz „general purpose” tłumaczy się na ogólnego przeznaczenia a raz na „ogólnego zastosowania”). Ten zakres kompetencji krzyżuje się szczególnie z kompetencjami Prezesa Urzędu Ochrony Danych Osobowych, gdyż każda SI przetwarzająca dane osobowe podlegać będzie oczywiście nadzorowi ze strony PUODO.

Sztuczna inteligencja: kto kogo kontroluje, kto jest od kogo zależny? Im więcej nadzorców tym słabszy nadzór

Zważywszy na samą koncepcję regulacji sztucznej inteligencji zawartą w AIA, można zaryzykować twierdzenie, że systemy SI podlegają nadzorowi ze strony PUODO albo nadzorcy sektorowemu takiemu jak Komisja Nadzoru Finansowego czy Urząd Lotnictwa Cywilnego, albo równocześnie nadzorowi i PUODO i takiego nadzorcy sektorowego.

Czytaj więcej

Sztuczna inteligencja. Przyszłość, która staje się teraźniejszością

Skoro więc mamy już jednego nadzorcę lub dwóch, wiadomo, że warto jest dodać jeszcze co najmniej jednego nadzorcę, żeby nadzór był jeszcze lepszy. Tendencja dokładania nadzorców jest przyjętym w Unii Europejskiej sposobem wspierania innowacyjności.

Aha, i przy okazji właśnie spostrzegłem, od kogo ta Komisja ds. AI będzie tak naprawdę niezależna. Otóż, ona będzie niezależna od... pozostałych nadzorców, ze szczególnym uwzględnieniem niezależności od Urzędu Ochrony Danych Osobowych.

Ale, ale – wyjaśnijmy tu sobie od razu, że ta niezależność Komisji nie rozciąga się na podmioty nadzorowane. One bowiem będą zależne od wszystkich nadzorców naraz.

Wreszcie, czy Komisja naprawdę może być niezależna od PUODO? Wydaje się, że, jak to mówił pewien profesor matematyki, wektor się zgadza, tylko zwrot nie ten. Podkreślmy dobitnie, art. 2.7 AIA jednoznacznie stwierdza, że Akt o sztucznej inteligencji nie ma żadnego wpływu na RODO (oczywiście oprócz dodania jeszcze kilku wymagań dla przetwarzania różnych danych oraz umożliwienia fałszowania wyników algorytmów SI w celu promowania mniejszości różnego typu – to ostatnie w art. 10.5. AIA). A zatem w żadnym wypadku nadzór Komisji nie uwalnia nas od nadzoru PUODO oraz PUODO na pewno musi być niezależny od Komisji a nie odwrotnie.

Czy wiedząc to wszystko uznamy, że dobrym pomysłem jest powołanie nowego nadzorcy, który może zaglądać pod podszewkę każdej instytucji, która chciałaby korzystać z systemów sztucznej inteligencji?

Otóż, moim zdaniem, tworzenie nowego nadzorcy to zły pomysł. Zajęciem sztucznej inteligencji jest przetwarzanie danych. A jak wspomnieliśmy na początku, mamy już urząd do spraw danych.

Sztuczna inteligencja a dane osobowe i RODO

RODO wychodzi od oceny i zarządzania ryzykiem przetwarzania danych, z przyczółkiem w kierunku systemów zarządzania jakością, w postaci kodeksów postępowania i możliwości certyfikacji. AIA każe zarządzać ryzykiem przetwarzania danych przez AI właśnie w strukturach systemów zarządzania jakością. PUODO zajmuje się komputerowym przetwarzaniem danych i prowadzi pierwsze sprawy w Polsce dotyczące sztucznej inteligencji (skądinąd z naszego „donosu” w imieniu dra Łukasza Olejnika). Jedynie logicznym wydawałoby się poszerzyć kompetencje Urzędu o te dotyczące systemów sztucznej inteligencji i podwyższyć budżet Urzędu. Nie trzeba byłoby od zera tworzyć nowych struktur, rekrutować i uczyć kolejnych rzesz urzędników. Oszczędności skali wynikające z samego unikania dublowania procesów byłyby oczywiste. Ale, odłóżmy pieniądze podatnika na bok i zastanówmy się nad użytecznością obu opcji.

Czytaj więcej

Nowy urząd i stu ludzi będzie pilnować sztucznej inteligencji w Polsce

Opcja „PUODO + Komisja” jest niewątpliwie korzystna dla nas, prawników. Uzyskujemy bowiem efekt nie tylko zdublowania ilości postępowań, ale też konieczność pisania pism synchronizujących między sobą postępowania, a także, a może przede wszystkim powoływania się na jedne postępowania w drugich postępowaniach lub podważania wyników tych postępowań nawzajem. Na tym podwójnym scenariuszu zyskają zapewne też duzi globalni gracze. Wystarczy bowiem, że decyzje obu organów były ze sobą sprzeczne, by można było mówić, że Polacy sami nie wiedzą czego chcą od sztucznej inteligencji. W pewnym rozkroku znajdą się oczywiście średnie i małe podmioty krajowe, w stosunku do których mogą być prowadzone równoległe postępowania. Oczywiście czysto hipotetycznie, rozstrzygnięcia obu organów mogą być takie same, albo przynajmniej podobne co do kar i nakazów. No ale jaka by to była wtedy wzajemna niezależność i po co komu wtedy taki papugujący drugi organ. Jest oczywiste, że uzasadnieniem istnienia drugiego organu będą lepsze, a przynajmniej inne ustalenia i rozstrzygnięcia niż organu pierwszego. W końcu jak inaczej wykazać swoją niezależność niż pięknie się różniąc?

Jakkolwiek szyderczy jest mój ton, tak problem kolizji rozstrzygnięć i rozbieżności dróg odwoławczych jest oczywisty. Rynkowi nie służą sprzeczne interpretacje różnych organów i rozbieżne drogi odwoławcze. Dodajmy, że w praktyce projekt ustawy wprowadza jeszcze jeden organ nadzoru – Przewodniczącego Komisji. Tenże ma szczególne własne uprawnienia, z których może korzystać nie czekając na stanowisko przedstawiciela Rzecznika Praw Dziecka w Komisji.

Urząd Ochrony Danych Osobowych: „chirurg” od danych osobowych. Czy także od sztucznej inteligencji?

W scenariuszu poszerzenia kompetencji PUODO znika szereg tych wyżej opisanych wyzwań. Konflikty stanowisk i kompetencyjne biura Urzędu musiałyby ze sobą załatwić przed wydaniem decyzji. Urząd już od sześciu lat ocenia przetwarzanie danych, w tym decyzje zautomatyzowane i wpływ przetwarzania na prawa i wolności osób fizycznych. Rozstrzyga sprawy dotyczące sztucznej inteligencji. Prowadzi też działania naukowe i informacyjne, w tym dotyczące sztucznej inteligencji. Więcej nadzorców to więcej problemów dla rynku. Mniej nadzorców to mniej problemów. Jeszcze jedną, szczególną wadą utworzenia KomiSIi będzie rozmycie odpowiedzialności i rozliczalności działania nadzorców. Cokolwiek mówić o Urzędzie Ochrony Danych Osobowych, Prezesem Urzędu jest zawsze jedna osoba. Ta osoba przyjmuje na siebie ostrze krytyki, odpowiedzialności reputacyjnej i politycznej i ma kontrolę nad łańcuchem dowodzenia (decyzyjnym). Koncepcja specyficznego ciała kolegialnego, z bezpośrednim dostępem służb, promowana w projekcie ustawy, zmierza w kierunku rozmycia odpowiedzialności osobistej i utrudnienia rozliczania decyzji takiego ciała.

Czytaj więcej

Dariusz Standerski, wiceminister cyfryzacji: Komisja rozpatrzy skargi na AI

Typowym urazem wakeboardowym jest uszkodzenie kolana. Kolega, wielokrotny mistrz Polski w wake boardzie, powiedział mi kiedyś, że wszystkich, którzy uszkodzą sobie kolano, kieruje do jednego konkretnego chirurga. Żeby się nauczył. I sam do niego wtedy też, po kolejnej kontuzji, szedł pod nóż.

W Polsce takim chirurgiem od danych jest Urząd Ochrony Danych Osobowych. A sądem od danych jest już WSA w Warszawie i NSA. Dlatego nie ma sensu pączkować nadzorców i wprowadzać konkurujące z PUODO nowe organy w postaci komisji sztucznej inteligencji oraz organu tego organu w postaci Przewodniczącego Komisji, których tak status (wątpliwa niezależność) jak i zakres kompetencji wydają się nie odpowiadać wymogom unijnego Aktu w sprawie sztucznej inteligencji. Nie ma też sensu rozszczepiać drogi odwoławczej i tworzyć konkurencji pomiędzy sądami administracyjnymi a sądem antymonopolowym.

Nie ma potrzeby powoływać drugiego chirurga dla równoczesnego przeprowadzania tych samych operacji. A zważywszy że, jak wspomnieliśmy na początku, za skalpel tego drugiego chirurga trzymać będzie równocześnie dwanaście osób, w tym dziewięć, które będą głosować nad cięciami w czasie wolnym od innych, płatnych zajęć, to pacjentom, znaczy podmiotom nadzorowanym, pozostaje życzyć końskiego zdrowia.

Maciej Gawroński - Autor jest radcą prawnym, partnerem zarządzającym kancelarii GP Partners, laureat

Maciej Gawroński - Autor jest radcą prawnym, partnerem zarządzającym kancelarii GP Partners, laureatem Nagrody im. M. Serzyckiego, pełnił funkcje eksperta Komisji Europejskiej ds. kontraktów cloud computingowych, eksperta Grupy Roboczej Art. 29 ds. transferów danych, jest ekspertem wspierającym Europejskiej Rady Ochrony Danych Osobowych, arbitrem rekomendowanym Sądu Arbitrażowego przy Krajowej Izbie Gospodarczej, autorem najpopularniejszych książek prawniczych Wolters Kluwer Polska 2017, 2018 „RODO. Przewodnik ze wzorami” i 2022 „Książeczka o pisaniu pism”. Jest autorem wielu wystąpień i publikacji na temat sztucznej inteligencji. Prowadzi pierwszą w Polsce skargę przeciwko OpenAI w związku z ChatGPT.

Foto: Maciej Gawroński

Piętnastego października ukazał się, opracowany przez Ministerstwo Cyfryzacji, projekt ustawy o Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, nazwanej dla niepoznaki ustawą o systemach sztucznej inteligencji. Niejasność celów ustawodawcy pojawia się nie tylko w samym tytule ustawy, ale i w nazwie organu, którego powstanie promuje Ministerstwo. Z nazwy wnika, że Komisja ma zajmować się zarówno rozwijaniem sztucznej inteligencji jak i bezpieczeństwem (systemów) sztucznej inteligencji. Wydawałoby się więc z nazwy, że ma to być coś w rodzaju Ligi Kobiet z Seksmisji: „Liga rządzi, Liga radzi, Liga nigdy cię nie zdradzi”.

Pozostało 96% artykułu
Opinie Prawne
Tomasz Siemiątkowski: Szkodliwa nadregulacja w sprawie cyberbezpieczeństwa
Opinie Prawne
Tomasz Pietryga: Czy wolne w Wigilię ma sens? Biznes wcale nie musi na tym stracić
Opinie Prawne
Robert Gwiazdowski: Awantura o składki. Dlaczego Janusz zapłaci, a Johanes już nie?
Opinie Prawne
Łukasz Guza: Trzy wnioski po rządowych zmianach składki zdrowotnej
Materiał Promocyjny
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Opinie Prawne
Tomasz Pietryga: Rząd wypuszcza więźniów. Czy to rozsądne?