21 mai 2024 - Legea privind inteligența artificială - concepția europeană
După trei ani de discuții intense și sub impulsul ritmului alert al evoluțiilor tehnologice pertinente, în concurență deschisă cu celelalte mari „imperii de reglementare”, S.U.A. și China, a fost validată prima „lege privind inteligența artificială (IA)” din lumea occidentală. În urma acordului politic obținut la 8 decembrie 2023, votului Parlamentului European din 13 martie 2024 și a adoptării definitive de Consiliul European la 21 mai 2024 a apărut un Regulament al Parlamentului European și al Consiliului de stabilire a unor norme armonizate privind inteligența artificială (Legea privind inteligența artificială).
În contextul evoluțiilor aferente tranziției digitale și a avansurilor înregistrate de inteligența artificială, Uniunea Europeană a acționat pentru armonizarea regulilor în vigoare și de a crea un mediu normativ mai favorabil dezvoltării sectorului aplicațiilor IA, așa cum a făcut-o la începutul secolului cu directiva privind comerțul electronic în materie de Internet. Atunci era vorba de a favoriza creșterea „noii economii” făcând apel la Internet și la comerțul on-line, în special prin acordarea de foarte largi imunități civile și chiar penale furnizorilor de servicii Internet. În pofida acestei abordări, UE nu a reușit să suscite crearea de giganți economici în domeniu, care sunt americani sau chiar chinezi, fapt pentru care prin intermediul DSA a înăsprit condițiile de funcționare a acestor operatori pe continent. Dorind să nu repete o atare experiență și să înregistreze un eșec asemănător în privința IA ci, dimpotrivă, să permită industriei europene să joace un rol central în noile sectoare, a acționat spre a institui o încadrare regulatorie favorabilă dezvoltatorilor și aplicațiilor inteligenței artificiale.
Un demers juridico-instituțional de pionierat, care poartă marca inconfundabilă a normativității europene și exprimă particularitățile sale de viziune și acțiune. În fața mizelor cruciale și în pofida intereselor plurale ce au animat dezbaterea legislativă, textul reflectă un compromis care a făcut posibil consensul asupra regimului juridic comun al IA. Totodată, cu speranța că se va impune cu valoare de model sau cel puțin cu efecte de sugestie pentru alte reglementări. Și mai ales în sensul butadei „americanii inovează, iar europenii reglementează”. După cum este cunoscut, de exemplu, CCPA (Californian Consumer Privacy Act), care e textul american în materie de protecție a datelor cu caracter personal, inițial elaborat în California și recunoscut în prezent de 15 state federate, a fost larg inspirat din actul unional-european pertinent (faimosul RGPD). În cazul AI Act, S.U.A. și președintele Biden în special au răspuns (timid) printr-un decret, poate cu speranța că, nu după mult timp, vom asista la o experiență asemănătoare cu precedenta evocată, în sensul ca un stat american, și după exemplul său și altele, să recurgă la aceeași stratagemă și în privința reglementării IA!
Observații generale privind sistemele AI
AI Act vizează a garanta că sistemele și modelele de inteligență artificială comercializate în cadrul UE să fie utilizate în mod etic, sigur și cu respectarea drepturilor fundamentale; se are în vedere, totodată, întărirea competitivității și inovației întreprinderilor în materie. El va reduce riscurile de derive, consolidând încrederea utilizatorilor în folosirea lor și adaptarea la nevoile proprii.
SIA vs.
GPAI: În privința obiectului de reglementare se distinge între un
sistem de inteligență artificială (SIA), care e un sistem automatizat, conceput pentru a funcționa la diferite niveluri de autonomie și care poate genera predicții, recomandări ori decizii ce influențează mediile fizice ori virtuale și un
model de inteligență artificială de uzaj general („General Purpose AI systems” ori GPAI), care e un sistem de IA polivalent, capabil să execute un larg evantai de sarcini distincte; el poate fi integrat într-o varietate de sisteme ori de aplicații, demonstrând astfel o mare flexibilitate și adaptabilitate.
Reglementarea privește pe toți furnizorii, distribuitorii ori dezvoltatorii de sisteme și de modele de IA, persoane juridice (întreprinderi, fundații, asociații, laboratoare de cercetare etc.) al căror sediu social e situat în Uniunea Europeană ori atunci când sediul social e situat în afara UE, care le comercializează în aceasta. Nivelul de reglementare și obligațiile asociate depind de gradul de risc pe care îl prezintă.
O abordare bazată pe risc. Clasificarea sistemelor AI
Din această perspectivă, edificiul normativ astfel construit are ca esență abordarea pe bază de riscuri. Aceasta îi conferă ca punct de plecare ideea generală potrivit căreia nu atât tehnologia ca atare, cât potențialele sale efecte constituie faptul generator al obligațiilor ce se impun desfășurătorilor și furnizorilor (operatorilor) de IA și caracterizează regimul astfel instituit!
Din această perspectivă riscurile se declină în categorii, de la
IA inacceptabile – și ca urmare interzise – la
IA de risc înalt și altele cu riscuri „sistemice” ce fac obiectul unei încadrări întărite.
IA inacceptabile sunt interzise (articolul 5): Prima categorie, înscrisă la articolul 5, regrupează sistemele de IA susceptibile de a manipula, a exploata vulnerabilitățile unui individ ori a-l categorisi pe baza unui comportament social, a unui scor dedus al acestuia ori de emoțiile sale; sunt cuprinse aici și sistemele de identificare biometrică la distanță „în timp real”, în spațiile accesibile publicului față de care excepțiile le lasă uneori larg exploatabile.
IA de înalt risc (Anexa III la Regulament): Operatorii de sisteme de IA de înalt risc, identificați în special în sectoarele considerate ca sensibile (educație, ocupațional, infrastructuri sensibile, servicii publice, forțe de ordine, control la frontiere, administrarea justiției) sunt supuși unei serii de obligații generale și sectoriale precum:
- obligațiile de transparență
- management al riscului
- cercetare de prejudecăți în materie de guvernanță a datelor
- obligația de prezervare a controlului uman
- analiza/studiu de impact
Nerespectarea acestora e pasibilă de
sancțiuni ce pot să se ridice până la 35 milioane de euro ori 7% din cifra de afaceri consolidată a întreprinderii vizate pentru nerespectările aplicațiilor de IA interzise.
Regimul particular al IA generativă
Difuzarea aplicațiilor IA generative fondate pe modele de limbaj a marcat o turnantă în negocierile europene și configurarea generală a abordării acesteia. În primul rând spre a răspunde provocărilor acestora, textul a integrat, sub impulsul Parlamentului European un regim specific pentru modelele de IA spre utilizare generală. Antrenate cu ajutorul unei mari cantități de date de utilizarea autosupervizării la scară mare, aceste modele au „capacități de impact puternic” și prezintă „un risc sistemic la nivelul UE”, având „o incidență semnificativă pe piața interioară din cauza amplorii sale și a efectelor negative reale ori rezonabil previzibile asupra sănătății publice, securității publice, drepturilor fundamentale ori societății în ansamblul său, care poate să se propage pe o scară mare în toate lanțurile de valori” (articolul 4).
Obligațiile stabilite în sarcina furnizorilor de modele de IA de folosință generală sunt puternic inspirate din Digital Service Act (DSA) (
Regulamentul UE 2022/2065 din 19 octombrie 2022 relativ la piața unică a serviciilor digitale). Totodată, AI Act stabilește obligații de transparență specifice pe seama furnizorilor de modele de IA de utilizare generală și de respectare a dreptului UE în materie de drepturi de autor (art. 5).
Responsabilitatea fabricanților: Referitor la responsabilitatea fabricanților, s-a imaginat un sistem de răspundere obiectivă (fără culpă) în caz de pagube cauzate de inteligența artificială, ceea ce s-a îndreptat spre un dispozitiv de asigurări, la maniera accidentelor de muncă ori ce a catastrofelor aviatice. O altă soluție mai simplă ar fi constat în aplicarea la produsele de inteligență artificială a regimului unional-european de răspundere de fapta produselor care angajează responsabilitatea fabricantului atunci când se dovedește că produsul este defectuos. Totuși, opțiunea operată s-a orientat spre un regim mai favorabil fabricanților și dezvoltatorilor de IA, a căror responsabilitate să fie subordonată demonstrării nu numai unui simplu defect ori disfuncționalitate la aplicare, ci și a unei culpe comise de fabricant și de o legătură de la cauză la efect direct între aceasta și culpă și dauna cauzată terților . Sarcina probei acestei cule și a legăturii de cauzalitate ar apăsa pe seama victimei care cere repararea prejudiciului său. Dacă acesta nu echivalează cu o imunitate, acest regim de responsabilitate strictă (strict liability) va restrânge în practică foarte puternic posibilitățile pentru victime cel puțin față de fabricanți și dezvoltatori.
Guvernanța IA
Sistemul de guvernanță al punerii în aplicare a regimului instituit prin AI Act exprimă o coreglementare complexă, la două niveluri.
La eșalon național revine fiecărui stat membru să desemneze autoritățile competente (interne) în materie: una de notificare a organismelor evaluatoare a conformității și „cel puțin” o autoritate de supraveghere a pieței, însărcinată să efectueze inspecții pentru sistemele de IA ce prezintă risc înalt.
În plan european armonizarea, coordonarea și aplicarea dispozițiilor pertinente se sprijină pe doi actori majori:
-
Biroul European al IA creat în cadrul Comisiei Europene care, în special va asigura interpretarea prevederilor referitoare la modelele de IA de utilizare generală
-
Comitetul European al Inteligenței Artificiale, compus dintr-un reprezentant al fiecărui stat membru,
- la care se adaugă, fără drept de vot,
Controlorul european al protecției datelor și organisme ori experți naționali și ai Uniunii Europene în funcție de problematicile tratate.
În aplicarea prevederilor regulamentului un grup de experți independenți va consilia aceste instanțe. Se apreciază că arhitectura ambițioasă a modelului european e marcată de o potențială „slăbiciune”: mijloacele financiare și umane alocate autorităților, traducerea exigențelor fundamentale în norme, jocul întreprinderilor, care constituie tot atâtea necunoscute ce determină eficiența acestui prim cadru juridico-instituțional european adoptat în domeniu.
Câteva concluzii
Intrarea în vigoare a IA Act va avea loc la 20 de zile de la publicarea sa în Jurnalul Oficial al UE; regulamentul în integralitatea sa nu va deveni operațional decât în
2026, unele măsuri prevăzute urmând a se aplica în mod progresiv.
IA generativă rămâne tributară modelelor și datelor ce îi sunt furnizate, antrenamentului și capacităților sale de învățare profundă care-i favorizează dezvoltarea și potențialitățile de tratate și introduce o variabilă statistică, chiar aleatorie în ceea ce ea produce.
Multiplicarea IA generativă și evoluția constantă a clasamentului – oricare ar fi rigoarea în stabilirea parametrilor – determină un pluralism al instrumentelor și producției oferite. Această particularitate asociată mizelor de teritorialitate și de suveranitate ridică problema adecvării între reglementările internaționale, în special la acest moment emanând din UE și de la Consiliul Europei și provocările profunde ale controlului IA. Ca atare, amenințările pentru democrație își află sursele mai puțin în activitățile care intră în jurisdicția statelor membre, cât în cele ale statelor și operatorilor privați pentru care aceste instrumente juridice nu sunt constrângătoare.