Ak teda pracujete na vývoji umelej inteligencie (AI), prípadne aj na medzinárodnej úrovni, tak tento článok je aj pre Vás, pretože by ste mali poznať súvislosti medzi nariadením GDPR a AI Act, rovnako ako aj regulačné rozdiely medzi EÚ, USA a Čínou.
Porovnanie regulačných požiadaviek AI a ich analýza v EÚ, USA a Číne
S rastúcim významom umelej inteligencie (AI) v globálnej ekonomike sa krajiny a regióny po celom svete snažia implementovať regulačné rámce, ktoré zohľadňujú nielen technické inovácie, ale aj ochranu občianskych práv, etiku a bezpečnosť. Európska únia (EÚ), Spojené štáty americké (USA) a Čína predstavujú tri významné právne systémy, ktoré ale majú zásadne odlišné prístupy k regulácii AI. A to je zároveň aj jeden z prezentovaných dôvodov zaostávania EÚ pri vývoji AI. Tieto rozdiely odrážajú rozličné priority každého regiónu závislosti od politických, ekonomických a kultúrnych faktorov, pričom regulácie v týchto troch jurisdikciách budú pravdepodobne aj naďalej ovplyvňovať budúci vývoj a medzinárodné diskusie o tom, ako najlepšie regulovať AI technológie.
Ako sa vo všeobecnosti líšia prístupy k regulácii AI v Európskej únii, Spojených štátoch a v Číne:
Európska únia kladie dôraz na ochranu základných práv, rizikovo orientovaný prístup a transparentnosť AI systémov,
USA preferujú sektorovo špecifický a decentralizovaný prístup,
Čína integruje AI do svojej štátnej kontroly a podpory inovácií.
Ktorá jurisdikcia je výhodnejšia?
Zvážte samy. Prvým faktom je, že EÚ v segmente vývoja AI a jej aplikácií do života zaostáva. Druhým faktom ale je, že EÚ zaostáva aj celkovo ako ekonomika. V troch desaťročiach po druhej svetovej vojne západná Európa dobehla USA v HDP na obyvateľa. Od polovice 90. rokov dvadsiateho storočia sa však tento trend obrátil a USA rástli dvakrát rýchlejšie ako Európa. Rozdiel sa zväčšuje naďalej.
Všeobecný názor je, že je to spôsobené prílišnou zviazanosťou reguláciami (to je to, o čom je aj tento článok), silným socialistickým cítením, historickou namyslenosťou EÚ na svoju úspešnú minulosť a zlými rozhodnutiami. Avšak podstatnejšie ako prísnejšia a „obmedzujúca“ regulácia v EÚ je hlavne zásadný rozdiel k možnostiam a chuti investovať v USA a v EÚ, v prístupe k inovatívnym technológiám a v flexibilite investorov a zákonov.
Sú tie silnejšie regulácie v EÚ pre rýchlejší vývoj AI naozaj až taký veľký problém? Nemyslím si, že je to nevyhnutne tak, a v nasledujúcich riadkoch vysvetlím prečo. Okrem toho benevolentnejší prístup v USA sa môže neskôr USA aj vypomstiť (ale aj nemusí) v podobe zvýšenej miere kybernetických útokov, rizík a ohrozených práv. Stojí potom tá rýchlosť vývoja za to? Vec diskusie.
Európska únia: dôraz na ochranu základných práv, rizikovo orientovaný prístup a transparentnosť AI systémov
EÚ pristúpila k regulácii AI prostredníctvom návrhu Zákona o umelej inteligencii (AI Act), ktorý bol predstavený Európskou komisiou v roku 2021. Zvažovalo sa niekoľko možných prístupov:
Technologická neutralita
Prístup založený na použití AI (use-based approach)
Etický prístup
Prístup zameraný na certifikáciu a štandardizáciu
Prístup založený na výsledkoch (outcome-based approach)
Prístup zameraný na transparentnosť a vysvetliteľnosť (explainability)
Rizikovo orientovaný prístup
Vyhral nakoniec rizikovo orientovaný prístup, ktorý kategorizuje AI systémy na základe úrovne rizika, ktoré predstavujú pre ľudské práva a bezpečnosť. Cieľom tohto regulačného rámca je predovšetkým ochrana základných práv a prevencia pred negatívnymi dôsledkami technológie na spoločnosť.
Dôvod pre prístup založený na rizikách bol ten, že umožňuje prispôsobiť reguláciu podľa úrovne rizika, ktoré konkrétny AI systém predstavuje. Tento model zaručuje flexibilitu a schopnosť reagovať na rozličné aplikácie a kontexty použitia AI. Ostatné prístupy boli považované za príliš všeobecné alebo ťažko uchopiteľné a aplikovateľné na dynamiku AI technológií a trhov, ktoré sa neustále menia.
Charakteristika prístupu EÚ: kategorizácia rizík v AI systémoch
Neprijateľné riziká – Zahŕňajú technológie, ktoré sú považované za príliš nebezpečné alebo eticky problematické, a preto sú zakázané (napr. systémy sociálneho kreditu alebo biometrický dohľad v reálnom čase).
Vysoké riziká – Tieto systémy musia spĺňať prísne regulačné požiadavky, ako sú transparentnosť, sledovateľnosť, ľudský dohľad a robustnosť (napr. AI v zdravotníctve, vzdelávaní, bezpečnosti infraštruktúr).
Obmedzené riziká – Pre tieto systémy platí menej prísnych požiadaviek, napríklad povinnosť informovať používateľov o interakcii s AI (napr. chatboty alebo virtuálni asistenti).
Minimálne riziká – Väčšina spotrebiteľských aplikácií spadá do tejto kategórie a nie sú predmetom prísnej regulácie (napr. AI na personalizáciu reklamy).
Príklad:
Biometrický dohľad v reálnom čase, ako napríklad kamerové systémy na rozpoznávanie tváre na verejných priestranstvách, je v EÚ považovaný za neprijateľné riziko. Tieto systémy sú zakázané, s výnimkou veľmi špecifických situácií, napríklad pri ochrane verejnej bezpečnosti v boji proti terorizmu a pod.
Spojené štáty americké: decentralizovaný a sektorovo špecifický prístup
Spojené štáty sa vyznačujú decentralizovaným prístupom k regulácii AI, ktorý sa líši v závislosti od konkrétneho sektora a regiónu. USA neimplementovali jednotný národný zákon špecificky zameraný na AI tak ako v EÚ. Namiesto toho regulačný rámec závisí od jednotlivých federálnych agentúr, ako sú Federal Trade Commission (FTC), ktorá sa zameriava na ochranu spotrebiteľov a riešenie podvodov, alebo National Institute of Standards and Technology (NIST), ktorý poskytuje technické normy a smernice pre vývoj a používanie AI.
Charakteristika prístupu USA
Právomoc na úrovni jednotlivých štátov – prístup k regulácii AI v USA je fragmentovaný, pretože jednotlivé štáty môžu prijímať vlastné zákony a smernice (napr. Illinois prijal zákon na ochranu pred neoprávneným používaním rozpoznávania tváre).
Iniciatívy v jednotlivých sektoroch – rôzne sektory majú špecifické regulácie, ako napríklad zdravotníctvo (HIPAA) alebo finančné služby (GLBA), ktoré obsahujú ustanovenia týkajúce sa používania AI.
Autonómia podnikov – vo veľkej miere sa ponecháva na samotné spoločnosti, aby vyvinuli interné etické normy a zabezpečili dodržiavanie transparentnosti a zodpovednosti.
Príklad:
V USA môže byť AI technológia na rozpoznávanie tváre používaná komerčnými spoločnosťami bez potreby federálneho povolenia. Existujú však miestne alebo štátne regulácie, ktoré môžu ovplyvniť, ako je táto technológia využívaná. Napríklad štát Illinois má zákon BIPA (Biometric Information Privacy Act), ktorý vyžaduje výslovný súhlas od jednotlivcov pred tým, ako môže byť ich biometrický údaj zhromaždený.
Čína: Kombinácia štátnej kontroly a podpory inovácií
Čína pristúpila k regulácii AI s dôrazom na štátnu kontrolu a podporu inovácií. Tento prístup reflektuje čínsku politickú filozofiu, ktorá kombinuje prísnu kontrolu nad kľúčovými technológiami s ambíciou stať sa globálnym lídrom v oblasti AI. Čínsky prístup je charakteristický vysokou mierou štátnej intervencie, a to najmä v oblasti monitorovania verejného poriadku, národnej bezpečnosti a strategického využívania AI technológií.
Charakteristika čínskej regulácie
Štátna kontrola nad údajmi a technológiou – Čínska vláda požaduje, aby technologické spoločnosti spolupracovali s vládou a poskytovali jej prístup k údajom, čo vytvára vysoko kontrolované prostredie pre využívanie AI. Prístupy k údajom požadujú aj US bezpečnostné zložky, čo bol však dôvod zrušenia nástrojov na prenos údajov do USA, Privacy Harbour a Privacy Shield zo strany Súdného dvora EÚ. USA sa na určitú dobu ocitli z pohľadu nariadenia GDPR v pozícií tretej krajiny
Podpora inovácií a štátnych iniciatív – Vláda podporuje vývoj AI technológií prostredníctvom investícií a regulačných stimulov, najmä v oblasti priemyselnej výroby, výskumu a verejnej správy.
Regulácia sociálneho kreditu a sledovania – Čína zaviedla systém sociálneho kreditu, ktorý sa opiera o AI technológie na sledovanie správania občanov a ich hodnotenie podľa sociálnych a právnych noriem.
Príklad:
V rámci systému sociálneho kreditu v Číne sú občania monitorovaní prostredníctvom AI systémov a na základe ich správania sú prideľované alebo odoberané sociálne výhody. Tento systém využíva technológie ako rozpoznávanie tváre a big data analýzu na sledovanie každodenného života jednotlivcov. Zatiaľ čo v EÚ by takýto systém bol považovaný za neprijateľný zásah do súkromia, v Číne je to vnímané ako nástroj na zlepšenie spoločenskej disciplíny.
Ochrana súkromia a zodpovednosť
Európska únia: GDPR a ochrana osobných údajov
V EÚ je ochrana súkromia a osobných údajov zakotvená vo všeobecnom nariadení o ochrane osobných údajov (GDPR), ktoré stanovuje prísne pravidlá pre spracovanie osobných údajov. AI systémy, ktoré spracovávajú osobné údaje, musia byť v súlade s GDPR, čo znamená, že musia byť implementované princípy transparentnosti, bezpečnosti a minimalizácie údajov.
Kľúčové princípy ochrany osobných údajov v AI
Transparentnosť a zodpovednosť – Organizácie musia informovať jednotlivcov o tom, ako sú ich údaje spracovávané AI systémami, a zabezpečiť, že tieto systémy sú transparentné.
Minimalizácia údajov – AI systémy musia zhromažďovať iba nevyhnutné údaje a spracovanie musí byť primerané účelu.
Právo na vysvetlenie a prístup k údajom – Jednotlivci majú právo získať informácie o tom, ako systém dospel k rozhodnutiu, a majú právo na prístup k svojim údajom.
Príklad:
Ak nemocnica v EÚ používa AI na predikciu zdravotných rizík pacientov, musí zabezpečiť, že spracovanie údajov bude v súlade s GDPR, vrátane ochrany citlivých zdravotných informácií a poskytnutia informácií pacientom o tom, ako systém funguje a aké údaje používa.
Spojené štáty americké: Sektorovo špecifické regulácie
USA nemajú univerzálny zákon na ochranu osobných údajov podobný GDPR. Ochrana osobných údajov je riešená prostredníctvom rôznych zákonov na federálnej a štátnej úrovni, ktoré sú zamerané na konkrétne odvetvia. Napríklad:
zdravotníctvo má HIPAA alebo
finančné služby majú GLBA alebo
ochrana spotrebiteľov má napríklad kalifornský CCPA.
Aj napriek rozdielom medzi právnymi rámcami USA a EÚ ale existujú isté podobnosti medzi GDPR a niektorými americkými predpismi o ochrane osobných údajov, najmä v kontexte CCPA. Tieto regulácie stanovujú požiadavky na bezpečné spracovanie osobných údajov, avšak pravidlá sa líšia v závislosti od sektora.
Príklad:
V oblasti zdravotníctva musia spoločnosti, ktoré využívajú AI na analýzu zdravotných údajov, dodržiavať pravidlá HIPAA, čo zahŕňa ochranu osobných zdravotných informácií pred neoprávneným prístupom alebo zneužitím.
Čína: Štátna kontrola nad údajmi
Čína v roku 2021 zaviedla zákon o ochrane osobných údajov (Personal Information Protection Law, PIPL), ktorý má niektoré podobnosti s GDPR, ako je potreba súhlasu na niektoré spracovanie údajov a práva občanov na prístup k svojim údajom. Avšak v Číne má štát výrazne väčšiu kontrolu nad tým, ako sú údaje spracovávané, najmä v súvislosti s národnou bezpečnosťou.
Príklad:
V Číne majú technologické spoločnosti, ako je Tencent, povinnosť poskytovať údaje o používateľoch vláde, čo je prax, ktorá by v EÚ bola považovaná za porušenie GDPR.
Transparentnosť a vysvetliteľnosť AI systémov
Európska únia: povinná vysvetliteľnosť
Jedným z hlavných princípov AI Act v EÚ je povinnosť zabezpečiť, aby AI systémy boli transparentné a poskytovali vysvetlenia rozhodnutí prijatých systémom. Tento princíp nadväzuje na GDPR, kde je zaručené právo jednotlivcov na prístup k informáciám o logike rozhodovania AI systémov (povinnosť vysvetliť rámci informačnej povinnosti v rozumnom rozsahu princíp fungovania AI a jej rozhodnutí je skoro nemožné).
Príklad:
Ak finančná inštitúcia v EÚ používa AI na hodnotenie žiadostí o úver, musí byť schopná vysvetliť, na základe akých kritérií bol úver zamietnutý alebo schválený.
Spojené štáty americké: Dobrovoľná transparentnosť
V USA nie je povinnosť vysvetliteľnosti AI systémov zakotvená na federálnej úrovni. Existujú však odvetvia, ako sú finančné služby, ktoré podliehajú prísnejším pravidlám zodpovednosti a vysvetliteľnosti, avšak tieto pravidlá sú menej rigorózne ako v EÚ.
Príklad:
Ak banka v USA zamietne žiadosť o úver na základe AI analýzy, môže byť povinná poskytnúť vysvetlenie v prípade, že to vyžaduje miestna legislatíva alebo sektorové regulácie.
Čína: Obmedzená transparentnosť
V Číne je transparentnosť AI systémov menej dôležitá ako ich výkon a účinnosť. AI systémy používané vládou, najmä v oblasti monitorovania a sociálnej kontroly, nemusia byť zodpovedné jednotlivcom za rozhodnutia, ktoré sú prijaté.
Príklad:
V rámci čínskeho systému sociálneho kreditu AI systémy monitorujú občanov, avšak občania nemajú vždy prístup k informáciám o tom, prečo boli ich sociálne hodnotenia upravené.
