AI ACT: De la promisiuni la provocări – ce ne oferă prima lege a UE pentru Inteligența Artificială?

  • Posted on: 28 October 2024
  • By: Bogdan Lungu

O privire de ansamblu asupra noului regulament European privind inteligența artificială

 

Introducere

Atunci când frica este generalizată, legea răspunde, ne spune Philippe Huneman - un filosof european contemporan. Unul din subiectele care ne îngrijorează semnificativ astăzi, după cum atestă nenumărate discuții și intervenții în media, pare a fi subiectul inteligenței artificiale, rolul ei în societate și raportul ei cu noi. Ca răspuns al legii, regulamentul UE privind inteligența artificială (AI ACT) a intrat în vigoare in  august 2024, iar implementarea se realizează treptat, iar majoritatea dispozițiilor sunt aplicable  abia din august 2026. Scopul său declarat? Reducerea pericolelor aduse de sisteme de IA asupra drepturilor fundamentale ale cetățenilor europeni, și, adiacent și implicit, reducerea fricii privind aceste dintâi tehnologii și crearea de predictibilitate când vine vorba de dezvoltarea sistemelor de inteligență artificială. 

 

De ce să-ți pese de acest regulament?

În primul rând, inteligența artificială (IA) se regăsește în din ce în mai multe locuri în societatea noastră. Poate fi regăsită în camera de supraveghere de pe stradă, în aparatul de recunoaștere facială de la intrarea într-un cămin studențesc, în tema elevului de clasa a IX-a, la facultate, masterat sau doctorat, în răspunsul operatorului de la firma de telefonie până la acordare de credite bancare sau în diverse alte locuri.

În al doilea rând, impactul inteligenței artificiale asupra societății este încă neînțeles complet. Discriminarea automatizată cauzată de sisteme de inteligență artificială este un lucru care ar putea crește sau scădea. Cert este că discriminarea automatizată cauzată inclusiv de sisteme IA se întâmplă azi. Protecția drepturilor fundamentale în fața discriminării automatizate nu se întâmplă de la sine - trebuie să acționăm pentru a nu lăsa discriminarea să se producă. Așa că AI ACT este conceput ca un mijloc de preîntâmpinare sau stopare a problemelor legate de discriminarea automatizată - printre multe alte lucruri pe care le vizează acest regulament - prin intermediul inteligenței artificiale.

De la intrarea regulamentului în vigoare ne așteaptă un proces îndelungat de oficializare al acestuia privind tehnologii specifice - dar și generale - care pot impacta negativ drepturile noastre fundamentale. Regulamentul privind inteligența artificială este unul complex, supranumit și GDPR-ul inteligenței artificiale. Dar ce este acest regulament? Ce „reglementează” propriu-zis? Care-i sunt punctele tari și cele slabe? Unde reușește și unde eșuează când vine vorba de protecția drepturilor noastre fundamentale? Acest articol urmărește un răspuns la aceste întrebări privind doar regulamentul privind inteligența artificială și cum este în sine acest regulament european, dar nu și implementarea sa la nivel național în România, care va fi subiectul altor articole viitoare. 

 

Ce este regulamentul UE privind inteligența artificială (AI ACT)

AI ACT , este, după cum menționează însăși Consiliul European „primul regulament privind inteligența artificială din lume”, iar aceasta „urmărește să garanteze că sistemele de IA sunt sigure, etice și de încredere”. Încă din prima propoziție se observă ideea de originalitate a acestui regulament, faptul că este „primul de acest fel”. Marketingul Consiliului European cu „originalitatea regulamentului” nu este un garant al succesului acestuia când vine vorba de protecția drepturilor fundamentale, după cum vom vedea în secțiunile următoare. Mai mult, acest lucru nu este adevărat astăzi: există deja suficiente reglementări a sistemelor de inteligență artificială în întreaga lume, printre care în SUA, China, Canada și Australia.  „Sigur, etic și de încredere” sunt cuvinte care fac trimitere mai degrabă la calitatea produselor, decât la protecția drepturilor fundamentale ale cetățenilor europeni. Regulamentul are în vedere mai degrabă orientarea către produs (sistemele de inteligență artificială), decât orientarea spre drepturile fundamentale. Acest lucru a fost subliniat în repetate rânduri de analiști și observatori ai regulamentului.

Mai departe, definiția termenului de inteligență artificială - inclusă în AIA - a fost un subiect de dezbatere permanent. Astfel, definiția adoptată a fost practic cea dată de OECD. Sistemele de inteligență artificială, conform regulamentului, „înseamnă un sistem conceput pentru a funcționa cu un anumit nivel de autonomie și care, pe baza datelor și a intrărilor furnizate de mașină și/sau de om” iar acest sistem „deduce cum să atingă un anumit set de obiective definite de om, utilizând metode de învățare automată și/sau abordări bazate pe logică și cunoștințe, și produce rezultate generate de sistem, cum ar fi conținut (sisteme AI generative), predicții, recomandări sau decizii, care influențează mediile cu care interacționează sistemul de inteligență artificială”. 

 

Ce tehnologii acoperă regulamentul?

Conform definiției sistemelor IA din cadrul regulamentului, tehnologiile care folosesc machine learning sau rețele neurale, printre altele, sau orice sisteme informatice cu un grad de autonomie decizională, sunt reglementate. „Autonomie” este cuvântul cheie aici, fiindcă sistemele IA care sunt „autonome” - adică pot lua decizii în mod automatizat pe baza a ce știu din datele de antrenare - pot prezenta riscuri ridicate la adresa drepturilor fundamentale, mai ales acele sisteme care clasifică persoanele fizice pe baza datelor cu caracter personal culese despre ele. Un sistem „autonom” de inteligență artificială poate clasifica oamenii în funcție de niște categorii prestabilite problematice, cum a fost cazul cu sistemul automatizat COMPAS care discrimina pe baze rasiale, ridicând artificial rata de recidivă la unele persoane de culoare din penitenciarele americane. Astfel de tehnologii sunt acoperite și reglementate de AI ACT. Sistemele de AI generative, care au un grad semnificativ de autonomie, putând să genereze diverse corelații, texte și imagini doar pe baza inputului uman, cum sunt Midjourney, StableDiffusion, ChatGPT, Perplexity și altele vor fi reglementate sub acest regulament. Printre alte tehnologii specifice care intră sub tutela regulamentului mai sunt: sistemele de recomandare de conținut (ca cele de pe social media) și cele de predicție comportamentală (analitici predictive).

Nu toate tehnologiile „inteligente” sunt încadrate sub raza de reglementare a AI ACT, totuși. Sistemele simple, neadaptive, care nu pot „învăța” automatizat, nu sunt sisteme de inteligență artificială periculoase. Aplicația „calculator” de pe un smartphone sau „Excel” nu sunt sisteme automatizate capabile să-și direcționeze singure scopurile sau să producă predicții comportamentale. De exemplu, un fierbător smart de apă cu senzori de căldură, și cu reglarea automatizată a temperaturii pentru a păstra lichidul la temperatura preferată, intră sub tutela acestei definiții, deoarece sistemul este adaptabil la mediu - chiar dacă este în mod limitat. Fierbătorul nu colectează date cu caracter personal care să fie folosite pentru modelarea comportamentului utilizatorului, nu creează predicții, recomandări sau decizii, chit că „influențează” mediul său - prin a încălzi apa. Așadar, acesta nu este un sistem de inteligență artificială cu un risc considerabil, și deci va intra în categoria de riscuri inexistente din AI ACT, un se vor afla cele mai multe tehnologii (filtre de spam, mașina de spălat, frigiderul, etc).

Definiția de mai sus delimitează ce poate cuprinde regulamentul în parametrii săi de reglementare - iar astfel se expune viitorului, fiindcă, așa cum nu a fost prevăzută revoluția de astăzi din domeniul inteligenței artificiale, poate nici viitoare tehnologii care folosesc sisteme IA nu vor fi cuprinse în această definiție. Ideea unei definiții asupra sistemelor IA care să fie „adaptabilă la viitor” (future proof) rămâne un ideal, fiindcă, prin definiție, viitorul este neprevăzut, ci doar puțin predictibil. Dacă va trece testul timpului acest regulament și definițiile sale, rămâne de văzut.

Apoi regulamentul privind inteligența artificială impune obligații și furnizorilor, dar și celor care implementează tehnologii IA (care intră în cadrul definiției de mai sus), în condițiile în care acestea ridica riscuri și cu precădere pentru cele care au un risc ridicat (vezi detalii mai jos). AI ACT vizează gestionarea acestor riscurilor asociate inteligenței artificiale, precum prejudecățile (bias) generate de IA, discriminarea automatizată, predicția comportamentală, printre altele, în timp ce sprijină inovarea și încurajează adoptarea IA. 

 

Ce nu reglementează regulamentul privind inteligența artificială?

Regulamentul privind inteligența artificială, după cum se regăsește fix în textul propriu-zis, ar trebui să „sprijine inovarea”, și ar trebui „să respecte libertatea științei” și nu ar trebui să ”submineze activitatea de cercetare și dezvoltare”. Prin urmare, cercetarea și dezvoltarea  științifică care folosește, creează și dezvoltă sisteme IA nu este inclusă în aspectele reglementate de AI ACT. În schimb, regulamentul se aplică tehnologiilor IA dezvoltate în cadrul cercetării științifice doar atunci când intră pe piața europeană.

Modelele open-source de sisteme de inteligență artificială sunt și ele scutite de acest regulament doar atunci când „accesul, utilizarea, modificarea și distribuția modelelor respective și ai căror parametri, inclusiv ponderile și informațiile privind arhitectura modelelor și utilizarea acestora” sunt puse la dispoziția publicului, cu excepția „cazului în care modelele de IA de uz general prezintă riscuri sistemice”. Alte zone nereglementate de regulamentul privind inteligența artificială mai sunt: IA folosit în scopuri militare, de apărare sau securitate națională, sau pentru uz personal (a-ți face singur propriul chatbot, de exemplu).

 

Clasificarea pe riscuri a sistemelor IA

Regulamentul funcționează pe baza unei ierarhizări piramidale ale riscului. În cadrul regulamentului, se găsesc patru tipuri de „riscuri” (pentru tehnologii specifice), fiecare risc fiind clasificat în funcție de daunele posibile pe care le poate cauza drepturilor fundamentale.

Aceste patru riscuri sunt următoarele:

  • Riscuri minime sau inexistente: Majoritatea sistemelor de IA nu comportă riscuri. Acestea nu sunt reglementate sau afectate de Regulamentul UE privind IA. Aici găsim lucruri precum: inteligența artificială folosită în jocuri video și filtre de spam, printre altele. Majoritatea sistemelor de IA vor intra în aceasta categorie.

  • Riscuri limitate: Sistemele de IA care comportă doar riscuri limitate fac obiectul unor obligații de transparență, cum ar fi informarea utilizatorilor cu privire la faptul că conținutul lor a fost generat de IA, astfel încât aceștia să poată lua decizii în cunoștință de cauză cu privire la utilizarea în continuare. În mare, această categorie de risc se referă la chatboți precum ChatGPT, Copilot, Perplexity, etc.

  • Riscuri ridicate: Sistemele de IA cu grad ridicat de risc, cum ar fi cele utilizate în diagnosticarea bolilor, conducerea autonomă a vehiculelor și identificarea biometrică a persoanelor implicate în activități infracționale sau investigații, trebuie să îndeplinească cerințe și obligații stricte pentru a obține acces pe piața UE. Printre aceste obligații se numără testarea riguroasă, transparența și supravegherea umană.

  • Riscuri inacceptabile: Este interzisă utilizarea în UE a sistemelor de IA care reprezintă o amenințare la adresa siguranței, a drepturilor sau a mijloacelor de subzistență ale oamenilor. De exemplu, printre acestea se numără manipularea comportamental-cognitivă, activitățile polițienești bazate pe analiza predictivă, recunoașterea emoțiilor la locul de muncă și în instituțiile de învățământ, precum și atribuirea unui punctaj social. Se interzice, de asemenea, cu unele excepții limitate, utilizarea sistemelor de identificare biometrică la distanță în timp real, cum ar fi recunoașterea facială de către autoritățile de aplicare a legii în spațiile publice.

 

Observații pe tema clasificării pe baza riscului a sistemelor IA

Această clasificare pe riscuri ar trebui să contracareze tendința dominantă de azi de a vedea toate sistemele de inteligență artificială ca pe un „risc existențial” în sine. Astfel, prin clasificarea lor, tehnic, regulamentul ar trebui să fie mai specific în ce reglementează propriu-zis, cum o face, și care sunt criteriile pentru a numi un sistem de o categorie de risc sau alta. 

De exemplu, în cazul în care un sistem IA prelucrarează date cu caracter personal, fiecare cetățean cu drepturi fundamentale poate fi redus la un set de date particulare, în mișcare. Sistemele de inteligență artificială nu ne văd pe noi propriu-zis, ci ne văd persoana construită din datele pe care le are despre noi. Iar această persoană digitală a fiecăruia dintre noi s-ar putea să fie clasificată automatizat într-un mod nedorit de noi. Regulamentul privind inteligența artificială arată că riscurile enumerate mai sus apăr în diverse situații: la nivelul de colectarea a datelor, prelucrarea algoritmică a acestora, aplicarea și implementarea modelului de IA. La fiecare pas, există riscuri la adresa drepturilor noastre fundamentale - indiferent dacă suntem conștienți de asta sau nu. 

De asemenea, regulamentul are o abordare realistă privind IA. Sistemele de IA deja afectează societățile contemporane, într-un mod cât se poate de concret - și mai ales din punct de vedere economic: alegeri electorale influențate de produse media de tip „deepfake” ce prezintă sau creează comportamente nepotrivite ale politicienilor; chatboți sociali care pretind că sunt persoane fizice (așa-ziși Potemkin AI); comportamentul consumatorilor influențat prin algoritmi care aranjează ce să primești pe Amazon sau pe rețelele sociale; acceptarea sau respingerea în instituții de învățământ superior; a nu primi un credit bancar din cauza sistemului de IA.

Doar că și aici există niște probleme mai puțin evidente, mai ales când vine vorba de sistemele de inteligență artificială clasificate ca fiind cu risc limitat. După sugera Philippe Huneman, sistemele IA care sunt folosite pentru a edita text, sau sugera diverse moduri de exprimare prin text, nu sunt văzute ca „influențând comportamental-cognitiv” persoanele fizice ale căror drepturi și autonomie decizională ar trebui protejate. Influența lor e mai puțin sesizabilă, fiind mai fină ca efect. Dar această influență există.

Atunci, ce poate fi spus că influențează „comportamental-cognitiv” - conform terminologiei regulamentului AI ACT -  dacă mașinăria care-ți spune ce să spui și când nu poate fi luată în seamă ca având o influență asupra unei persoane fizice? Cum definim o astfel de influență - ce includem și ce excludem? Încă din cele mai elementare definiții acest regulament are multiple probleme în a-și atinge scopurile - nobile - declarate. Simona Tiribelli, cercetătoare care se ocupă de cum influențează sistemele de inteligență artificială procesele noastre decizionale morale, argumentează că fiecare sistem IA crează o „arhitectură decizională” care poate determina, în parte, deciziile pe care le ia o persoană fizică. Nici o decizie luată cu ajutorul unui sistem de inteligență artificială nu poate fi numită „nedeterminată comportamental-cognitiv” conform analizei sale. Când folosești o platformă construită pe baza inteligenței artificiale, deja te înscrii în logica sistemului respectiv, care determină ce alegeri posibile poți face, în ce context, unde, când și ce vezi (în cazul social media). Astfel, până la cel mai elementar nivel decizional, o arhitectură decizională creată de IA, conform analizei lui Tiribelli, poate influența „comportamental-cognitiv”. Iar regulamentul nu ia în considerare argumente precum cele ale lui Tiribelli, lăsând - și lansând - ideea vagă de „influență comportamental-cognitivă” să se strecoare în inima regulamentului. Totuși, este important de menționat că AI ACT nu este o insulă de reglementare, ci trebuie aplicat în concordanță cu obligațiile din alte regulamente privind spațiul digital - DSA și DMA.

Mai departe, conform unei analize detaliate a European Digital Rights, o rețea de ONG-uri europene care se ocupă de protecția drepturilor fundamentale pe internet, cadrul de clasificare a riscurilor este acum, de fapt, un sistem de „autoreglementare” deficitar. Inițial, toate cazurile de utilizare din lista de aplicații cu risc ridicat trebuiau să îndeplinească anumite obligații legale. Lobby-ul industriei de sistem de inteligență artificială a rezultat în adăugarea unui „filtru” la sistemul de clasificare, permițând furnizorilor sau celor ce le implementează să determine singuri dacă sistemele lor prezintă sau nu un risc ridicat. Această responsabilitate nici măcar  nu se aplică în cazul furnizării de sisteme autorităților de aplicare a legii sau funcționarilor din domeniul migrației. Lucrul acesta permite achiziționarea „nerestricționată de sisteme de supraveghere în scopuri polițienești și de securitate a frontierelor” argumentează EDRi.  

 

Punctele tari și punctele slabe ale AI ACT

În repetate rânduri, AI ACT își impune singur „excepții” la propriile sale reguli. AI ACT introduce interdicții privind anumite aplicații ale inteligenței artificiale considerate inacceptabile din perspectiva drepturilor fundamentale. AI ACT interzice următoarele tehnologii: tehnicile manipulatoare, sisteme de credit social (ca în cazul Chinei), identificarea biometrică (cu excepții), deducerea emoțiilor prin IA (cu excepții), printre altele.

Deși este important ca acest punct de vedere să fie recunoscut ca atare - și ăsta poate fi considerat „punctul tare” al regulamentului - interdicțiile sunt pline de lacune (multiple puncte slabe), ceea ce pune sub semnul întrebării cât de eficiente vor fi acestea în protecția drepturilor fundamentale. European Digital Rights (EDRi) numește regulamentul privind inteligența artificială ca fiind „departe de un standard de aur pentru drepturile fundamentale”.  Conform analizei celor de la EDRi „regulamentul privind IA nu reușește să protejeze în mod eficient statul de drept și spațiul civic”, iar, în schimb regulamentul cedează „intereselor industriei, serviciilor de securitate și organelor de aplicare a legii”.

Un punct tare, totuși, conform unei alte analize EDRI recente este faptul că regulamentul „include măsuri precum cerințe tehnice sporite pentru dezvoltatorii de sisteme AI” și „norme de transparență pentru entitățile publice care utilizează aceste sisteme și cerințe de accesibilitate pentru sistemele riscante”. Transparența, totuși, este greu de obținut. În cazul multor sisteme IA, transparența este aproape o imposibilitate tehnică, deoarece aceste tehnologii sunt „cutii negre” a căror proces prin care ajung la un rezultat este neclar și mult prea complex. EDRI arată că regulamentul include, totuși, „măsuri de despăgubire pentru persoanele afectate” și trasează „linii roșii împotriva unui subgrup de utilizări dintre cele mai dăunătoare și care încalcă drepturile fundamentale”.

Mai departe, regulamentul nu reușește să interzică în totalitate anumite tehnologii problematice pentru drepturile fundamentale ale cetățenilor UE. De exemplu, AI ACT permite poliției să utilizeze recunoașterea facială în timp real pentru propriilor scopuri, inclusiv prevenirea atacurilor teroriste (fără specificații exacte legate de implementare) sau identificarea suspecților, însă aceste excepții extinse subminează interdicțiile și pot duce la abuzuri, cum ar fi identificarea și hărțuirea protestatarilor. Nu există  vreo garanție că aceste excepții nu vor fi folosite în numele „securității naționale” - pentru a justifica orice. Există o contradicție în cadrul regulamentului - interdicție doar pentru unii, în timp ce aparatul unui stat cu un regim represiv - de genul Ungariei de azi - din cadrul UE poate folosi legal apelând la excepțiile din regulament fix acele tehnologii explicit interzise ca fiind inacceptabile. Acest lucru poate înăbușii inițiative civice în cadrul unei țări.

Mai mult - un punct slab foarte rar observat în discuțiile despre regulament - AI ACT clasifică ca fiind de risc inacceptabil sistemele care implică „predicții comportamentale” sau „analiză predictivă” întreprinsă de „activitățile polițienești”. Conform unei analize a regulamentului întocmită de Huneman, „granița dintre predicție și influență este neclară” în cazul sistemelor AI interzise și reglementate în cadrul acestui regulament, iar definirea și stabilirea graniței nu este de găsit în regulament. Iar conform aceluiași Huneman acest lucru reprezintă un risc care „constituie unghiul mort al aparatului juridic sofisticat descris în AI ACT”. Acest unghi mort poate avea o miză semnificativă, mai ales în cazul tehnologiilor precum, de exemplu, chatboții sociali care interacționează zilnic cu minori, a căror influență încă nu este clar stabilită. 

 

Drepturile fundamentale și AI ACT

AI ACT are ca scop declarat și protecția drepturilor fundamentale. Așadar, reușește acesta în a atinge ce-și propune?

Conform analizei de la EDRi de mai sus, AI ACT nu reușește în a atinge ce-și propune, anume a deveni un regulament orientat, în mod principal și sistematic, spre protecția drepturilor fundamentale. În schimb, acest regulament este mai mult orientat spre piața comercială de inteligență artificială din Europa. Regulamentul nu reușește să devină un standard de aur pentru drepturile fundamentale, iar practici problematice legate de utilizările inteligenței artificiale rămân permise în anumiți parametri - mai ales în activitățile de aplicare a legii sau a securității naționale. Excepțiile respective sunt cruciale în a determina dacă AI ACT ajunge să reușească în a-și atinge scopul nobil de protecția a drepturilor fundamentale în fața unei tehnologii din ce în ce mai acaparatoare. Totuși, conform lui Huneman, într-o anumită măsură, regulamentul privind inteligența artificială „creează un cadru coerent” pentru a reglementa  inteligența artificială și „pentru a interzice cele mai nesăbuite practici de manipulare comportamentală (nudging), în conformitate cu regulamentul GDPR”.

Momentan, imaginea de ansamblu asupra regulamentului sugerează multă complexitate și mult neprevăzut, iar excepțiile respective pot fi folosite, în viitor, pentru monitorizarea societății civile, pentru estomparea spiritului civic, sau pentru contracararea unor acțiuni la scară largă de nesupunere civică. Dacă regulamentul reușește în ce-și propune, rămâne de văzut, dar de obicei implementarea legislativa ridică ea însăși niște întrebări suplimentare. Această întrebare este de ordin empiric - avem nevoie de date și dovezi pentru a răspunde la ea. Având în vedere dovezile actuale privind excepțiile din regulament, este greu de stabilit dacă acest regulament va deveni un punct de referință global privind reglementarea inteligenței artificiale dintr-o perspectivă orientată spre protecția drepturilor fundamentale sau dacă va sfârși prin a fi altceva - de exemplu, un mod de a stabili  „calitatea produselor” de IA în Europa. 

Add new comment

More information about text formats

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.