L-au legat cu bandă izolatoare. Acord provizoriu pe Actul privind IA

Săptămâna trecută tot despre IA am scris și am întrebat retoric “cine v-a lucrat aici?” Era vorba că întreg regulamentul pe IA era în pericol din cauza unor “mofturi” de ultim moment ale câtorva state cruciale pentru atingerea unei majorități calificate – Germania, Franța și Italia.

Iată că, păstrând metafora meșterului venit să repare ce au stricat alții încercând să repare, au pus niște bandă izolatoare, au legat cu niște sârmă și au reușit să o pună de un acord provizoriu între cele trei instituții europene (Consiliu, Parlament și Comisie) pe viitoarea legislație privind inteligența artificială.

Deci, merită să ne uităm peste ce a fost legat cu bandă izolatoare și cum s-a prins laolaltă varianta finală a Actului privind Inteligența Artificială (AIA).

Despre ce e vorba mai jos?

  • contextualizăm un pic discuția răspunzând la câteva “dece-uri” despre această legislație
  • vedem cum anume s-a ajuns la un acord și ce zic principalii actori despre rezultat
  • facem un rezumat al principalelor prevederi ale legislației și ne uităm un pic în viitor

Să purcedem, deci.

 

Câteva "de ce-uri"

De ce te-ar interesa această legislație?

  • legislația despre IA va afecta pe toată lumea pentru că intrarea IA în viața noastră este de-abia la început, iar sistemele de tip IA vor pătrunde în fiecare aspect al vieții noastre. Negreșit.
  • în esență, legislația este despre protecția consumatorilor, iar mare parte din aplicare va fi în “spatele scenei”.
  • chiar dacă noi suntem priviți ca niște “consumatori”, regulamentul e mai degrabă despre protecția “cetățenilor” pentru că o parte din obligațiile companiilor care pun pe piață sisteme IA se leagă de drepturile noastre fundamentale. Deci nu vorbim doar de “clientul are întotdeauna dreptate”, ci despre “clientul este de fapt cetățean și are o serie de drepturi fundamentale”.

De ce e a big deal acest acord ?

  • pentru că inteligența artificială e “tehnologie de uz general”, cam ca electricitatea sau Internetul. UE e prima entitate din lume care are acum o reglementare de protecție a cetățenilor și de ghidare a companiilor care dezvoltă astfel de soluții. SUA are “executive orders” pe acest domeniu, dar care n-au putere de legislație federală care să se aplice asupra întregului teritoriu, așa cum se întâmplă în UE.

De ce a durat atât – 2 ani?

  • pentru că vorbim de procesul decizional european – unde timpul de negociere al unui regulament sare adesea de un an. Să nu uităm că nici definiția IA nu a fost agreată decât acum în ultimul moment.
  • am mai povestit aici de ce a durat atât. Dar, pe scurt: proiectul de reglementare nu conținea la început prevederi despre sistemele IA, cum este Chat-GPT. Având în vedere că aplicația asta a devenit foarte populară în extrem de scurt timp, autoritățile europene – îndeosebi Parlamentul European – au considerat necesară introducerea unor prevederi legate de siguranța celor care utilizează aceste soluții

 

Acord provizoriu pe Actul privind IA

Avem, așadar, un acord cu privire la textul Actului privind Inteligența Artificială. Acord provizoriu. Acord provizoriu înseamnă că instituțiile europene au agreat principalele elemente ale legislației care mai rămăseseră de negociat.

Urmează acum un pas crucial, cel de redactare efectivă a textului final unde va mai fi de lucru. Deci, nu a intrat în vigoare, nu se aplică de mâine, nu omoară inovația încă, nu ne putem plânge încă unei autorități că un sistem IA ne-a discriminat. Apoi urmează un vot final, atât în Parlament (care reprezintă cetățenii), cât și în Consiliu (care reprezintă statele). Iar intrarea în vigoare e prevăzută undeva pentru 2025, deci mai avem de așteptat. Cum va evolua tehnologia până atunci este de urmărit până atunci pentru că, deși regulamentul a fost gândit să fie “future proof”, unele aspecte ale acesteia vor necesita corectură sau adaptare cu siguranță.

Cum am ajuns la acest acord? Păi, n-a fost nevoie decât de niște negocieri maraton și lipsă de somn pentru a se ajunge la un acord. 36 de ore au durat negocierile, oprite doar de câteva pauze de somn. Nimic nu ajută mai mult la rezolvarea unui impas decât lipsa somnului, aș zice eu. Comentariile celor interesați de subiect pe LinkedIn au fost mai degrabă că așa nu se face negociere cu minți private de somn care nu mai gândesc rațional sau nu mai sunt capabile să înțeleagă nuanțe sau idei simple. E și ăsta un punct de vedere. Dar am impresia că, odată ce intri în hora deciziilor europene, ești băgat la un curs special despre cum să stai treaz până târziu pentru că, așa cum am zis aici, marile decizii ale UE s-au luat aproape întotdeauna în orele târzii ale nopții sau devreme ale dimineții. Și asta poate fi catalogată ca o decizie mare, indiferent de câte probleme au semnalat principalii actori implicați.

Ce i-a ținut treji atâta timp?

Imagine din timpul negocierilor. Sursa: Thierry Breton, X

Nu, n-a fost doar cafeaua sau energizantul, ci niște mere. Ale discordiei. Anume sistemele de uz general (de tip Chat-GPT) și utilizarea IA pentru aplicarea legii și supraveghere. Să le luăm pe rând.

De fapt, principala chestie care a întârziat negocierile – anume reglementarea sistemelor de IA de uz general – a trecut relativ repede. Adică, acestea vor fi clasificate pe două categorii în funcție de mai multe criterii – cum ar fi puterea de calcul – exact așa cum a fost în compromisul inițial după care s-au ofticat cele 3 țări.

Toate sistemele vor publica rapoarte cu privire la utilizarea lor și la datele cu care s-au antrenat. Iar cele mai puternice vor trebui să treacă prin mai multe testări, cum ar fi “adversarial testing”, adică să duci la extrem funcționarea aplicației dându-i prompturi și întrebări menite să ofere răspunsuri problematice. Cam cum a făcut tipul de la New York Times cu Bing AI. Acestea vor trebui să ofere și rapoarte de eficiență energetică, fiind cunoscut faptul că sistemele puternice consumă foarte mult curent. Câteva milioane de căutări pe zi pe Chat-GPT ar putea consuma 1 Gwh în fiecare zi, echivalentul consumului zilnic de curent a peste 30 de mii de gospodării, conform calculelor făcute de Universitatea din Washington. Un Birou IA înființat în cadrul Comisiei se va ocupa de supravegherea funcționării acestor sisteme.

Acest model de supraveghere este același din compromisul inițial după care s-au supărat cele trei state. Ceea ce mă face să cred că nu asta a fost toată povestea. Ci celălalt măr al discordiei – adică utilizarea IA pentru aplicarea legii și pentru supraveghere.

IA poate fi utilizată pentru identificarea la distanță a unei persoane în două moduri – în timp real și după un eveniment. Parlamentul a cerut, de exemplu, interzicerea totală a identificării biometrice în timp real. Consiliul nu a fost de acord – adică cei care au monopolul forței. Astfel că a apărut iarăși un compromis – un acord pentru utilizarea sistemelor IA de identificare biometrică în timp real în anumite condiții legale. Deci, autoritățile vor putea utiliza identificare în timp real, spre exemplu pentru a căuta țintit o victimă a unei răpiri sau pentru prevenirea unei amenințări teroriste specifice sau prezente. Sau pentru a localiza o persoană suspectată de infracțiuni grave. Nu știm încă ce înseamnă această infracțiune gravă. Mai mult, o autoritate din sfera aplicării legii va putea folosi o aplicație IA chiar dacă nu are o evaluare de conformitate cu legea în aceste cazuri urgente – ceea ce poate lăsa portițe de utilizare greșită.

În ceea ce privește identificarea biometrică la distanță după un eveniment, există mai puține restricții, dar tot este necesară o autorizație în prealabil în conformitate cu legislația națională. De altfel, în comunicatul său, Consiliul scoate în evidență treaba asta cu legislația națională și faptul că regulamentul nu interferează cu politicile de securitate națională. Ca să fie clar, nu se aplică sistemelor IA utilizare în scopuri militare sau de apărare. Deci, aparatul de forță al statului continuă oarecum nederanjat, conform și organizațiilor de societate civilă care au urmărit subiectul.

Oricum, au mai dres busuiocul cu obligația ca autoritățile publice ce utilizează sisteme cu risc ridicat, adică și acestea de identificare biometrică, să se înscrie într-o bază de date europeană.

Ce a mai ieșit din această negociere?

  • obligație de realizare a unei evaluări de impact cu privire la protecția drepturilor fundamentale în cazul utilizării unor sisteme IA de risc ridicat
  • interzicerea salvării în masă a imaginilor cu persoane de pe Internet. Acestea se utilizează de obicei pentru a face baze de date pentru recunoaștere facială. Clearview AI e o companie americană care a făcut asta și a făcut un soft de recunoaștere facială pe care l-a vândut chiar și autorităților europene, deși e cam ilegal și din punct de vedere al GDPR
  • interzicerea sistemelor care manipulează comportamentul uman pentru a le submina liberul arbitru.
  • interzicerea utilizării sistemelor IA pentru recunoașterea emoțiilor în diverse contexte, cum ar fi la locul de muncă
  • diferențierea amenzilor în funcție de mărimea companiei. IMM-urile care nu respectă prevederile de a pune pe piață sau a utiliza în conformitate cu regulamentul aceste sisteme vor plăti amenzi mai mici
  • posibilitatea de a ne plânge unei autorități competente dacă am fost nedreptățiți de un sistem IA

 

Cu ce preț? versus Doar atât?

Image by Freepik

Dacă nu ești în bula celor interesați de tehnologie sau politici publice sau UE, nu prea ai habar care a fost faza cu negocierile asta. Și uite ce efect au unele sisteme de IA asupra noastră și nici nu știm de fapt. Pentru că, de fapt, un sistem IA de recomandare a conținutului pe rețelele sociale îți creează această bulă. Apropo, versiunea de regulament din Parlament presupunea încadrarea la categoria de risc ridicat a acestor sisteme care ne recomandă conținut pe social media. Asta n-a intrat în varianta agreată de ambele instituții.

Dacă întrebi pe cineva din societatea civilă despre eliminarea acestei prevederi, probabil că o să-ți răspundă că e problematică. Dacă întrebi pe cineva care lucrează cu social media, îți va răspunde că și așa bietele companii sunt prinse cu alte regulamente importante care le creează o grămadă de obligații.

Să vedem totuși ce zic diferiții actori despre forma agreată a AIA. Reacțiile organizațiilor de societate civilă s-au învârtit mai ales în jurul victoriei statelor cu privire la utilizarea IA în domeniile de aplicare a legii. Încă un semn că aici a fost de fapt miza negocierilor. Accentul pozițiilor acestor organizații a căzut pe diferitele lacune prinse intenționat sau nu în legislație, care ar putea permite supravegherea în masă. Conform lor, asta se vede mai ales în împărțirea pozițiilor între Parlament și Consiliu, cel din urmă insistând asupra unor excepții de la regulament pentru domeniile de securitate și apărare, mai ales în ceea ce privește supravegherea în masă cu ajutorul IA.

Digital Europe, principala organizație ce reprezintă BigTech și alte mari companii tech din Europa, se întreabă “Cu ce preț vine acest acord?”, accentuând ideea că reglementarea IA este o povară pentru companiile de tehnologie și că acestea vor trebui să angajeze mai mulți avocați decât inginerii de IA. Aceste idei fac parte din povestea des spusă în UE că legile și regulamentele omoară inovația și că economia este blocată de prea multe reguli. Povestea asta s-a mai spus de fiecare dată când a apărut o reglementare pe tehnologie, dar aici chiar suntem într-un teritoriu nebătătorit pentru că e prima dată când o entitate reglementează IA.

 

Și cu ce mă ajută pe mine, domnișoară?

Pe final, o scurtă recapitulare a ceea ce înseamnă acest act legislativ.

Dacă ești cetățean:

  • conținutul creat de IA va fi desemnat ca atare ca să știi că nu a fost creat de un om. Să vedem dacă rămâne doar aplicarea asta care e deja acum când copiezi un text din Chat-GPT în alt program, pentru că pur și simplu poți să ștergi textul de disclaimer de final.
  • la locul de muncă, șeful nu va putea folosi un sistem de IA pentru a detecta cât de mult nu-l suporți
  • la graniță, sistemele de identificare prin IA vor putea fi utilizate. Oare acestea să fie noile smart borders în Schengen?!
  • dacă un sistem de IA ia decizii care îți afectează viața, tu va trebui să știi că a fost un IA implicat în luarea deciziei și vei putea contesta dacă crezi că ești discriminat.
  • dacă locul tău de munca se va transforma și va include luarea de decizii cu ajutorul IA, să știi că tu vei lua oricum decizia la final. Nu te baza doar pe IA, tu trebuie să gândești cu mintea ta
  • companiile nu-ți vor putea lua imaginile de pe social media pentru a crea o bază de date pentru recunoaștere facială. Nu-i problemă, va supraveghea statul oricum spațiul public. Dacă ai ghinionul să fii o față generică sau să semeni foarte bine cu cineva, s-ar putea să fi confundat/ă cu un răufăcător, cum s-a întâmplat deja în România.

Dacă ești o companie, păi, aici e mai complicat:

  • totul depinde de cine ești. Pui pe piață un sistem IA? Păi, trebuie verificat unde se va folosi și pentru ce și determina ce fel de riscuri aduce. Există câteva domenii de mare risc: educație, loc de muncă, siguranță, control la frontieră etc. Dacă pui pe piață un sistem de mare risc, trebuie să faci evaluări de conformitate înainte de a-l pune pe piață și încă o evaluare de impact cu privire la respectarea drepturilor fundamentale ale utilizatorilor. Încă e fuzzy cum vor arăta aceste rapoarte, dar vor apărea structurile de sprijin pentru aceste evaluări. Oricine ai fi, trebuie să oferi specificații și documentație tehnică pentru sistemul pe care-l pui pe piață.
  • utilizezi sisteme IA? ar cam trebui să realizezi evaluări asupra contextului de utilizare ca să vezi dacă pot apărea efecte nedorite.
  • utilizezi sisteme IA? trebuie să te asiguri că persoanele care supraveghează sistemul sunt “competente, calificate și pregătite în mod adecvat și au resursele pentru a asigura supravegherea sistemului IA”.
  • ai control asupra datelor care intră în antrenarea sistemului? Păi, trebuie să te asiguri că datele sunt de calitate și comprehensive.

Astea sunt doar câteva exemple. Odată ce apare textul final, va fi mult mai clar care sunt obligațiile. Până atunci, să stăm cu ochii și pe noile versiuni de sisteme IA de uz general și pe textul final al legislației.

 

Referințe

Adaugă comentariu

 

Digital Policy este o platformă de analize de politici publice digitale, axată pe nivelurile european, național și local.

Pagini

Newsletter