5 października 2023 r. Komisja Europejska opublikowała na swoich stronach internetowych modelowe klauzule umowne dla podmiotów publicznych zawierających umowy na dostarczanie rozwiązań opartych o sztuczną inteligencję. Opracowanie klauzul było efektem pracy Społeczności ds. Zamówień AI – grupy specjalistów, która postawiła sobie za cel zaproponowanie treści modelowej umowy dotyczącej udzielenia zamówień na programy sztucznej inteligencji. Prace nad modelowymi klauzulami były prowadzone równolegle z trwającymi w Radzie Unii Europejskiej pracami nad Rozporządzeniem AI. Z tego względu klauzule korzystają z tej samej terminologii, co unijne rozporządzenie.
Dlaczego podmioty publiczne?
Sztuczna inteligencja niewątpliwie może usprawnić działanie wielu branż, zarówno w sektorze prywatnym, jak i publicznym. Tworzy jednak również istotne zagrożenia dla ochrony podstawowych praw człowieka takich jak prywatność czy prawo do równego traktowania w dostępie do towarów i usług. W przypadku, gdy rozwiązanie oparte na sztucznej inteligencji jest stosowane przez podmiot sprawujący władzę publiczną lub dystrybuujący usługi, które w założeniu powinny być dostępne dla każdego obywatela (np. dostęp do służby zdrowia lub edukacji), ryzyko związane z błędem sztucznej inteligencji jest znacznie wyższe niż w przypadku, gdy te same narzędzia są stosowane przez prywatny podmiot. Dlatego korzystanie z systemów AI przez podmioty prywatne powinny podlegać szczególnej kontroli.
Jako że podmioty publiczne zamawiające rozwiązania informatyczne rzadko kiedy mają specjalistyczną wiedzę pozwalającą na dokonanie fachowej oceny dostarczanego produktu, powinny już na etapie zawierania umowy posiadać dostęp do jasnej i przejrzystej informacji na temat oprogramowania oraz mieć możliwość kontroli nad wykorzystaniem danych z systemu. W związku z tym, społeczność specjalistów pracujących nad klauzulami opracowała je z myślą o wzmocnieniu pozycji kontraktowej publicznego zamawiającego.
Podejście oparte na ryzyku
Podobnie jak rozporządzenie AI, klauzule różnicują zakres obowiązków stron w zależności od poziomu ryzyka związanego z konkretnym systemem sztucznej inteligencji. Systemy sztucznej inteligencji wysokiego ryzyka są przede wszystkim systemami związanymi z obsługą maszyn, bezpieczeństwem zabawek, lotnictwem, pojazdami drogowymi, żeglugą, substancjami łatwopalnymi czy wyrobami medycznymi.
Z powyższych względów stworzono dwie wersje modelowych klauzul – jedną dla systemów wysokiego ryzyka i jedną dla systemów, które wysokiego ryzyka nie tworzą.
Ze stosowaniem systemów wysokiego ryzyka wiążą się dla podmiotu używającego systemu dodatkowe obowiązki, takie jak prowadzenie szczegółowej dokumentacji technicznej systemu i zapisywanie operacji dokonywanych przez sztuczną inteligencję w formie logów, tak aby móc następczo prześledzić proces decyzyjny programu. Podmiot wdrażający system powinien zapewniać użytkownikom systemu pełną i zrozumiałą informację na temat sposobu działania programu, a także umożliwić weryfikację podjętej przez system decyzji przez człowieka.
Wszystkie powyższe wymogi zostały odzwierciedlone w modelowych klauzulach, które nakładają na dostawcę systemów AI obowiązek udostępnienia zamawiającemu wszelkich informacji i dokumentów niezbędnych do tego, by podmiot publiczny mógł wywiązać się z wymaganych rozporządzeniem obowiązków wobec osób, których będą dotyczyć decyzje sztucznej inteligencji.
Dane treningowe pod kontrolą
W modelowych klauzulach zawarto postanowienia dotyczące szczególnej kategorii systemów AI – oprogramowaniu stosującym uczenie maszynowe. Klauzule – w ślad za przepisami rozporządzenia AI – wprowadzają wymóg, aby dane użyte do trenowania sztucznej inteligencji były w najszerszym możliwym zakresie adekwatne, reprezentatywne, wolne od błędów i kompletne. Klauzule umowne zastrzegają podmiotowi publicznemu prawo do żądania zwrotu zestawu danych treningowych po zakończeniu współpracy z podmiotem dostarczającym system sztucznej inteligencji.
Niezawodność i przewidywanie zastosowań niezgodnych z przeznaczeniem
Modelowe klauzule zobowiązują dostawcę systemu AI do bieżącego reagowania na awarie i luki w zabezpieczeniach systemu sztucznej inteligencji. Klauzule zobowiązują również dostawcę, aby na etapie projektowania systemu uwzględniać niezgodne z przeznaczeniem systemu zastosowania, które można było racjonalnie przewidzieć. Chodzi tu o sytuacje, w których użytkownik AI wykorzysta funkcje systemu w sposób niezgodny z celem, dla którego system został stworzony, ale możliwy do przewidzenia, biorąc pod uwagę ludzkie zachowania.
Ta ostatnia kwestia może stać się źródłem istotnych nieporozumień między dostawcą systemu sztucznej inteligencji a zamawiającym. Trudno bowiem stwierdzić, jakie ludzkie zachowania są racjonalnie przewidywalne, a jakie nie. Na chwilę obecną liczba zastosowań sztucznej inteligencji jest ogromna – od pisania prac domowych za uczniów, przez tworzenie filmów z „udziałem” znanych osób po wyłudzanie pieniędzy od ofiar, nieświadomych że głos, który słyszą w słuchawce, nie należy do członka rodziny, lecz został zsyntezowany przez program AI.
Im bardziej powszechny jest dostęp do systemów AI, tym więcej pomysłów na jej wykorzystanie się pojawi i tym wyższe będą wymagania stawiane dostawcom sztucznej inteligencji.
Czy modelowe klauzule przenikną do sektora prywatnego?
Świadomość szans i zagrożeń stawianych przez AI jest coraz większa, a zakres zastosowań sztucznej inteligencji jest coraz szerszy. W związku z tym, podmioty korzystające z rozwiązań opartych o AI będą coraz częściej myśleć o zabezpieczeniu własnych interesów przed roszczeniami osób poszkodowanych skutkami decyzji podjętej przez AI. Nie jest zatem wykluczone, że klauzule stworzone dla podmiotów publicznych będą stosowane – w bardziej lub mniej zmienionej formie – przez podmioty prywatne, których działalność wpływa na sytuację znacznej liczby osób.