Současný stav a výhled regulace umělé inteligence v EU: Jaký dopad to má na japonské firmy?

Rozvoj AI vede k tomu, že nástroje jako ChatGPT jsou stále častěji využívány v pracovních procesech, a zároveň se stává AI související podnikání stále aktivnějším. Současně se však stává předmětem zájmu i problematika mezinárodní regulace AI.

V Japonsku Ministerstvo hospodářství, obchodu a průmyslu zveřejnilo “Směrnice pro správu AI principů Ver. 1.1″[ja] (k datu psaní tohoto článku). Dne 14. června 2023 (2023) byl v Evropském parlamentu přijat první mezinárodní “Zákon o regulaci AI”, který si získal pozornost i v Japonsku.

Tento článek představí současný stav a vyhlídky zákona o regulaci AI a vysvětlí jeho dopad na japonské společnosti.

Co je AI Act (Zákon o AI)?

Dne 14. června 2023 byl v Evropském parlamentu EU přijat komplexní “Návrh pravidel pro AI”, který se vztahuje na využití AI jako celku. Jedná se o první mezinárodní “Zákon o AI (AI Act)” na světě, který se skládá z 85 článků a je jednotným pravidlem EU (sekundární legislativa).

V průběhu roku 2023 se očekává, že dojde k neformálním jednáním (trilogům) mezi třemi stranami (Evropskou komisí, Evropským parlamentem a Radou Evropy) s cílem dosáhnout dohody. Po schválení legislativními orgány, Evropským parlamentem a Radou Evropy, se předpokládá, že zákon vstoupí v platnost v roce 2024.

Právní systém EU

Právní systém EU se skládá ze tří druhů práva: primárního práva (smlouvy), sekundárního práva (komunitární legislativa) a judikatury.

Sekundární právo je založeno na primárním právu (smlouvách) a představuje právní předpisy, které přímo či nepřímo regulují členské státy EU a jsou známy jako právo EU nebo odvozené právo.

Existuje pět hlavních typů, ale “EU AI Regulation” spadá pod nařízení (Regulation), což znamená, že se jedná o jednotná pravidla, která přímo zavazují členské státy EU.

Mezi sekundární právní předpisy EU patří následujících pět typů:

• Nařízení (Regulation): Má závaznou sílu pro všechny členské státy a po přijetí se stává přímo aplikovatelným (stává se součástí vnitrostátního právního systému bez nutnosti ratifikačního procesu).
• Směrnice (Directive): Členské státy jsou povinny přijmout novou nebo změnit stávající vnitrostátní legislativu, aby dosáhly stanovených cílů, a nesou právní závazky.
• Rozhodnutí (Decision): Jeden z forem práva s právní závazností, které se vztahuje ne na obecné, ale na konkrétní subjekty, jako jsou určité členské státy, podniky nebo jednotlivci.
• Doporučení (Recommendation): Evropská komise doporučuje vládám členských států, podnikům nebo jednotlivcům určité akce nebo opatření. Nemá právní závaznost ani vynutitelnost, ale je považováno za nástroj, který podporuje legislativní změny nebo reformy v členských státech EU.
• Názor (Opinion): Někdy označován jako “stanovisko”, představuje vyjádření Evropské komise k určitému tématu, ale nemá právní závaznost ani vynutitelnost.

“Nařízení” je považováno za nejsilnější formu sekundárního práva, například GDPR (General Data Protection Regulation) = “Obecné nařízení o ochraně osobních údajů” je příkladem nařízení.

Rozsah působnosti zákona o regulaci AI

Evropský zákon o regulaci AI (Japanese: AI規制法) se přímo uplatňuje v rámci EU a má právní závaznost i ve třetích zemích, které jsou obchodními partnery, a tedy i mimo území EU. Regulace se týká podnikatelů, kteří uvádějí na evropský trh AI systémy a služby, a to včetně vývojářů, nasazovatelů, poskytovatelů, dovozců, distributorů a uživatelů AI.

Zákon o regulaci AI stanovuje konkrétní požadavky na určité systémy AI a povinnosti podnikatelů, ale zároveň usiluje o snížení administrativního a finančního zatížení malých a středních podniků (SME).

Tento návrh zákona je součástí širokého balíčku opatření pro AI, který si klade za cíl zajistit bezpečnost AI a základní práva a posílit přístup k AI, investice a inovace v celé EU.

Evropská regulace musí být v souladu se základními principy Evropské unie, jak jsou stanoveny ve Smlouvě o fungování Evropské unie. To znamená, že i v oblasti AI technologií musí být zaručena lidská práva a svobody v rámci EU, a je tedy nezbytné mít pro toto zajištění příslušné ochranné mechanismy.

V návrhu zákona je účel regulace vysvětlen jako “podpora důvěryhodného využívání AI pod lidským dohledem a zajištění ochrany zdraví, bezpečnosti, základních práv, demokracie a právního státu a životního prostředí před riziky spojenými s AI.”

Konkrétně jsou stanoveny následující “všeobecné principy platné pro všechny AI systémy”:

• Lidská autonomie a dohled (human agency and oversight)
• Technická robustnost a bezpečnost (technical robustness and safety)
• Soukromí a správa dat (privacy and data governance)
• Transparentnost (transparency)
• Rozmanitost, nediskriminace a spravedlnost (diversity, non-discrimination and fairness)
• Společenské a environmentální blaho (social and environmental well-being)

V rámci tohoto zákona o regulaci je jasně zdůrazněno, že pro dosažení principů AI je nezbytné zajistit AI gramotnost vývojářů, uživatelů a poskytovatelů AI.

V případě porušení mohou být uloženy vysoké sankce založené na celosvětovém obratu (až do výše 30 milionů eur, což je přibližně 4,7 miliardy jenů, nebo 6 % z celosvětového obratu, podle toho, která částka je vyšší), což může vést k tomu, že podnikání v oblasti AI v EU nebude možné.

Proto se od podniků, včetně těch z Japonska, které již provozují AI podnikání na evropském trhu nebo uvažují o vstupu na evropský trh v budoucnu, vyžaduje, aby se přizpůsobily nové regulaci AI EU.

Pozadí vzniku zákona o regulaci AI

Generativní AI je sice užitečným nástrojem, ale zároveň přináší rizika, jako je podpora kriminality nebo ohrožení demokracie. S rozvojem a šířením AI technologií se tyto problémy stávají nevyhnutelnými výzvami.

Od roku 2016 publikovaly Evropská unie (EU), Spojené státy americké a Čína směrnice a národní strategické plány týkající se AI. EU se zvláště zaměřila na rozvoj regulace AI a velkých dat a v období od roku 2017 do roku 2022 vytvořila řadu důležitých směrnic, prohlášení a návrhů regulací.

Například v dubnu 2016 bylo přijato ‘Obecné nařízení o ochraně osobních údajů (GDPR)’, 21. dubna 2021 byl oznámen ‘Návrh zákona o regulaci AI’ a 30. května 2022 byl přijat ‘Zákon o správě evropských dat (DGA)’, který je v platnosti od 24. září 2023.

Tyto regulace mají za cíl zajistit, aby byly AI a velká data využívány bezpečně a spravedlivě ve společnosti, a zároveň podporovat inovace a hospodářský růst.

EU jako součást své digitální strategie prosazuje ‘Evropu připravenou pro digitální věk’.

I po oznámení ‘Návrhu zákona o regulaci AI’ Evropská komise přijala 14. června 2023 v reakci na rychlý vývoj a šíření generativní AI pozměňovací návrh, který zahrnuje nové přístupy a požadavky týkající se generativní AI.

Charakteristiky zákona o regulaci AI

Základní struktura “Zákona o regulaci AI” spočívá ve třech hlavních charakteristikách: “kategorizace AI na základě rizika”, “požadavky a povinnosti” a “podpora inovací”.

Tato regulace využívá metodologii zvanou “rizikově založený přístup”, která kategorizuje úroveň rizika AI do čtyř úrovní a podle toho se uplatňují příslušné regulace.

Konkrétně jsou, jak je uvedeno v následující tabulce, pro čtyři rizikové úrovně AI systémů stanoveny zakázané činnosti a požadavky či povinnosti. AI systémy s vysokým rizikem jsou specificky určeny z hlediska zajištění bezpečnosti lidského těla a života, ochrany práva na sebeurčení, udržení demokracie a spravedlivého procesu.

Vliv japonského zákona o regulaci AI na Japonsko

EU je mezinárodně průkopnická v zavádění regulací v oblastech jako ochrana lidských práv, ochrana osobních údajů a ochrana životního prostředí, a její předpisy se staly “zlatým standardem” pro návrh systémů v ostatních zemích.

Reforma japonského zákona o ochraně osobních údajů byla také prosazena s cílem sjednotit decentralizované regulace a zároveň reagovat na výzvy spojené s GDPR (General Data Protection Regulation) EU. Existují také zákony, jako je “Zákon o zvýšení transparentnosti a spravedlnosti specifických digitálních platforem” (účinný od 1. února 2021), které byly navrženy s ohledem na právní předpisy EU.

V současné době v Japonsku neexistují žádné přísné zákony regulující AI, a místo toho se země řídí politikou samoregulace založené na měkkém právu.

Jak bylo uvedeno výše, “Zákon o regulaci AI” EU se přímo vztahuje na členské státy EU a má také přeshraniční aplikaci pro podniky působící v rámci EU, což zahrnuje i podniky se sídlem mimo EU.

Jak bude vysvětleno později, na vývoz AI produktů v rámci EU se mohou vztahovat různé zákony z různých hledisek, a proto je nezbytné přijmout odpovídající opatření. Japonské společnosti by měly pečlivě sledovat budoucí vývoj a přijmout vhodná opatření pro dodržení zákona.

Přijetí návrhu úprav včetně generativní AI

Zákon o regulaci AI je právní předpis EU, na který byly aplikovány pozměňovací návrhy od tří subjektů EU (Rady Evropy, Evropského parlamentu a Evropské komise).

Dne 11. května 2023 výbory IMCO (Výbor pro vnitřní trh a ochranu spotřebitelů) a LIBE (Výbor pro občanské svobody, spravedlnost a vnitřní věci) schválily návrhy úprav Zákona o regulaci AI.

Tyto pozměňovací návrhy byly následně přijaty Evropským parlamentem dne 14. června 2023.

Zpráva obsahuje klíčové úpravy legislativního návrhu, včetně zákazu prediktivního policejního dohledu, mnoha přídavků do seznamu samostatných AI systémů klasifikovaných jako vysoké riziko a silné a komplexní role nového úřadu pro AI (EAIB, který nahradí Evropský výbor pro umělou inteligenci).

Navíc je navrhována silnější spolupráce s GDPR (Obecné nařízení o ochraně osobních údajů) a zaznamenáváme zvýšenou zapojení stakeholderů v určitých oblastech, stejně jako zavedení specifických ustanovení souvisejících s generativní a obecnou AI.

Poté, dne 24. října 2023, byl konán čtvrtý trialog (trojstranná jednání) o Zákonu o regulaci AI, kde došlo k významnému pokroku v politicky citlivých otázkách. Zejména byla dosažena předběžná dohoda o mechanismu filtru pro systémy AI s vysokým rizikem (článek 6).

Dále bylo poskytnuto politické vedení ohledně budoucího směřování základních modelů/obecných AI systémů, governance, zákazů a právních orgánů, a technické týmy byly pověřeny prací na konkrétních textových návrzích týkajících se výše uvedených problémů.

O regulaci AI v souvisejících zákonech

V rámci zákona o regulaci umělé inteligence (AI) se uplatňuje několik právních předpisů, které byly stanoveny z různých hledisek. Tyto tři zákony byly vytvořeny Evropskou unií (EU) za účelem ochrany osobních údajů v digitálním prostoru a zajištění spravedlivé soutěže.

DSA (Zákon o digitálních službách)

„Zákon o digitálních službách“ EU (DSA = Digital Services Act), který byl implementován dne 16. listopadu 2022 (s plnou účinností od 17. února 2024), je komplexním předpisem týkajícím se elektronického obchodování v EU.

V EU byla v roce 2000 zavedena směrnice o elektronickém obchodování, ale vzhledem k tomu, že se stále více komplikovalo její uplatňování v důsledku vývoje internetu a online platforem, byl tento předpis revidován a nahrazen jednotnými pravidly EU v podobě DSA (Zákona o digitálních službách).

Cílem tohoto zákona je zabezpečit správné fungování zprostředkovatelských služeb na vnitřním trhu EU, chránit základní práva uživatelů a udržovat bezpečnější digitální prostředí. Regulace se týká poskytovatelů online zprostředkovatelských služeb, hostitelských služeb a online platforem (včetně VLOP a VLOSE).

Je to zákon, který komplexně reguluje jak BtoB, tak BtoC aspekty v případě, že dojde k publikaci nelegálního obsahu, a stanovuje odpovědnost a způsob řešení sporů.

Konkrétně zavádí povinnost odstraňovat nelegální obsah, produkty a služby, posiluje ochranu základních práv uživatelů a vyžaduje větší transparentnost a zodpovědnost.

Dále jsou na VLOP (Velmi velké online platformy) a VLOSE (Velmi velké online vyhledávače) s průměrným počtem uživatelů v EU přesahujícím 45 milionů měsíčně uvaleny ještě přísnější pravidla.

Designované VLOP a VLOSE musí do čtyř měsíců od oznámení rozhodnutí přizpůsobit své systémy, zdroje a procesy DSA, zavést opatření pro zmírnění a zřídit nezávislé systémy pro dodržování právních předpisů. Následně musí provést audit a první roční hodnocení rizik a o výsledcích informovat Evropskou komisi.

DSA (Zákon o digitálních službách) bude plně aplikován od 17. února 2024 a výkon povinností podle DSA u ostatních podnikatelů bude nadále monitorován Evropskou komisí a orgány členských států.

Členské státy musí do 17. února 2024 zřídit nezávislého „Koordinátora digitálních služeb“, který bude dohlížet na dodržování DSA, a bude mu přidělena pravomoc vymáhat sankce včetně pokut za porušení povinností.

Na druhou stranu VLOP a VLOSE budou přímo dohlíženy Evropskou komisí, která má pravomoc uplatňovat sankce.

V případě porušení zákona může být uložena pokuta až do výše 6 % z celosvětového ročního obratu podniku za předchozí rok.

Tento zákon je součástí digitální strategie EU známé jako „Evropa připravená na digitální éru“ a jeho cílem je řešit nové výzvy a rizika vývoje digitální doby.

DMA (Zákon o digitálních trzích)

EU ‘Zákon o digitálních trzích’ (DMA = Digital Markets Act) vstoupí do velké míry v platnost dne 2. května 2023 a má za cíl zajistit, aby digitální trhy byly spravedlivé a konkurenceschopné, a zabránit tomu, aby určité digitální platformy dominovaly trhu.

Regulace se týká určených hlavních provozovatelů bran (gatekeepers), kterým jsou stanoveny povinnosti, a v případě porušení mohou být uvaleny sankce, včetně pokut až do výše 10 % celosvětového obratu.

‘Hlavní provozovatelé bran’ jsou největší digitální platformy provozované v rámci Evropské unie, které mají v určitých digitálních oblastech trvalou pozici na trhu a splňují určitá kritéria týkající se počtu uživatelů, obratu, kapitálu a dalších.

Evropská komise má za úkol do 6. září 2023 určit nejnovější hlavní provozovatele bran a těmto společnostem bude poskytnuta až šestiměsíční lhůta (do března 2024) na dodržování nových povinností stanovených Zákonem o digitálních trzích. Mezi hlavní provozovatele bran byly tentokrát určeny společnosti Alphabet, Amazon, Apple, ByteDance, Meta a Microsoft, přičemž celkem 22 hlavních platform a služeb, které tyto gatekeepery poskytují, bylo určeno jako předmět tohoto zákona.

Tento zákon si klade za cíl zabránit velkým digitálním platformám v zneužívání tržní síly a usnadnit novým účastníkům vstup na trh.

GDPR (Obecné nařízení o ochraně osobních údajů)

GDPR (Obecné nařízení o ochraně osobních údajů) je nový “zákon o ochraně dat” Evropské unie, který byl implementován 25. května 2018.

Jedná se o právní rámec, který stanovuje směrnice pro sběr a zpracování osobních informací od jednotlivců uvnitř i vně EU. Toto nařízení ukládá povinnosti organizacím, které cílí na EU nebo sbírají data související s lidmi v EU.

Související článek: Vysvětlení klíčových bodů při tvorbě GDPR kompatibilních zásad ochrany soukromí[ja]

Očekávaný vývoj regulace umělé inteligence

V následujícím textu se zaměříme na AI systémy, které by měly podniky pečlivě sledovat, a to na základě dříve zmíněné tabulky klasifikace rizik AI.

Zákaz využívání sociálních kreditních skóre

Jedním z AI systémů, které spadají do kategorie “rizik zakázaných” podle pravidel EU, je sociální kreditní skóre (Social Credit Score). Tento systém bude na základě novely zákona zakázán nejen ve veřejných institucích, ale i celoplošně.

Termín “sociální kreditní skóre” označuje systém, který hodnotí jednotlivé občany na základě jejich sociálního statusu a chování.

V Číně tento systém funguje jako nástroj dohledové společnosti a je využíván jako státní politika ve čtyřech oblastech: “veřejná služba”, “obchod”, “společnost” a “soudnictví”, kde je budován systém sociálního kreditu.

Konkrétní omezení zahrnují zákaz využívání letadel a vysokorychlostních vlaků, vyloučení ze soukromých škol, zákaz zakládání neziskových organizací, vyloučení z prestižních pracovních pozic, zákaz ubytování v hotelech, snížení rychlosti internetového připojení, zveřejňování osobních údajů na webových stránkách a v médiích. Na druhou stranu, pokud je skóre vysoké, mohou být poskytnuty různé “výhody”.

Avšak takový systém vyvolává obavy ohledně soukromí a svobody jednotlivců a jeho provoz je předmětem diskusí.

Zákaz využívání sociálních kreditních skóre v rámci EU je zaměřen na zajištění spravedlivého a transparentního využívání AI technologií.

Posílení omezení generativních AI

Jedním z AI systémů, které spadají do kategorie “omezeného rizika” podle pravidel EU, je generativní AI.

Generativní AI (Generative AI) je typ umělé inteligence, který na základě učebních dat vytváří nový obsah nebo řešení a v poslední době se těší velké pozornosti, například Chat GPT. Nicméně generativní AI přináší různé výzvy, a proto je považováno za nutné jej regulovat.

V rámci zákona o regulaci AI jsou vzhledem k rychlému vývoji a rozšíření generativních AI přidávány nové myšlenky a požadavky týkající se generativních AI.

Konkrétně se od poskytovatelů generativních AI, včetně společnosti OpenAI, vyžaduje, aby zveřejnili autorská data použitá při tréninku LLM (Large Language Model – velké jazykové modely).

Cílem je zvýšit transparentnost generativních AI a posílit regulaci řízení rizik.

V legislativě EU je tradičně kladen velký důraz na princip “transparentnosti (Transparency)”, což je patrné například na GDPR (Zákon o ochraně dat). Předpisy vyžadují, aby byly ochranné opatření a účely použití AI předem zveřejněny subjektům, a tento princip se stává mezinárodním “zlatým standardem”.

Omezení používání AI pro rozpoznávání emocí

AI systémy pro rozpoznávání emocí, které spadají do kategorie “omezeného rizika” podle Evropského regulačního práva, jsou také předmětem povinnosti transparentnosti a na jejich používání se vztahují omezené povinnosti, jako je povinnost předchozího oznámení o použití AI.

Termín “AI pro rozpoznávání emocí” označuje umělou inteligenci schopnou rozpoznat změny v lidských emocích.

Specificky existují následující čtyři typy, které prostřednictvím mikrofonů, kamer nebo senzorů analyzují emoce jako radost, hněv, smutek, potěšení nebo úroveň zájmu:

• AI pro rozpoznávání emocí v textu: Analyzuje emoce na základě textu, který člověk napsal, nebo na základě hlasových dat převedených na text.
• AI pro rozpoznávání emocí v hlasu: Analyzuje emoce z hlasu, který člověk vydává.
• AI pro rozpoznávání emocí ve výrazech tváře: Čte emoce z výrazů tváře prostřednictvím kamery.
• AI pro rozpoznávání emocí z biometrických údajů: Rozpoznává emoce z biometrických údajů, jako jsou mozkové vlny nebo srdeční tep.

Tyto technologie jsou využívány v různých oblastech, včetně služeb zákazníkům, call center nebo obchodních pozicích. S dalším rozvojem technologie se očekává její uplatnění i v medicínském sektoru.

Avšak je nezbytné zajistit ochranu soukromí v souvislosti s biometrickými údaji a získanými osobními informacemi a vypracovat příslušnou legislativu.

Shrnutí: Současný stav a výhled regulace AI

Výše jsme vysvětlili současný stav a výhled evropského ‘Nařízení o regulaci AI’ a jeho dopad na japonské společnosti. ‘EU Nařízení o regulaci AI’, které je první svého druhu na světě, má velký potenciál stát se mezinárodním ‘zlatým standardem’.

Pro japonské společnosti, které se chystají vstoupit na trh EU, bude důležité pečlivě sledovat vývoj tohoto nařízení o regulaci AI. Doporučujeme konzultovat s právníky, kteří mají odborné znalosti v oblasti mezinárodního práva a technologií AI, zejména pokud jde o regulaci AI v rámci EU.

Představení opatření naší kanceláře

Advokátní kancelář Monolith je právní firma s bohatými zkušenostmi v oblasti IT, zejména internetu a práva. Obchodování s AI přináší mnoho právních rizik a podpora právníků, kteří se specializují na právní problémy spojené s AI, je nezbytná. Naše kancelář poskytuje sofistikovanou právní podporu pro AI podnikání, včetně ChatGPT, prostřednictvím týmu právníků a inženýrů, kteří se specializují na AI. Nabízíme služby jako tvorba smluv, posouzení legality obchodních modelů, ochrana duševního vlastnictví a řešení soukromí. Podrobnosti naleznete v následujícím článku.

Specializace advokátní kanceláře Monolith: Právní služby v oblasti AI (včetně ChatGPT)[ja]