Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji?
[wersja edytowana 8 stycznia 2025]
[Niniejszy tekst stanowi rozszerzenie argumentacji zawartej w artykule, który ukazał się 14 grudnia 2024 w Rzeczpospolitej oinline https://www.rp.pl/opinie-prawne/art41581751-maciej-gawronski-za-30-mln-zl-rocznie-komisja-bedzie-nakladac-makijaz-sztucznej-inteligencji]
W cyfrowym wydaniu Rzeczpospolitej 6 listopada br ukazał się mój artykuł, w którym nawołuję do tego, aby nie powoływać przepalarki publicznych pieniędzy w postaci Komisji ds. AI i przekazać kompetencje nadzoru nad sztuczną inteligencją wysokiego ryzyka Urzędowi Ochrony Danych Osobowych.
W dniu 20 listopada tamże ukazał się tekst polemiczny, autorstwa mecenasa Przemysława Sotowskiego, w którym Pan Mecenas powołuje szereg ciekawych tez. Tez, których nie mogę pozostawić bez odpowiedzi, ponieważ balansują pomiędzy demagogią a dezinformacją.
Pewną trudność w polemice z autorem stanowi okoliczność, że na kilkanaście jego tez, tylko teza, że można byłoby inaczej nazwać tę Komisję, odpowiada rzeczywistości, a żadna nie zawiera uzasadnienia. Do tego stopnia, że w jednym przypadku odwołuje się do „oczywistej oczywistości". Tak jakby autor był bardziej politykiem niż prawnikiem. Na stronie 51 naszej bestsellerowej Książeczki o pisaniu pism taki styl pisania nazywam „biblijnym" (może lepszym określeniem byłoby „objawionym"), co na stronie 68 rozwijam tymi słowy: „Nie jesteśmy nadludzko nieomylną polską prokuraturą ani politykami, żeby sobie pozwolić na argumenty z oczywistej oczywistości…, chyba że nie mamy nic rzeczowego do użycia"
Niech więc mottem mojej repliki będzie to, co 12 sierpnia 1986 roku powiedział Ronald Reagan "Dziewięć najbardziej przerażających słów w języku angielskim to „Jestem z rządu i jestem tu, aby pomóc"" ("The nine most terrifying words in the English language are 'I'm from the government and I'm here to help'").
Polemika podnosi następujące twierdzenia: (1) że lepiej, żeby Komisja nazywała się Komisją Nadzoru a nie Komisją Rozwoju i Bezpieczeństwa; (2) że lepszy jest nadzór, który nie kara tylko przewodzi rynkowi (rola wodzowska nadzoru?); (3) że pod choinkę będzie Fundusz Rozwoju Sztucznej Inteligencji; (4) że nowy urząd to szansa na kompetencje (to tak dyplomatycznie wyrażone zdanie o kompetencjach UODO, oczywiście mowa tu o dyplomacji w stylu ZSRR – „Trzecie pierdnięcie jej Królewskiej Mości Ambasada Związku Radzieckiego bierze na siebie); (5) że ta nowa Komisja zauważy jakieś inne przełomowe technologie (żeby je sobie poregulować?!); (6) że PUODO chroni prawa podmiotowe ludzi a Komisja ma sprawować „nadzór nad rynkiem", i to wg Pana Mecenasa co innego; (7) że nie ma żadnych badań, że sztuczna inteligencja przetwarza dane osobowe; (8) że potężna część danych przetwarzanych przez sztuczną inteligencję to wcale nie dane osobowe, a wręcz przeciwnie; (9) że nikt danych osobowych nie chce; (10) że dlatego, że nikt danych osobowych nie chce, to rozwijają się techniki ochrony prywatności; (11) że dane osobowe sztuczna inteligencja głównie przetwarza w sprawach klasy porady makijażowe; (12) że jest oczywistą oczywistością, że oddanie nadzoru nad sztuczną inteligencją do Urzędu Ochrony Danych Osobowych spowodowałoby „przeniesienie tych samych praktyk" z danych osobowych na sztuczną inteligencję; (13) że prawa do prywatności i ochrony danych są niewielkim fragmentem Karty Praw Podstawowych UE, które zostały odzwierciedlone w unijnym Akcie o sztucznej inteligencji; i (14) że one są małolepsze od tych pozostałych.
Pojawiają się też w tekście fragmenty, gdzie trudno zinterpretować, o co chodzi, jak ten, gdzie autor nie wiadomo, czy kwestionuje, że oprogramowanie i AI przetwarzają dane, czy może że PUODO nadzoruje przetwarzanie danych osobowych, czy w końcu wyrażać niechęć do tego, żeby go nadzorował PUODO. W tym miejscu jedyne co można zrobić to zapytać za Maksem z Seksmisji „a może Curie-Skłodowska też?"
Kluczowym stwierdzeniem jest jednak następujące sformułowanie polemiki „Pokazuje to jednak ,że autor [znaczy ja – wstawka moja] mylnie utożsamia nadzór nad rynkiem z ochroną praw podstawowych".
Otóż, obawiam się, że to autor polemiki nie rozumie, o co chodzi w Akcie o sztucznej inteligencji.
Tak. Ochrona praw podstawowych. Otóż tak, istotą nadzoru nad wykorzystaniem sztucznej inteligencji na rynku EU jest ochrona praw podstawowych osób fizycznych przed ryzykiem dla nich płynącym z korzystania z tych technologii przez uczestników rynku UE.
Akt o sztucznej inteligencji reguluje wykorzystanie sztucznej inteligencji WYSOKIEGO RYZYKA. Chodzi o ryzyko dla PRAW PODSTAWOWYCH. Czyich praw podstawowych? Praw podstawowych osób fizycznych. I dokładnie o to samo chodzi w RODO. RODO ma chronić prawa i wolności oraz nadzorować ryzyko dla praw i wolności osób fizycznych. Akt o sztucznej inteligencji ma nadzorować ryzyko dla praw podstawowych. Jaka jest różnica? Z tej perspektywy żadna. Nadzór nie ma się skupiać na tym, który z dostawców technologii zarobi na naszym rynku więcej, ani żeby to była uczciwa konkurencja. Nadzór ma chronić osoby fizyczne przed ryzykiem dla ich praw podstawowych płynącym z wykorzystania sztucznej inteligencji wysokiego ryzyka.
Ryzyko dla osób fizycznych. Niezrozumienie wynikające z wypowiedzi autora polemiki wiąże się najwyraźniej z niezrozumieniem samego RODO. W RODO nie chodzi wcale o zagrożenia dla prywatności. Chodzi o (wszelkie) ryzyka dla praw i wolności człowieka płynące z naruszenia prywatności (w tym legalnego - czyli po prostu z przetwarzania danych osobowych). Polecam nasz „RODO. Przewodnik ze wzorami" – najpopularniejszą książkę o RODO w tym kraju. Te ryzyka to mogą być ryzyka uszkodzeń ciała, śmierci, katastrof, utraty pracy, manipulacji, ograniczenia praw obywatelskich, inwigilacji, oszustwa, odmowy świadczeń medycznych lub ich refundacji etc. I o takie właśnie zagrożenia chodzi w Akcie o sztucznej inteligencji. Nawet mało uważny czytelnik dostrzeże w Akcie o sztucznej inteligencji powołania na RODO tam, gdzie mowa o ocenie ryzyka i skutków i (sic!) o nadzorze organów ds ochrony danych osobowych nad AI.
Owszem, zarządzanie ryzykiem jest dużo starsze niż RODO, tak ja jestem dużo starszy niż autor polemiki. Nowością jednak w zarządzaniu ryzykiem z perspektywy RODO jest to, że ocenia się tu ryzyko dla podmiotu trzeciego – osób fizycznych, a nie dla organizacji, oraz ocenia się je w kategoriach bezwzględnych (oczywiście bardzo nieostrych, ale to inny problem).
System zgodności. RODO opiera się na koncepcji rozproszonego, oddanego rynkowi zarządzania ryzykiem i głównie nadzoru następczego nad tym, jak to ryzyko jest obsługiwane. W samym RODO zawarte są jednak już elementy systemu prewencyjnego, na którym opiera się Akt o sztucznej inteligencji. Chodzi o kodeksy postępowania i certyfikację. UODO poczynił już istotne kroki w zakresie kodeksów postępowania i certyfikacji. Ochrona danych osobowych to jedyny (oprócz elementów nieustandaryzowanej infrastruktury krytycznej) obszar wymagający tworzenia systemu zarządzania zgodnością (oceny ryzyka, zarządzania jakością i certyfikacji), spośród wszystkich regulowanych przez Akt o sztucznej inteligencji obszarów. Pozostałe obszary (różne maszyny, zabawki, urządzenia radiowe etc) już mają swoje systemy zarządzania zgodnością. PUODO właśnie teraz tworzy takie systemy zgodności, w oparciu o prerogatywy z RODO i doświadczenia z praktyki stosowania RODO jak i pozyskaną wiedzę rynkową. Edison, który wymyślił, żeby powierzyć tworzenie alternatywnych systemu zgodności sztucznej inteligencji w ochronie danych organowi konkurencyjnemu do PUODO, powinien otrzymać nagrodę Darwina.
Owszem las to nie to samo co las krzyży. Sens tej analogii idzie jednak w drugą stronę. Regulacja sztucznej inteligencji ma na celu właśnie to, żeby las nie przekształcił się w las krzyży. A RODO, przywołam tu Jana Nowaka - byłego Prezesa Urzędu, to nie jest akt o danych osobowych, tylko akt o ochronie osób fizycznych. Akt o sztucznej inteligencji też nie jest aktem o ochronie korporacji rozwijających używających sztucznej inteligencji tylko aktem o ochronie osób fizycznych. Żeby to widzieć, trzeba jednak zdjąć okularki Sknerusa McKwacza.
Trzeba sobie przy tym zdać sprawę, że, jak to dobitnie wywodzi raport „We have no science of safe AI" autorstwa David Janků, Max Reddel, Roman Yampolskiy, Jason Hausenloy, nie istnieją dobre standardy bezpieczeństwa sztucznej inteligencji. System tworzony przez Akt o sztucznej inteligencji to procedury niewypełnione treścią akurat w obszarze danych osobowych i w tym obszarze najgroźniejsze. Dlaczego nadzór nad tym obszarem miałby dostać organ bez doświadczenia i zrozumienia, że chodzi właśnie o ochronę praw podstawowych a nie organ, który w tym się właśnie specjalizuje?
Czy AI przetwarza dużo danych osobowych? Autor polemiki twierdzi, że jest wiele systemów AI, które nie przetwarzają danych osobowych. I dlatego, rozwijają się techniki ochrony prywatności, takie jak syntetyczne dane, prywatność różnicowa, czy „confidential computing". Obawiam się, że w tych dwóch zdaniach ukrył się oksymoron. Zdanie nr 2 wyklucza zdanie nr 1. Nie byłoby potrzeba technik ochrony prywatności, gdyby te mityczne, rzekomo nieprzetwarzające danych osobowych systemy, naprawdę nie przetwarzały danych osobowych.
Uroczy argument „nie ma badań". Autor polemiki twierdzi, dalej że „nie ma badań" że AI przetwarza dane osobowe, chyba że do makijażu. Ten poziom dyskusji to poziom posła Szejnfelda, który, gdy rozwinąłem na konferencji płachtę w formacie A1 z rozrysowanym procesem patentowym, skomentował to jedynie „Eeee, nie na iPadzie…", lub też poziom sofistyki znany z filmu „Dziękujemy za palenie". Jak do tego dodamy nonsens, że nikt danych osobowych nie chce i nie lubi, to już poziom spada z hukiem fortepianu rozbijanego o bruk.
Autor twierdzi, że dane osobowe są najczęściej przetwarzane tam, gdzie wymaga tego specyfika produktu czy usługi i potrzeba klienta – na przykład aby dopasować ubranie, czy makijaż do konkretnej osoby, za jej wiedzą i zgodą. No, jeżeli taki jest stan świadomości i wiedzy o działaniu i współczesnych zastosowaniach sztucznej inteligencji w całym Ministerstwie Cyfryzacji i Grupie Roboczej ds. AI, to ja się nie dziwię, że rozporządzeniem chcieli zmieniać ustawę. Martwi mnie tylko tak duży udział w tej grupie prawników, którzy na co dzień zajmują się ochroną danych.
Twierdzenie, że AI przetwarza dane osobowe głównie na potrzeby dobierania makijażu, jest niepoważne. Przede wszystkim jednak mówi nam, że proponenci utworzenia Komisji ds. AI nie czytali Aktu o sztucznej inteligencji. Wbrew sugestiom autora polemiki, Akt o sztucznej inteligencji nie reguluje doboru makijażu za pomocą sztucznej inteligencji.
Netflix filmy kręci, naukowcy książki piszą o tym, że Dolina Krzemowa stoi na pobieraniu wszelkich możliwych danych osobowych. Słynne sformułowanie Steva Jobsa „Silicon Valley is not monolithic", We've always had a very different view of privacy than some of our colleagues in the Valley." tylko to potwierdza. No ale jak widać, są tacy, którzy dalej chowają się w tej sprawie w jaskini. I nie jest to, bynajmniej, jaskinia platońska.
No ale wróćmy do tych badań, co ich niby nie ma. Zacznijmy od przejrzenia pierwszej z brzegu firmy technologicznej na A – znajdziemy głównie przykłady zastosowania AI do przetwarzania danych osobowych – w marketingu, customer experience, bankingu, zarządzania ludźmi, wyszukiwania danych, rozrywce itp.
Wrzućmy sobie w Google albo w jakieś AI przykłady użytku AI i na 22 tylko 3 (rolnictwo, robotyka i astronomia) nie są bezpośrednio związane z przetwarzaniem danych osobowych. Pozostałe 21 to: e-commerce, edukacja, styl życia, nawigacja, mowa naturalna, rozpoznawanie obrazów, rozpoznawanie twarzy, zasoby ludzkie, zdrowie, gaming, samochody, media społecznościowe, marketing, chatoboty, finanse, cyberbezpieczeństwo, Podróże i transport, rozrywka . Ale ale…
Badanie Pisma. Duch badacza powinien skłonić autora polemiki najpierw do zbadania Pisma, czyli w tym przypadku Aktu o sztucznej inteligencji. Co więc reguluje to unijne rozporządzenie? Akt o sztucznej inteligencji reguluje taką AI, która może stwarzać zagrożenie dla OSÓB FIZYCZNYCH (NIE DLA KORPORACJI). AI wysokiego ryzyka, regulowane przez AIA, to:
- po pierwsze, systemy przetwarzające dane osobowe zakazane z uwagi na zagrożenie dla praw i wolności osób fizycznych (art. 5);
- po drugie, systemy grożące niebezpieczeństwem fizycznym DLA OSÓB FIZYCZNYCH z Załącznika I. Załącznik I do AIA wymienia tu: maszyny, zabawki, rekreacyjne jednostki wodne, dźwigi, systemy ochronne w atmosferze wybuchowej, urządzenia radiowe, urządzenia ciśnieniowe, koleje linowe, środki ochrony indywidualnej, urządzenia spalające paliwa gazowe, wyroby medyczne, lotnictwo cywilne, pojazdy, wyposażenie morskie, interoperacyjność kolei, pojazdy silnikowe. Wszystkie te obszary mają już funkcjonujące przymusowe systemy zarządzania zgodnością;
- po trzecie, systemy zagrażające prawom i wolnościom osób fizycznych z Załącznika III. Załącznik III wymienia: biometrię (rozpoznawanie emocji, zdalna identyfikacja, profilowanie osób) , infrastrukturę krytyczną (cyfrową, ruch drogowy, media), kształcenie i szkolenie zawodowe (przyjmowanie do szkół, ocena postępów w nauce, egzaminy, wykrywanie ściągania), zatrudnienie i zarządzanie pracownikami i dostęp do samozatrudnienia (rekrutacja, decyzje o awansie, zwolnieniu, ocenę pracy), kwalifikowanie osób do świadczeń zdrowotnych i innych świadczeń publicznych przez administrację, a także do żądania zwrotu takich świadczeń, ocena zdolności kredytowej, ocena ryzyka i cen ubezpieczeń, ocena priorytetu zgłoszeń alarmowych, ściganie przestępstw (ocena ryzyka wiktymizacji, wykrywanie kłamstw, ocena dowodów, ocena prawdopodobieństwa recydywy, profilowanie przestępców, wariografy w imigracji, ocena ryzyka migrantów w tym dla zdrowia, rozpatrywanie wniosków azylowych, rozpoznawanie migrantów, sądownictwo, wpływanie na decyzje wyborców. Z tej kilkudziesięcioczłonowej wyliczanki wszystkie dziedziny oprócz ruchu drogowego i dostawy mediów polegają na przetwarzaniu danych osobowych, ale nawet ruch drogowy i dostawa mediów wiążą się z istotnym przetwarzaniem danych osobowych.
- po czwarte, deep fejki (mogące wprowadzić w błąd osoby fizyczne jak i wykorzystać dane osób fizycznych),
- po piąte, modele ogólnego zastosowania, które mogą narobić w zasadzie dowolnego bigosu i przy tym jeszcze podglądać i profilować ich użytkowników (czyli przetwarzać ich dane osobowe jak i zbierać cudze dane osobowe), co oczywiście czynią.
Jeśli więc członek GRAI twierdzi, że sztuczna inteligencja przetwarza dane osobowe tylko pomagając przy makijażu i tylko za zgodą użytkownika, to ja się nie dziwię, że Ministerstwo wolało sobie powołać własny organ, gdzie takie brednie będzie sobie można radośnie powtarzać.
O co chodzi, o co chodzi… Jak nie wiadomo, o co chodzi… Z przecieków informacji z prac nad „wdrożeniem AIA" w Polsce, jak i w oparciu o zdrowy rozsądek, wiadomo, że w tej przepychance chodzi o to, żeby sparaliżować nadzór i zamienić go w rozdawnictwo kasy publicznej dla wiecznej głodnych firm technologicznych.
Koncepcja „nadzoru wodzowskiego", który jak Ulrich von Jungingen będzie wieść natarcie „polskiej" sztucznej inteligencji na cały świat, obrzucając firmy technologiczne miliardami z Funduszu Sztucznej Inteligencji jak ten sułtan swoich eunuchów chałwą i orzeszkami, brzmi jak prosto z filmów Barei. Będziemy mieli Komisję na miarę naszych możliwości. Która za trzydzieści milionów rocznie będzie szminkować sztucznej inteligencji usta.
Mecenas Satowski podnosi argument, że opinia publiczna obroni Komisję przed degeneracją. I, nie wiedzieć czemu, powołuje tu antyprzykład IDEAS, gdzie widać było jak się zrobiło. Media i opinia publiczna zasadniczo mają taki wpływ jak w tym dowcipie: Kradnie Pan z budżetu? Tak, A co? Nie boi się Pan, że ktoś się dowie? No właśnie się Pan dowiedział, i co?
Dodajmy, według autora polemiki, nowy Urząd ma być nowoczesnym ośrodkiem kompetencji „i punktem wyjścia do zauważenia kolejnych technologii przełomowych". Czy tak jak Ministerstwo Pracy zauważyło AI i chce chronić przed nią zawody? To zacząłbym od windziarza.
Ale żeby powstanie Urzędu od AI argumentować tym, że będzie szukał nowych obszarów regulacji? Może windy kosmiczne? Wydobywanie helu na Księżycu? Rekombinację genetyczną? Szyfrowanie kwantowe? Ten patent na poszukiwanie nowych obszarów regulacji autorzy projektu ustawy powinni opchnąć Ursuli von der Leyen albo temu drugiemu, od praworządności, któremu znaleźli potężną gotówkę w chacie (chociaż jednak nie. Bez sensu jest uczyć ojca dzieci robić).
Ale zaraz, zaraz. Znowu cytując Prezesa Klubu Tęcza, „nie mieszajmy myślowo dwóch różnych systemów walutowych" . Tu nie chodzi o fistaszki w postaci trzydziestu milionów złotych, tylko o ten legendarny miliard w Funduszu Sztucznej Inteligencji, co go, panie, Polski Fundusz Rozwoju ma utworzyć wraz z Ministerstwem Cyfryzacji, Ministerstwem Nauki, Ministerstwem Obrony Narodowej, Ministerstwem Nauki i Szkolnictwa Wyższego, Narodowym Centrum Badań i Rozwoju, Narodowym Centrum Nauki i Bankiem Gospodarstwa Krajowego na podstawie listu intencyjnego podpisanego w listopadzie. Nota bene tym miliardem (którego zresztą nie ma) to urzędnicy mogą co najwyżej komuś sypnąć w oczy i liczyć, że im z powrotem skapnie w ten czy inny sposób. Żadnymi pieniędzmi nie jesteśmy w stanie zrównoważyć przewagi finansowej Doliny Krzemowej czy w ogóle USA. A argument, że my tu mamy fikcyjnego nadzorcę, co najwyżej pozbawi zaufania do państwa jako instytucji. W ogóle cała koncepcja szastania publiczną kasą służy głównie tym, którzy ją rozdają. O bezużyteczności transferów fiskalnych (no chyba że dla tych, którzy nimi zarządzają) piszą Stefan Kawalec i Ernest Pytlarczyk w książce „Paradoks Euro. Jak wyjść z pułapki wspólnej waluty" na stronach 120 i nast., konkludując: „…same transfery fiskalne nie powodują wcale przyspieszenia rozwoju gospodarczego uboższych krajów i regionów".
Tym bardziej, że cokolwiek sobie ta Komisja będzie opowiadać i robić, to Prezes Urzędu Ochrony Danych i tak może, i będzie wydawać decyzje względem zastosowania każdej technologii przetwarzającej dane osobowe. Za koncepcją wytworzenia więc takiego PRowego organu, jakim ma być ta Komisja, stoi więc prawdziwy Machiavelli Polski resortowej. Może ten od fundacji rodzinnych?
Pierdnąć w windzie. Jest takie angielskie powiedzenie „pierdnąć w windzie", czyli powiedzieć coś nieprzyjemnego, co psuje atmosferę wzajemnego poklepywania się po plecach, ale jest, niestety prawdziwe. I ja tu sobie właśnie znowu na coś takiego pozwolę. Otóż powołanie Komisji ds. AI rodzi jeszcze jedno ryzyko – zachowań typu „drzwi obrotowe" (revolving door), które doprowadziły do systemowej korupcji całego systemu nadzoru rynków w USA, z nadzorem farmaceutyków na czele. Chodzi o przepływ „tam i z powrotem" ludzi pomiędzy nadzorcą a rynkiem nadzorowanym. Wiadome jest, że w zasadzie nikogo z sektora prywatnego nie stać na to, żeby zostać urzędnikiem i powiedzieć rodzinie, że od teraz rodzinny budżet kurczy się dziesięciokrotnie. Dlatego praca w sektorze publicznym to albo misja albo inwestycja. Jak misja to na całe życie. Ale jak inwestycja, to musi się zwrócić. I znamy takie przypadki, że się zwróciło. Proponuję, że jak w przypadku Food and Drug Administration od razu niech szefowie firm informatycznych podzielą się kadencjami w tym urzędzie. Wersja alternatywna znana z rynku polskiego, to tzw. cicha spółka między regulatorem a doradcami.
Tylko to nie powinno się odbywać w ten sposób, że pracując w sektorze publicznym w ramach swoich obowiązków tworzymy rozwiązania tak, aby móc się na tym potem odkuć. Na co ta dotacja? Na Malediwy? I kto ma za nią odpowiadać? Nadzorca? Znaczy, chodzi o to, żeby się nie wtrącał? Jak ci, co robią bramę po drodze na wesele? Z tej perspektywy to rzeczywiście, PUODO nigdy nie performował. Może właśnie dlatego autorom projektu ustawy o nadzorze nad AI nie podoba się wizja przeniesienia praktyki PUODO na obszar AI?
Panie, Pan nie wie, kto ja jestem! Na deser pozostawiłem sobie „zarzut", że jestem prawnikiem od ochrony danych osobowych. Jest mi wręcz bardzo miło, że autor polemiki wywołał mnie do tablicy personalnie zarzucając, że jestem prawnikiem od ochrony danych osobowych, a nie prawnikiem od cyberbezpieczeństwa, własności intelektualnej czy, jak to sformułował, prawnikiem zajmującym się „odpowiedzialnym tworzeniem i wykorzystaniem AI". Dla rzetelnej odpowiedzi na zagadnienia merytoryczne podnoszone przez mec. Sotowskiego, mogę, z czystym sumieniem, wypowiedzieć się na mój ulubiony temat, czyli na swój.
Jestem przede wszystkim prawnikiem IT. Niektórzy koledzy nawet od czasu do czasu nazywają mnie grzecznościowo „guru IT". Od 1996 roku zajmuję się prawem IT, od 2000 roku przez kilkanaście lat byłem wiodącym prawnikiem największego projektu informatycznego w tym kraju, obecnie również jestem prawnikiem największego projektu informatycznego w tym kraju. Odpowiadałem za setki lub tysiące spraw IT, jestem głównym kontaktem dla zespołów IT w trzech firmach pod rząd, w których pracowałem. Regulatorzy kopiowali moje sformułowania z kontraktów informatycznych do swoich rekomendacji. Rankingi zagraniczne i krajowe wymieniają mnie w tej kategorii od 2006 roku.
Jestem prawnikiem cloud computingu. Od 2009 roku zajmuję się cloud computingiem, zredagowałem wielokrotnie chwalone w kraju i za granicą opracowanie Forum Technologii Bankowych Związku Banków Polskich „Cloud computing w polskim sektorze bankowym. Regulacje i standardy. 2011". Śmiem twierdzić, że wiodący moi konkurencji rozpoczęli swoją przygodę z cloud computingiem opierając się wyłącznie na referencjach z moich własnych projektów. Aha, jako Ekspert Komisji Europejskiej ds. Kontraktów Cloud Computingowych zaproponowałem szereg rozwiązań, które ostatecznie trafiły do …RODO.
Jestem prawnikiem cyberbezpieczeństwa. Od 2006 roku zajmuję się prawnymi aspektami ciągłości działania i bezpieczeństwa informacji, byłem odpowiedzialny za polityki bezpieczeństwa i regulacje dotyczące zdarzeń operacyjnych w bankach i innych instytucjach finansowych. ISO 27001 wdrażałem we własnych organizacjach, audytowałem różne instytucje pod kątem procedur bezpieczeństwa operacyjnego, ochrony danych, zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Oceniałem też tak specyficzne procedury reagowania kryzysowego jak działania antyterrorystyczne.
Jestem prawnikiem własności intelektualnej. Zajmuję się soft IP i hard IP. Ktoś z dłuższym stażem może jeszcze pamiętać, że jako szef i założyciel Bird & Bird w Polsce reprezentowałem klientów w wielu sporach patentowych. Z jakiegoś powodu najwięcej potwierdzeń umiejętności (161) na LinkedIn mam właśnie z własności intelektualnej. Rankingi międzynarodowe wymieniają mnie w kategorii własności intelektualnej, sporów patentowych i franszyzy od 2011 roku.
Owszem, jestem prawnikiem ochrony danych osobowych. Zredagowałem najlepszą książkę na rynku na ten temat, Nr 1 sprzedaży Wolters Kluwer Polska 2018 i 2019, wydaną przez Wolters Kluwer International w 2019. Zostałem uhonorowany przez Prezesa Urzędu i Urząd Ochrony Danych Osobowych Nagrodą im. M Serzyckiego. Byłem ekspertem Grupy Roboczej Art. 29. Jestem ekspertem wspierającym Europejskiej Rady Ochrony Danych Osobowych. Aktualnie rankingi międzynarodowe skupiają się na tym aspekcie mojej działalności.
Jestem, uwaga, prawnikiem od sztucznej inteligencji. Futurystyką i fantastyką naukową interesuję się od zawsze. Od 1982 roku przeczytałem kilka tysięcy tytułów na ten temat. Zatem zacząłem interesować się sztuczną inteligencją jakieś 5 lat przed urodzeniem się autora polemiki. Na temat prawnych aspektów AI wypowiadałem się dotychczas przynajmniej kilkanaście razy na konferencjach i w artykułach (w tym publikowanych przez PUODO oraz KPRM) już od 2019. Wkrótce ukaże się kolejny artykuł na ten temat, którego jestem współautorem.
Przy okazji jestem też prawnikiem od sporów. Praktykę zacząłem na studiach, w 1994. Przez lata dużo występowałem przed Sądem Najwyższym i Naczelnym Sądem Administracyjnym. Jestem arbitrem rekomendowanym Sądu Arbitrażowego przy Krajowej Izbie Gospodarczej. Wzmianki prasowe o moich wystąpieniach przed NSA pojawiają się od 2002 roku. Wyrok Sądu Najwyższego z 1999 roku w sprawie, którą prowadziłem i występowałem, trafił do LEXa (ciekawostka – byłem wtedy aplikantem. Kto zgadnie jak to możliwe?). Z Piotrem Biernatowskim o sporach napisaliśmy najpopularniejszą książkę prawniczą 2022 roku.
W 1999 roku pracowałem też w podatkach. Aaa, jeszcze prawo konkurencji. Są tacy eksperci prawa konkurencji, którzy kopiowali sobie ode mnie cały wykład prawa konkurencji (po francusku) zanim zaczęli pracę w Trybunale Sprawiedliwości UE.
Podsumowanie. Elon Musk powtarza, że regulacje duszą amerykańską innowacyjność, pokazując także na przykład destrukcyjnego wpływu regulacji na konkurencyjność gospodarki EU (Regulations are strangling American innovation. If we don't get this under control, our economy will stagnate). Pomysł, żeby sztuczną inteligencję dodatkowo nadzorował nowy organ, jest perfekcyjnym przykładem nadregulacji. Pamiętajmy przy tym, jakie są skutki braku regulacji połączonego z de facto samoregulacją (czyli walką antykonkurencyjną z wykorzystaniem swoich ludzi u regulatora) w USA – zniszczone środowisko naturalne, skracająca się średnia życia, społeczeństwo uzależnione od opioidów i innych „lekarstw" etc.
AIA nie zabiera PUODO kompetencji nadzoru nad przetwarzaniem danych osobowych przez AI, czyli tam, gdzie będzie toczyć się prawdziwa walka pomiędzy konkurencyjnością, bezpieczeństwem i formalizmem. Żeby było „śmieszniej", art. 74 ust. 8 AIA bezpośrednio powierza PUODO nadzór nad systemami AI wysokiego ryzyka wykorzystywanymi w ściganiu przestępstw, imigracji, wymiarze sprawiedliwości i demokracji (hm, ciekawe. W wymierzaniu komuś demokracji dotychczas celowało CIA i US Army. Ursula von der Leyen chce do tej ekipy dołączyć za pomocą Digital Services Act, a obrońcy demokracji walczącej już dołączyli anulując wybory prezydenckie w Rumunii, gdzie wyborcy ewidentnie nie trafili w preferencje rządzących). Polska nie stoi więc przed wyborem „PUODO czy Komisja AI", tylko przed wyborem „PUODO czy PUODO wraz z KOMISJĄ AI".
Pomysł, że dwa równoległe organy nadzorcze zamiast jednego będą lepiej wspierać konkurencyjność mógł urodzić się wyłącznie w głowie urzędnika.
W końcu zwróćmy uwagę, że z argumentacji mec Sotowskiego wynika wniosek przeciwny do jego tezy. Jak koncepcja dwóch regulatorów o potężnym zbiorze wspólnym właściwości zamiast jednego nadzorcy ma służyć deregulacji a nie naadregulacji? To mógł wymyślić tylko urzędnik. Nadzór nad całością AI powinien dostać Urząd Ochrony Danych Osobowych. Urząd działa w sposób rozważny, nienadmiarowy i nienadgorliwy(?). Wręcz, po półtora roku oczekiwałbym od Urzędu w końcu jakieś decyzji w sprawie ChataGPT a nie zwalania na konieczność wiecznych konsultacji.
Za podsumowanie niech posłużą nam dziś słowa „Deny. Defend. Depose" odnalezione na łuskach pocisków, które kilka dni temu zabiły Briana Thompsona, prezesa firmy ubezpieczeniowej United Health, znanej z tego, że wykorzystywała algorytm sztucznej inteligencji nH Predict, któremu zarzuca się 90-cioprocentowy poziom błędów przy odrzucaniu roszczeń osób starszych dotyczących terapii przepisywanych im przez lekarzy. Jak widać, morderca Briana Thomsona jednak uczynił z przetwarzania danych osobowych przez AI istotę sprawy.
Maciej Gawroński
Autor jest radcą prawnym, partnerem zarządzającym kancelarii GP Partners, laureatem Nagrody im. M. Serzyckiego, pełnił funkcje eksperta Komisji Europejskiej ds. kontraktów cloud computingowych, eksperta Grupy Roboczej Art. 29 ds. transferów danych, jest ekspertem wspierającym Europejskiej Rady Ochrony Danych Osobowych, arbitrem rekomendowanym Sądu Arbitrażowego przy Krajowej Izbie Gospodarczej, autorem najpopularniejszych książek prawniczych Wolters Kluwer Polska 2017, 2018 „RODO. Przewodnik ze wzorami" i 2022 „Książeczka o pisaniu pism". Jest autorem wielu wystąpień i publikacji na temat sztucznej inteligencji. Prowadzi pierwszą w Polsce skargę przeciwko OpenAI w związku z ChatGPT.
W kwartalniku Prawo Nowych Technologii wkrótce ukaże się wspólny artykuł Jakuba Rzymowskiego, Dominika Spałka i Macieja Gawrońskiego na temat pozorności zakazów wykorzystywania AI do pewnych działań. Roboczy tytuł artykułu to „Zakazy z art. 5 AI-act jako zakazy pozorne, czyli jak nie wolno, ale się chce, to można"