Wdrażasz AI? Uważaj na naruszenia praw autorskich i danych osobowych

Korzystanie z narzędzi opartych o sztuczną inteligencję (AI) generuje podwyższone ryzyko naruszenia praw autorskich, poufności i nieuprawnionego ujawnienia danych, uważają eksperci Baker McKenzie. Zgodnie z projektowanymi obecnie regulacjami to firmy korzystające z rozwiązań AI, a nie ich twórcy czy dostawcy, ponoszą odpowiedzialność za naruszenia praw. W umowach na usługi AI praktyką rynkową staje się zabezpieczenie sytuacji użytkownika poprzez przenoszenie odpowiedzialności za działanie systemów AI z powrotem na dostawcę.

AI Act nadchodzi. Jak się przygotować

Najważniejszą regulacją, o którą opiera się obecnie umowy, jest unijne rozporządzenie AI Act, które wejdzie w życie w całości za dwa lata. Pomocą dla rynku mogą być wytyczne formułowane przez instytucje publiczne w oparciu o założenia do AI Act. Taki katalog klauzul sugerowanych wydała między innymi Komisja Europejska. Dotyczy on umów zawieranych z dostawcami przez urzędy unijne. Eksperci Baker McKenzie spodziewają się jednak, że klauzule te staną się inspiracją dla rynku i przenikną również do prywatnych umów.

– Przedsiębiorcy nie czekają na ustabilizowanie się sytuacji prawnej wokół narzędzi AI, ponieważ nie chcą utracić przewagi konkurencyjnej, jaką może dać im nowa technologia –mówi Marcin Fijałkowski, partner kierujący praktyką IP Tech w kancelarii Baker McKenzie. – Jednak korzystanie w obecnej sytuacji prawnej z AI wymaga od nich zarówno korekty dotychczasowych praktyk i polityk związanych z ochroną danych osobowych, jak i przewidywania przyszłości i swoich przyszłych zobowiązań prawnych.

Przeczytaj także: Polacy są coraz bardziej otwarci na AI

Ryzyka dla przedsiębiorców

Ryzyka dla przedsiębiorców wiążą się z niezamierzonymi błędami w modelu AI lub w danych używanych do trenowania narzędzia, których efektem będzie nieadekwatny wynik – na przykład dyskryminujący lub sugerujący działania niezgodne z prawem. W obszarze ochrony własności intelektualnej przedmiotem sporu może być zarówno własność treści wytworzonych przy wsparciu AI, jak i danych wejściowych używanych do trenowania modelu. W przypadku udostępnienia systemowi opartemu o AI wrażliwych informacji o klientach pojawia się ryzyko nieuprawnionego wykorzystania lub ujawnienia informacji poufnych, a niekiedy także danych osobowych.

– Katalog zaproponowanych modelowych klauzul na kontraktowanie w obszarze AI w instytucjach publicznych stanowi pewien drogowskaz ale też duże ułatwienie z punktu widzenia przedsiębiorców nie działających w sektorze publicznym, jednak dostawcy usług AI powinni zwrócić szczególną uwagę na warunki, jakie przyjmują, jeśli umowę oparto właśnie na tych wstępnych propozycjach opublikowanych na stronach internetowych Komisji Europejskiej – mówi Jakub Falkowski, senior counsel w praktyce IP Tech w Baker McKenzie. – Klauzule te bowiem są bardzo restrykcyjne dla dostawców, a w niektórych przypadkach praktycznie niemożliwe do zaakceptowania przez dostawców.

Projekt modelowych klauzul sugeruje całkowite przenoszenie na dostawcę obowiązków opisanych w AI Act. Dostawca zostaje zobowiązany do zapewnienia obszernej dokumentacji, wdrożenia rozbudowanych systemów zarządzania ryzykiem i jakością, wprowadzenia procedur dotyczących: kontroli systemów AI, zarządzania danymi i zgłaszania incydentów. Klauzule modelowe zobowiązują dostawcę do zagwarantowania, że system będzie przetestowany, przejrzysty i umożliwi zrozumienie, które jego elementy odpowiadają za uzyskany wynik. Konieczne ma być pokazanie, jak zmiana danych wejściowych wpływa na wynik i jakie informacje należałoby podać, by uzyskać inny rezultat. Ponadto wymagane jest zagwarantowanie, by dane treningowe, walidacyjne i testowe używane do stworzenia systemu były adekwatne i niestronnicze w stosunku do kontekstu, w jakim mają być użyte.

– Tego rodzaju zapisy kontraktowe wyglądają dobrze na papierze, ale często są niemożliwe do spełnienia – dodaje Marcin Fiałka, senior associate w zespole IP Tech w Baker McKenzie. – Mamy świadomość, że obszar odpowiedzialności w umowach jest niezwykle trudny do negocjowania, ale przestrzegałbym dostawców systemów AI przed pokusą automatycznego przyjmowania tak daleko idących zapisów i zakładaniem, że kontrahent nie podejmie próby ich egzekwowania w praktyce. Dotyczy to w równej mierze wszystkich potencjalnych obszarów odpowiedzialności, w tym za naruszenie ochrony danych osobowych lub za bezprawne wykorzystanie cudzych informacji poufnych. Szczególnie wrażliwym obszarem wydają się dane osobowe, gdzie potencjalna odpowiedzialność finansowa może sięgać astronomicznych kwot.

Zobacz: Oto najlepsze, polskie startupy od AI

Zdaniem ekspertów Baker McKenzie, obecnie mamy do czynienia z transformacją biznesu AI w kierunku dziedziny o wysokim poziomie regulacji, natomiast w kontraktowaniu tych usług najistotniejsze będzie przełożenie odgórnych regulacji na zapisy umowne.

– Najistotniejsza z punktu widzenia przedsiębiorców jest świadomość, że AI będzie jednym z najsilniej regulowanych obszarów biznesu. Pod względem prawnym poziom tych regulacji można porównać tylko do takich obszarów jak regulacje sektora finansowego czy newralgicznych typów produktów, na przykład produktów medycznych – mówi Martyna Czapska, senior associate w zespole IP Tech w Baker McKenzie. – Przepisy prawne dopiero powstają, ale kontraktowanie usług już teraz powinno uwzględniać reguły, które dopiero zostaną przetestowane w praktyce.