Az EU Mesterséges Intelligencia Rendelete a gyakorlatban, 1. rész: Termékbiztonság, több csavarral

Ez az AI-technológiát szabályozó, nemzetközi viszonylatban is mérföldkőnek számító EU-s MI Rendelet gyakorlati kérdéseit feldolgozó cikksorozat első része. Ebben az összefoglalóban az új jogszabály szabályozási hátterét és kereteit szeretném bemutatni.

• A technológia szabályozásának nehézségei
• MI Rendelet: termékbiztonság pár csavarral
• Beépített alapjogi védelem, újfajta biztonsági kockázatok
• De ki felel a kárért? Termékbiztonság és termékfelelősség

A technológia szabályozásának nehézségei

A jogi szabályozás általában lemaradva követi a való világ történéseit, és az olyan folyamatosan fejlődő és változó technológiák szabályozása, mint a mesterséges intelligencia, különösen nehéz, és ritkán sikerül eltalálni a kellő időpontot, vagy a szabályozás egészséges mértékét.

Ha a jogalkotó túl korán, még a technológia hatásmechanizmusának ismerete nélkül vág bele a szabályozásba, annak akár dermesztő hatása is lehet az innovációs folyamatokra és elriaszthatja a befektetőket is, de azzal a kellemetlen következménnyel is járhat, hogy a még alakuló szabályozást menet közben kell hozzáigazítani a legújabb fejleményekhez. A generatív AI megoldások úttörőjeként a ChatGPT például az MI Rendelet jogalkotási folyamatának kellős közepén robbant be a köztudatba, ami a rendelettervezet szerkezetének újragondolását és kiegészítését igényelte.

Természetesen az se jó, ha a szabályozás elmarad, vagy késve érkezik, mert az innováció jogi korlátok nélkül hátrányos következményeket eredményezhet akár társadalmi szinten is, és a bekövetkezett káros hatásokat a jog utólag már nehezen tudja mérsékelni. Az utóbbira jó példa a szinte már az összes digitális interakciónkban (közösségi média, szállásfoglalás, autóbérlés, online vásárlás, tartalomfogyasztás stb.) jelen lévő, komoly piaci értékkel rendelkező, algoritmizált platformok (Facebook, Google, AirBnB, Amazon, Netflix stb.) közösségi szabályozása. Itt az történt, hogy az EU a 2000-es elektronikus kereskedelmi irányelv elfogadását követően több, mint 20 évet várt az időközben hatalmasra nőtt, saját piacukon központi és megkerülhetetlen szerepet betöltő szolgáltatók tevékenységének az újraszabályozásával, és ahogy látjuk, az új előírások kikényszerítése meglehetősen nehézkesen halad.

MI Rendelet: termékbiztonság pár csavarral

Mikor évekkel ezelőtt először nekifogtam az akkor még csak tervezet formájában létező MI Rendelet (ismertebb nevén az AI Act) elolvasásának, még sokat látott IT-ügyvédként is gondot okozott a szöveg értelmezése. Az rendben van, hogy az élet konkrét történéseit az általános alkalmazhatóság érdekében absztrakt, és a digitalizáció kapcsán technológia-semleges módon megfogalmazott törvények szabályozzák, de a rendeletet olvasva az volt az érzésem, hogy a szabályozni kívánt terület és a jogszabályszöveg között talán még soha nem volt ekkora távolság.

Ennek megfelelően nem ért meglepetésként, amikor tavaly nyáron egy AI-technológiát fejlesztő cég belső jogásza hasonló benyomásokról adott számot találkozásunkkor. Az érdemi beszélgetést az időközben felszedett tudásomra támaszkodva azzal folytattam, hogy az MI Rendelet lényege és gyakorlati jelentősége csak megfelelő szabályozási kontextusban érthető meg.

Az EU által 2024 nyarán elfogadott, a mesterséges intelligenciát szabályozó 2024/1689-es rendelet ugyanis lényegében egy termékbiztonsági jogszabály, amely az EU által 2008-ban bevezetett, ún. Új Szabályozási Keretrendszer (New Legislative Framework) részét képezi. A közösségi termékbiztonsági keretrendszer elsődleges célja a fogyasztók egészségének és biztonságának védelme, és ennek érdekében meghatározza azokat az alapvető követelményeket, amelyeknek minden egyes, az EU piacán forgalomba hozott terméknek (pl. gépi eszköznek, játéknak, orvosi eszközöknek) meg kell felelnie.

A termékbiztonsági szabályozás lényeges elemei a forgalomba hozatalt megelőző megfelelőségértékelés (conformity assessment), az előírásoknak megfelelt termék CE-jelzéssel történő ellátása, a piacra dobást követően kötelezően előírt piaci monitoring, és a hatóságok által ellátott piacfelügyelet, amelynek keretén belül ha a termékkel kapcsolatban probléma merül fel, akkor az illetékes szervek gondoskodnak a termék forgalmazásának megtiltásáról, forgalomból történő kivonásáról, vagy visszahívásáról, esetleg bírság vagy más szankció kiszabásáról. A fenti kötelezettségek jelentős része a termék gyártóját terheli, de az értékesítési lánc egyéb szereplőinek (forgalmazó, importőr stb.) is jut feladat.

Ha megnézzük az MI Rendelet legfontosabb részét kitevő, ún. magas kockázatú MI-rendszerekre vonatkozó szabályozását, akkor az lényegében az általános termékbiztonsági rezsim fentebb ismertetett szabályait tükrözi.

Azzal a kivétellel, hogy az MI Rendelet az EU alapjogi fókuszú szabályozásának, és a mesterséges intelligencia sajátosságainak megfelelően immáron nemcsak a termék fizikai biztonságáról és az egészségre gyakorolt káros hatásainak megelőzéséről, hanem a fogyasztók alapvető jogainak védelméről is szól, és nemcsak az értékesítési lánc klasszikus szereplőinek, hanem a végfelhasználónak is számottevő kötelezettségeket ír elő.

Beépített alapjogi védelem, újfajta biztonsági kockázatok

Az új technológia számos előnyének ismertetése mellett ugyanis szinte minden nap belefutunk egy olyan cikkbe, ami a mesterséges intelligencia immanens problémáival és/vagy nem megfelelő használatának kockázataival szembesíti az olvasót. A Meta közösségi média-használók adatain trenírozott chatbotja kifogásolható témákról cseveg fiatalkorúakkal, egy népszerű MI-rendszer állítólag öngyilkosságra buzdított, egy állásra jelentkező és minden feltételnek megfelelő pályázó nem kapja meg a munkát, mert az önéletrajzokat kiértékelő megoldás egy betűvel elnézi a végzettségét jelző rövidítést, vagy egy bűnelkövetési hajlandóságot előrejelző szoftver bizonyos irányítószámmal rendelkező delikvensek esetében indokolatlanul magas pontszámot eredményez.

Ma már közhely, hogy a mesterséges intelligencia nemcsak a biztonságot befolyásolhatja negatívan (és teheti ki új, eddig nem ismert kockázatoknak), hanem az emberi jogok érvényesülését is. Már nemcsak arról van szó, hogy lehetőség szerint azt kell megakadályozni, hogy a piacra dobott gyerekjáték ne tartalmazzon könnyen lenyelhető apró darabokat, hanem azt is, hogy ne kerülhessen a piacra olyan mesterséges intelligenciával felvértezett, beszélni tudó, és a gyerek érzelmeit felismerő és manipuláló baba, mint amilyet eddig csak a horror-filmekben láthattunk, vagy hogy az EU-ban egyik tagállamnak se jusson eszébe olyan, a Kínai Kommunista Párt által bevezetett ún. social credit rendszert bevezetni, amely az állampolgárok rendszeres megfigyelésén keresztül csak a megbízható személyek részére biztosít bizonyos utazási, továbbtanulási és egyéb hasonló lehetőségeket.

Az új biztonsági kockázatokról is szólva már nem elég, ha a forgalomba került gépjárműalkatrészek megfelelnek az iparági standardoknak, hanem többek között megfelelő kockázatmenedzsment és minőségbiztosítási szabályokat betartva azt is biztosítania kell a technológia gyártójának, hogy az autó irányításáért felelős vezérlőrendszer ne keverje össze a piroslámpás negyed világító objektumait a közlekedési lámpával, vagy az úton heverő téglát ne nézze úton heverő emberi testnek, mert ha az emberi beavatkozás nélkül működő gépjármű indokolatlanul satuféket nyom, annak súlyos egészségügyi és jogi következményei is lehetnek.

Vitán felül áll tehát, hogy a mesterséges intelligencia előnyeinek kiaknázása, és a lehetséges kockázatok és veszélyek megfelelő kezelésének biztosítása végett szükséges (volt) a terület jogi szabályozása. Az AI technológiai megoldások megbízhatóságáról, átláthatóságáról és elszámoltathatóságáról csak egy modern, technológia-semleges jogi szabályozás gondoskodhat, ami végső soron kiszámíthatóvá és biztonságossá teheti az MI-rendszerek és modellek fejlesztési, forgalmazói és felhasználói folyamatait a gyártók (szolgáltatók), a végfelhasználók, és úgy általában mindenki számára. Az MI Rendelet ennek a kihívásnak igyekszik megfelelni.

De ki felel a kárért? Termékbiztonság és termékfelelősség

A mesterséges intelligencia jogi szabályozásának ugyanakkor elengedhetetlen részét képezi az MI-rendszerek használata révén okozott károkért viselt felelősségi kérdések rendezése is.

A hagyományos termékek esetén a fent említett termékbiztonsági szabályozást kiegészíti az ún. termékfelelősségi szabályozás, amelynek a lényege az, hogy a hibás termék által okozott bizonyos kárért (halál, testi sérülés, egészségkárosodás, vagy vagyoni kár) a termék gyártója felel. Ha például egy gyógyszergyár az egészségre káros terméket dob piacra, amely károsítja a fogyasztók egészségét, akkor ezért a kárért a gyártó köteles közvetlenül helytállni.

A termékfelelősségi szabályok ugyanakkor nem alkalmazhatóak változatlan formában a mesterséges intelligenciát használó technológiák által okozott károkra, és nem is véletlen, hogy az MI Rendeletben a hagyományos termékbiztonsági szabályoktól eltérően nem szerepelnek a felelősséggel kapcsolatos rendelkezések. Bár időközben az európai termékbiztonsági irányelv modernizálásra került, és a "termék" fogalmába bekerültek a szoftverek is, a klasszikus termékfelelősségi szabályozás alapján továbbra is legfeljebb a felhasználó digitális adataiban keletkezett kárt követelhetjük egy hibás szoftver fejlesztőjétől. A baj csak az, hogy ez nem fedi le a leginkább elterjedt generatív AI eszközök nem megfelelő működése által vagy használata során okozott károkat.

Diszkriminatív volt a HR által a munkaerő kiválasztására, vagy az egyetemi felvételik kiértékelése során használt AI megoldás? Szerzői jogokat sértett egy nagy szolgáltató MI-modelljének a betanítása? Személyiségi jogokat sértő deepfake bosszúpornót készített rólunk az ex-ünk, amit aztán megosztott az internet nyilvánosságával? Ezeket a károkat a hagyományos termékfelelősségi szabályozás nem fedi le, továbbá figyelembe kell venni az AI ökoszisztéma azon sajátosságát is, hogy itt a kárt nemcsak a hibás termék/szolgáltatás gyártója, vagy a szolgáltatója, hanem egy másik felhasználó (pl. munkáltató, generatív AI szolgáltatás használója) is okozhatja. Szükségesnek mutatkozott tehát egy a kifejezetten az MI sajátosságait figyelembe vevő speciális, az MI Rendelethez, és a meglévő termékbiztonsági szabályokhoz igazodó felelősségi szabályozás bevezetése.

Ez lett (lehetett) volna az Európai Unió Mesterséges Intelligencia Felelősségi Irányelve, amely két fő céllal íródott: jogi fellépési lehetőséget biztosítani az MI-rendszerek által vagy használata révén okozott károk megtérítésére, és megkönnyíteni a károk bizonyíthatóságát. Ez utóbbira azért lenne szükség, mivel az MI-rendszerek döntési szempontrendszere általában meglehetősen áttekinthetetlen és kiszámíthatatlan, és nem transzparens a felhasználók és a nyilvánosság számára, ezért kisegítő, a bizonyítást megkönnyítő szabályok nélkül az MI által okozott károk bizonyítása alapesetben rendkívül nehéz lenne a károsultak számára.

Csakhogy az irányelv tervezetét az előterjesztő Bizottság, többek között a teljesen más szabályozási modellel operáló, és az USA-beli cégek innovációs potenciálját az EU-s "túlszabályozástól" féltő amerikai fellépések hatására, 2025 februárjában visszavonta, és jelenleg nem világos, hogy az MI felelősségi kérdéseit végül mikor, és hogyan szabályozza majd az EU. A jelenlegi helyzetben tehát az ilyen károk megtérítésére irányuló jogi fellépésekre csak az egyes tagállamok szerződési és kártérítési joga alapján van lehetőség. Ez a helyzet mindenképpen hátrányosan érinti a felhasználókat és az AI-károsultakat, ugyanakkor előnyös a fejlesztők, szolgáltatók és befektetők számára.