O potrzebie regulacji sztucznej inteligencji od dłuższego czasu mówiło się już bardzo dużo. Teraz w końcu mamy konkretne przepisy prawa regulujące wykorzystanie AI. 12 lipca 2024 r. w Dzienniku Urzędowym Unii Europejskiej zostało opublikowane rozporządzenie, którego zadaniem jest uregulowanie rynku sztucznej inteligencji, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), zwane w przestrzeni publicznej AI Act. Weszło ono w życie 1 sierpnia 2024 r., jednak jego stosowanie będzie następowało kaskadowo, poczynając od 2 lutego 2025 r. Nadzieje są duże, bo ich celem jest zmienić otaczającą nas cyfrową rzeczywistość tak, by uczynić ją bezpieczniejszą.
Wśród prawników przeważa zadowolenie. Są też jednak inne głosy. Twórcy algorytmów i inżynierowie wdrażający rozwiązania AI podchodzą do rozporządzenia bardziej sceptycznie, traktując nowe prawo jak kolejną uciążliwość. Szczególnie że dotyka ono tematów bardzo technicznych, takich jak badanie złożoności modeli sztucznej inteligencji. Ani jedna, ani druga strona nie ma w tym przypadku całkowitej racji.
Prawo czasem pomaga
W dłuższej perspektywie regulacja AI ma duże szanse okazać się bardzo pożyteczna. Dzięki regulacjom prawnym mamy względnie stabilny system finansowy, nie boimy się powierzyć swoich oszczędności bankom, podróżować samolotem, a w razie potrzeby wiemy, że w aptece kupimy lek, który faktycznie działa. Innymi słowy, historia pokazuje, że z czasem proces regulacji wychodzi nam na dobre. Trudno szukać przyczyn, dla których w przypadku sztucznej inteligencji miałoby być inaczej. Co więcej, są powody do optymizmu.
Z reguły impulsem do regulacji rynków są ludzkie dramaty. Początki regulacji branży farmaceutycznej wynikały z szoku, jaki przeżyła Europa po aferze związanej z talidomidem. Był to lek w latach 50. i 60. XX w. rutynowo rekomendowany kobietom w ciąży. Jak się później okazało, powodował nieodwracalne deformacje płodu. Podobnie impulsem do regulacji rynku wyrobów medycznych była głośna afera związana z wykorzystywaniem silikonu przemysłowego do produkcji implantów piersi. Można więc powiedzieć, że regulacja była odpowiedzią na tragedię. Dzisiaj jesteśmy już bardziej dalekowzroczni. Regulujemy sztuczną inteligencję, zanim coś złego się wydarzy. Jest to jednak tylko część prawdy i gdybyśmy postawili tu kropkę, to niesłusznie zbagatelizowali byśmy obawy dużej części twórców i praktyków AI.
Narodziny nowego prawa nie są łatwe i bywają bolesne dla uczestników rynku. Pierwszym aktom prawnym z reguły daleko do doskonałości. Często pewne niedostatki i sprzeczności wychodzą dopiero w praktyce. Koszt tych błędów czy ślepych uliczek najczęściej ponoszą obywatele, w tym przypadku przedsiębiorcy. Nie inaczej może być w przypadku AI Act.
Brak precyzji
Główny zarzut sprowadza się do tego, że bardzo dużo wymagań, jakie stawia nowy akt, jest sformułowanych tak, że nie da się udowodnić ich spełnienia. Prym wiedzie tutaj termin „wystarczający” oraz „niewystarczający”, np.: „(…) podmiot ten zapewnia adekwatność i wystarczającą reprezentatywność danych wejściowych (…)”. Czym jest „wystarczająca reprezentatywność”? Te wymagania są nieprecyzyjne, ale już kary są bardzo jasno sformułowane – np. 35 mln euro lub 7 proc. rocznego obrotu przedsiębiorstwa. Mimo to wśród aktorów na tym rynku dominuje na razie optymizm. Podmioty, które przyjęły to podejście, rozwijają AI tak jak dotychczas i ufają, że uda im się płynnie dopasować do nowego prawa.
Coraz bardziej widoczna jest jednak druga grupa firm, w których – w oczekiwaniu na wykształcenie się stabilnej linii interpretacyjnej – wstrzymano rozwój nowych funkcjonalności AI. Przedsiębiorcy nie są pewni, czy warto inwestować w innowacje, skoro mogą się one okazać niezgodne z nowym prawem. Jest to prosta konsekwencja tego, że z powodu niejasnych kryteriów oraz nieznanej praktyki stosowania AI Act na tym etapie nie da się potwierdzić zgodności z nowym prawem. Jeśli więcej podmiotów poszłoby tą drogą i wstrzymało lub przeniosło do innego rejonu świata prace B&R, to szanse Europy w wyścigu o prymat w rozwoju technologii AI drastycznie by spadły. Dochodzi w tym przypadku do przeregulowania.
Przykładem braku precyzji jest definicja operacji zmiennoprzecinkowych (ang. Floating-point operations, czyli FLOP). Żeby wytłumaczyć, w czym leży problem, trzeba tu zrobić pewną dygresję. AI Act wprowadza nowe podejście do regulacji sztucznej inteligencji. Opiera się ono na pewnej taksonomii ryzyka. Algorytmy zostały podzielone na klasy odpowiadające ryzyku związanemu z ich używaniem. Jest jednak grupa algorytmów AI ogólnego przeznaczenia, które wymykają się tej klasyfikacji. Są one w stanie sprawnie wykonywać różnorodne zadania, nawet takie, których nie przewidzieli ich twórcy. Do tej grupy zaliczają się modne ostatnio modele GenAI, na których opiera się np. ChatGPT.
W ich przypadku wprowadzono nieco inny podział. Ostrzejsze wymagania regulacyjne będą musiały spełnić te algorytmy, które stwarzają ryzyko systemowe. To, czy faktycznie takie ryzyko istnieje, będzie zależało w dużej mierze od liczby operacji zmienno przecinkowych (liczby FLOP) niezbędnych do treningu. W domyśle: im więcej tego typu operacji potrzeba do wytrenowania modelu, tym bardziej zaawansowany (i potencjalnie niebezpieczny) model otrzymujemy.
To jednak stawia nas w dość kłopotliwym położeniu, bo te modele nie są zazwyczaj trenowane od zera. Często używa się modeli bazowych lub fundamentalnych, czyli bardzo dużych modeli udostępnianych przez zewnętrznych dostawców. Są one następnie douczane, aby poprawić ich jakość działania na interesującym nas zadaniu. Taka praktyka ma miejsce, ponieważ wytrenowanie własnego modelu od zera wiąże się z gigantycznymi kosztami (Sam Altman, szef OpenAI, stwierdził, że wytrenowanie GPT-4 kosztowało więcej niż 100 mln dol.). Pojawia się tu problem: skąd mamy wiedzieć, ile operacji zmiennoprzecinkowych użyto do trenowania modelu bazowego? Nawet jeśli dostawca poda tę liczbę, to często niestety okaże się, że rezyduje on w Stanach Zjednoczonych, więc odpowiedzialność za poprawność podawanych danych jest iluzoryczna. Skąd możemy uzyskać na tyle wiarygodne dane, aby wziąć na siebie odpowiedzialność za użycie modelu bazowego? Co więcej, powstaje pytanie, czy w ogóle powinniśmy używać liczby operacji zmiennoprzecinkowych jako miary jakości modelu.
Jest to miara, którą trudno obliczyć (m.in. z wymienionych wyżej powodów). Nawet na bardzo technicznym, wręcz sprzętowym poziomie sposób zliczenia operacji zmiennoprzecinkowych jest nieoczywisty, można tego dokonać na wiele różnych sposobów – obliczenia uzyskane z użyciem różnych bibliotek często się nie zgadzają. Stanowi to również dodatkowy koszt. Innym potencjalnie dobrym sposobem zbadania miary zaawansowania modelu jest liczba wag w sieci neuronowej, co jest proste, wręcz natychmiastowe do obliczenia. Jednak ustawodawca nie przewidział takiej możliwości.
Co jest zielone?
Jest to jednak tylko początek problemów. Przyglądając się uważnie tekstowi AI Act, możemy zaobserwować, że sama definicja operacji zmiennoprzecinkowej jest nieścisła i pozostawia możliwość dużych nadużyć. Definicja FLOP z AI Act jest niespójna z wiedzą techniczną i tym, jak FLOP jako jednostkę rozumie się w informatyce. Żeby wyjaśnić istotę problemu bez wchodzenia w techniczne zawiłości, wyobraźmy sobie, że w ustawie zostanie napisane, że definiuje się „kolor zielony” jako #000000 w kodzie RGB. Czy sąd, stosując prawo, powinien brać pod uwagę taką definicję? Czy może stwierdzić, że definicja sobie, ale wszyscy wiemy, czym jest zielony, więc należy się kierować zdrowym rozsądkiem i tym, jak rozumiemy termin „zielony”? Różnica między definicją FLOP z aktu a powszechnym rozumieniem tej jednostki jest podobnego rodzaju.
To, co zrobi sąd, nie jest takie oczywiste. Stosując prawo, w pierwszej kolejności należy sprawdzić definicję legalną, czyli to, jak dane pojęcie jest rozumiane na gruncie konkretnego aktu prawnego. Nie zawsze jest tak, że jest to dokładnie to samo co w życiu codziennym. Jeżeli nie ma definicji legalnej, sąd albo organ administracji powinien badać, jak rozumiemy dane pojęcie w języku polskim. Jeśli natomiast definicja legalna została wprowadzona, to sąd jest nią co do zasady związany.
Swoją drogą w zależności od światła i kąta jego padania kolory mogą zostać różnie odczytane. Podobno też kobiety widzą więcej kolorów niż mężczyźni. Trudno to sprawdzić, ale też trudno się spierać, czy konkretny zielony to bardziej malachitowy, czy może zgniła zieleń. Kolor to więc bardzo subiektywna sprawa. FLOP w AI jest jednak stosowany jako jednostka i pewien parametr. Operacje zmiennoprzecinkowe nie są też czymś, co jest znane powszechnie i ma jasno określone znaczenie. Z tego względu, jeśli już taki parametr zostaje w akcie prawnym wykorzystany, to powinien odpowiadać temu, jak jest rozumiany w naukach technicznych. W innym przypadku w łatwy sposób można manipulować nieprecyzyjnym wskaźnikiem tak, aby wpaść w obszar, w którym obowiązują mniejsze wymagania regulacyjne. Dzięki temu można zyskać duże oszczędności i przewagę nad konkurencją.
Patrząc z tej perspektywy, nie należy się dziwić osobom, które na co dzień tworzą modele sztucznej inteligencji. Patrzą one na problem z innego punktu widzenia. O ile dla prawników właśnie zapaliło się zielone światło, o tyle programiści widzą właśnie migającą jaskrawym światłem czerwoną lampkę. ©℗