Az EU megpróbálja megzabolázni a mesterséges intelligenciát, de nem lesz gyors menet

Mostanában tényleg nem telik el úgy nap, hogy ne hallanánk a mesterséges intelligencia (MI) valamilyen formájáról, miközben szakértők és techguruk kérik az MI-láz főszereplőit, hogy húzzák be a kéziféket, mert kezd elszabadulni a dolog, a Midjourney pedig azért vezetett be korlátozásokat, mert túl hihetőnek tűnt a modelljükkel generált pufidzsekis pápa. Az ilyen generatív modellekkel ráadásul nem is csak az a baj, hogy egyre nehezebb megkülönböztetni a produktumukat a valóságtól, hanem az is, hogy rengeteg etikai aggály merül fel velük kapcsolatban, amiről főleg a digitális művészek tudnának mesélni.

Ebben a helyzetben kétségtelenül üdvözítő fejlemény, hogy két hete már annak, hogy az Európai Parlament elsöprő többséggel elfogadta az úgynevezett AI Actet vagy magyarul a mesterséges intelligenciáról szóló jogszabályt. Az Európai Unió ezzel lényegében mindenkit megelőzött, pláne mert az első javaslatot két éve nyújtotta be a Bizottság, de arra még éveket kell várni, hogy a gyakorlatban is legyen ebből valami. Beszélni viszont már most is érdemes róla, nem véletlenül volt ez a központi témája a szerdán a BME-n tartott, az MI emberközpontú szabályozásáról szóló konferenciának is.

Kockázatalapú szabályozás

Ahogy azt a konferencia első előadója, Dimitris Tzanidakis is kiemelte, minden kormány próbálja nemcsak kiaknázni, hanem megfékezni is az MI-ben rejlő potenciált. A már most is mindenhol jelenlévő technológia alapjaiban alakítja át az életünket, és ez még tényleg csak a kezdet, ami abból is látszik, hogy becslések szerint 2030-ra 15 billió dollárral járulhat hozzá a globális gazdasághoz. Ennek is megvannak ugyanakkor a hátrányai, és a szabályozásra is szükség van, de az elmúlt időszakban rendszeresen kiderült, hogy ennek a módja egyáltalán nem magától értetődő. Többek közt azért sem, mert annyira változékony a színtér, hogy

a két évvel ezelőtti javaslatban egyszer szerepel az a szó, hogy csetbot, ma meg a ChatGPT felemelkedése után elképzelhetetlen, hogy ne ez legyen az egyik legfontosabb eleme bármilyen jogszabálynak.

Az Európai Parlament alapvetően egy európai értékeknek megfelelő, etikus, alapvető jogokat tiszteletben tartó, biztonságos, átlátható, a társadalom érdekeit szolgáló keretrendszert képzelt el, amellyel a folyamatosan változó technológia helyett annak alkalmazását akarják szabályozni. A keretrendszer különféle kockázati szinteket határozna meg, a tetején az elfogadhatatlannal, amelyet tiltana. Ide tartoznak a közterületen, valós időben zajló biometrikus azonosító (például az arcfelismerő) rendszerek, az érzékeny adatok alapján történő kategorizálás, a prediktív profilozás és az érzelemfelismerő rendszerek is. Ezzel például a párizsi olimpiára tervezett MI-alapú megfigyelőrendszert is kilőnék.

A magas kockázati szintre sorolnák a bizonyítékok elemzésére használt eszközöket vagy azokat az autókban és az orvosi eszközökben használt rendszereket, amelyeket a tervek szerint csak előzetes elbírálás és regisztráció után lehet piacra dobni, és később is folyamatosan meg kell felelniük az előírásoknak. Karászi Zoltán, a műszaki minőségbiztosítással foglalkozó magyar QTICS Group igazgatótanácsának elnöke erről egyébként azt mondta, hogy a hitelesítéshez szükséges rendszereket majd az AI Act életbe lépése után lehet kidolgozni. Nem mellesleg arról is beszélt, hogy a minősítéshez rengeteg új szakemberre lesz szükség, vagyis ez rögtön egy olyan szegmens, ahol az MI új munkahelyeket teremthet.

A limitált kockázati szinten főként az olyan modelleket emelte ki az EP, amelyekkel videókat, képeket vagy hangokat lehet generálni vagy manipulálni – vagyis lényegében a deepfake-et. Itt azon lenne a hangsúly, hogy a felhasználókat minden esetben megfelelően tájékoztassák arról, hogy mesterséges intelligencia van a buliban, de ez alapján már ők dönthetik el, hogy így is akarják-e használni ezeket az alkalmazásokat. A generatív modelleknél azt is egyértelműen jelölni kellene, ha valamit MI generált, ki kellene küszöbölni az illegális tartalmakat – mint amilyenek az MI által generált pedofil képek – és ami talán a legfontosabb:

összefoglalókat kellene közzétenni a modellek tanításához használt adatbázisokról, és garantálni kellene, hogy jogszerűen használják az azokban lévő adatokat. Ez rendkívül nehéz feladatnak tűnik, de sok problémát megoldana.

A minimális/semmilyen kockázattal nem járó MI-alapú rendszerek készítőinek semmilyen extra dolguk nem lenne az AI Act életbe lépése után sem, a gyártóknak pedig biztató lehet, hogy az Európai Bizottság szerint a használatban lévő rendszerek legnagyobb része ilyen. Tzanidakis elmondása szerint az AI Act horizontális lenne, azaz a betartatásáért a tagállamok lennének felelősek, vétség esetén pedig legfeljebb 30 millió eurós (nagyjából 11 milliárd forintos) vagy a globális éves bevétel 6 százalékáig terjedő büntetéssel lehetne számolni. Persze ahogy a hasonló metódust alkalmazó GDPR-nál, úgy valószínűleg itt is a kisebb büntetések lennének jellemzőek, és nem is ez az egyetlen párhuzam, ami miatt érdemes felhozni az uniós adatvédelmi rendeletet.

Nem lesz egyszerű menet

Olyannyira nem, hogy az AI Actet jogi oldalról megközelítő Gabriele Franco előadása konkrétan erre volt kihegyezve. Ahogy az olasz jogász fogalmazott, az MI és az adat alapjaiban összefüggnek egymással, a GDPR pedig szerinte rendkívül sikeresen szabályozza az adatok kezelését és felhasználását. Így nem meglepő, hogy az AI Act is hasonló alapokra épül, az EP pedig igyekezett is harmonizálni a GDPR, ami az eredeti javaslatban explicit módon még nem volt jelen. Franco szerint simán lehet, hogy ha az AI Act életbe lép, egyszerre szabhatnak ki bírságot emiatt és a GDPR miatt is, és olyan dilemmákat is meg kell majd oldani, mint hogy

a GDPR-ra alapozva ugyan mondhatom majd egy csetbot üzemeltetőjének, hogy törölje ki a személyes adataimat, de ha ezt felhasználták a modell tanításához, a modell által ebből szerzett tudást már nem lehet visszavenni.

Erről Kuthy Antal, az E-Group nevű magyar techcég képviselője is beszélt, aki szerint már most is rengeteg szabályozásnak kell megfelelni az EU-ban, az AI Act pedig nem pusztán csatlakozik ezekhez, hanem új dimenziót nyit. Szerinte a megoldás egy olyan kontrollált környezet megalkotása lenne, ami nemcsak jogi lábakon áll, hanem technológia is van mögötte, és amelyben a helyi szinten tárolt adatokhoz hoznák el az aggregált modelleket ahelyett, hogy az adatokat raknánk be hatalmas, kevés szereplő kezében összpontosuló adathalmazokba. Ilyesmire amúgy van is egy EU-s kezdeményezés a spanyol kormány jóvoltából.

A GDPR-hoz visszatérve fontos kiemelni, hogy ugyan ez nem az MI-ről szól, az olaszoknál pár hónapja a rendelet több pontjára hivatkozva tiltották meg a Replika nevű MI-csetbotnak (vagy inkább virtuális barátnak), hogy személyes adatokat használjon. Az ebből is jól látszik, hogy a két szabályozás kapcsolatát még ki kell dolgozni, hiszen már a GDPR is lefed bizonyos területeket, az adatvédelmi rendeletet pedig emellett azért is muszáj komolyan venni, mert az AI Act részben erre épül, nagyon hasonló sémák mentén. Ennek fényében persze jogos kérdés, hogy nem fogja-e túlságosan lefojtani az EU versenyképességét az, ha két ilyen szabályozás is érvényben lesz, de Franco és Tzanidakis egyetértettek abban, hogy ez egy jó megközelítés, és valószínűleg nem jelent majd hátrányt.

Petrányi Dóra, a CMS nevű jogi vállalat szakértője is hasonló véleményen volt. Ő később arról beszélt, hogy előzetesen a GDPR-ról is gyakran mondták, hogy rontani fogja az EU pozícióját, ehhez képest azóta hivatkozási alap lett, és szerte a világon vezettek be ezen alapuló szabályozásokat, többek közt az Egyesült Államokban is. Az EU alighanem most is abban bízik, hogy életbe lép a Brüsszel-hatás, és az AI Actből is hivatkozási alap lesz. Persze ez itt nem lesz egyszerű, mert az európai szabályozás egyértelműen emberközpontú, Kína és Amerika pedig nem feltétlenül így áll hozzá az MI-hez, sőt, a korábbi francia példából látszik, hogy még Európán belül sem mindenki gondolja így, főleg, ha a valós idejű arcfelismerésről van szó.

Azt egyébként érdemes kiemelni, hogy hiába fogadta el az Európai Parlament a javaslatot, és hiába szeretnének év végéig megállapodni a végleges szövegről az Európai Tanácsban, az AI Act legkorábban 2025 végén léphet életbe – de az EU-s bürokráciát ismerve ennél valószínűleg hosszabb időre lesz szükség.

Ahogy pedig fentebb is írtuk, ez még nem is a folyamat vége lesz, egy rakás rendszert ugyanis csak ezután lehet megalkotni. Emiatt vannak már önkéntes törekvések korábbi szabályozásokra, az EU és az USA közösen is dolgozik ilyesmin, de más országokban is zajlik ez a munka, ami amellett, hogy hasznos, hosszú távon biztosan nem könnyíti meg az jogszabályexportra törő EU dolgát.