Alapjogi hatásvizsgálat a Mesterséges Intelligencia Rendeletben
A Mesterséges Intelligencia Rendelet[1] kodifikációjának utolsó éve nagyon turbulens lett, főként a generatív mesterséges intelligencia (MI) berobbanása és rohamos terjedése miatt, amelyet a rendelet kissé kapkodva és viharos viták közepette igyekezett valahogy kezelni. Hamarosan erről is[2] – mármint a generatív MI-k szabályozásról a rendeletben – közzéteszünk itt egy blogbejegyzést, addig azonban a rendelet egy nagyon innovatívnak tűnő, ám véleményem szerint problémák sokaságát felvető új intézményét szeretném röviden elemezni, és ennek az innovációnak néhány gyakorlati következményére felhívni a figyelmet.
Az „alapjogi hatásvizsgálatról” (fundamental rights impact assesment) van szó. A legutolsó – még nem végleges, de már ahhoz nagyon közeli – szövegverzióban ez a rendelkezés a „Magas kockázatú rendszerek” (III.) címének az „A magas kockázatú rendszereket fejlesztők és alkalmazók kötelezettségeit” részletező 3. fejezete legvégén, a jelenlegi számozás szerint beszúrt 29a cikk alatt található mint az MI-t alkalmazó (felhasználó, deployer) szervezetek kötelezettsége.
Mint az ismert, és maga a szöveg is utal rá több ponton (például 27. preambulumbekezdés), a jogszabály az Európai Unióban széles körben használt, több tucatnyi terméktípust szabályozó ún. termékmegfelelőségi szabályok mintájára készült. Ezeknek a szabályoknak egy részét fel is sorolja a rendelet II. mellékletében. Olyan termékekről van szó, mint a játékok, gépek, orvosi felszerelések, gázkészülékek stb. Az MI rendelet logikájában és szerkezetében is igyekszik követni ezeket a jogszabályokat: leírja a termékkel (a magas kockázatú mesterséges intelligenciával) kapcsolatos követelményeket, majd a teljes termékelőállítási és forgalmazási láncban az egyes szereplők specifikus kötelezettségeit. A rendeletben található termékkövetelményeket (III. cím 2. fejezet) például a fejlesztőknek (provider) kell nagyrészt betartani, míg mondjuk az importőrnek az a kötelezettsége, hogy az Európai Unión kívülről jövő termékek megfeleljenek az Európai Unió szabályainak. Az alkalmazóknak (deployers) pedig a 29. cikk szerint eredetileg olyasféle kötelezettségeik lettek volna, hogy biztosítsák, hogy a rendszereket a gyártó utasításainak megfelelően használják, azokat megfelelően kiképzett személyzet üzemelteti, az emberi felügyelet folyamatosan biztosított, és hogy a használat közben keletkezett naplófájlokat megőrzik. Ezeket a kötelezettségeket egészítette ki a beszúrt 29a cikk, amely szerint a kockázatos MI-ket alkalmazók egy szűkebb csoportjának előzetes alapjogi hatásvizsgálatot kell elvégezniük.
Ahhoz, hogy megérthessük, hogy mi a probléma ezzel a rendelkezéssel, kissé távolabbról indulok. Az EU termékmegfelelőségi szabályai eddig egytől-egyig fizikai termékekre vonatkoznak, amelyeknek jól körülírható, számszerűsíthető jellemzői vannak (méret, határértékek, tűrések, teljesítménykritériumok stb.), amelyekkel jól lehet kontrollálni azokat a veszélyeket, amelyeket ezek a termékek az életre, az emberek testi épségére, egészségére és a természeti környezetre gyakorolnak. Ha pl. egy játékból több nehézfém oldódik ki, mint egy meghatározott érték, akkor az veszélyes, nem hozható forgalomba.
Az MI rendszerek nem ilyenek. Az MI rendszerek jellemzően szoftverek, amelyek persze elvileg szintén jellemezhetők kvantifikálható paraméterekkel – ilyeneket az MI rendelet is tartalmaz, pl. az általános célú modellek tanításához használt kumulált gépi teljesítményt FLOP-ban, másodpercenként végzett lebegőpontos műveletszámban adja meg [pl. 52a(2) cikk] –, azonban ezeknél a szoftvereknél az általuk produkált output, kimenet, az ajánlás, a döntés, az előrejelzés a lényeg: valójában ez az output a termék, amely veszélyes lehet, és nem maga rendszer. Ez pedig egyfelől a rendszerek „black-box” jellegű működése miatt eleve egy sor bizonytalanságot rejt magában, másfelől – és ez a fontosabb – nemcsak az életre, az egészségre a testi épségre és környezetre jelenthet veszélyt, hanem olyan „puha” emberi jogokra is, mint a diszkriminációmentesség, a magánélet sérthetetlensége, az információs önrendelkezési jog vagy a szólásszabadság.
Mindezt persze felismerte a jogalkotó is, éppen ezért szúrta be az „alapjogi hatásvizsgálatról” szóló passzust a jogszabályba, arra kényszerítve az erre kötelezett szervezeteket, hogy úgy becsüljék meg az emberi jogokra gyakorolt hatást, mintha az, mondjuk, kioldódási határérték lenne. Csakhogy amíg az, hogy mi öl meg egy embert, mi káros az egészségre vagy mi teszi tönkre a természetet, könnyen meghatározható bizonyos mennyiségek definiálásával (persze ez is rejt önkényességet, de ez nem olyan nagy baj, általában a határértékeket alacsonyabbra húzzák, hogy biztosan ne jelentsen az adott termék veszélyt), addig a fentebbi alapjogokat veszélyeztető gépi kimenetek határértékei egyszerűen nem kvantifikálhatóak. Mi az, ami már diszkriminatív és nem „észszerű és arányos megkülönböztetése” bizonyos embercsoportoknak, például egy bankhitel elbírálásakor? Hány adatot kell összekapcsolni és milyen következtetést kell hoznia ahhoz egy segélyek elbírálását vagy ezek utólagos ellenőrzését végző szoftvernek, hogy azt mondhassuk, megsérült a magánélethez való jogom?
Érezzük, hogy ezek olyan jogi, és legfőképpen az etikába torkolló kérdések, amelyekről olykor bölcs alkotmánybírák is hónapokig vitatkoznak, így előzetesen nagyon nehezen eldönthetők. Olykor nem is dönthetők el véglegesen: a politikai közösség megosztott a megítélésüket illetően. Arról ne is beszéljünk, hogy mennyire problematikus, mondjuk, egy bankot arra kényszeríteni, hogy a megtérülési, visszafizetési hajlandósági, fedezeti stb. – azaz üzleti – szempontok felett emberi jogi szempontokat is vegyen figyelembe úgy, hogy tudjuk, a bank nem a saját pénzét, hanem a betétesekét kockáztatja egy hitelkihelyezéskor.
Ugyanis – és itt a másik gond – a rendelkezés a „közjog által szabályozott” szervezeteken kívül bizonyos magánszervezeteket is kötelez az alapjogi hatásvizsgálat elvégzésére. (Arról itt most már végképp nem beszélnék, hogy a „közjog–magánjog” megkülönböztetés egy igen vitatott jogtudományi dichotómia, semmilyen tételes jogi alapja nincsen, így egy sor problémát fog felvetni bizonyos határesetekben.) Ami talán még elmegy egy rendőrségen vagy a közigazgatásban használt szoftver esetén, nagyon nehezen lesz teljesíthető mondjuk egy bank esetében.
Minderre persze lehet azt mondani, hogy majd ez is úgy fog működni, mint az „adatvédelmi hatásvizsgálat” (amely egyébként mintául szolgált az alapjogi hatásvizsgálathoz): vagy a gyártók által előre elkészített, vagy valamelyik szakértő vagy ügyvédi iroda által egyszer megszerkesztett sablonok szinte változtatás nélküli átvételét fogja a gyakorlatban jelenteni. Kérdés, hogy akkor mi értelme is van ennek a rendelkezésnek egyáltalán? Sőt, e kérdés még messzebbre vezet: mit keresnek egy termékmegfelelőségi szabályban az emberi jogok, a demokrácia, meg a jogállam fogalmai? De ez a kérdés már olyan messzire vezet, ami már biztosan nem fér bele e blogbejegyzés keretei közé.
Megjegyzések
[1] AI Act a magyar hivatalos fordításban „jogszabály”, én próbáltam a „kódex” szót meghonosítani, sikertelenül, marad a „rendelet”, ami a magyar jogi szóhasználatban nagyon félrevezető.
[2] A jogszabály kétféle fogalmat is használ a kép-, videó- és szöveggeneráló MI-k szabályozására, az „általános célú MI modell” – és az „általános célú MI rendszer” kifejezéseket.
