- Warunkiem rozwoju innowacyjności jest dzisiaj to, żeby regulacje miały charakter ponadnarodowy. Nie przesadzać z twardą regulacją! Trzeba otwierać się na zmienność i harmonizować prawo - Michał Boni, poseł do Parlamentu Europejskiego, w latach 2011–2013 minister administracji i cyfryzacji.
Na niedawnym spotkaniu Biura Grupy Europejskiej Partii Ludowej dużo było mowy o innowacjach. Towarzyszyła mu nawet specjalna wystawa, na której swoje osiągnięcia prezentowały m.in. polskie firmy. Parlament Europejski przyspieszy prace nad regulacjami prawnymi w tej dziedzinie?
Myślę, że trzeba wskazać tu na trzy wymiary. Po pierwsze – technologie rozwijają się szybciej, niż posuwa się praca nad regulacjami. Dlatego trzeba uważać, żeby nie przedobrzyć... Ja jestem zwolennikiem bardzo ostrożnego budowania regulacji, bo później może się okazać, że mamy przepisy, które nie pasują już do obecnego stanu technologii. Lepiej w związku z tym stosować coś, co się nazywa miękkim prawem, czyli np. kodeksy postępowań. Mogą się one wiązać z ochroną danych, z zapewnieniem cyberbezpieczeństwa i poczucia pewności, że te urządzenia działają sprawnie w sensie technicznym. Im więcej będzie takich miękkich regulacji, tym lepiej. Warunkiem rozwoju innowacyjności jest dzisiaj to, żeby regulacje miały charakter ponadnarodowy i żeby w jakiejś dziedzinie związanej ze sztuczną inteligencją wymogi techniczne nie były różne we wszystkich 27 państwach UE. Czyli: nie przesadzać z twardą regulacją, otwierać się na zmienność i harmonizować prawo.
A pozostałe wymiary?
Drugi element polega na tym, żeby wykorzystywać istniejące regulacje. Gdy toczy się wielka dyskusja o sztucznej inteligencji i robotach, pierwszym krokiem powinno być przejrzenie około 60–70 różnego rodzaju istniejących aktów prawnych, które mówią o bezpieczeństwie i o tym, jak mają funkcjonować rozmaite urządzenia. Nie ma powodu, by od razu tworzyć specjalną regulację dla robotów, bo nie wiemy też, jak będą się rozwijały w perspektywie 5–10 lat. Ale na pewno warto przejrzeć istniejące przepisy i sprawdzić, czy pasują do tego nowego świata urządzeń, które są bardziej inteligentne niż wcześniej, i czy trzeba w nich coś zmienić. Oprócz nowych regulacji do wykorzystania są więc te, które już istnieją.
Trzeci element tego problemu widać najlepiej przy dyskusji o cyberbezpieczeństwie. Po pierwsze, czy będziemy je budowali, oceniając i dostosowując różne wymogi, by zwiększyć bezpieczeństwo cyberprzestrzeni w technologiach istniejących, czy w tych, które nadejdą? A po drugie, czy będą to rozwiązania o charakterze europejskim (np. ustandaryzowana procedura certyfikacji), czy też da się je pogodzić z tym, co się dzieje w Stanach Zjednoczonych, w Azji czy na innych kontynentach. Cały dorobek nowych technologii w zakresie przetwarzania danych ma przecież charakter globalny. Nie da się tego zamknąć w ograniczenia geograficzne. Zawsze musi być refleksja związana z globalnym wymiarem. To nie jest łatwe, zwłaszcza kiedy stawiamy znak zapytania przy możliwych zachowaniach Chin i Rosji.
Na przykład?
Drony wyposażone w broń. Przedstawiciele amerykańskich służb wojskowych mówią, że jeśli celem będzie człowiek, to decyzji nie może podejmować automatycznie algorytm czy maszyna, o uruchomieniu broni też musi zdecydować człowiek. Tak samo uważają Europejczycy. Ale kiedy zaczęła się dyskusja o globalnej konwencji w tej sprawie, to pojawiły się sygnały z Rosji i Chin, że oni i tak jej nie podpiszą. W naszym planie legislacyjnym bierzemy jednak pod uwagę wszystkie elementy, które wymieniłem.
Pytanie, czy rzeczywiście to człowiek powinien podejmować ostateczną decyzję. Człowiek może mieć przecież gorszy dzień, ulega pokusie nadużywania władzy, a maszyna działa, jak ją zaprogramują.
Problem polega na tym, że my do końca nie wiemy, jak te algorytmy działają. Tradycyjne maszyny wykonujące rutynowe prace były programowane, żeby wykrywać zagrożenia czy inne sytuacje, które sensory mogą rozpoznać i odpowiednio reagować – np. skręcić czy zatrzymać się. Jednak jeśli mamy do czynienia z algorytmem, który nieustannie przetwarza dane i uczy się na nich, może się okazać, że nie mając mocnego przesłania, że cel ludzki nie powinien być atakowany, wyda rozkaz strzału. A gdy dodatkowo ten cel jest ukryty w schronie albo chroniony w specjalnym stroju z metalu, może być rozpoznany jako inne urządzenie. Sensory wykryją ciepło ludzkie, ale kilka sekund później, czyli być może już po skierowaniu broni w tamtą stronę... Oczywiście, człowiek także się myli. Dlatego najlepszym rozwiązaniem jest kooperacja. Zamiast mówić, że „roboty nas wyprą”, wolę mówić: „roboty nas nie wyprą, tylko musimy nauczyć się współpracy z nimi”. To oznacza, że kooperacja z AI (ang. Artificial Intelligence – przyp. red.) i robotami uczącymi się jest kluczowa, ale musimy się w tym celu z nimi komunikować i one muszą rozumieć nasz przekaz.
Tu z kolei wchodzi w grę problem siły sugestii maszyny. Ona przetwarza tak dużo danych, że człowiek nie może ich zweryfikować i oprzeć się temu, co maszyna proponuje. I gdy maszyna stwierdzi, że trzeba użyć broni, operator nie będzie w stanie się sprzeciwić, bo tak pokazały analizy komputerowe, z którymi trudno dyskutować.
Każdy, czy konstruktor, czy użytkownik, musi sobie postawić pytanie z dziedziny moralności: czy ufam maszynie bezgranicznie, czy jednak stawiam jej jakieś pytania dodatkowe? Do tego właśnie potrzebny jest etyczny wymiar nowych technologii i świata robotów. Na mniej więcej 70 proc. uczelni amerykańskich od trzech, czterech lat uczy się inżynierów etyki. Tego w Europie dzisiaj brakuje. Gdy mówimy o Europie, o wspólnym rynku, interoperacyjności (warunkach do rozmawiania ze sobą systemów informatycznych), rejestrowaniu wysoko zaawansowanej sztucznej inteligencji, to oczywiście mówimy też o wymogach etycznych. Z wielu krajów docierają sygnały, że w ich kodeksach i normach etycznych nastawienie bywa trochę inne. Czeka nas poważna dyskusja, jak to uwspólnić.
Dzięki etyce będziemy też lepiej rozumieli kwestię ochrony prywatności. Bo nam się ona najczęściej kojarzy z tym, że ktoś ma dane np. o tym, gdzie mieszkamy. A nie o to już chodzi – zostawiamy ślady swojej osobowości każdym kliknięciem otwierającym dodatkową stronę. To powoduje, że algorytmy zyskują wiele informacji na nasz temat i dochodzą do wniosków, jakie są nasze preferencje w różnych dziedzinach. Jak odseparować te preferencje dotyczące gospodarki, handlu i różnych naszych wyborów od tych mających charakter osobisty? Spory o to się toczą w różnych krajach. W Polsce np. przyjęta została ustawa, która ma ułatwić rejestrowanie w urzędach stanu cywilnego narodzin dziecka, ale zarazem pozwala na dostęp do tych danych, do wszystkich akt stanu cywilnego wszystkim służbom. Bez konieczności wystąpienia o dostęp do danych. Polskie służby odpowiadają – przecież żaden oficer nie będzie siedział i obserwował, czy dziecko jest z małżeństwa, czy ktoś jest w związku partnerskim, w separacji itp. Pewnie, że oficer nie będzie tego analizował, ale będzie to robiła maszyna. I kiedy zajdzie potrzeba skorzystania z informacji, że np. ktoś żyje w separacji, ale tego nie ujawnił, to można po nie sięgnąć. Tego dotyczy obawa.
To nas zbliża do największego legislacyjnego wydarzenia, jakie nas czeka w najbliższym czasie, czyli rozpoczęcia stosowania rozporządzenia o ochronie danych osobowych. Czy może ono ograniczyć rozwój innowacji w Europie?
Jest wiele mitów na ten temat. Rozmawiam o tym z firmami amerykańskimi i one się dostosowują i przygotowują. Byliśmy z komisją LIBE (Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych) w Japonii, bo Japończycy są gotowi podpisać porozumienie w sprawie przepływu danych. Oni patrzą na to od strony korzyści, nie obciążeń – „jeśli będziemy mieli na określonych zasadach dane z firm europejskich, to tylko lepiej dla rozwoju naszego biznesu”. To właśnie perspektywa korzyści powinna dominować, bowiem oprócz tego, że dane są kluczem do nowej gospodarki, trzeba też przy ich stosowaniu budować zaufanie i odpowiedzialność. Niektórzy wprowadzają zamieszanie, mówiąc, że różnych danych nie będzie można analizować czy przetwarzać. Zapominają, że oprócz zgody, jakiej każdy z nas powinien udzielić na przetwarzanie danych, umożliwia to także tzw. uzasadniony interes w rozszerzonej skali – po dokonaniu anonimizacji i pseudonimizacji. To dotyczy badań naukowych, danych wrażliwych o chorobach i pacjentach. Jedyne, czego się można obawiać, to że w różnych krajach ta interpretacja będzie różna.
Jakie problemy z tego wynikną?
Warunkiem było przecież to, że instytucje zajmujące się ochroną danych będą niezależne. Mam wątpliwości, czy konstrukcja zaproponowana w Polsce, jeśli chodzi o Urząd Ochrony Danych Osobowych, rzeczywiście zapewnia mu niezależność. Po drugie były te zapisy dla małego biznesu, które niewiele mu dawały, a bardzo uderzały w użytkownika – na szczęście rząd się z nich niedawno wycofał. Przewidywały one, że gdy dane wyciekną, to użytkownik nie musi być informowany. Spowodowałoby to zresztą różnice w zachowaniach firm polskich i zagranicznych, przez co Polacy mniej ufaliby rodzimym przedsiębiorstwom, co byłoby absurdem.
Poszczególne ministerstwa miały przygotować swoje pakiety dostosowujące do zmian w ochronie danych osobowych, ale nie jest jasna sytuacja ze zdrowiem, bo ten resort swojego pakietu nie przygotował. A rozporządzenie zacznie być stosowane od 25 maja bez względu na to, czy będziemy mieć akty dostosowujące, czy nie.
Może więc być dużo bałaganu, bo niektóre dziedziny nie zostaną objęte zmianami w polskim prawie, a już będą funkcjonowały przepisy unijne. Uważam np., że małe firmy nie powinny mieć obowiązku zatrudniania inspektora ochrony danych na etacie, ale też nie powinno się przyjmować w ochronie danych kryterium wielkości zatrudnienia czy obrotu. Ktoś może przecież w jednym miesiącu zatrudniać pięć osób, a w następnym 50, bo dostał duże zlecenie. Kolejnym punktem niejasnym jest to, że gdy wejdą nowe regulacje, może się okazać, że poufność w przekazywaniu danych i w końcowych urządzeniach nie będzie w pełnym stopniu chroniona, bo e-privacy jest w starej dyrektywie. Ale mam nadzieję, że prace nad e-privacy też zostaną stosunkowo szybko ukończone, a w miarę funkcjonowania RODO pojawią się przykłady, które pozwolą lepiej zrozumieć te mechanizmy.
W ogóle po aferze z Cambridge Analytica stajemy się bardziej wyczuleni na ochronę danych osobowych. To dobrze, choć cała sprawa Cambridge Analytica i reputacji Facebooka powinna zostać do końca wyjaśniona.
A ma jakim etapie są prace nad rozporządzeniem o e-prywatności (e-privacy)?
Prezydencja bułgarska przedstawiła niedawno listę różnych sugestii w tej sprawie. Jest ona bardziej otwarta niż to, co jest w raporcie Parlamentu Europejskiego. I dobrze. Bo musimy jednak w e-privacy otworzyć pod pewnymi warunkami możliwość przetwarzania danych, zwłaszcza w przypadku „uzasadnionego interesu” i „dalszego procedowania”. W dyskusji o e-privacy pojawiły się hasła „nie śledź mnie”, „nie idź za moimi danymi”. To ważne i potrzebne, ale pamiętajmy, że z punktu widzenia tego, kto zbiera te dane dla statystyki przypływu i ruchu ludzi, ważne są nie nazwiska, tylko paski informacyjne z kodami matematycznymi, które pozwalają określić np. gęstość przechodzenia przez jakiś punkt. Ponieważ jednak prezydencja pracuje z krajami członkowskimi, to mam wrażenie, że pierwszy trilog będzie gotowy w maju, a następny w czerwcu albo później, już za prezydencji austriackiej. Nie mam więc optymistycznego nastawienia, nie sądzę, że to pójdzie szybko. Tym bardziej że pojawiają się już głosy ze strony biznesu, że skoro 25 maja wchodzi RODO, to poczekajmy jakiś czas, żeby zobaczyć, jak to funkcjonuje. Trudno więc powiedzieć, kiedy będzie e-privacy, bo też chcemy, żeby to było racjonalne rozwiązanie.
Ostatnia ważna kwestia, też związana z nowymi technologiami, szczególnie eksploracją danych (data mining), to dyrektywa o prawie autorskim. Czy udało się osiągnąć jakiś kompromis?
Błędem jest patrzenie na to „górnictwo danych” w perspektywie praw autorskich. Żyjemy już w innym świecie. Jeśli w ogóle ma to być regulowane, to raczej w przepisach dotyczących rozwoju nauki i badań. Nie chodzi o to, że ktoś ma prawo do czegoś. Nie jest to cytat, który sprzedajemy jako swój. Jest to wzięcie rezultatów różnych badań, ale przy zastrzeżeniu, że je – wraz z wieloma innymi – przetwarzamy i tworzymy nową wartość dodaną. W tym sensie ci, którzy mają legalny dostęp do danych, powinni też móc je przetwarzać. Zamykanie tych danych przed „górnictwem i analizą” jest niedobre dla rozwoju naukowego i dla start-upów. One powinny współpracować z uniwersytetami, z ośrodkami badawczymi itd. Dlatego trzymanie się kurczowo modelu praw autorskich jest tu niedobre, bo tworzy klasyczne dla prawa autorskiego wymogi licencyjne, konieczność ich kupowania, by dane, np. naukowe, przetwarzać. Reguły prawa autorskiego ograniczą więc innowację! Być może będziemy kiedyś musieli opracować strategię stosowania danych obejmującą data mining, przepływ danych nieosobowych, wykorzystywanie danych osobowych i dostępność danych nieustrukturyzowanych (o około 80 proc. danych, które mają firmy, nie wiadomo nawet, czy są do czegoś potrzebne, to może powiedzieć dopiero komputer). Jednak takie nowoczesne podejście przy dyrektywie o prawach autorskich nie przejdzie. Możemy tylko walczyć o to, by rozumienie „kopalnictwa danych” było szersze i bardziej otwarte. To jest problem, że legislatorzy, i europejscy, i krajowi, rozumieją nowe technologie bardzo naskórkowo. Mało osób stara się wejść głębiej i zrozumieć, że ten świat tworzący nowe warunki dla wszystkich dziedzin życia wymaga zupełnie nowych ram funkcjonowania i podejścia do rozwiązań prawnych. Ale trzeba walczyć o to, by takie myślenie się rozpowszechniało.
Algorytmy zyskują wiele informacji na nasz temat i dochodzą do wniosków, jakie są nasze preferencje w różnych dziedzinach. Jak odseparować preferencje dotyczące gospodarki, handlu i różnych naszych wyborów od tych mających charakter osobisty? Spory o to toczą się w różnych krajach