Odpowiedzialność dostawcy AI w Polsce — poradnik prawny

Odpowiedzialność za błędy systemów sztucznej inteligencji — nowe wyzwania dla przedsiębiorców

Dynamiczny rozwój technologii sztucznej inteligencji przyniósł przed polski system prawny nowe, złożone wyzwania związane z odpowiedzialnością prawną. Tradycyjne katalogi odpowiedzialności opartej na winie czy odpowiedzialności deliktowej okazują się niewystarczające, gdy mamy do czynienia z decyzjami podejmowanymi przez algorytmy, których działanie nawet twórcy nie potrafią w pełni wyjaśnić. Problem dotyczy zarówno małych firm z Lublina wdrażających nowoczesne rozwiązania, jak i dużych korporacji inwestujących miliony w systemy AI.

Odpowiedzialność AI to zagadnienie, które łączy prawo cywilne, prawo handlowe, prawo ochrony danych osobowych i coraz bardziej — prawo regulacyjne. Polska jako członek Unii Europejskiej stoi w obliczu wdrażania AI Act, czyli pierwszego na świecie kompleksowego aktu prawnego regulującego sztuczną inteligencję. To oznacza, że przedsiębiorcy, którzy chcą działać bez ryzyka prawnego, muszą już dziś przygotowywać się do nowych wymogów.

W praktyce doradczej Kancelarii Radcy Prawnego Joanna Cenkier z Lublina coraz częściej spotykamy się z pytaniami przedsiębiorców dotyczącymi tego, jak chronić się przed odpowiedzialnością za błędy systemu AI, jakie zobowiązania prawne ciążą na dostawcy rozwiązań AI, i jak skonstruować umowę wdrożeniową, aby rozłożyć ryzyko między strony. Artykuł stanowi podsumowanie doświadczeń i analizy obowiązującego prawa.

Podstawy prawne odpowiedzialności dostawcy systemów AI w prawie polskim

Polska system prawny do niedawna nie posiadał szczególnych regulacji dotyczących odpowiedzialności za błędy algorytmów. Przedsiębiorcy korzystający z systemów AI opierali się na ogólnych zasadach odpowiedzialności z kodeksu cywilnego — a mianowicie na odpowiedzialności deliktowej (art. 415 kodeksu cywilnego) oraz na gwarancjach wynikających z kodeksu cywilnego dotyczących wad rzeczy sprzedanej lub świadczeń nierzetelnie wykonanych.

Kodeks cywilny przewiduje, że ten, kto zawinionym działaniem lub zaniechaniem wyrządza drugiemu szkodę, obowiązany jest do jej naprawienia. Jednak zastosowanie tej normy do przypadków, w których szkodę wyrządził system AI, napotyka na istotne trudności. Po pierwsze, nie zawsze jest jasne, czy dostawca systemu zawinił — szczególnie jeśli błąd wynika z nieprzewidywalnych interakcji między algorytmem a danymi rzeczywistymi. Po drugie, odpowiedzialność deliktowa wymaga wykazania bezpośredniego związku przyczynowego między czynem a szkodą, co w przypadku systemów uczenia maszynowego jest niezwykle trudne.

Ramy odpowiedzialności za błędy systemu AI są również kształtowane przez przepisy kodeksu cywilnego dotyczące świadczeń niewłaściwych. Jeśli dostawca zobowiązał się do dostarczenia systemu AI spełniającego określone parametry, a system nie spełnia tych parametrów, kupujący może dochodzić naprawy lub wymiany. Jednak przepisy te również nie były tworzono z myślą o systemach adaptacyjnych, które mogą zmieniać swoje zachowanie w trakcie eksploatacji.

Regulacja AI Act — nowe obowiązki dostawcy na rynku europejskim

AI Act to przełomowe rozporządzenie Parlamentu Europejskiego i Rady, które zostało przyjęte przez Parlament Europejski 13 marca 2024 r., opublikowane 12 lipca 2024 r. i weszło w życie 1 sierpnia 2024 roku. Rozporządzenie to wprowadza szeroki katalog obowiązków dla dostawców systemów AI — czyli podmiotów, które rozwijają i wprowadzają na rynek systemy sztucznej inteligencji. W kontekście liability AI, AI Act stanowi fundament nowych standardów odpowiedzialności.

Zgodnie z AI Act, dostawca systemu AI ma obowiązek zapewnienia, że system spełnia wymogi bezpieczeństwa i zgodności z prawem przed jego wprowadzeniem na rynek. Obowiązki te różnią się w zależności od poziomu ryzyka, które niesie dany system. AI Act wprowadza kategoryzację systemów AI na trzy poziomy ryzyka: niedopuszczalne (zakazane z mocy art. 5), wysokie (z wymogami art. 6 i Załącznika III) oraz minimalne/ograniczone. Im wyższe ryzyko, tym bardziej rygorystyczne obowiązki dostawcy.

Dla systemów wysokiego ryzyka dostawca musi przeprowadzić ocenę wpływu na prawa podstawowe, implementować procedury monitorowania jakości danych, zapewnić przejrzystość systemu i dokumentować jego funkcjonowanie. Systemy niedopuszczalne — takie jak manipulacja behawioralna czy ocena ryzyka ponownego popełnienia przestępstwa bez nadzoru człowieka — są zakazane. Te wymogi mają bezpośredni wpływ na to, jaka odpowiedzialność ciąży na dostawcy za błędy systemu AI.

Różnicowanie odpowiedzialności w zależności od rodzaju błędu systemu AI

Nie każdy błąd systemu AI rodzi tę samą odpowiedzialność prawną dostawcy. Istotne jest rozróżnienie między błędami wynikającymi z błędnego projektowania systemu, błędami w procesie trenowania systemu, błędami wynikającymi z użycia niedostatecznie czystych danych, oraz błędami wynikającymi z nieprzewidywalnych warunków użytkowania systemu w rzeczywistości.

Błąd w projektowaniu systemu — na przykład gdy algorytm zawiera logikę, która prowadziłaby do dyskryminacji na podstawie koloru skóry — pociąga za sobą odpowiedzialność dostawcy za niewykonanie zobowiązania lub nawet za karalne czyny niezgodne z ustawą o ochronie konkurencji i konsumentów. W tym przypadku dostawca nie może się usprawiedliwić tym, że system działa zgodnie z algorytmem — właśnie algorytm jest wadliwy.

Błędy wynikające z treningowania systemu na podatnych danych stanowią bardziej złożony przypadek. Jeśli dostawca wytrenował system na zbiorze danych zawierającym systematyczne błędy lub uprzedzenia, a to prowadzi do błędnych decyzji systemu, dostawca ponosi odpowiedzialność za wybór niedostatecznej metodologii przygotowania danych. Jednak możliwe jest podzielenie odpowiedzialności między dostawcę a podmiot, który dostarczył dane.

Błędy wynikające z nieprzewidywalnych warunków użytkowania to przypadki, w których system AI działa zgodnie ze swoją specyfikacją, ale rzeczywiste dane, na które natrafia, różnią się znacząco od danych trenujących. W takich sytuacjach odpowiedzialność dostawcy może być ograniczona, jeśli dostawca odpowiednio poinformował użytkownika o ograniczeniach systemu i wymaganych warunkach eksploatacji.

Umowy wdrożeniowe — rozłożenie ryzyka między dostawcę a użytkownika systemu AI

W praktyce doradczej, którą prowadzimy w Kancelarii Radcy Prawnego Joanna Cenkier, najważniejszym elementem zabezpieczenia przed odpowiedzialnością za błędy systemu AI jest prawidłowo skonstruowana umowa wdrożeniowa. Umowa taka powinna jasno określać, za jakie błędy i do jakiego zakresu odpowiada dostawca, a za jakie odpowiada użytkownik (wdrażający).

Typowa umowa wdrożeniowa systemu AI powinna zawierać następujące klauzule: (1) dokładny opis specyfikacji systemu i jego zdolności, (2) wymogi dotyczące danych wejściowych — jakie dane system będzie otrzymywać i jakie będą ich cechy, (3) limity odpowiedzialności dostawcy — na ile należy ograniczyć odpowiedzialność za błędy wynikające z nieprzewidywalnych warunków, (4) zobowiązania użytkownika do testowania systemu w fazie pilotażowej, (5) procedury raportowania błędów i ich naprawy, (6) warunki gwarancji, (7) ubezpieczenie odpowiedzialności cywilnej.

Szczególnie ważne jest określenie, czy dostawca gwarantuje absolutną dokładność systemu, czy raczej „rozsądny stopień dokładności" w stosunku do benchmarków branżowych. W przypadku systemów AI nigdy nie można zagwarantować 100% dokładności — zawsze istnieje pewny margines błędu. Umowa powinna to jasno stwierdzać, aby uniknąć sporów dotyczących naruszenia umowy.

Kolejny istotny element to podzielenie odpowiedzialności za dane. Jeśli dostawca nie ma kontroli nad danymi, na których pracuje system, a błędy wynikają z nieprawidłowych danych dostarczonych przez użytkownika, odpowiedzialność powinien ponosić użytkownik. Umowa powinna zawierać warunki dotyczące jakości danych, które użytkownik zobowiązuje się dostarczać.

Ograniczenie odpowiedzialności a enforceability — między umową a prawem pozytywnym

Często dostawcy systemów AI próbują zawrzeć w umowach bardzo szerokie klauzule ograniczające ich odpowiedzialność — aż do zupełnego wyłączenia odpowiedzialności za błędy systemu. Jednakże takie klauzule mogą być niewykonalne na gruncie prawa polskiego i europejskiego. Kodeks cywilny oraz dyrektywy europejskie zakazują wyłączania odpowiedzialności za świadczenia, które są fizycznie niemożliwe do wykonania, lub za czyny wyrządzone umyślnie.

Art. 353 kodeksu cywilnego stanowi, że umowa dotycząca świadczenia niemożliwego jest nieważna. Jeśli dostawca zobowiązał się do dostarczenia systemu AI, który nigdy nie popełni błędu, a następnie próbuje wyłączyć odpowiedzialność za błędy, mamy do czynienia z paradoksem — albo zobowiązanie było niemożliwe (i umowa jest nieważna), albo dostawca próbuje się wyłączyć z odpowiedzialności, którą powinien ponosić.

Ponadto, zgodnie z dyrektywą 1999/44/WE (oraz jej polskiej implementacji w kodeksie cywilnym), w przypadku sprzedaży rzeczy konsumentowi, sprzedawca nie może wyłączyć gwarancji dotyczącej wad rzeczy. System AI, jeśli jest sprzedawany konsumentowi, ma status „rzeczy" i podlega przepisom o ochronie konsumentów. To oznacza, że dostawca nie może się wyłączyć z odpowiedzialności za takie systemy w stosunku do konsumentów.

Jednak ograniczenie odpowiedzialności jest możliwe w odpowiednio sformułowany sposób. Zamiast wyłączenia odpowiedzialności, można ograniczyć ją do wysokości wynagrodzenia uzyskanego za wdrożenie systemu, można wyłączyć odpowiedzialność za straty pośrednie (takie jak utrata zysków), lub można określić maksymalną wysokość odszkodowania. Te ograniczenia muszą jednak być rozsądne i nie mogą dotyczać odpowiedzialności za czyny umyślne lub rażące zaniedbanie.

Odpowiedzialność wdrażającego — firma implementująca system AI

Odrębnym zagadnieniem jest odpowiedzialność wdrażającego — czyli podmiotu, który kupuje system AI od dostawcy i implementuje go u siebie lub u swoich klientów. W praktyce doradczej, którą prowadzę w Lublinie, często widać sytuacje, w których właśnie wdrażający ponosi odpowiedzialność za błędy systemu, choć odpowiedzialność ta mogłaby być przerzucona na dostawcę.

Wdrażający ma obowiązek duch diligence — dokładnego sprawdzenia, czy system AI rzeczywiście odpowiada jego potrzebom, czy jest testowany na danych zbliżonych do tych, na których będzie pracować, i czy dostawca dostarczył wystarczających informacji o ograniczeniach systemu. Jeśli wdrażający implementuje system bez przeprowadzenia testów, lub na danych jakościowo różnych od tych, na których system był trenowany, może ponieść odpowiedzialność za błędy wynikające z tej niedopatrzności.

Ponadto, wdrażający ma obowiązek nadzoru nad systemem AI w fazie eksploatacji. Zgodnie z AI Act, użytkownik systemu wysokiego ryzyka (a wdrażający jest użytkownikiem) musi monitorować wydajność systemu, zbierać informacje zwrotne od osób, których system dotyczy, i podejmować działania w przypadku nieprawidłowości. Zaniedbanie tych obowiązków może prowadzić do odpowiedzialności wdrażającego za błędy, które mogłyby być szybciej wykryte.

Kluczowe jest zatem, aby umowa między dostawcą a wdrażającym jasno określała, kto odpowiada za co. Dostawca odpowiada za to, że system został prawidłowo zaprojektowany i przetestowany — jednak wdrażający odpowiada za to, że wdrażający rzeczywiście korzysta z systemu zgodnie z jego specyfikacją i że monitoruje jego działanie.

Ryzyka regulacyjne i sankcje za naruszenie wymagań AI Act

AI Act nie jest jedynie dokumentem definiującym odpowiedzialność — to również narzędzie regulacyjne, które wprowadza obowiązki informacyjne i proceduralne dla dostawców systemów AI. Naruszenie tych obowiązków może prowadzić do kar administracyjnych nakładanych przez organy nadzoru, niezależnie od odpowiedzialności cywilnej za błędy systemu.

Zgodnie z AI Act, maksymalne kary za naruszenie jej wymogów sięgają 6% rocznego światowego przychodu dostawcy. Dla dużych firm technologicznych to znaczące kwoty. Jednak nawet małe firmy, które wdrażają systemy AI bez dokumentacji wymaganej przez AI Act, mogą podlegać karom, choć odpowiednio mniejszym. Polska, jako członek Unii Europejskiej, będzie egzekwować te wymogi za pośrednictwem Prezesa Urzędu Ochrony Konkurencji i Konsumentów oraz organów nadzoru sektorowego.

Praktyczne konsekwencje to obowiązek prowadzenia dokładnej dokumentacji dotyczącej trenowania systemu AI, testowania przed wdrożeniem, monitorowania wydajności w fazie eksploatacji, oraz procedur raportowania błędów. Brak takiej dokumentacji może być interpretowany jako naruszenie AI Act, nawet jeśli sam system działa prawidłowo.

Ponadto, dostawcy systemów AI mogą podlegać sankcjom związanym z naruszeniem przepisów ochrony konkurencji, jeśli będą praktykować praktyki mogące ograniczać konkurencję — na przykład jeśli będą wymuszać na wdrażających korzystanie wyłącznie z ich usług wsparcia technicznego. Należy być ostrożnym przy konstruowaniu umów, aby nie naruszyć tych wymogów.

Ubezpieczenie odpowiedzialności cywilnej — praktyczne zabezpieczenie

Niezależnie od winy czy braku winy dostawcy, błędy systemu AI mogą prowadzić do znaczących strat finansowych dla użytkowników. Dlatego właściwe ubezpieczenie odpowiedzialności cywilnej stanowi kluczowy element zarządzania ryzykiem dla dostawców i wdrażających systemy AI. Ubezpieczenie takie powinno obejmować odpowiedzialność za błędy systemu, niezależnie od tego, czy błędy wynikały z winy dostawcy.

Rynek ubezpieczeniowy w Polsce nadal dostosowuje się do wyzwań związanych z systemami AI. Tradycyjne polisy ubezpieczeniowe dotyczące błędów zawodowych mogą nie pokrywać w pełni ryzyk związanych z systemami AI. Warto zatem szukać polis specjalistycznych, które są przeznaczone dla branży technologicznej i które jasno definiują, jakie zdarzenia związane z systemami AI są ubezpieczone.

Przy zawieraniu umowy ubezpieczenia odpowiedzialności cywilnej dostawcy powinien być szczególnie ostrożny. Polisa powinna obejmować: (1) odpowiedzialność za błędy systemu prowadzące do strat finansowych użytkownika, (2) odpowiedzialność za naruszenie danych osobowych (jeśli system AI przetwarza dane osobowe), (3) odpowiedzialność za dyskryminację, jeśli system ma cechy mogące prowadzić do dyskryminacyjnych decyzji, (4) odpowiedzialność za naruszenie przepisów AI Act. Limity ubezpieczenia powinny być dostosowane do wielkości potencjalnych szkód, jakie system może wyrządzić.

Przejrzystość systemów AI i obowiązek wyjaśniania decyzji

Jednym z kluczowych wymogów AI Act jest przejrzystość systemów AI — dostawcy powinni być w stanie wyjaśnić, w jaki sposób system podejmuje decyzje. To wymóg o istotnych konsekwencjach dla odpowiedzialności, ponieważ jeśli dostawca nie potrafi wyjaśnić, dlaczego system podjął błędną decyzję, trudniej będzie wykazać, że błąd nie wynikał z winy dostawcy.

Obowiązek przejrzystości dotyczy szczególnie systemów wysokiego ryzyka. Na przykład, jeśli system AI jest używany do podejmowania decyzji dotyczących udzielenia kredytu, system powinien być w stanie wyjaśnić, jakie czynniki wpłynęły na decyzję o odrzuceniu wniosku. Jeśli system nie potrafi tego wyjaśnić, a wydaje się, że decyzja była dyskryminacyjna, może dojść do odpowiedzialności dostawcy na gruncie ustawy o ochronie konkurencji i konsumentów.

W praktyce, wymóg przejrzystości oznacza, że dostawcy powinni inwestować w techniki explain AI (sztuczna inteligencja wyjaśnialna). Te techniki pozwalają na zrozumienie, jakie dane wejściowe miały wpływ na decyzję systemu. Jest to szczególnie ważne dla systemów o wysokim ryzyku, gdzie błędy mogą mieć poważne konsekwencje dla użytkowników.

Obowiązek przejrzystości ma również implikacje dla odpowiedzialności w postępowaniu sądowym. Jeśli użytkownik systemu AI będzie dochodzić odszkodowania za błędy systemu, będzie mógł żądać od dostawcy wyjaśnienia, jak działał system. Jeśli dostawca nie będzie w stanie tego wyjaśnić, sąd może wysunąć wnioski na niekorzyść dostawcy — czyli uznać, że brak wyjaśnienia oznacza winę dostawcy.

Praktyczne kroki dla dostawcy systemu AI — plan wdrożenia compliance

Na podstawie analizy obowiązującego prawa i doświadczeń z Kancelarii Radcy Prawnego Joanna Cenkier mogę sformułować kilka praktycznych kroków, które dostawcy systemów AI powinni podjąć, aby minimalizować ryzyko prawne związane z odpowiedzialnością za błędy systemu.

Pierwszym krokiem jest przeprowadzenie kompleksowej oceny ryzyka systemu AI. Dostawca powinien określić, do której kategorii ryzyka (niedopuszczalne, wysokie, średnie, minimalne) jego system należy. W zależności od tej kategorii, będą obowiązywać różne wymogi dotyczące dokumentacji, testowania i monitorowania. Jeśli system jest systemem wysokiego ryzyka, wymagane jest znacznie więcej procedur bezpieczeństwa.

Drugim krokiem jest opracowanie procedur testowania systemu. Dostawca powinien przetestować system na danych reprezentatywnych dla rzeczywistych warunków użytkowania. Testy powinny obejmować testy negatywne — czyli próby „złamania" systemu poprzez dostarczenie mu danych, które mogą prowadzić do błędów. Wyniki testów powinny być dokumentowane, aby wykazać, że dostawca wykonał swoją pracę zawodowo.

Trzecim krokiem jest opracowanie dokumentacji systemu AI. Dokumentacja powinna zawierać: (1) szczegółowy opis architektury systemu, (2) opis danych użytych do trenowania, (3) wyniki testów wydajności, (4) znane ograniczenia systemu, (5) procedury monitorowania i konserwacji, (6) procedury raportowania błędów. Dokumentacja ta będzie kluczowa zarówno dla spełnienia wymogów AI Act, jak i dla obrony w postępowaniu sądowym.

Czwartym krokiem jest zawarcie prawidłowych umów wdrożeniowych, które będą jasno określały obowiązki obu stron i rozłożą ryzyko w sposób uzasadniony. Umowy powinny być dostosowane do rodzaju systemu i profilu użytkownika (konsument vs. przedsiębiorstwo).

Piątym krokiem jest zawarcie ubezpieczenia odpowiedzialności cywilnej, które będzie pokrywać ryzyko błędów systemu AI. Ubezpieczenie powinno być dostosowane do zakresu działalności dostawcy i wielkości potencjalnych strat.

Szóstym krokiem jest ustanowienie procedur monitorowania systemów AI w fazie eksploatacji. Dostawca powinien zbierać informacje zwrotne od użytkowników dotyczące wydajności systemu i podejmować działania w przypadku zauważenia anomalii. Procedury te powinny być zgodne z wymogami AI Act.

Siódmym krokiem jest bieżące monitorowanie zmian w otoczeniu regulacyjnym. AI Act jest dynamicznie implementowany i interpretowany. Dostawcy powinni być na bieżąco z wytycznymi wydawanymi przez organy nadzoru i dostosowywać swoje procedury do zmian w prawie.