Μετά την πολυαναμενόμενη ψηφοφορία της 13ης Μαρτίου 2024 από το Ευρωπαϊκό Κοινοβούλιο, είναι καιρός να αρχίσει η αξιολόγηση της κατάστασης των θεμελιωδών δικαιωμάτων υπό το πρίσμα του νόμου περί AI (στο εξής, επίσης, ο Κανονισμός). Σε αυτήν την ανάρτηση ιστολογίου, εξετάζονται τρεις τομείς πιθανών ασυνεπειών και κινδύνων: η διαφοροποίηση του παρόχου και του προγραμματιστή, τα βιομετρικά στοιχεία που χρησιμοποιούνται σε πραγματικό χρόνο και εκ των υστέρων, και τα πρότυπα βιομετρικής αναγνώρισης στους τομείς της μετανάστευσης. Αναλύω αυτά τα ζητήματα μέσα από το πρίσμα του δικαιώματος αποτελεσματικής προσφυγής, όπως ορίζεται από το άρθρο 47 του Χάρτη της ΕΕ.
Θέματα και ευθύνες: το όριο μεταξύ παρόχου και προγραμματιστή
Ένας βασικός τομέας που απαιτεί διευκρίνιση στον νόμο AI αφορά τους φορείς που υπόκεινται σε συμμόρφωση. Συγκεκριμένα, οι κανονισμοί κάνουν διαφοροποίηση μεταξύ προγραμματιστών και παρόχων . Η κατανομή των υποχρεώσεων συμμόρφωσης ακολουθεί ένα μοντέλο «κατανεμημένης ευθύνης»: οι πάροχοι και οι προγραμματιστές φέρουν διακριτές ευθύνες για να αποτρέψουν την αδικαιολόγητη επιβάρυνση ενός μεμονωμένου μέρους, τουλάχιστον κατ' αρχήν.
Ως πάροχος ορίζεται ευρέως κάθε οντότητα που αναπτύσσει ένα σύστημα τεχνητής νοημοσύνης και το εισάγει στην αγορά ή το χρησιμοποιεί στην υπηρεσία. Ο κανονισμός επιβάλλει αυστηρές υποχρεώσεις στους παρόχους, ιδίως για συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου, δίνοντας έμφαση στη συμμόρφωση με τις ευρωπαϊκές νομικές απαιτήσεις και τις αρχές λογοδοσίας. Αντίθετα, ένας προγραμματιστής αναφέρεται σε έναν παράγοντα που χρησιμοποιεί ένα σύστημα AI υπό την εξουσία του, εξαιρουμένων των μη επαγγελματικών προσωπικών δραστηριοτήτων. Οι προγραμματιστές πρέπει γενικά να διασφαλίζουν τη συμμόρφωση με το CE. Επίσης, οι προγραμματιστές αναλαμβάνουν μεγαλύτερη ευθύνη όταν αλλάζουν το θεμελιώδες μοντέλο ενός παραγωγικού συστήματος AI.
Συνεπώς, ο προσδιορισμός του ποιος πληροί τις προϋποθέσεις ως πάροχος ή προγραμματιστής αποτελεί νομική πρόκληση, καθώς η διαφοροποίηση εξαρτάται από την ερμηνεία του νομικού προτύπου, που ορίζεται ως «ουσιαστική τροποποίηση» του συστήματος, όπως ορίζεται στο άρθρο 3, παράγραφος 1, αρ. 23. Ο στόχος του νόμου για την τεχνητή νοημοσύνη είναι να φέρει την ευθύνη των προγραμματιστών για την παραγωγική τεχνητή νοημοσύνη μόνο εάν τροποποιούν τα μοντέλα θεμελίωσης, αλλά ο κανονισμός δεν προβλέπει με σαφήνεια ποιες τροποποιήσεις επαρκούν για το όριο. Ως εκ τούτου, δεν είναι επαρκώς προφανές πότε ο πάροχος δεν θα θεωρηθεί υπεύθυνος για παρέμβαση στο μοντέλο AI που πραγματοποιείται μόνο από τον προγραμματιστή.
Οι ρόλοι των παρόχων και των προγραμματιστών βάσει του νόμου περί τεχνητής νοημοσύνης χρήζουν ιδιαίτερης παρατήρησης όσον αφορά τα μέτρα που έχουν ήδη θεσπιστεί βάσει της υφιστάμενης ευρωπαϊκής και εθνικής νομοθεσίας, σύμφωνα με το άρθρο 10. Αναφέρομαι συγκεκριμένα στους νόμους περί προστασίας δεδομένων. Σύμφωνα με το άρθρο 35 του GDPR, η Αξιολόγηση Επιπτώσεων Προστασίας Δεδομένων (DPIA) είναι το μέτρο λογοδοσίας για την ανάθεση των κινδύνων που παρουσιάζει η επεξεργασία. Μεταξύ του μέτρου συμμόρφωσης, ο νόμος AI δημιουργεί μια «αξιολόγηση επιπτώσεων των θεμελιωδών δικαιωμάτων», στόχος της οποίας είναι «να εντοπιστούν οι συγκεκριμένοι κίνδυνοι για τα δικαιώματα ατόμων ή ομάδων ατόμων που ενδέχεται να θιγούν [και] να προσδιοριστούν τα μέτρα που πρέπει να ληφθούν σε περίπτωση της υλοποίησης [αυτών] κινδύνων» (Rec. 96). Η υποχρέωση εκτέλεσης αυτής της εκ των προτέρων αξιολόγησης αναφέρεται στους χρήστες συστημάτων υψηλού κινδύνου στις καταστάσεις που αναφέρονται στο άρθρο 27 του νόμου περί AI. Αυτό το άρθρο (παρ. 4) ορίζει ότι, σε περίπτωση που ο προγραμματιστής χρειάζεται να εκτελέσει ΕΑΠ, η αναφερόμενη εκτίμηση επιπτώσεων στα θεμελιώδη δικαιώματα θα τη συμπληρώνει. Ως εκ τούτου, τα δύο μέτρα συμμόρφωσης θα μπερδευτούν.
Έτσι, εάν ένας προγραμματιστής ταξινομείται ως «υπεύθυνος επεξεργασίας δεδομένων», δηλαδή το υποκείμενο που καθορίζει τον σκοπό και την έννοια της επεξεργασίας σύμφωνα με τη νομοθεσία περί προστασίας δεδομένων, είναι επίσης υπεύθυνος για τη διεξαγωγή της ΕΑΠΔ σύμφωνα με το άρθρο 26 παρ. 9 του νόμου AI. Αντίθετα, ο πάροχος θεωρείται «επεξεργαστής δεδομένων», ως το υποκείμενο που επεξεργάζεται δεδομένα για λογαριασμό του υπεύθυνου επεξεργασίας.
Διαφορετικά, εάν ένας πάροχος απεικονίζεται ότι έχει πραγματικό έλεγχο σε ένα σύστημα τεχνητής νοημοσύνης, όπως συμβαίνει με τα θεμελιώδη μοντέλα, οι αρχές προστασίας δεδομένων θα θεωρούσαν τον πάροχο ως υπεύθυνο επεξεργασίας δεδομένων ή δυνητικά κοινό ελεγκτή με την οντότητα που αναπτύσσει το σύστημα AI. Ωστόσο, εάν ο πάροχος θεωρείται ότι έχει σημαντικό έλεγχο στο σύστημα AI, η ταξινόμησή του σύμφωνα με τον GDPR μπορεί να αλλάξει. Η επισήμανση ως υπεύθυνος επεξεργασίας δεδομένων ή κοινός υπεύθυνος επεξεργασίας συνεπάγεται πρόσθετες ευθύνες και υποχρεώσεις βάσει της νομοθεσίας περί προστασίας δεδομένων.
Δεν υπάρχει απάντηση αιχμής ως προς τον βαθμό ελέγχου του συστήματος τεχνητής νοημοσύνης που πρέπει να έχει ο πάροχος για να θεωρείται υπεύθυνος επεξεργασίας δεδομένων. Αυτό το τεύχος αντικατοπτρίζει μελλοντικές προκλήσεις σχετικά με τη συμβατότητα του νόμου περί τεχνητής νοημοσύνης με τους υφιστάμενους νόμους και διορθωτικά μέτρα βάσει της νομοθεσίας της ΕΕ και της εθνικής νομοθεσίας. Αυτή η διευκρίνιση είναι ζωτικής σημασίας για τη δημιουργία ασφάλειας δικαίου και για την κατανόηση της κατανομής των ευθυνών μεταξύ των διαφόρων φορέων που εμπλέκονται στην επεξεργασία δεδομένων. Αυτή η σαφήνεια θεωρείται απαραίτητη όχι μόνο για την τήρηση της αρχής της ασφάλειας δικαίου, αλλά και για τον καθορισμό των καθηκόντων των εμπλεκομένων μερών και για τη διασφάλιση της προστασίας των ατομικών δικαιωμάτων (δηλ. άρθρα 15-22 του ΓΚΠΔ).
Βιομετρικά: σε πραγματικό χρόνο και εκ των υστέρων
Η ρύθμιση των συστημάτων βιομετρικής αναγνώρισης σύμφωνα με τα άρθρα 5, 6 και 26 του κανονισμού παρουσιάζει σημαντικές τεχνικές και ερμηνευτικές προκλήσεις. Ο νόμος AI διακρίνει μεταξύ εφαρμογής βιομετρικών δεδομένων σε πραγματικό χρόνο και εκ των υστέρων , αναφερόμενος σε συστήματα όπου οι συγκρίσεις προσώπων πραγματοποιούνται άμεσα και όπου η αναγνώριση γίνεται αργότερα. Οι εφαρμογές βιομετρικής αναγνώρισης σε πραγματικό χρόνο απαγορεύονται γενικά, ενώ οι μεταχρήσεις θεωρούνται υψηλού κινδύνου. Συγκεκριμένα, απαγορεύονται τα συστήματα βιομετρικής ταυτοποίησης σε πραγματικό χρόνο από τις αρχές επιβολής του νόμου σε χώρους προσβάσιμους από το κοινό, με εξαιρέσεις που αναφέρονται στο άρθρο 5, παράγραφος 1, στοιχείο η).
Τα συστήματα εκ των υστέρων βιομετρικής ταυτοποίησης κατηγοριοποιούνται ως συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου σύμφωνα με το άρθρο 6, παράγραφος 2. Αυτή η ταξινόμηση περιλαμβάνει επίσης συστήματα βιομετρικής κατηγοριοποίησης και αναγνώρισης συναισθημάτων. Η ερμηνεία αυτού του κανόνα παράλληλα με το άρθρο 26 του νόμου περί AI και του Παραρτήματος III είναι ζωτικής σημασίας. Είναι σημαντικό ότι μια τέτοια χρήση εξαρτάται από την άδεια δικαστικής ή διοικητικής αρχής, αλλά περιορίζεται σε «στοχευμένες» περιπτώσεις. Αυτό σημαίνει ότι δεν υπάρχει άδεια για ευρεία και αδιάκριτη χρήση, εκτός εάν συνδέεται άμεσα με εγκληματική απειλή, εν εξελίξει ποινική διαδικασία ή αναζήτηση αγνοουμένου.
Αυτό το νομικό πλαίσιο παρουσιάζει ορισμένα ζητήματα που πρέπει να αποσυσκευαστούν. Ειδικότερα, όπως έχει ήδη επισημανθεί στην κοινή γνώμη του EDPB και του ΕΕΠΔ (5/2021), η διάκριση μεταξύ της εφαρμογής της βιομετρικής αναγνώρισης σε πραγματικό χρόνο και εκ των υστέρων είναι μάταιη από την άποψη των θεμελιωδών δικαιωμάτων. Η παρεμβατικότητα της επεξεργασίας δεν εξαρτάται πάντα από το πότε εκτελείται η αναγνώριση ή η αναγνώριση. Η διαφορά είναι καθαρά τεχνική και αποτελείται από δύο διαφορετικές στιγμές της διαδικασίας ταυτοποίησης, αλλά συνεπάγεται τις ίδιες συνέπειες για την επιτήρηση των πολιτών. Ιδιαίτερα, το βιομετρικό σύστημα είναι ως επί το πλείστον το ίδιο, εκπαιδευμένο με ένα σύνολο βιομετρικών δεδομένων, ότι χρησιμοποιείται σε δύο τρόπους: π.χ., ζωντανά ενώ συμβαίνει το έγκλημα ή μετά, εκ των υστέρων.
Το δεύτερο και κύριο μέλημα σχετικά με τη βιομετρική αναγνώριση σχετίζεται με την ευρεία ελευθερία που παρέχεται στα κράτη μέλη να ορίζουν τις λεπτομέρειες χρήσης βιομετρικών συστημάτων, ιδίως όσον αφορά τη διαδικασία αδειοδότησης, όπως ορίζεται στο άρθρο 5, παράγραφος 2. Ενώ ο κανονισμός προσδιορίζει τα περιθώρια εντός των οποίων η χρήση αυτών των συστημάτων πρέπει να συμβεί, περιέχει επίσης αρκετές γκρίζες ζώνες. Για παράδειγμα, τα κράτη μέλη αφήνονται να καθορίσουν ποια οντότητα θα πρέπει να επιτρέπει τη χρήση της βιομετρικής αναγνώρισης: δικαστική ή ανεξάρτητη διοικητική αρχή.
Υπάρχουν διάφοροι λόγοι για τους οποίους τα κράτη μέλη πρέπει να μετακινήσουν τη βελόνα προς μια δικαστική αρχή. Ο κύριος λόγος βρίσκεται στη χορήγηση δικαστικής ανεξαρτησίας και διαφάνειας μιας απόφασης που έχει υψηλές επιπτώσεις στα δικαιώματα του ατόμου, όπως έχει διευκρινιστεί από το Ευρωπαϊκό Δικαστήριο στο Corbiau , C-24/92 (δηλαδή παρ. 15). . Στην απόφαση αυτή, το Δικαστήριο έδωσε σημαντική σημασία στην ιδέα της ανεξαρτησίας στον καθορισμό του εάν ένα όργανο αποτελεί δικαστήριο ή δικαστήριο. Αυτή η έμφαση δεν προκαλεί έκπληξη, δεδομένου ότι η βασική αρχή του κράτους δικαίου εξαρτάται από τη δυνατότητα αναθεώρησης των αποφάσεων που λαμβάνονται από τις δημόσιες αρχές μέσω ανεξάρτητων δικαστηρίων. Έτσι, το κριτήριο της ανεξαρτησίας θεωρείται ευρέως ως ο πιο κρίσιμος παράγοντας που διακρίνει τα εθνικά δικαστήρια από τις διοικητικές αρχές.
Επιπλέον, το Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων, στην υπόθεση Glukhin v. Η Ρωσία (αίτηση αρ. 11519/20), επεσήμανε ότι η διαδικασία έγκρισης της χρήσης αναγνώρισης προσώπου σε δημόσιους χώρους ήταν ελλιπής. Μεταξύ άλλων, δεν διέθετε επαρκείς δικλείδες ασφαλείας, καθώς «απαιτείται επομένως υψηλό επίπεδο αιτιολόγησης για να θεωρούνται αναγκαίες σε μια δημοκρατική κοινωνία […]» (παρ. 86). Ουσιαστικά, η διασφάλιση της δικαστικής ανεξαρτησίας μπορεί να θεωρηθεί ότι αρκεί στο υψηλότερο επίπεδο αιτιολόγησης. Ως εκ τούτου, με την επιφύλαξη της αρχής της δικονομικής ανεξαρτησίας, είναι σημαντικό για τα κράτη μέλη να καθορίσουν ότι η δικαστική αρχή θα είναι η μόνη αρμόδια για μια τέτοια εξουσιοδότηση, προκειμένου να μην υπονομεύονται τα δικαιώματα και να παρέχεται δικονομική δικαιοσύνη .
Η αναγνώριση συναισθημάτων και η μετανάστευση υπόκεινται σε πρότυπα υψηλού κινδύνου
Η διασφάλιση ότι οι δικαστές επιβλέπουν τη διαδικασία εξουσιοδότησης επηρεάζει επίσης τη χρήση των συστημάτων αναγνώρισης συναισθημάτων. Πρόκειται για εξαιρετικά αμφιλεγόμενες χρήσεις της τεχνητής νοημοσύνης που, σε αντίθεση με προηγούμενες εκδόσεις του Κανονισμού, έχουν χαρακτηριστεί ως υψηλού κινδύνου (Παράρτημα III, παρ. 1 εδ. γ). Η χρήση της αναγνώρισης συναισθημάτων δεν επιτρέπεται σε χώρους εργασίας και εκπαιδευτικούς χώρους. Ωστόσο, επιτρέπεται σε άλλες περιπτώσεις, εφόσον τηρεί τις υποχρεώσεις για συστήματα υψηλού κινδύνου. Το άρθρο 52, που αφορά τις υποχρεώσεις διαφάνειας, είναι κάπως ασαφές. Αποκλείει την απαίτηση ενημέρωσης ατόμων που υποβάλλονται σε συναισθηματική ή βιομετρική ανάλυση όταν τα συστήματα AI εντοπίζουν, αποτρέπουν και διερευνούν εγκλήματα.
Παρόμοια ζητήματα εγείρονται από τη χρήση της τεχνητής νοημοσύνης στο πλαίσιο της μετανάστευσης, όπου τα άτομα που υπόκεινται στη συλλογή των (βιομετρικών) δεδομένων τους βρίσκονται σε μια ιδιαίτερα ευάλωτη κατάσταση. Από την άποψη αυτή, ο κανονισμός ταξινομεί τους πολύγραφους και τα συστήματα που χρησιμοποιούνται για την αξιολόγηση των κινδύνων ασφάλειας, της παράτυπης μετανάστευσης ή των κινδύνων για την υγεία ως συστήματα υψηλού κινδύνου (Παράρτημα III, παράγραφος 7). Αυτό ισχύει για ένα άτομο που εισέρχεται ή έχει εισέλθει στο έδαφος κράτους μέλους, για την αξιολόγηση αιτήσεων ασύλου ή θεώρησης ή στο πλαίσιο της διαχείρισης και του ελέγχου των συνόρων.
Το εύρος χρήσης, όπως είναι προφανές, είναι σημαντικά ευρύ, περιλαμβάνοντας πολυάριθμα και ποικίλα σενάρια που φαίνονται παρόμοια ως προς το επίπεδο κινδύνου με εκείνα που χαρακτηρίζονται ως απαγορευμένα. Αυτή η πτυχή έχει συνέπειες όσον αφορά την έγκριση της χρήσης βιομετρικών συστημάτων και συστημάτων συναισθημάτων στην αστυνόμευση, τον έλεγχο των συνόρων, τη μετανάστευση και το άσυλο. Συγκεκριμένα, η αιτιολογική σκέψη 59 αναφέρει:
«Επιπλέον, ο παρών κανονισμός θα πρέπει να διατηρήσει τη δυνατότητα των αρχών επιβολής του νόμου, συνοριακού ελέγχου, μετανάστευσης ή ασύλου να διενεργούν ελέγχους ταυτότητας παρουσία του ενδιαφερόμενου ατόμου […]. Ειδικότερα, οι αρχές επιβολής του νόμου, συνοριακού ελέγχου, μετανάστευσης ή ασύλου θα πρέπει να μπορούν να χρησιμοποιούν συστήματα πληροφοριών σύμφωνα με την ενωσιακή ή την εθνική νομοθεσία για να εντοπίσουν ένα άτομο που, κατά τη διάρκεια ελέγχου ταυτότητας, είτε αρνείται να αναγνωριστεί ή δεν είναι σε θέση να δηλώσει ή να αποδείξει την ταυτότητά του, χωρίς να απαιτείται από τον παρόντα κανονισμό να λάβει προηγούμενη έγκριση.»
Με άλλα λόγια, σε συγκεκριμένες περιπτώσεις, η αναγνώριση προσώπου μπορεί να χρησιμοποιηθεί χωρίς έγκριση από δικαστική ή άλλη αρχή. Αυτό εγείρει σοβαρές ανησυχίες σχετικά με τη συμβατότητα του κανονισμού με την ασφάλεια δικαίου και την εξασφάλιση αποτελεσματικών ένδικων μέσων. Υπάρχει κίνδυνος παραμορφωμένων εφαρμογών, ιδιαίτερα σε ευαίσθητες περιοχές όπως η μετανάστευση, όπου επικρατούν ήδη επεμβατικές πρακτικές. Σε περιπτώσεις παράτυπης μετανάστευσης, όπου η επαλήθευση της ταυτότητας κατά την είσοδο είναι συχνά δύσκολη λόγω έλλειψης τεκμηρίωσης, η βιομετρική αναγνώριση θα μπορούσε να χρησιμοποιηθεί εκτενώς, ακόμη και πέρα από τα ποινικά αδικήματα που αναφέρονται στο παράρτημα II του κανονισμού.
Οι προκλήσεις που έρχονται
Αυτός ο σχολιασμός δεν έχει σκοπό να ρίξει μια αρνητική ματιά στον νόμο AI. Αντίθετα, ο νόμος AI εισάγει αξιοσημείωτα επιτεύγματα όσον αφορά τη συμπερίληψη του πλαισίου εκτίμησης επιπτώσεων των θεμελιωδών δικαιωμάτων για συστήματα υψηλού κινδύνου και την άσκηση των διαδικαστικών δικαιωμάτων ενώπιον της Εποπτικής Αρχής της Αγοράς (άρθρα 27 και 70). Ωστόσο, εξακολουθούν να υπάρχουν ανησυχίες , συμπεριλαμβανομένων των ασυνεπειών στη βιομετρική επιτήρηση και των πιθανών αναποτελεσματικών μηχανισμών προστασίας των θεμελιωδών δικαιωμάτων. Τέλος, η ανισορροπία δυνάμεων μεταξύ της δημόσιας αρχής και του ατόμου, μαζί με τον εγγενή κίνδυνο συλλογής δεδομένων για ευάλωτα άτομα, είναι όλοι οι λόγοι για τους οποίους πρέπει να απαιτείται η εποπτεία της δικαστικής αρχής. Στον τομέα της τεχνητής νοημοσύνης, είναι σημαντικό για το δικαστικό σώμα να διατηρήσει την εξουσία ως προστάτη των δικαιωμάτων, ιδίως όσον αφορά την εξουσιοδότηση και την παρακολούθηση της πρακτικής εφαρμογής της ΤΝ.
Αυτή είναι μια αυτόματη μετάφραση μιας ανάρτησης που δημοσιεύτηκε στο Verfassungsblog στη διεύθυνση URL https://verfassungsblog.de/shortcomings-of-the-ai-act/ στις Thu, 14 Mar 2024 16:36:13 +0000.