Néhány éve egyre gyakrabban halljuk, hogy a mesterséges intelligenciát (MI) szabályozni kell. Hiszen nap mint nap történnek aggasztó esetek, amelyek a sajtóban is nagy hullámokat vetnek: középiskolás fiúk videóhamisító programokkal pornósztárok testére varázsolták osztálytársaik vagy épp celebek fejét, Chat GPT-vel állítanak elő egyre többen egyetemi esszéket és szakdolgozatokat, illetve fotós mesterséges intelligenciával előállított képpel nyernek fotóversenyt. Még nyugtalanítóbb lehet az MI használata a választási manipulációra vagy a tömegmegfigyelésre. Nem véletlen, hogy a világban egyfajta verseny indult el, ki fogja gyorsabban, hatékonyabban és mások számára is követendő módon megregulázni a mesterséges intelligenciát.

Etika, felelősség, technika

Efféle új technológiákat sokféleképp lehet szabályozni, de másra gondol az egyszerű felhasználó, a jogász vagy a mérnök. A hétköznapi felhasználó valószínűleg az említett botrányos esetek megakadályozását szeretné. Az akadémiai szféra inkább etikai aggályokat helyez előtérbe. A jogásznak először a felelősség kérdése jut eszébe: ki viseli a terhét, ki fizet és mennyit, ha egy mesterségesintelligencia-rendszer kárt okoz? A mérnöknek pedig a műszaki problémák lesznek elsődlegesek: milyen műszaki követelmények kellenek az MI-rendszerek megbízható működéséhez.

Amikor az EU a 2010-es évek elején elkezdett foglalkozni az MI szabályozásával, az említett kérdések még nyitottak voltak: nem dőlt el, hogy a szabályozás az etikai, a felelősségi vagy a műszaki szempontokra helyezi-e a hangsúlyt, de az sem, hogy mennyire koncentrál konkrét esetekre és technológiákra, vagy inkább általános, több ágazatot és használati esetet ölel fel. Minden szabályozási módszernek van előnye és hátránya is: hogy csak a legegyszerűbbet említsük, egy etikai előírás kellően általános ahhoz, hogy minden esetre kiterjedjen, de semmit nem mond arról, milyen legyen vagy ne legyen a konkrét technológia.

Szabályozástörténet

Már csaknem egy évtizede elkezdtek az EU intézményei a szabályozás kérdésével foglalkozni, és néhány év alatt többtucatnyi előkészítő dokumentum és szakértői anyag született. Ezek közül kettőt érdemes kiemelni. A 2016-ban született parlamenti állásfoglalás elsősorban a felelősség kérdésének megoldására tartalmazott ötleteket, többek között olyan, ma már vadnak tűnőket is, mint hogy a robotokat (mai felfogás szerint fizikai megjelenéssel bíró mesterségesintelligencia-rendszereket) valamiféle jogi személyiséggel kellene felruházni, hogy jogokkal és kötelezettségekkel rendelkezhessenek. A dokumentum más felvetései tartósabbnak bizonyultak, így például az, hogy etikai keretrendszer kidolgozására van szükség ahhoz, hogy a robotok valós helyzetben történő tesztelése milyen fontos, vagy hogy ezen a területen kockázatalapú megközelítésre van szükség. A másik dokumentum, amelyet mindenképpen meg kell említeni az MI-rendelet előzményeként, a mesterséges intelligenciával foglalkozó magas szintű szakértői csoport (AI HLEG) etikai iránymutatása. Ez a 2018-as dokumentum olyan – egyébként eddigre már világszerte számos dokumentumban megjelenő – követelményeket fogalmazott meg, mint hogy az MI-nek mindig emberi kontroll alatt kell maradnia, a kimeneteinek mindig megmagyarázhatóknak kell lenniük, illetve hogy az MI nem lehet diszkriminatív, nem tehet indokolatlan különbséget az emberek között.

Termékmegfelelőségi jogszabály

2021 áprilisában nyújtotta be az Európai Bizottság a mesterséges intelligenciáról szóló rendelet (AI Act) tervezetét, amelyet azután egy csaknem három évig tartó jogalkotási folyamat követett. A rendelet formája sokakat meglepett: felépítése, szerkezete, szabályozási logikája ugyanis ezt a jogszabályt az úgynevezett termékmegfelelőségi szabályok közé sorolja.

Ezeket a szabályokat az EU-ban összefoglalóan új jogszabályi keret (New Legislative Framework) néven emlegetik, s elsősorban fizikai termékcsoportokra vonatkozó alapvető elvárásokat tartalmaznak. Korábbi verzióik még abból az időből valók, amikor az EU főként az egységes piac megteremtésén fáradozott, és csak egyenletes minőségű, biztonságos termékek forgalmazását akarta engedélyezni. Ezért ezek a szabványszerű jogszabályok meghatározzák, milyen műszaki, fizikai, kémiai, biológiai és egyéb követelményeknek kell az egyes terméktípusoknak, játékoknak, autóknak, gázkészülékeknek, hajóknak, orvosi műszereknek, drónoknak stb. – megfelelniük, ezt a megfelelést hogyan kell tanúsítani, majd azt biztosítani, hogy a gyártók, a forgalmazók, az importőrök (az EU-n kívülről behozott termékeknek is meg kell ezeknek felelniük) folyamatosan betartsák, azaz a piacon levő termékek minden pillanatban megfelelő minőségűek legyenek.

Az MI-vel kapcsolatban ekkor már évek óta zajló, főként emberi jogi kockázatok és etikai kérdések körül forgó diskurzushoz valahogy nagyon nem illett ez a mérnöki, szabványosító megközelítés – emiatt okozott a formátum meglepetést. Ugyanakkor a jogszabály már kiinduló állapotában is elég sok ötletet és korlátot beépített a HLEG MI etikai iránymutatásából, és tele volt etikai és emberi jogi jellegű rendelkezésekkel.
A jogalkotás folyamatában ezeknek az etikai, emberi jogi típusú rendelkezéseknek a mennyisége tovább nőtt. Mostanra furcsa hibrid szabályozásról beszélhetünk, amely formájában szabvány, tartalmában pedig műszaki súlypontú etikai kódex.

A jogi fogalom

Jogszabály esetén kulcsfontosságú, hogy pontosan tudjuk, hogy az mire és kikre vonatkozik. Az MI-rendelet több mint hatvan különböző fogalmat definiál, de ezek közül nyilvánvalóan a legfontosabb magáé az MI-é. Az elég egyértelmű, hogy valamilyen szoftverről van szó, de mi különbözteti meg az MI-t az „egyszerű” szoftverektől? Ez különösen annak fényében érdekes, hogy hagyományosan (nagyjából az ötvenes évek óta) a mesterséges intelligenciát úgy definiálták, hogy képes olyan dolgokra, „amelyekre azelőtt csak az emberek voltak képesek”. Ez viszont időben igencsak változik, hiszen ki mondaná ma mesterséges intelligenciának azokat a karakterfelismerő programokat, amelyeket a nyolcvanas években minden további nélkül annak tartottak.

A jogszabály MI-fogalma ezek miatt a dilemmák miatt a jogalkotási folyamat során többször is változott. Az első definíció még bizonyos műszaki megoldásokat is tartalmazott, így a gépi tanulás vagy a következtetőgép (inference engine) fogalmát. A legutolsó szövegverzióban már csak „puha” elemeket találunk. Eszerint az MI-rendszer olyan „gépi alapú rendszer, amelyet különböző autonómiaszinteken történő működésre terveztek, és amely a bevezetését követően alkalmazkodóképességet tanúsíthat, és amely a kapott bemenetből – explicit vagy implicit célok érdekében – kikövetkezteti, miként generáljon olyan kimeneteket, mint például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket, amelyek befolyásolhatják a fizikai vagy a virtuális környezetet”. A definíció négy fontos elemére érdemes figyelni: először is gépi (nem organikus) rendszerről van szó, másodszor képes alkalmazkodni a környezetéhez, harmadszor következtet, negyedszer befolyásolja a környezetét. Ha jobban belegondolunk, ebből az igazán erős megkülönböztető erővel csak a „következtetés” elem rendelkezik. „Következtetni” (kreatívan válaszolni, gondolkodni) ugyanis egyetlen egyszerű szoftver sem tud, minthogy azok csak determinisztikus működésre képesek, ugyanarra az inputra mindig ugyanazt az outputot adják.

Rendszerkategóriák

Legfontosabb jellegzetessége a jogszabálynak, hogy három csoportba sorolja az MI-rendszereket, illetve azok használatát (amelyet MI-gyakorlatoknak nevez).

Egyfelől vannak tiltott gyakorlatok: ezek olyan társadalmi helyzetek, amelyekben a jogszabály egyáltalán nem engedi meg a mesterséges intelligencia alkalmazását, például a kínaihoz hasonló társadalmi pontozási rendszer működtetését, a tudatalatti manipulációt megvalósító vagy sérülékenységeket kihasználó MI építését és használatát.

A második kategória az úgynevezett nagy kockázatú MI-rendszerek. Valójában az MI-rendelet legnagyobb része az ezekre a rendszerekre vonatkozó előírásokat tartalmazza. Ezeket ismét két alcsoportra lehet osztani, a fizikai termékekre és az egyedi szoftverekre. A termékek esetén a szabályozás nem az egész termékre terjed ki (hiszen arról, például egy játékról egy másik termékmegfelelőségi jogszabály intézkedik), hanem csak a termék részét képező MI-komponensre, és erre is csak akkor, ha az a termék biztonsági rendszerének része. Számos termékcsoport tartozik ebbe a kategóriába, de – hogy egy közkeletű tévedést eloszlassunk – például az önvezető járművek nem, mert azokról ágazati szabályok rendelkeznek, illetve fognak rendelkezni. Előző példánknál maradva tehát a játékok biztonsági komponensei a kategória részei: olyan játékbaba, amely az MI révén társalog gyerekekkel, nem szabályozott (mert ez nem biztonsági komponens), míg mondjuk egy elektromos kisautó meghajtásában vagy fékrendszerében alkalmazott MI valószínűleg az lenne.

Külön alkategóriát képez a nagy kockázatú kategórián belül a „testtel” nem rendelkező, azaz csak szoftver formájában létező MI-rendszerek csoportja, amelyet egy másik, külön melléklet tartalmaz. Lényegében minden, a kritikus infrastruktúrák üzemeltetésében, rendészetben, idegenrendészetben, igazságszolgáltatásban, közigazgatásban használt MI-rendszer ilyennek minősül. Ami nem kézenfekvő: a munkaerő kiválasztásában, illetve bizonyos banki műveletek területén (például hitelbírálatkor) használt MI-rendszerek is kockázatosnak számítanak. A jogszabály összesen nyolc csoportban nagyjából harmincféle MI-rendszert említ, de a mellékletet a bizottság könnyedén bővítheti új MI-rendszerekkel.

Követelmények és szankciók

Hét követelménycsoportot állít fel a nagy kockázatú rendszerek fejlesztése és működtetése kapcsán az MI-rendelet. Az ezeknek való megfelelés főként az előállítókat és részben az MI-t alkalmazókat terheli. Közülük három kritérium háromféle rendszer felállítását és működtetését írja elő: a kockázatkezelést, az adatkormányzást (főként az MI tanításához szükséges adatok kezelését) és az MI-rendszer állapotváltozásait folyamatosan rögzítő nyilvántartást (naplózást).
A rendelet ezenfelül az MI-rendszerekkel kapcsolatban három elvárást ír le részletesen: a rendszerek minden pillanatban biztosítsák az emberi felügyeletet, illetve az átláthatóság és a kiberbiztonság követelményei érvényesüljenek. A jogszabály végül részletes dokumentációs kötelezettséget tartalmaz.

A rendelet természetesen egy sor végrehajtási mechanizmust, intézményt és szankciót is felölel, amelyek a jogszabálynak csaknem a felét teszik ki. A legfontosabb mechanizmus az egyes rendszerek konkrét tanúsításának folyamata. Ezt az erre bejelentkezett, szakértelemmel rendelkező tanúsító szervezetek fogják végezni. Külön tagállami hatóság lesz kijelölve a piacfelügyeleti feladatok elvégzésére. A rendelet uniós szinten felállítja az MI Hivatalt, amely főleg módszertani útmutatásokat ad majd a mellette működő tanácsadó testület segítségével, és központi nyilvántartás vezetését rendeli el. A rendelet megszegőit komoly bírsággal lehet sújtani, amely akár harmincötmillió eurós összegig terjedhet.