Regulace umělé inteligence podle DSA a AI Actu

Přínos obou nařízení lze shrnout jako snahu o vyvážení vlivu jednotlivých systémů - v případě AI Actu i produktů - a o posílení postavení koncového uživatele či spotřebitele. Obě legislativy zároveň zvyšují nároky na různé typy služeb a tyto nároky stupňují na základě rizikovosti pro uživatele.

DSA - nařízení o digitálních službách - je tzv. horizontální právní předpis, který nastavuje rovná pravidla (level playing field) pro množství služeb poskytovaných v online prostoru. Vedle něj však existuje vícero dalších regulací, které byly od počátku zamýšleny jako vertikální, tedy specifická pravidla, jež mají tuto horizontální úpravu doplnit.

Jedním z těchto předpisů je také nařízení o umělé inteligenci (AI Act), které v poslední době přitahuje stále větší pozornost veřejnosti.

Zatímco DSA rozlišuje mezi prostým přenosem, cachingem, hostingem, online platformami, online tržišti a velmi velkými online platformami či internetovými vyhledávači (VLOPs/VLOSEs), AI Act kategorizuje AI systémy na zakázané (např. systémy zneužívající zranitelnosti určitých skupin osob nebo hodnotící emoce zaměstnanců či žáků), systémy s vysokým rizikem (např. AI v kritické infrastruktuře nebo hodnotící vzdělávací výsledky), systémy s omezeným rizikem (např. deepfakes) a obecné modely (např. ChatGPT, Llama, Gemini).

Pro jednotlivé kategorie různá pravidla

V obou případech platí pro jednotlivé kategorie různá pravidla. Klíčovým společným prvkem je důraz na transparentnost. V DSA to znamená jak transparentní podmínky používání služeb, tak i zprávy o transparentnosti, např. údaje o moderaci obsahu, přijímání příkazů k jeho odstranění podle čl. 9 DSA, či používání automatizovaných nástrojů.

Pro VLOPs se tyto požadavky dále zvyšují, například o povinnost zveřejňovat zprávy o systémových rizicích, podstupovat nezávislé audity či poskytovat přístup k datům výzkumníkům podle čl. 40 DSA.

Oproti tomu transparentnost v produktové legislativě, jako je AI Act, se vztahuje na celý životní cyklus vývoje a uvádění AI produktů na trh.

Konkrétní příklady překrývání nařízení

Kde se tedy DSA a AI Act mohou překrývat? Především v oblasti regulace AI systémů integrovaných do zprostředkovatelských služeb spadajících pod DSA, typicky v doporučovacích systémech online platforem, a zvláště pak u VLOPs nebo VLOPSEs, jejichž obchodní modely jsou často založeny právě na AI systémech.

AI Act v tomto směru doplňuje povinnosti poskytovatelů zprostředkovatelských služeb, pokud do svých služeb integrují AI systémy. Zároveň výslovně uvádí, že nesmí být dotčena ustanovení o odpovědnosti poskytovatelů podle DSA.

Např. pokud jsou AI systémy integrovány do VLOPs/ VLOSEs dle DSA a mohou potenciálně zasahovat do základních práv uživatelů, podléhají automaticky posouzení rizik stanovenému v čl. 34 DSA. Předpokládá se, že tím jsou splněny i povinnosti podle AI Actu, pokud se neobjeví systémová rizika, která DSA nepokrývá (viz recitál 118 AI Actu).

Typickým příkladem jsou doporučovací algoritmy na sociálních sítích nebo chatboty a inteligentní asistenti, kteří fungují v rámci hostingu či jiných služeb pokrytých DSA. Pro doporučovací systémy platí vícero pravidel transparentnosti dle DSA.

Příkladem může být jasný a srozumitelný popis toho, jak doporučovací systém funguje a na základě kterých hlavních parametrů. Kromě toho musí VLOPs nabídnout alespoň jednu možnost doporučovacího systému, která není založena na profilování.

Z hlediska DSA mohou být důležitá také ustanovení AI Actu v oblasti zakázaných a vysoce rizikových systémů jako např. systémy biometrické identifikace nebo hodnocení emocí.

Pokud by doporučovací systém na sociálních sítích rozpoznával nálady nebo osobnostní rysy uživatelů a na jejich základě jim manipulativně podsouval obsah či reklamy, mohl by být v některých případech zařazen do vysoce rizikové kategorie dle přílohy III. AI Actu.

Chatboti mohou být často dostupní v rámci hostingových služeb nebo telefonických asistentů. V takových případech musí být uživatel informován, že komunikuje s AI, a to jak u hlasových, tak textových služeb. Podobně musí být správně označen syntetický obsah (např. generované obrázky či videa).

Pokud by tedy služba regulovaná DSA poskytovala možnost generování syntetického obsahu, bude nově povinna takový obsah řádně označit dle AI Actu.

Dále platí, že pokud chatbot ukládá informace od uživatelů, bude se zároveň jednat o hostingovou službu podle DSA a bude muset dodržovat příslušné povinnosti. Pakliže chatbot navíc umožňuje i vyhledávání hesel na internetu, dopadnou na něj i povinnosti internetového vyhledávače.

Dalším příkladem může být i otázka tzv. dark patterns a cílení online reklamy, které DSA reguluje v čl. 25 a 26. Pokud by byly uvedené prvky služeb online platforem indikovány pomocí AI nástrojů, může na ně kromě DSA dopadnout i AI Act.

Např. pokud by šlo o systém zneužívající zranitelnost určité skupiny uživatelů. To stejné platí i v případě, že AI systém online platformy představoval ohrožení pro nezletilé uživatele ve smyslu čl. 28 DSA.

V neposlední řadě je nutné poukázat na používání AI při moderaci uživatelského obsahu. V takovém případě je poskytovatel hostingové služby povinen postupovat zejména v souladu s čl. 14 a 17 DSA. Dále musí tuto skutečnost promítnout do své zprávy o transparentnosti.

Pokud poskytovatel zprostředkovatelské služby využívá systémy AI k moderaci obsahu, je povinen ve své zprávě o transparentnosti uvést přesné účely, kvalitativní popis, ukazatele přesnosti včetně možné míry chybovosti AI systémů a informace o veškerých bezpečnostních zárukách.

Je zřejmé, že DSA a AI Act se vzájemně doplňují ve sféře regulace online prostředí. Otázkou zůstává, jak bude vymáhání obou předpisů probíhat v praxi.

Pro ČTÚ je výhodou, že bude příslušným dozorovým orgánem pro DSA i AI Act, což může přispět k efektivnějšímu vymáhání.