AI a legislativa: Práce, autorská práva, GDPR
1 Používání AI na pracovišti
V souvislosti s rozvojem umělé inteligence vyvstává pro zaměstnavatele nová výzva, otázka, jak vhodně upravit pracovní smlouvy, aby zaměstnanci nemohli zneužívat umělé inteligence a vydávat práci jí zpracovanou za svou. Tato problematika se dynamicky vyvíjí s rozvojem umělé inteligence a její úprava zatím není rozšířena. Aby zaměstnavatel předešel užívání umělé inteligence, může nastavit pravidla, jako je například plošný zákaz umělou inteligenci užívat, tím by ale připravil jak své zaměstnance, tak sebe o nástroj, který má potenciál výrazně usnadnit a zdokonalit práci. Pokud se tedy zaměstnavatel nerozhodne pro plošný zákaz umělé inteligence, je vhodné, aby upravil tuto problematiku interním předpisem, ve kterém by se měl zaměřit na pár nejčastějších rizik používání umělé inteligence zaměstnanci.
1.1 Rizika používání umělé inteligence
Mezi nejčastější rizika používání výstupů umělé inteligence patří práce s neprověřenými zdroji. Aby se předešlo této hrozbě lze nastavit ve společnosti pravidla v podobě zákazu užívání jiných systémů umělé inteligence než těch, které jsou přímo firmou schváleny a předepsány. V souvislosti s tím je vhodné zavést interní schvalovací postupy pro užívání umělé inteligence a zavedení seznamu schválených systémů umělé inteligence.
Dalším problematickým aspektem užívání umělé inteligence je možnost porušení obchodních podmínek nástroje. Obchodní bývají často velmi obsáhlé a málokdo se dočte až k jejich konci, ovšem v takovém textu bývají často obsaženy zásadní informace o užívání umělé inteligence. Nevěnují-li zaměstnanci dostatečnou pozornost této oblasti, hrozí, že nevědomky poruší obchodní podmínky například tím, že užijí výstupy umělé inteligence za účelem, za kterým je užít nesmějí.
Tomuto problému může zaměstnavatel opět předejít tím, že zavede seznam povolených systémů umělé inteligence, u nichž nechá obchodní podmínky náležitě prostudovat.
Dalším problematickým aspektem je fakt, že zaměstnanci pracující za pomoci umělé inteligence, mohou snadno vyzradit obchodní tajemství. Data, která zadávají do nástrojů umělé inteligence, se ve většině případů automaticky ukládají na servery provozovatele umělé inteligence. Takový únik by mohl znamenat vyzrazení obchodního tajemství ze strany zaměstnanců. Zaměstnavatel by tedy měl zavést pravidlo přísného zákazu vládání dat, která mají povahu obchodního tajemství nebo důvěrných informací do systémů umělé inteligence.
Jako další je třeba poukázat na riziko porušení povinností při zpracování osobních údajů. Zadá-li zaměstnanec do nástroje umělé inteligence data, která mají povahu osobních údajů, dojde tak k jejich zpracování a je třeba dbát veškerých povinností plynoucích z GDPR a dalších právních předpisů upravujících ochranu osobních údajů. Mělo by být zaměstnancům jasně sděleno, že data, která do systému umělé inteligence vkládají mají povahu anonymizovaných údajů, aby nedošlo k porušení právních předpisů, či aby v případě možného porušení nenesl odpovědnost zaměstnavatel.
Asi největším problémem v oblasti užívání umělé inteligence zaměstnanci je fakt, že tyto nástroje generují obsah odpovídající kvalitě vstupních dat, na nichž byl model trénován. Nejsou-li vstupní data přesná, nebude přesný ani výstup. Proto se často stává, že umělá inteligence generuje obsah nepřesný, často dokonce chybný. V případných pravidlech užívání umělé inteligence v dané firmě je proto vhodné upravit, že zaměstnanec odpovídá za jím odvedenou práci bez ohledu na to, zda pracoval s pomocí umělé inteligence nebo bez ní. Touto úpravou budou zaměstnanci nuceni výstupy umělé inteligence kontrolovat a kriticky hodnotit, případně upravit dle potřeby.
2 Může být AI autorem?
2.1 Autorství
Spolu s rozvojem umělé inteligence, která je schopna vytvářet díla neuvěřitelně podobná výsledkům lidské tvůrčí činnosti, vyvstává otázka autorství takových děl.
Podle autorského zákona je autorským dílem jedinečný výsledek tvůrčí činnosti autora. Umělá inteligence ale pracuje na základě algoritmů, učení a vstupních dat, považovat výsledek takové činnosti za autorský, je přinejmenším problematické.
Argumenty se dělí do dvou směrů, jedna říká, že se jedná o pouhou aplikaci algoritmu, která autorskoprávní ochrany nepožívá, druhá naopak tvrdí, že jedná-li se o dílo natolik sofistikované a jedinečné, pak by se autorským nazývat mohlo a algoritmus umělé inteligence by tak šel přirovnat k lidské inspiraci, znalostem a zkušenostem, na jejichž základě tvůrčí činnost probíhá.
2.2 Autor díla
Pokud by dílo umělé inteligence bylo považováno za dílo autorské, přichází další problematická otázka, kdo je autorem. Autorem díla je dle českého práva vždy fyzická osoba neboli tvůrce díla. Umělá inteligence však není osobou. Autorem tak může být buď tvůrce umělé inteligence, nebo fyzické osoby jako uživatelé umělé inteligence, nebo umělá inteligence sama.
2.2.1 Tvůrce umělé inteligence
První scénář považuje za autora díla autora umělé inteligence, který vytvořil algoritmus a naučil umělou inteligenci tvořit. Jako argument pro tento výklad slouží zejména fakt, že bez těchto osob by nikdy nevznikla umělá inteligence, a tedy ani následný výtvor umělé inteligence. Jako protichůdný argument ale stojí fakt, že samotný prvotní impulz k výtvoru nelze považovat za výtvor samotný. Tento výklad naráží na ustanovení, které říká, že k vytvoření díla nestačí dát k jeho tvorbě podnět.
2.2.2 Uživatel umělé inteligence
Druhý scénář za autora považuje uživatele umělé inteligence, který zadává vstupy a tím řídí tvorbu. Důvodem, proč se přiklánět k tomuto scénáři je, že právě tvůrčí činnost těchto jedinců se nejvíce odráží v následné činnosti umělé inteligence. Bez prvotního vstupu uživatele by nikdy dílo nevzniklo, respektive vzniklo by dílo úplně jiné. Problematické ale je, že při zadání týchž vstupních údajů opakovaně po sobě dá umělá inteligence vždy odlišný výstup, autorství uživatele umělé inteligence je tedy také zpochybnitelné.
2.2.3 Umělá inteligence
Případně třetí scénář říká, že autorem je sama umělá inteligence, jelikož ale umělá inteligence není osobou, nemůže být nositelem autorských práv. V takovém případě by s největší pravděpodobností připadla autorská práva vlastníkovi umělé inteligence. Tento scénář by ovšem dal prostor pro využívání umělé inteligence jako obchodovatelného generátoru autorských děl. V takové situaci by autorství dostalo zcela jiný rozměr, než jak jej upravují právní řády dnes.
2.3 Současná úprava
Současná autorskoprávní úprava nereflektuje aktuální stav vývoje umělé inteligence. Odpovědi na tyto otázky zatím nejsou nijak zřejmé. Chystaný akt o umělé inteligenci s nimi nepracuje. Evropská komise ale navrhla ve své zprávě o duševním vlastnictví souvisejícím s umělou inteligencí čtyřstupňový test. Podle něj ale, aby byl výstup umělé inteligence kvalifikován jako dílo, musel by zahrnovat lidské duševní úsilí. Lze tedy očekávat, že ve většině případů nebude podléhat autorskoprávní ochraně dílo tvořené čistě umělou inteligencí.
3 Vývoj AI a ochrana osobních údajů
S problematikou rychle se rozvíjející umělé inteligence úzce souvisí také otázka ochrany osobních údajů. V oblasti zpracování osobních údajů umělou inteligencí vyvstávají různé hrozby, jako je například riziko porušení zabezpečení osobních údajů. Ten, kdo umělou inteligenci využívá, ale i ten, kdo napomáhá vývoji umělé inteligence musí přijmout odpovídající technická a organizační opatření k ochraně osobních údajů, jinak hrozí, že dojde k neoprávněnému přístupu k osobním údajům zpracovávaným systémem umělé inteligence.
3.1 Princip fungování AI a GDPR
Princip fungování umělé inteligence a princip GDPR stojí v přímém protikladu. Zatímco hlavní ideou, na které stojí pravidla pro zpracování osobních údajů je tzv. zásada účelového omezení, která je zakotvena v čl. 5 odst. 1 písm. b) GDPR, který říká, že osobní údaje by měly být shromažďovány pouze pro konkrétní a oprávněné účely, a tedy nemělo by docházet k jejich zpracovávání způsobem, který by tomuto odporoval. Nosnou ideou umělé inteligence je naopak maximalizace dat neboli snaha získávat co největší množství dat, ze kterých se umělá inteligence učí.
3.2 Užívání umělé inteligence
Užívání algoritmu umělé inteligence představuje prostředek zpracování, nikoliv účel zpracování. Rozsah údajů upravený zásadou minimalizace údajů se odvíjí od potřeb algoritmu umělé inteligence, které vyplývají z účelu zpracování, jako je například poskytování konkrétní služby. Údaje využívané jako prostředek zpracování tedy pod tuto zásadu přímo nespadají. V praktické rovině budou ovšem tyto informace velmi podobné.
V mnoha případech se objevují údaje, které by byly užitečné pro spolehlivost algoritmu strojového učení, u nichž ale nebude možné obhájit nezbytnost účelu. Takové zpracování by pak bylo porušením principu minimalizace dat zpracování osobních údajů podle GDPR.
Problémem, ke kterému může docházet v této oblasti, je nedostatečná anonymizace údajů. Systémy umělé inteligence mohou využívat data ze zvláštních kategorií osobních údajů. V této oblasti je vhodnější, aby pro učení umělé inteligence byla využívána raději data syntetická, tedy neobsahující osobní údaje. Pokud dojde k tomu, že umělá inteligence pracující s osobními údaji promítne do generovaného výstupu osobní údaje, může se stát, že se uživatel systému stane správcem osobních údajů podle čl. 24 GDPR a ponese tak související povinnosti správce.
Dále je třeba se pozastavit nad otázkou zákonnosti a transparentnosti zpracování. V případě, že provozovatelé systémů umělé inteligence nemají dostatečný právní základ ke zpracování osobních údajů nebo neposkytují transparentní informace subjektu údajů, může dojít k porušení práv subjektů údajů a ztrátě důvěry. Mezi rizika související s prací s výstupy z umělé inteligence můžeme dále zařadit také neadekvátnost uchování osobních údajů, neoprávněné sdílení údajů s třetími stranami a ovlivněné diskriminační výstupy.
3.3 Vývoj umělé inteligence
V případě vývoje umělé inteligence je ale situace odlišná. Vývojáři potřebují dostatečné množství testovacích dat. Bude-li testovací sada obsahovat osobní údaje, musí je vývojář shromáždit, ale i odůvodnit jejich zpracování pro účely vývoje algoritmu. V zásadě si pak správce osobních údajů, který si přeje využít jich k vývoji a testování algoritmu, může vybrat z více alternativ, jak toho docílit.
Správce může dovodit, že vývoj umělé inteligence je součástí služeb, které poskytuje zákazníkovi a zpracování těchto údajů je tedy nezbytné za účelem plnění smlouvy mezi správcem a subjektem údajů v souladu s čl. 6 odst. 1 písm. b) GDPR. Vyvstává zde ale otázka, do jaké míry bylo zpracování dat skutečně nezbytné za účelem poskytování služby, jak vyžaduje princip minimalizace. Správce dále může zpracovávat osobní údaje na základě svého oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR. Zpracování tímto způsobem ale podléhá tzv. balančnímu testu neboli posouzení, zda zájmy subjektů údajů nepřeváží nad oprávněným zájmem správce. Oprávněný zájem ale bude představovat nový účel. Tento sekundární účel musí projít testem slučitelnosti účelů zakotveném v čl. 6 odst. 4 GDPR. Mezi účely musí zejména existovat vazby.
Vývojáři AI by měli dbát na ochranu osobních údajů. To lze zajistit zejména přijetím technických a organizačních opatření pro minimalizaci rizika ztráty, zneužití nebo neoprávněného přístupu k datům. Vývojáři by měli užívat bezpečnostní opatření jako například anonymizaci či pseudonymizaci nebo šifrování dat, užívat zabezpečená uložiště dat a sledovat, kdo má k datům přístup. Z pohledu GDPR je zásadní také transparentnost a informovanost. Osoby, jejichž údaje se zpracovávají, musí být řádně informovány a poučeny o svých právech ve vztahu k daným údajům.