A mesterséges intelligencia életképes jogi szabályozása kétségkívül korunk egyik legnagyobb kihívása a jogalkotásra felkent szervek számára. Olyan technológiát kell megismerni és általánosítások útján leírni, ami folyamatosan mozgásban van és képes egyik hétről a másikra paradigmaváltásokon átesni. Ebbe a kemény fába vágta a fejszéjét az Európai Unió, amikor a Bizottság 2021 áprilisában előterjesztette a közösség MI megközelítését artikuláló MI-kódexét, az AI Act-et. A tavaly nyáron hatályba lépő rendeletben előirányzott végrehajtási és MI-kormányzási rendszer kiemelkedik más nemzetek és közösségeik alapvetően hasonló szellemben kialakított struktúrái közül és kifejezetten ígéretes, időtálló modellt sejtet. Persze csak akkor, ha sikerül kinőnie gyermekbetegségeit és végrehajtani abban a formában, ahogyan azt a jogalkotó eltervezte.
A világ rövid, de intenzív utat járt be a mesterséges intelligencia (MI) helyes és hatékony szabályozásának nyomában. Kezdetben az állami és piaci szereplők aktív közreműködővel kialakított, etikai, erkölcsi felelősségén alapuló önszabályozó modellben, vagy az MI univerzum laissez faire jellegű konszolidációjában bíztak, a komolyabb megnyugvást hozó eredmények azonban elmaradtak. Ahogy egyre jobban kibontakozott az MI-ben rejlő felforgató potenciál, úgy vált egyre egyértelműbbé, hogy a technológiával kapcsolatos - emberi jogi és közbiztonsági - aggályok, kockázatok kezelésére egyedül annak jogi keretek közé szorítása adhat megnyugtató választ. Így a "fókusz a kötelező erővel rendelkező jogi szabályozás irányába mozdult, melynek célja nem csak az esetleges MI-vel való visszaélése elleni védelem, hanem az innováció etikus és fenntartható környezetének előmozdítása is".[1]
Az EU-nak kettős volt a célja az AI Acttel[2] (a továbbiakban AIA vagy a Rendelet): egységes közösségi rezsim kiépítése, ezzel az MI-piac fragmentációjának[3] megelőzése, valamint nemzetközi MI szabályozási standard állítása és annak globális érvényre juttatása részben a Rendelet rendkívül széles extraterritoriális hatályában,[4] részben pedig a Brüsszel-hatásban[5] bízva. A grandiózus tervek mögött azonban egy mindinkább égető kérdés, az EU - USA és Kína mögött gyorsuló ütemben elmaradó - versenyképességének kezelése állt, melynek egyik eszközét a döntéshozók a digitális technológiák fejlesztésében és előállításában látták.[6] Az AIA záróköve annak a technológia fókuszú jogalkotási folyamatnak,[7] amelyet a Bizottság és az EU kodifikációs gépezete az elmúlt években hatalmas munkával megvalósított, hogy olyan harmonizált, innovációt ösztönző környezetet teremtsen, amire alapozva az öreg kontinens újra meghatározó szereplőjévé tud válni a nemzetközi nagyhatalmi versenynek.
Egy olyan változó és relatíve új területen, mint az MI, már a jogszabályok megalkotása sem egyszerű feladat, ám még nagyobb kihívást jelent azok végrehajtása. Nemcsak azért, mivel a jog működési környezete konstans mozgásban van, hanem azért is, mert a normaszöveg olyan megoldásokat tartalmazhat, amelyek lehet, hogy a tárgyalóasztal mellett, "papíron" észszerűnek tűntek, a gyakorlati megvalósítás során kiütköznek hiányosságaik, életszerűtlenségük, s emiatt folyamatos korrekcióra van szükség. Átgondolt, megfelelően funkcionáló jogalkalmazó és -érvényesítő struktúra hiányában pedig a legnagyobb körültekintéssel megalkotott norma is kudarcra van ítélve. Az AIA-nek tehát nemcsak az ideális, emberközpontú ugyanakkor innovációt ösztönző jogi környezetet kellett megteremtenie, hanem ki kellett alakítania azt a végrehajtási rendszert is, amely kellően hatékony, szakmailag felkészült, ugyanakkor kellőképpen rugalmas a változásra és - közösségi jogszabály lévén - megfelelően osztja el a terheket az EU és a tagállamok között.
Az elvégzendő munka hatalmas: a szereplőkre rótt portfólióban[8] a sokszor egymást átfedő kötelezettségek és feladatok elsőre átláthatatlan erdőnek, túlgondolt és túlbiztosított közigazgatás-szervezési rémálomnak tűnhetnek, azonban túlnyomórészt átgondolt rendszer rajzolódik ki, amely lényegében két meghatározó tevékenységcsoport köré épül:[9] Az egyik a nagy kockázatú MI-rendszerek[10] Rendelettel való konformitásának értékelése, azok közös piacon való forgalomba hozatala vagy üzembe helyezése előtt.[11] A másik a piacra kerülést követően kezdődik, ekkor ugyanis minden MI-rendszert és általános célú MI-modellt folyamatos piacfelügyeletnek kell alávetni.
A Rendelet VII. fejezetében körvonalazott uniós MI-kormányzási rezsim kétszintű szervezeti struktúrára épül: a munka dandárját elvégző nemzeti hatóságokra és a Rendelet egységes végrehajtását koordináló szupranacionális szervekre. Rajtuk kívül egyéb, speciális feladattal ellátott szereplők is feltűnnek, melyek között egyaránt megtalálhatók a klasszikus piacfelügyeletet és tanúsítást ellátó hatóságok, tanácsadó, valamint szakérői testületek. E komplex szervezetrendszer "felügyeli az MI fejlesztéseit, kapcsolatot tart a tudományos közösséggel, és kulcsfontosságú szerepet játszik a vizsgálatokban, a tesztelésben és a végrehajtásban, mindezt globális nézőponton keresztül".[12] Az AIA-t végrehajtó gépezetben találunk új, az MI-jogszabály által életre hívott szerveket és olyanokat is, melyek feladatköre bővült a Rendeletnek köszönhetően. Tanulmányom soraiban ezt a végrehajtási struktúrát tekintem át, bemutatva a legfontosabb szereplőket, azok sajátosságait és meghatározó feladatait, valamint néhány - az AIA végrehajtásban proaktív - nemzetet górcső alá véve bejárom a különböző útvonalterveket a megvalósítás felé. Egyúttal igyekszem rámutatni azokra a potenciális kockázatot rejtő szituációkra, amelyek megnehezíthetik az AIA hatékony végrehajtását.
Az AIA szerint "a rendelet hatékony végrehajtásához és érvényesítéséhez olyan irányítási keretre van szükség, amely uniós szinten teszi lehetővé a koordinálást és a központosított szaktudás kiépítését".[13] E kapacitásokat a Rendelet új testületek alapításával biztosítja, amelyek egymást kiegészítve felelnek az AIA hatékony, egységes végrehajtásáért, tanácsadásért, valamint a Rendelet naprakészen tartásáért. Az AIA dicséretes jellemzője, hogy következetesen alkalmazza az ún. kollaboratív kormányzási modellt,[14] amelynek lényege, hogy párbeszédet kezdeményez az állami entitások - közösségi vagy nemzeti hatóságok, ügynökségek - és a szabályozott jogalanyok képviselői között, és kiaknázza az ebből származó szinergiákat a politikai döntéshozatalban. A Rendelet nem hagyja a "földön heverni" az említett szereplőknél felgyülemlett hatalmas mennyiségű tudományos ismeretet és közvetlen piaci tapasztalatot, hanem hasznosítja és beépíti az MI-kormányzásba, valamint az európai MI-jogba.
Az európai MI-ökoszisztéma és az AIA-implementáció képzeletbeli sakktáblájának királynője a Mesterséges Intelligenciával Foglalkozó Európai Hivatal[15] (a továbbiakban: MI-hivatal/a Hivatal/AI Office). Kiemelt szerepét jól tükrözi, hogy a Bizottság már jóval a Rendelet hatálybalépése[16] előtt, 2024 januárjában létrehozta. E sietségre alapító dokumentuma[17] szerint azért volt szükség, hogy még a rendelet elfogadása előtt hatályba lépjen és az AIA "végrehajtásának előkészítését a lehető leghamarabb meg lehessen kezdeni".[18] A határozat szerint a Bizottság szándéka az MI egységes uniós irányítási rendszerének megteremtése volt,[19] melynek letéteményese az MI-hivatal, a gyakorlatban az EU Bizottság kinyújtott kezeként funkcionál. Tevékenységének részletes ismertetése meghaladná e tanulmány kereteit, ráadásul annak egyes elemei jelen pillanatban homályosnak, néhány ponton túlzottan általánosnak, zavarosnak hatnak.[20] Az alábbiakban szisztematikusan, a vonatkozó szabályok - AIA és a Bizottság határozata - rendelkezéseit alapul véve, összefoglaló jelleggel teszek kísérletet profiljának és portfóliójának bemutatására.
Bár feladatköréből talán ez is következhetne, a Hivatal nem független szervezetként - például ügynökségként[21] - végzi tevékenységét, hanem az Európai Bizottság Tartalmak, Technológiák és Kom-
- 3/4 -
munikációs Hálózatok Főigazgatóságának (DG-CNECT)[22] szervezetébe tagozódik be.[23] Ebből következően sem önálló jogalanyisággal, sem olyan mértékű döntési és szervezeti autonómiával nem rendelkezik, amit az egyébként szerteágazó feladatai és az MI-kormányzásban betöltött szerepe indokolttá tenne. Tevékenységét a DG-CNECT éves irányítási terve alapján végzi,[24] ami annak kockázatát hordozza, hogy az egész európai MI-ökoszisztémát koordináló csúcsszerv céljait, stratégiáját és erőforrásait esetleg alá kell rendelni a - más ágazatokat is felügyelő - főigazgatóság prioritásainak.[25] A Bizottság jól felfogott érdeke volna az AI Office feladatellátásához szükséges infrastruktúra, pénzügyi és humán források biztosításának precíz előírása - mint például a nemzeti hatóságok esetében -, azonban erre vonatkozó rendelkezést nem találunk.[26] A Hivatal szervezeti felépítésével kapcsolatban a vonatkozó normák szintén kevés konkrétumot határoznak meg, az ismert részleteket tanulmányozva további kérdések merülhetnek fel a szerv hatékonyságával kapcsolatban. A releváns szabályok a Hivatal pontos szervezeti struktúrájáról, az itt dolgozók összetételéről és a velük szemben támasztott szakmai követelményekről nem rendelkeznek,[27] mindössze annyit tudunk, hogy a működését a főigazgatóságnál rendelkezésre álló humán erőforrásból, esetlegesen további külső munkatársak bevonásával kell megoldania.[28] Ez jelentős kihívás lehet egy olyan rekrutációs szituációban, amiben a világ legerősebb cégeivel versenyez a legjobbakért.[29]
A Rendelet szóhasználatával élve a Hivatal küldetése "hogy az MI területén fejlessze az uniós szakértelmet és kapacitásokat, valamint, hogy hozzájáruljon az MI-re vonatkozó uniós jog végrehajtásához",[30] melyet a tagállamok segítségével valósít meg.[31] Az MI-hivatal feladatok rendkívül széles palettáját látja el, ezeket a Bizottság határozata és az AIA definiálja. Egy részük olyan tevékenység, ami nem közvetlenül az AIA végrehajtásához kapcsolódik, hanem az európai MI-politika és -innováció előmozdítását támogatja:[32] az AI Office figyelemmel kíséri az MI-piacokat és -technológiákat, nemzetközi kezdeményezésekben vesz részt az uniós megközelítések, értékek és jó gyakorlatokat érvényesítése érdekében, de kiemelt feladata az MI-fókuszú versenyképesség növelése és az innováció támogatása is. Utóbbi érdekében a Hivatal olyan kezdeményezéseket indít el, amelyek célja a megbízható MI-fejlesztésének ösztönzése Európában, különösen startupok és kkv-k számára. A szerv támogatást nyújt az innovációs ökoszisztémák létrehozásához és hozzáférést biztosít olyan fejlesztési-tesztelési erőforrásokhoz is, mint az AI Factoryk.[33] Fontos kiemelni, hogy a Bizottság határozata nem konkretizálja e feladatok végrehajtásának részleteit, hanem holisztikus célokat kijelölve az AI Office belátására bízza, hogyan interpretálja és éri el azokat.[34] A kollaboratív kormányzás elvét követve a Hivatal munkáját széles körű együttműködési mechanizmusok kidolgozása mellett, az érdekeltek aktív bevonásával végzi.[35] Megjegyzendő, hogy a Bizottság határozata a kívánatos kooperációs partnerekkel kapcsolatban is szűkszavú, csak az Európai Nagy Teljesítményű Számítástechnika Közös Vállalkozással és az algoritmusok átláthatóságával foglalkozó európai központtal teszi kötelezővé az együttműködést.
A Hivatal AIA-ből fakadó, annak implementációjával szorosan összefüggő feladatainak esszenciáját az AIA értelmező rendelkezései között találjuk, eszerint "az [MI-hivatal] a Bizottság azon funkciója, amellyel hozzájárul az MI-rendszerek és az általános célú MI-rendszerek, valamint az MI-irányítás végrehajtásához, nyomon követéséhez és felügyeletéhez".[36] A Hivatal tevékenységének fókuszában az általános célú MI-rendszerek és -modellek[37] állnak, hiszen az e technológiára vonatkozó rendelkezéseinek végrehajtását az AIA - a Bizottságon keresztül - az MI-hivatal kizárólagos hatáskörébe utalja.[38] Az általános célú MI-modellek szolgáltatóinak nyomon követéséhez[39] a Rendelet speciális felhatalmazást és jogosítványokat is biztosít, amelyek birtokában a Hivatal felügyeli e rendszerek megfelelését az AIA-nek, elemzi az előre nem látható kockázatokat, kivizsgálja a szabályok esetleges megsértését,[40] azonban a szükség szerint megállapított bírságot már a Bizottság szabja ki.[41]
Az AI Office aktívan részt vesz az AIA végrehajtásával összefüggő normafejlesztő tevékenységben. A Rendelet több esetben alkalmaz soft-law eszközöket - ún. magatartási és gyakorlati kódexeket -, melyek kidolgozását a Hivatal ösztönzi és elősegíti. Ezekkel a Rendelet lehetőséget ad arra, hogy az MI fejlesztésében és alkalmazásában érintett piaci szereplők igényei szerint alakuljon egyes, a hatálya alá tartozó kérdések sorsa. Magatartási kódexek[42] kidolgozását irányozza elő az AIA például az MI-jártasság előmozdításával kapcsolatban,[43] illetve ösztönzi a nem nagy kockázatú MI-rendszerek szolgáltatóit arra, hogy ilyen, önkéntes alávetésen alapuló dokumentumokban határozzanak meg követelményeket működésükkel, fejlesztéseikkel és etikai alapelveikkel szemben.[44] A gyakorlati kódexek célja ettől kicsit eltérő, az AIA-ben hangsúlyosan két esetben jelennek meg: az általános célú MI-modellekre vonatkozó szabályozó eszközként,[45] valamint az ún. mérsékelt kockázatú MI-rendszerek átláthatósági követelményeinek meghatározása esetében.[46] E regulációs eszközök jogi ereje azonban nem biztos, hogy megmarad az önszabályozás szintjén, hiszen a Bizottság "végrehajtási jogi aktusok útján határozhat úgy, hogy jóváhagy egy gyakorlati kódexet, és általános érvényességgel ruházza fel azt az Unión belül".[47] Az első ilyen dokumentum éppen a közelmúltban kezdett körvonalazódni,[48] célja az általános célú MI-modellekre vonatkozó bizonyos kötelezettségek lefektetése.[49] A felsoroltakon túl a Hivatal részt vesz a végrehajtási jogi aktusok[50] és az implementációra vonatkozó iránymutatások előkészítésében, de szabványok értékelésében és kidolgozásában is aktív.[51]
Az MI-hivatal a világ első, MI-jogot alkalmazó testülete, így könnyen elképzelhető, hogy igazodási pont lesz a nemzetközi MI-kormányzási struktúrák kialakítása során.[52] Éppen erre tekintettel életbevágó, hogy minél előbb teljes spektrumában működésbe lépjen és kialakítsa gyakorlatait, operatív folyamatait és megtalálja azt a szerepfelfogást, ami a leginkább alkalmas az MI európai megközelítésének közösségi és globális érvényesítéséhez. A puding próbája az evés, de ha a Hivatal szervezetében vagy működésében korrekcióra volna szükség, úgy az AIA-be épített "minőségbiztosítási klauzulának" köszönhetően erre garantáltan sor kerül, a Bizottságnak ugyanis "kötelező 2028. augusztus 2-ig értékelni az MI-hivatal működését, azt, hogy az MI-hivatal elegendő hatáskörrel és illetékességgel rendelkezik-e feladatainak ellátásához, valamint azt, hogy [...] szükséges lenne-e továbbfejleszteni az MI-hivatalt és annak végrehajtási hatásköreit, és növelni annak erőforrásait".[53]
A hosszabb távon is hatékony európai MI-rezsim fenntartásához elengedhetetlen, hogy a norma tükrözze a valóságot, így legfőképp az érintett életviszonyok jellegzetességeit, a jogalanyok sajátosságait, valamint képes legyen dinamikusan reagálni a változásra. Az MI esetében, ha a jogalkotó és -alkalmazó a technológia exponenciális fejlődése mellett irányító szerepben akar maradni, törekednie kell arra, hogy naprakész legyen és "értse, mi történik körülötte". Ennek megvalósítása viszont elképzelhetetlen állandó, az érdekeltek lehető legszélesebb körét bevonó, magas szintű szakmai támogatás nélkül. Az AIA e tanácsadó funkció ellátását az alábbi többszereplős, meglehetősen komplex struktúrában intézményesítette, amelynek eredményes koordinációjával kapcsolatban már a jogszabály hatálybalépése előtt kétségek merültek fel.[54]
A Rendelet "zökkenőmentes, hatékony és összehangolt végrehajtásának elősegítése érdekében"[55] létrehozta a Mesterséges Intelligenciával Foglalkozó Európai Testületet (a továbbiakban: a Testület/AI Board),[56] amelynek statútumát és feladatkörét - szemben a külön határozatban alapított MI-hivatallal - az MI-kódex határozza meg. A Testület az AI Office mellett - több ponton átfedve annak tevékenységét - kulcsszerepet játszik az AIA uniós szinten egységes és eredményes implementációjában. Tagjait a EU nemzetei delegálják, így inkább mondható kormányközi, mint klasszikus nemzetközi szerve-
- 4/5 -
zetnek. Az AI Board a tagállamok egy-egy olyan képviselőjéből áll, akik rendelkeznek azokkal a "releváns kompetenciákkal és hatáskörökkel, hogy aktívan hozzájáruljanak"[57] a Testület feladatainak teljesítéséhez. A hároméves mandátummal[58] rendelkező tagoknak felhatalmazással kell bírniuk arra is, hogy az AIA végrehajtása érdekében előmozdítsák tagállamuk illetékes nemzeti hatóságai között az összhangot és koordinációt.[59] Véleményem szerint ez a Rendelet által elvárt "ráhatási képesség" maximum "papíron", de iure lehet alátámasztható az adott nemzet belső jogával és közigazgatási szervezetirányító eszközeivel, azonban ez még nem feltétlenül jelenti annak de facto fennállását. Vélhetően épp ezért szögezi le a Rendelet, hogy a Testületbe delegált képviselőik kvalitásainak és elvárt kompetenciáinak meglétéért az őket küldő tagállamok szavatolnak,[60] így érdekükben áll a legalkalmasabb és valóban "hatóképes" szakemberek, tisztségviselők kiválasztása. A Testület ülésein a tagok mellett szavazati jog nélkül részt vesz az európai adatvédelmi biztos és az MI-hivatal is. Utóbbival való szoros összefonódás nemcsak működésben és feladatkörben, de az adminisztrációban is tetten érhető, hiszen a Hivatal biztosítja az AI Board titkárságát.[61]
Az alábbiakban az AIA 66. cikkét elemezve kísérletet teszek a testület - kissé redundáns módon körvonalazott - feladatainak rendszerezésére, melyben egyébiránt túlnyomó többségben vannak a diszkrecionális jogkörök. Legfontosabb kötelessége, hogy "tanácsadással és segítségnyújtással támogatja Bizottságot és a tagállamokat e rendelet következetes és hatékony alkalmazásának elősegítése érdekében".[62] Az AI Boardnak a Bizottság "első számú tanácsadójaként" különösen az általános célú MI-modellekre vonatkozó szabályokkal kapcsolatban kell aktívnak lennie. A Testület egyébként a Bizottság kérésére vagy saját elhatározásából "ajánlásokat és írásbeli véleményeket adhat ki a Rendelet végrehajtásával [...] kapcsolatos bármely releváns kérdésben".[63] E tevékenységét némiképp orientálja az AIA imént idézett pontjában rögzített számos, kiemelt prioritású tárgykör. Az AIA Board megnyilvánulhat többek között a magatartási kódexek és gyakorlati kódexek megalkotásával, a nagy kockázatú MI-rendszerek listájának módosításával, illetve a Rendelet kötelező felülvizsgálatával kapcsolatban.[64] A felsoroltak végrehajtásáért egyébként a Bizottság felel. Az együttműködés első - AIA által előírt - fecskéje az általános célú MI-modellekre és azok szolgáltatóira vonatkozó gyakorlati kódex kidolgozásának megkezdése.[65]
A Testület európai MI-ökoszisztémában játszott szerepének meghatározó része a Rendelet egységes végrehajtásának érdekében végzett, több szinten megvalósuló harmonizációs tevékenysége. Ennek keretében elősegíti a különböző nemzeti illetékes hatóságok[66] közti koordinációt, továbbá hozzájárul a tagállamok azon közigazgatási gyakorlatainak összehangolásához, amelyekben a Rendelet teret enged az eltérő nemzeti utak kialakításának.[67] Az AIA általánosságban igyekszik keretek közé terelni az MI-vel és a Rendelet végrehajtásával kapcsolatos, tagállamok, szervezetek és MI-tesztkörnyezetek közti információ- és tudásmegosztást is, amelyben a Testület kulcsszerepet kapott: összegyűjtheti és disszeminálhatja a műszaki, szervezeti és szabályozási szaktudást, jó gyakorlatokat, sőt részt vehet e szekértelem fejlesztésében is. A széles körű harmonizáció jegyében nem csak az állami szektorban tevékenykedik: segíti az AIA fogalmainak hatóságok és piaci szereplők általi közös értelmezését is. Az AI Board erősíti az EU nemzetközi jelenlétét az MI-vel kapcsolatos kérdésekben, így támogatja a harmadik országok hatóságaival és a különböző nemzetközi szervezetekkel való együttműködést, egyúttal segíti a Bizottságot az MI-vel kapcsolatos nemzetközi helyzet értelmezésében is
Az MI-vel - akár általánosságban, akár konkrét alkalmazásokkal - kapcsolatos ismeretek terjesztése, az MI-vel kapcsolatos tudatosság és érzékenység növelése a társadalom minél szélesebb köreiben elengedhetetlen előfeltétele a technológia biztonságos és emberközpontú kiaknázásának. Az ehhez szükséges kompetenciákat és tudást összefoglalóan MI-jártasságnak[68] nevezzük, amely megteremtésének az AIA is kiemelt figyelmet szentel.[69] Ennek részeként felhatalmazza a Testületet, hogy támogassa a Bizottságot "az MI-jártasságnak, valamint az MI-rendszerek használatával kapcsolatos, a nyilvánosságot célzó figyelemfelkeltő tevékenységeknek és az MI-rendszerek használatával kapcsolatos előnyök, kockázatok, biztosítékok, jogok és kötelezettségek megértésének az előmozdításában".[70]
Ugyan a testület már önmagában is jelentős szakmai potenciált képvisel, hiszen az ide delegált képviselők jellemzően valamilyen technológiai vagy innovációs profillal rendelkező államigazgatási szervet vagy digitális kormányzati ügynökséget képviselnek,[71] azonban nem volna reális azt feltételezni, hogy a tagok teljes keresztmetszetében és mélységében átlátják az MI-univerzumot. Mivel az AI Board kizárólag állami hátterű képviselőkből áll, így a piaci, civil vagy a tudományos ismeretek és érdekek legfeljebb közvetett módon kerülhetnének becsatornázásra a munkájába, ami kellemetlen volna, hiszen a nem-állami szereplőknél rendelkezésre álló szakmai tudás messze meghaladja a közigazgatásban fellelhető mértéket. Az európai jogalkotó felismerve a tényt, hogy a működőképes és naprakész MI-irányítás kizárólag az említett érintettek bevonása és aktív közreműködésére mellett, érdekeik megjelenítésével valósulhat meg - összhangban a kollaboratív kormányzás eszméjével -, kidolgozta az együttműködés intézményesített mechanizmusait.
A Rendelet egy folyamatos konzultációt biztosító platform alapításáról döntött, ez a Tanácsadó fórum.[72] Létrehozásával az AIA számos, az MI-ökoszisztémában érdekelt felet, így ipari szereplőket, induló és érett vállalkozásokat, a civil és az akadémiai szféra képviselőit tömöríti és teszi a Bizottság és a Testület műszaki és szakmai tanácsadó hátterévé. A fórum tagjait a Bizottság nevezi ki négy évre, megbízatásuk azonban további négy évre is kitolható. Kiválasztásuk során a Rendelet hangsúlyozza, hogy az érdekelt feleknek - nemcsak az összetételüket, de a gazdasági érdekeiket is figyelembe véve - kiegyensúlyozottan kell képviselet kapniuk.[73] Mellettük állandó tagok azok az európai szervezetek, amelyek nemcsak az AIA végrehajtásában, de az MI-re vonatkozó speciális technológiai szabályok és gyakorlatok megalkotásában is érintettek.[74] A testület munkájáról évente nyilvános jelentésben számol be.[75]
Valamilyen oknál fogva a jogalkotó talán még e két agytröszt - a Testület és a Tanácsadó fórum - életre hívásával sem érezte kellőképp biztosítottnak az AIA végrehajtásához rendelkezésre álló szakértelmet, így megteremtette a Független szakértők tudományos testületét.[76] E magasan képzett szakemberekből álló tanácsadó szerv dedikáltan az MI-hivatal munkáját támogatja, így nem meglepő, hogy - végrehajtási jogi aktussal való - létrehozásáról és tagjairól is a Bizottság dönt, utóbbi kérdésben az AI Boarddal egyeztetve, igény szerint határozva meg a szükséges létszámot. A szakértői pool tevékenységének fókuszában az általános célú MI-modellek és e technológiára épülő rendszerekkel kapcsolatos tanácsadás áll.[77] A testület működése során elsősorban az ilyen MI-megoldások kockázatértékelésére koncentrál, de megkeresésükre támogatja a piacfelügyeleti hatóságok munkáját is.[78] Érdekesség, hogy az MI-hivatal mellett a tagállamok is igénybe vehetik a szakértők agykapacitását, azonban ezért díjfizetésre kötelezhetőek, melynek mértékét a testületet létrehozó végrehajtási aktusban rögzítik.[79] A testületben kizárólag speciális tudással, különleges tudományos és műszaki ismeretekkel rendelkező szakértők kaphatnak helyet, akik teljes mértékben függetlenek az MI-rendszerek vagy az általános célú MI-modellek szolgáltatóitól.[80]
Ahogyan a leírtakból is kitűnik, az AI Board, a fórum és a testület profilja meglehetősen hasonló, tevékenységük kiegészíti és több ponton átfedi egymást. A Rendelet szövegét alaposan tanulmányozva ugyan fel lehet tárni a feladat- és funkcióbeli különbségeket közöttük, ám a jogalkotó akaratát kifürkészni már jóval nehezebb a szervek létrehozása mögött. A döntés megalapozott kételyeket vethet fel az erőforrások hatékony felhasználásával kapcsolatban és azt az érzetet keltheti, hogy a tanácsadói kapacitásokat túlbiztosították. Egyes szerzők e helyzetre reagálva felvetik[81] a fórum és a Tudományos testület integrációjának abszolút életszerű gondolatát, de ad
- 5/6 -
absurdum azt is kérdezhetnénk, miért nem egy általános hatáskörű tanácsadó szervet hozott létre a jogalkotó, az MI és az AIA végrehajtásának részterületeire speciálisan szakosított részlegekkel? Ennek elsődleges oka talán az egyenrangú tagállami reprezentáció formalizált megteremtése volt végrehajtással kapcsolatos tanácsadásban, amitől elkülönül az igazán "hardcore" műszaki, technológiai és piaci ismeretekkel rendelkező szakértői bázis. Az általuk birtokolt kompetenciákkal az AI Boardban helyet foglaló, főként szakpolitikai döntéshozók érthető módon nem feltétlenül rendelkeznek. A leírtakon túlmenő találgatásokba nem érdemes bocsátkozni, hiszen a gyakorlatban majd remélhetőleg megmutatkoznak a szervek különbségei és igazolódik létjogosultságuk.
Az MI és az adatok elválaszthatatlanok egymástól, hiszen minden MI rendszer csak annyira pontos és hatékony, amennyire a tanításához, teszteléséhez szükséges adatkészlet az. Az MI-nek számos olyan felhasználási területe van, ahol a személyes adatok - és ezek speciálisan védett kategóriáinak - jelenléte kiugróan magas, s ebből fakadóan az ilyen célú MI-fejlesztés során is nagy mennyiségben van rájuk szükség. Ilyen például az egészségügy, az államigazgatás vagy a közbiztonsági világa. Ennek eredője, hogy az MI-kormányzás és az AIA végrehajtása során elkerülhetetlen bizonyos adatvédelmi kérdések felmerülése, kezelése, ehhez pedig az erre szakosodott hatóságok bevonása a munkába. A Bizottság már az AIA 2021. áprilisi előterjesztését követően konzultált a legfőbb európai szereplőkkel, az elkészült közös vélemény megállapításait részben beépítették a végleges jogszabályba is.[82]
Az AIA az európai adatvédelmi biztoshoz több szerepkört és feladatot rendel, ezzel garantálva, hogy - bár nem olyan széles körben, mint ahogyan azt kívánatosnak tartotta[83] - a végrehajtás a legmagasabb szakmai színvonalon valósuljon meg és a biztos szakértelme a legfontosabb pontokon érvényesüljön. Ahogy számos állam közigazgatása, az EU szervei is egyre szélesebb körben fejlesztenek és alkalmaznak MI-t működésük során, s ennélfogva a rendelet hatálya alá kerülhetnek. Az AIA 70. cikkének (9) bekezdése szerint "amennyiben az Unió intézményei, szervei, hivatalai vagy ügynökségei e rendelet hatálya alá tartoznak, az európai adatvédelmi biztos jár el illetékes hatóságukként". E körben az adatvédelmi biztos rendelkezik minden olyan kompetenciával és kötelezettséggel, amelyet a Rendelet a nemzeti MI piacfelügyeleti hatóságok számára is biztosít és előír,[84] így akár közigazgatási bírságot is kiszabhat, amelyre azonban speciális szabályok vonatkoznak.[85] A hatalmi ágak szétválasztásából fakadóan a biztos nem vizsgálhatja az Európai Unió Bírósága tevekénységét, amennyiben az igazságszolgáltatási hatáskörében eljárva alkalmaz MI alapú megoldást. Az európai adatvédelmi biztos további speciális jogosítványa, hogy szabályozási tesztkörnyezetet hozhat létre a piacfelügyeleti hatásköre alá tartozó szervek innovációs tevékenységének támogatására. Tekintve, hogy az MI területén felhalmozott szakmai tudása megkérdőjelezhetetlen, a biztos a MI Testület üléseinek állandó megfigyelője.[86]
"Ugyan a szupranacionális hatóságok meghatározó szerepet töltenek be az implementációban, de a Rendelet hatékony végrehajtása és érvényesítése a szabályok betartatásáért való felelősséget elsősorban a tagállamokra hárítva erős helyi jelenlétet tesz szükségessé."[87] Az AIA kétszintű végrehajtási szervezetrendszerének második tartóoszlopát a nemzeti közigazgatás - új vagy már bizonyított - szereplői jelentik. Az AIA szerint a Rendelet végrehajtása céljából minden tagállamnak ki kell jelölnie vagy létre kell hoznia két, eltérő funkcióval rendelkező hatóságot: legalább egy piacfelügyeleti és legalább egy bejelentő hatóságot, melyekre együttesen illetékes nemzeti hatóságokként hivatkozik a jogszabály.[88] A különböző hatáskör és feladat nem szükségszerűen jelent két elkülönült szervezetet, hiszen "amennyiben a függetlenségre és pártatlanságra vonatkozó elveket tiszteletben tartják, e tevékenységeket egy vagy több kijelölt hatóság is elláthatja".[89] A hatóságoknak természetesen a legmagasabb szakmai színvonalat kell képviselniük, melynek szavatolása érdekében az AIA előírja a tagállamok számára, hogy biztosítsák az ehhez szükséges technikai, pénzügyi és emberi erőforrásokat, valamint infrastruktúrát. A Rendelet - vélhetően a túlságosan "laza" értelmezés megelőzése érdekében - konkrét kompetenciaterületek[90] meglétét is megköveteli a hatóságoknál, így a nemzeti MI-igazgatás létrehozásáért felelős döntéshozók semmiképp nem tudják "megspórolni" a végrehajtáshoz szükséges, megfelelő tudással rendelkező szakértők biztosítását. E kötelezettségek betartását többletgarancia biztosítja: a tagállamoknak kétévente hatóságok forrásait részletező, átfogó jelentést kell tenniük a Bizottság felé.[91] A Rendelet a nemzeti hatóságok belső szervezeti felépítésére, jogállására a leírtakon túl nem tesz megkötést, így minden tagállam a számára legszimpatikusabb utat követheti, ami megfelel szervezeti igényeiknek, belső közigazgatásuknak és jogi kultúrájuknak.
Az AIA kiemelt figyelmet fordít a közös piac innovatív, de még kiszolgáltatottabb szereplőire, a kkv-kra és az induló vállalkozásokra.[92] E törekvés a nemzeti hatóságok feladataiban is tükröződik, hiszen lehetőségük van tanácsadással és iránymutatással segíteni a cégeket az AIA végrehajtásával kapcsolatban felmerülő kérdéseikben.[93] Az MI-piacra való bejutást sokszor nehezítik meg a magas belépési - jogi, gazdasági, technológiai - korlátok, ami sok feltörekvő vállalkozást visszatart a fejlesztéstől, ezzel elfojtva az innovációt. Az AIA ezért kötelezővé teszi a könnyű és biztonságos kísérletezést facilitáló szabályozási tesztkörnyezetek - más néven sandboxok - létrehozását, melyet szintén a nemzeti illetékes hatóságra testál.[94] Mivel tevékenységük végzése során a hatóságoknak rengeteg érzékeny információ és adat jut látókörébe, így az AIA maga is kodifikál speciális titoktartási szabályokat,[95] amelyeknek a szervek eleget kell, hogy tegyenek működésük során.[96]
Annak biztosítása érdekében, hogy csak az uniós harmonizációs jognak - pl. termékbiztonsági és fogyasztóvédelmi szabályoknak - megfelelő MI-alapú megoldások maradhassanak forgalomban, az AIA igen szigorú és összetett piacfelügyeleti rendszert körvonalaz. A szabályozás egyaránt épít az egy-egy ágazatban már aktívan működő piacfelügyeleti szervek munkájára, de kötelezővé teszi az összes tagállam számára egy új, általános hatáskörű MI piacfelügyeleti hatóság létrehozását vagy kijelölését is.[97] Alapesetben ez a hatóság felel minden, a Rendelet hatálya alá tartozó, közös piacra került MI-rendszer felügyeletéért és ellenőrzéséért, valamint kötelező jelleggel ellátja az egyedüli kapcsolattartó pont szerepét is.[98] Ahogyan említettem, a Rendelet jelentős szabadságot ad a tagállamoknak abban kérdéseben, hogy e funkciók betöltésére új hatóságot létesít, vagy integrálja a feladatot egy olyan, már működő szervezetbe, amit erre a legalkalmasabbnak talál.
Az piacon elérhető összes MI-rendszer folyamatos, magas szintű felügyelete elviselhetetlen terhet róna az új hatóságokra. Nemcsak a szolgáltatók nagy száma és az exponenciálisan fejlődő MI-alapú megoldások sokasodása miatt, hanem azért is, mivel a közigazgatási szerv működéhez szükséges, megfelelő tapasztalattal és tudással bíró, ráadásul szabad szakembergárda a legtöbb országban nem áll rendelkezésre. Éppen ezért a Rendelet igyekszik elosztani a piacfelügyeleti feladatok egy részét olyan közigazgatási szervek között, amelyek valamely, a közösségi jog alapján szabályozott ágazatban már ellátnak ilyen típusú tevékenységet. Az AIA öt speciális esetkörben kiveszi az "MI hatóság" hatásköréből piacfelügyeletet, és a Rendeletben kijelölt más szervre ruházza:[99]
1. Amennyiben a nagykockázatú MI-rendszerek olyan termékhez kapcsolódnak, melyek uniós harmonizációs szabályok hatálya alá tartoznak, úgy a releváns közösségi jogszabályban kijelölt piacfelügyeleti hatóság látja el a piacfelügyeleti a teendőket. A teljesség igénye nélkül ilyen termékcsoportok a játékok, a felvonók vagy az orvostechnikai eszközök.[100]
- 6/7 -
2. Azokat a nagy kockázatú MI-rendszereket, amelyeket uniós jog által szabályozott pénzügyi intézmények vezetnek be a piacra vagy alkalmaznak, az irányadó EU-s pénzügyi szolgáltatásokra vonatkozó jog által kijelölt piacfelügyeleti hatóságok kontrollálják.
3. Bizonyos MI-felhasználási területeken - mint a bűnüldözés, az igazságszolgáltatás vagy a határvédelem - az algoritmusok fejlesztése és működése nagymértékben támaszkodik személyes adatokra és azok különleges kategóriáira. E szegmensekben működő nagy kockázatú MI-rendszerek tekintetében a Rendelet a leginkább kompetens szereplőket, az alapjogok és a személyes adatok védelmében tapasztalattal rendelkező nemzeti adatvédelmi hatóságokat jelöli ki piacfelügyeleti hatóságként. Tekintettel arra, hogy ilyen célokra szinte kizárólag csak igazságügyi hatóságok használnak MI-t, az AIA kiköti: a piacfelügyeleti tevékenység semmilyen módon nem érintheti e szervek függetlenségét.
4. Ahogy az előbbi esetben láttuk, nem ritka, hogy állami szervek alkalmaznak működésük során MI-t, nincs ez másképp az EU központi intézményeivel sem. Amennyiben a közösségi igazgatás szereplői az AIA hatálya alá kerülnek, felettük az európai adatvédelmi biztos látja el a piacfelügyeleti feladatokat.[101]
5. Az MI-hivatal általános célú MI-modellekkel kapcsolatos, szerteágazó tevékenysége részeként e megoldások piaci nyomon követését is végzi.[102] Amikor egy MI-rendszer általános célú MI-modellre épül és a kettőt ugyanaz a szolgáltató által fejlesztette ki,a Rendelet felhatalmazza a Hivatalt, hogy kvázi piacfelügyeleti hatóságként biztosítsa megfelelésüket a jogszabályi követelményeknek. Ugyan ez a tevékenység az AIA értelmében nem piacfelügyelet, megvalósítása során megilletik a piacfelügyeleti hatóságok számára biztosított hatáskörök.[103]
A többszereplős modell gyakorlati megvalósítása valóban előnyös a terhek tagállamon belüli szétosztása szempontjából, ugyanakkor ez a megközelítés számos kérdést és kihívást rejt, amelyekre az AIA nem, vagy csak részlegesen ad megoldást. A hatóságok és a felügyelt jogalany közötti kapcsolatot az MI-rendszer funkciója, felhasználási módja és célja hozza létre. Így előfordulhat, hogy egy-egy - több MI-t forgalomba hozó vagy alkalmazó - szervezet több piacfelügyeleti hatóság hatáskörébe fog tartozni, ami jelentős adminisztratív terhet jelenthet minden szereplő számára. Ráadásul az ellenőrző hatóság a jogalany MI-palettájának csak egy szeletét fogja részletesen látni, ami megnehezítheti a helyzet átfogó elemzésében. A végrehajtás során ezért különös figyelmet volna érdemes fordítani a hatósági eljárásokkal kapcsolatos információmegosztásra és az együttműködésre vonatkozó jó gyakorlatok kidolgozására. A tagállamoknak ugyan elő kell segíteniük a nemzeti piacfelügyeleti hatóságok közötti koordinációt,[104] de e kötelezettség tartalom nélkül lett megfogalmazva, és nem derül ki, pontosan mit kell tenniük ennek érdekében.
Vannak olyan részletek is, ahol az AIA nem szeretné feltalálni a spanyolviaszt, így van ez a piacfelügyeleti tevékenység kereteinek meghatározása esetében is. E kérdésben a közösségi rezsim origója a piacfelügyeleti és termékmegfelelőségi rendelet,[105] amelynek alkalmazását az AIA kiterjeszti a saját hatálya alá tartozó MI-rendszerekre, és felruházza az érintett piacfelügyeleti hatóságokat mindazokkal a végrehajtási hatáskörökkel, kötelezettségekkel és jogkörökkel, amit a rendelet biztosít.[106] Az AIA több esetben egyszerűen e jogszabályra utaló klauzulával határozza meg a piacfelügyeleti hatóságokra vonatkozó normák tartalmát.[107]
A piacfelügyeleti szerveknek a Rendelet ugyanakkor biztosít néhány olyan "extra" jogkört, amelyek elsősorban az MI-alapú megoldások sajátosságaihoz igazított, ezek hatékony ellenőrzését lehetővé tevő jogosítványok: a hatóságok kérésére - a szükséges mértékben - az MI-rendszerek szolgáltatóinak teljes hozzáférést kell adnia a rendszerről készített dokumentációkhoz illetve a nagy kockázatú MI fejlesztéséhez használt adatkészletekhez.[108] Sőt kivételes, indokolt esetben a nagy kockázatú rendszerek forráskódjához is hozzáférést kell a hatóság számára biztosítani. Mivel ez általában a legféltettebb üzleti titkok egyike, kizárólag két konjunktív feltétel teljesülése esetén, legvégső esetben van lehetőség a megismerésére.[109] További, az AIA végrehajtásának felügyeletét szolgáló jogosítvány, hogy a szuverén döntésük alapján - egymással vagy a Bizottsággal karöltve - az MI-hivatal koordinációja mellett közös vizsgálatokat kezdeményezhetnek annak érdekében, hogy elősegítsék a Rendeletnek való megfelelést vagy éppen hiányosságokat tárjanak fel, és esetleg iránymutatásokat adjanak ki olyan, nagy kockázatú MI-rendszerekkel kapcsolatban, melyek súlyos kockázatot jelentenek legalább két tagállamban.[110]
A tagállamoknak kötelező kijelölni vagy létrehozni egy bejelentő hatóságot[111] saját közigazgatásukon belül, amely "a megfelelőségértékelő szervezetek értékeléséhez, kijelöléséhez és bejelentéséhez, valamint nyomon követéséhez szükséges eljárások kialakításáért és végrehajtásáért felelnek".[112] Szerepük röviden magyarázatra szorul: a nagy kockázatú MI-rendszereknek már az EU-s piacra kerülést megelőzően számos követelmények kell eleget tenniük,[113] így a szolgáltatóiknak megfelelőségértékelési eljárásnak is alá kell vetni azokat.[114] Az eljárást bizonyos esetekben[115] erre szakosodott, szigorú kritériumoknak eleget tevő megfelelőségértékelő szervezeteknek, ún. bejelentett szervezeteknek[116] kell végezniük. Az AIA a bejelentő hatóságra bízza e jogalanyok szervezeti és szakmai alkalmasságának[117] vizsgálatát és minősítését, amelyet kérelmükre induló bejelentési eljárás keretében végez el a hatóság.[118] Amennyiben ez "sikerrel" zárul, a bejelentett szervezet felhatalmazást kap, hogy a piacra lépést megelőzően tanúsítsa egyes MI-rendszerek megfelelőségét a Rendeletnek. A hatóság azonban nemcsak ezért felel, de folyamatosan nyomon is követi a bejelentett szervezetek tevékenységét,[119] a Rendeletnek való megfelelés hiányossága esetén pedig szükség szerint "korlátozza, felfüggeszti vagy visszavonja a kijelölést."[120]
A bejelentő hatóságok felelőssége így kétségtelenül jelentős, hiszen az általuk minősített és felügyelt bejelentett szervezetek kulcsszerepet játszanak abban, hogy bizonyos nagy kockázatú MI-rendszerek piacra kerülhetnek-e az EU-ban. Erre tekintettel szigorú összeférhetetlenségi szabályok határozzák meg a szerv felépítését és működését, elválasztva azt a minőségértékelő szervezetektől. Az AIA teljes függetlenséget, objektivitást és pártatlanságot vár el tőlük, belső felépítésükre nézve pedig kötelezővé teszi, hogy a szervezetek értékelését végző és a bejelentésükkel kapcsolatos döntést hozó illetékesek köre elkülönüljön. A bejelentő hatóságok egyébiránt még kereskedelmi alapon sem végezhetnek olyan tevékenyéget, amit az általuk felügyelt szervezetek, sőt ilyen területen szaktanácsadást sem nyújthatnak.[121]
Ugyan a szervezeti és döntéshozatali integritást védő rendelkezések elsőre kielégítőnek tűnhetnek, Novelli és tsai. jogos kritikával illették azokat, kiemelve, hogy a rezsim elégtelenül rendezi az összeférhetetlenség megelőzésére szolgáló mechanizmusokat, mivel hiányzik az ilyen intézkedések pontos végrehajtására vonatkozó részletes útmutatás. Hozzáteszik: szemben például a Tudományos testülettel, amelyet az MI-hivatal felügyel, a Rendelet a bejelentő hatóságok esetében nem határozza meg azt sem, hogy ki a felelős leírt követelmények betartatásáért.[122]
Láthattuk, hogy a Rendelet - tiszteletben tartva a tagállamok szuverenitását - azon túl, hogy meghatározza az AIA végrehajtásához szükséges hatóságok körét és azok minimális működési feltételeit, nem támaszt részletes követelményeket a szervezetrendszerrel szemben. Az AIA-ben biztosított igazgatásszervezési szabadságot azonban az MI ökoszisztéma nem minden szereplője nézte megnyugvással, amit jól példáz az európai adatvédelmi irányítás főszereplői által követett politika is. A nemzeti illetékes hatóság kilétének kérdésében az első megnyilvánulást 2021 júniusában tette az Euró-
- 7/8 -
pai Adatvédelmi Testület és európai adatvédelmi biztos, amikor közös véleményt[123] adott ki az AIA frissen benyújtott tervezetével kapcsolatban. E dokumentumban expliciten kimondta és hangsúlyozta az adatvédelmi hatóságok, mint egyedüli potenciális illetékes hatóságok kijelölésének fontosságát[124] az AIA nemzeti végrehajtására, azonban ez az irány végül nem talált termékeny talajra a jogalkotási procedúra során.
Kompromisszumos megoldásként az Adatvédelmi Testület az AIA hatálybalépése előtt alig több mint egy hónappal nyilatkozatot[125] adott ki, amelyben szorgalmazta, hogy a tagállamok a nemzeti adatvédelmi hatóságokat az AIA által elvárnál[126] szélesebb hatáskörrel jelöljék ki a piacfelügyeleti hatósági feladatok ellátására, valamint egyedüli kapcsolattartási pontként is e szervezeteket válasszák.[127] Javaslatukat többek között arra - a már általam is tárgyalt tényre - alapozták, hogy az AIA rendelkezései szerint bizonyos nagy kockázatú rendszerek fellett egyébként is az adatvédelmi hatóságoknak kell ellátni a piacfelügyeleti hatóság szerepét, így nem okozna problémát munkájuk kiterjesztése az AIA III. mellékletében felsorolt összes nagy kockázatú MI-rendszerre. A nyilatkozat továbbá kiemelte, hogy az AIA 70. cikk (3) bekezdésében a piacfelügyeleti hatóságoktól megkövetelt magas szintű szakmai kompetencia az adatvédelemi hatóságoknál már rendelkezésre áll, így nem szükséges a kapacitás megteremtése,[128] amelyet az amúgy is szűkös szakértői piac igencsak megnehezítene. Az Európai Adatvédelmi Testület alelnöke, Irene Loizidou Nicolaidou akkori olvasatában "az adatvédelmi hatóságoknak kiemelkedő szerepet kell játszaniuk a mesterséges intelligenciáról szóló jogszabály érvényesítésében, mivel a legtöbb MI-rendszer személyes adatok kezelésével jár. [...] az adatvédelmi hatóságok meglévő tapasztalataik alapján teljes mértékben függetlenek és mélyrehatóan ismerik a mesterséges intelligencia alapvető jogokat érintő kockázatait".[129] Ahogyan az alábbiakban is utalni fogok rá, az idézett dokumentumokban és nyilatkozatokban artikulált érvek, aggályok nemzeti szinten is megjelentek.
A tanulmány megírásának idején igen erős az AIA nemzeti szintű végrehajtásának előkészítését körülvevő turbulencia, ezért nehéz volna pontos képet adni a helyzetről, a kialakulófélben lévő megközelítésekről. Az érdeklődő kutató egyelőre legfeljebb az AI Board első ülésén a tagállamokat képviselő hivatalnokok szervezeti hovatartozásából[130] tudna következtetni arra, hogy az adott ország a közigazgatásának mely szereplőire tervezi bízni az AIA végrehajtását, ez azonban aligha erős támpont. Emellett néhány tagállamban azonban már kezd körvonalazódni az illetékes hatósági struktúra, s feltűnnek az MI-színtér konkrét szereplői, így konkrétumok mentén tárgyalhatjuk a különböző MI-kormányzási megközelítéseket.
Az AIA által a tagállamok számára előírt komplex közigazgatási szervezetrendszer ismeretében érdemes egy pillantást vetni arra, hogyan láttak neki a Rendelet implementációjának a közösségben. Fontos felhívnom a figyelmet arra, hogy a munka a legtöbb helyen még javában tart, s jellemzően az AIA végrehajtásához szükséges belső jogi aktusok körvonalazása, valamint a szervezetalakítás zajlik, az alább bemutatott állapotok így csak pillanatfelvételt adnak a folyamatokról. A véglegeshez közelítő helyzet nyárra alakulhat ki, hiszen az AIA szerint 2025. augusztus 2-től kell kialakítani a szervezetrendszert és eddig kell elérhetővé tenni az illetékes hatóságokkal kapcsolatos információkat is.[131]
Spanyolország kezdetektől a közös európai MI-politika és -szabályozás kialakításának egyik zászlóvivője, [132] ráadásul nemzeti szinten is igen ambiciózus törekvéseket tett az ügyért, így potenciális mintája, viszonyítási pontja lehet az unióban kialakulóban lévő MI-rezsimeknek. A jogalkotó az "egyszerű és robusztus" modell mellett tette le a voksát, és 2023 második felében egy teljesen új MI-ügynökséget hozott létre. Az AESIA[133] a Digitális Transzformációért és Közszolgálatért felelős minisztériumhoz kapcsolt,[134] de lényegében autonóm szervként tölti be a piacfelügyeleti hatóság szerepét, valamint egyedüli kapcsolattartási pontként is funkcionál az EU és a piaci szereplők felé. A szerv függetlenségét és hatékony működését saját költségvetés, önállóan kialakított szervezet és feladatainak ellátásához szükséges hatósági jogkör biztosítja. A szervezet statútumát jóváhagyó Királyi Rendelet[135] 4. cikkének 1. pontja szerint az ügynökség számos tevékenység megvalósításáért felel: "A mesterséges intelligencia rendszerek helyes használatára és fejlesztésére vonatkozó valamennyi nemzeti és európai szabályozás megfelelő végrehajtása érdekében az Ügynökség felel a vonatkozó, az állami és magánszektor szervezeteit célzó felügyeleti, tanácsadási, figyelemfelkeltő és képzési feladatok ellátásáért. Ezen túlmenően az Ügynökség különösen a mesterséges intelligencia területén ellenőrzési, tanúsítási, szankcionálási és egyéb feladatokat lát el, amelyeket a rá vonatkozó európai szabályozásokból fakadnak."
Ahogyan a fenti idézetből és az alapító jogszabály további szövegéből is kitűnik, a klasszikus, hatósági feladatkör mellett az AESIA kifejezetten sok piactámogató és kooperatív tevékenységet lát el, így kiváló megtestesítője lehet annak a már tárgyalt kooperatív közigazgatási szerepfelfogásnak, mely a jogalanyokkal közösen igyekszik mederbe terelni egy erősen technológiai terület működését és elősegíteni a piaci szereplők fejlődését. Éppen emiatt kiemelendő, hogy a spanyol nemzeti MI-szabályozási tesztkörnyezet kialakítása és működtetése is a szerv feladatai közé tartozik.[136] A sandboxnak köszönhetően a piacról szerzett tapasztalat közvetlenül, torzításmentesen kerülhet a kompetens döntéshozók látókörébe. Bár a tesztkörnyezet alapítására irányuló pilot-projekt az első volt Európában[137] és a létrehozását deklaráló jogszabály is régen megszületett[138] - a tesztkörnyezet csak 2024 végén kezdte meg tevékenységét.[139] Azzal kapcsolatban, hogy a bejelentő hatóság szerepét szintén az AESIA fogja-e ellátni, avagy sor kerül a piacfelügyeleti hatóságtól elkülönülő, dedikált bejelentő hatóság létrehozására, egyelőre nincsenek hivatalos információk. Némi támpontot esetleg az ügynökség operatív vezetőjének, Ignasi Beldának a közelmúltban tett nyilatkozata adhat, miszerint "az AESIA létrehozza a nemzeti MI-tanúsító központot, amely a tanúsító szervezetek vagy központok létrehozásáig működik. Bízunk benne, hogy sok állami és magánszervezet tudja ezt a közszolgáltatást biztosítani."[140] Tekintve, hogy a bejelentő hatóságok elsődleges feladata éppen az imént körülírt tevékenység, elképzelhető, hogy végül az AIA egész nemzeti végrehajtását egy szervbe integrálja a spanyol állam.
Az európai MI-rezsim kialakításában is igen aktív képviselőkkel[141] rendelkező Olaszország kevésbé kockázatos - ám annál temperamentumosabb vitával övezett - irányt határozott meg a Rendelet nemzeti végrehajtásával kapcsolatban. 2024 májusában az olasz kormány előterjesztése nyomán a Senato nemzeti MI-jogszabály[142] körvonalazását kezdte meg.[143] A javaslat szerint az olasz döntéshozók az új szervek alapításával járó, kétséges kimenetelű kísérletezés helyett régebb óta működő, kipróbált szervezetekre bíznák az illetékes nemzeti hatósági szerepek ellátását. A törvénytervezet piacfelügyeleti hatóságként a Nemzeti Kiberbiztonsági Ügynökséget[144] jelöli ki, a bejelentő hatóság feladatait a Digitális Olaszország Ügynökségre[145] bízza,[146] míg a nemzeti MI sandbox kialakítását pedig együttes kötelezettségüké teszi.[147] Fontos megemlíteni, hogy a szöveghez érkezett olyan, több képviselő által közösen jegyzett módosítási javaslat is, amely egy teljesen új, egységes MI-hatóság létrehozását kezdeményezte,[148] azonban ez egyelőre nem nyert recepciót a norma soraiba.
A tervezet az olasz adatvédelmi hatóságot ugyan nem emelné az AIA-t végrehajtó nemzeti illetékes hatóságok közé, azonban fenntartja a személyes adatok feldolgozásával kapcsolatos hatáskörét és feladatait.[149] Utóbbi döntés akár kiélezett vitához is vezethet, hiszen a Garante álláspontja ezzel gyökeresen ellentétes. Egy 2024 tavaszán kelt, a legfőbb közjogi méltóságoknak címzett jelentésben[150] a hatóság elnöke részletesen kifejtette az AIA végrehajtásával kapcsolatos meglátásait, melyek túlnyomórészt egybevágtak a már idézett, európai adatvédelmi szervek által artikulált közös állásponttal.[151] A szerv vezetőjének javaslata szerint a Rendelet végrehajtásáért felelős illetékes nemzeti hatóságként az olasz adatvédelmi hatóság kijelölése volna megfelelő. Indoklása szerint a Garante - azon túl, hogy teljesíti az
- 8/9 -
AIA-ben előírt függetlenségi és pártatlansági kritériumokat - rendelkezik az MI területén elvárt kompetenciákkal és tapasztalattal, amelyekre például a GDPR végrehajtása során az automatizált döntéshozatal terén végzett tevékenysége miatt tett szert. Úgy vélte, az AIA - különösen a magas kockázatú rendszerek esetében - amúgy is szoros kapcsolatot teremt az AI-rendszerek és az adatvédelem között. Az elnök figyelmeztetett: amennyiben nem az adatvédelmi hatóságokat jelölik ki, akkor a hatásköri konfliktusok elkerüléséhez a hatóságok közötti koordinációs mechanizmusok kiépítésére lenne szükség, ami növelné, vagy akár megkettőzné az adminisztratív terheket és további jogi vitákat eredményezhetne. Hozzátette, hogy az eltérő szabályozási megközelítések fragmentálhatják a kormányzást és csökkenthetik a szabályozás hatékonyságát. A dokumentum hangsúlyozta, hogy az adatvédelmi hatóság kijelölése nemcsak egyszerűsítené a felügyeletet, hanem biztosítaná a magas szintű alapjogvédelmet is és a szabályozás EU-s szintű harmonizációját is.
A mediterrán nemzetekétől jelentősen eltérő megközelítést képvisel az észak-európai mintaállam, Finnország, amely decentralizált végrehajtási modellben látja a jövőt. A nemzeti parlament elé terjesztett törvényjavaslat - melynek társadalmi egyeztetése éppen e tanulmány megírása alatt zajlik[152] - számos piacfelügyeleti hatóság között porlasztaná az AIA által előírt felügyeleti feladatokat.[153] E döntés mögött a szakértők szerint alapvetően két megfontolás húzódik: "először is, a kijelölt hatóságok tapasztalattal és szakértelemmel rendelkeznek területükön. Másodszor, Finnország már több uniós irányelvet és rendeletet ültetett át nemzeti jogaiba ugyanezen decentralizált modell mentén, melyre az elektronikus hírközlési adatvédelmi irányelv[154] és a hálózat- és információbiztonsági irányelv [155] csak néhány sikeres példa."[156] Egyedüli kapcsolattartási pontként a finn kormány azt a Közlekedési és Kommunikációs Ügynökséget (Traficom) jelölte ki, amely már több más közösségi jogszabály - pl.: DSA, NIS és várhatóan a NIS 2, valamint a Data Act - hatálya alatt is betölti e szerepet, így a választás tulajdonképp magától értetődő volt. Látható, hogy az európai adatvédelemért felelős szereplők és a Garante elnöke által már artikulált gondolat, miszerint a végrehajtást tapasztalt szervezetekre kellene bízni, a finneknél magától értetődő volt. Az ország MI-szabályozási és -felügyeleti ökoszisztémája ennek következtében ugyan igen sokszínű lesz, hisz az AIA végrehajtásáért a tervek alapján több mint tíz hatóság felel,[157] de ez nem ütközik a Rendeletbe, jelesül az legalább egy szerv létrehozását vagy kijelölését teszi kötelezővé. Véleményem szerint ahhoz sem fér kétség, hogy az északi állam által preferált kivitelezés meg fog térülni, amennyiben sikerül megvalósítaniuk a szervezetek közötti hatékony koordinációt.
Hazánkban az európai MI-szabályozási korszak kezdetével[158] szinte egy időben kezdődött meg az MI-vel kapcsolatos központi kormányzati tevékenységek megszervezése koordinációja. 2018. október 9-én a Kormány - egészen pontosan az innovációs és technológiai miniszter - kezdeményezésére megalakult a Mesterséges Intelligencia Koalíció.[159] A közösség deklarált célja volt, hogy a kollaboratív közigazgatás jegyében "állandó szakmai és együttműködési fórumot biztosítson az MI-fejlesztők, az MI felhasználói oldalát képviselő piaci és állami szereplők, illetve az akadémiai szféra, a szakmai szervezetek és az állami intézmények között", hogy "tagjai közösen határozzák meg a mesterséges intelligencia hazai fejlesztésének irányait és kereteit".[160] 2020 tavaszára a Koalíció hathatós közreműködésével elkészült Magyarország MI Stratégiája, amelyet a Kormány még az év szeptemberében elfogadott.[161] A dokumentum vizionárius jellege megemlítendő, hiszen csaknem egy évvel megelőzve az AIA beterjesztését, célul tűzte ki a magyar MI-szabályozási keretek megteremtését. A szerzők ugyanakkor helyesen ismerték fel, hogy az MI-reguláció kizárólag nemzeti szinten elképelhetetlen és a technológia határokat nem ismerő természetére tekintettel kivitelezhetetlen, így artikulálták az EU-s szabályozásba való bekapcsolódás és e szabályok hazai implementációjának szándékát.[162]
E nyitottság és proaktív szemlélet tükrében nem meglepő, hogy az AIA hatálybalépését követően szinte azonnal elkezdődött a Rendelet implementációjának előkészítése. Ennek első lépéseként megszületett a 1301/2024 (IX. 30.) Korm. határozat,[163] amely kijelölte a végrehajtás legfontosabb alapelveit és körvonalazta az ehhez szükséges szervezeti kereteket. A döntés szerint a magyar Kormány támogatja, hogy a végrehajtás "hatékonyan, a magyar emberek és vállalkozások számára áttekinthetően és ügyfélbarát módon történjen". E feladatokat egy igen széles hatáskörű, a nemzetgazdasági miniszter felügyelete alatt álló - egyelőre meg nem nevezett, csak Szervezetnek hívott - szervezetre bízza, amelynek megalapítását jogszabályban rendeli. A hatékonyság növelése érdekében a Kormányhatározat nem választja el a bejelentő és az (általános hatáskörű) piacfelügyeleti feladatokat, hanem azokat a Szervezetbe integrálja, külön kiemelve az egyablakos ügyintézés fontosságát. Szintén a Szervezet fogja ellátni az AIA szerint elvárt egyedüli kapcsolattartó pont[164] szerepét is, így - amennyiben végül a Kormányhatározat szerint előirányzott formában és hatáskörrel jön létre - minden szempontból megkerülhetetlen pozícióba kerül a hazai MI-ökoszisztémában.
Az új szerv az MI-innováció elősegítésében is megkerülhetetlen lesz, hiszen létre kell hoznia és üzemeltetnie az AIA előírásainak megfelelő nemzeti szabályozói tesztkörnyezetet is. Az innováció kapcsán fontos megjegyeznem, hogy az MI-re fókuszáló kezdeményezéseknek eddig is számos színtere volt, így például a különböző ágazati szövetségekben, kutatási együttműködésekben[165] is kiemelt figyelmet fordítottak az MI-vel kapcsolatos, szektorok közötti párbeszéd elősegítésére. Véleményem szerint az Kormányhatározatban említett Szervezetnek egyik legfontosabb feladata lesz-e, már létező "mini-ökoszisztémákban" rejlő szinergiák szintetizálása, hiszen ha ezt sikeresen megvalósítja, akkor jelentősen erősítheti a hazai MI-innovációs mutatókat.
A Kormány döntésének értelmében létrejön továbbá egy - még teljes egészében nem tisztázott feladatkörű, de vélhetően koordináló, egyeztető funkcióval is rendelkező - új testület, a Magyar Mesterséges Intelligencia Tanács. Deklarált feladata a Rendelet végrehajtásával összefüggő iránymutatások, állásfoglalások kiadása lesz. Kérdés, hogy e tevekénység milyen mértékben mutat majd átfedést az AI Office, illetve az AI Board által is ellátott jog- és gyakorlategységesítő munkával és konzultatív tevékenységgel. A Magyar MI Tanács tagjai olyan közigazgatási szervek képviselői,[166] amelyek közül több rendelkezik valamilyen, az AIA-ben említett speciális terület feletti piacfelügyeleti jogkörrel és feladattal. A Tanács szerepe vélhetően meghatározó lesz a hazai MI szabályozásban és összetételéből fakadóan a számos nézőpont megjelenése minden bizonnyal elősegíti az átgondolt, előremutató és praktikus döntések meghozatalát.
Ugyan a Kormányhatározatban rögzített jogalkotási kötelezettség teljesítésére és egyéb intézkedések meghozatalára adott határidő e tanulmány lezárásakor már letelt, egyelőre nem ismert, hogy a Kormány döntésének megfelelően bármilyen jogszabály megszületett volna. Tekintve, hogy a döntés végrehajtásért a Kormány három miniszter tett együttesen felelőssé - amelyekből kettő az MI területén különösen érintett -, bízzunk benne, hogy az ezzel járó fokozott koordinációs teher és érdekegyeztetés nem megy a minőség és a hatékonyság rovására. A nemzeti hatóságok felállítására ugyan még van több mint fél év, így a hazai közigazgatás még nem késett el semmivel, azonban világos, hogy egy átgondolt struktúrájú és feladatkörű, valamint az AIA implementációjára szakmailag is alkalmas szerv kialakításához már épphogy csak elég az idő.
A digitális korszak kihívására válaszul az AI Act komplex kormányzási megközelítést választott. A harmonizált európai modell a szupranacionális, illetve a nemzeti hatóságok integrált és rugalmas munkamegosztására épít, a piaci és civil szereplők bevonását is ösztönző kollaboratív kormányzási megközelítés mellett elismerve: a hatósági munka sikerét jelentősen segítheti a valós tapasztalatok és szaktudás be-
- 9/10 -
csatornázása. Bár az intézmények sok helyen átfedő kompetenciákkal bírnak, így a Rendelet végrehajtása a vártnál is összetettebb közigazgatási koordinációt igényelhet, ha sikerül megteremteni a megfelelő egyensúlyt a szabályozás, a piacfelügyelet és a vállalkozások támogatása között, az AI Act valódi versenyelőnnyé válhat.
Azzal, hogy az AIA a nemzeti struktúra kiépítésénél jelentős mozgásteret hagy a tagállamoknak, optimalizálhatja a végrehajtás hatékonyságát, azonban ezzel együtt megteremti a lehetőségét a szabályozások sokszínű elburjánzásának. A döntés létjogosultsága mégis igazolódni látszik: a tagállamok élnek a Rendelet adta szabadsággal: Spanyolország új, integrált MI-ügynöksége, Olaszország kipróbált szervekre alapozó megközelítése vagy Finnország sokszereplős modellje egyaránt potenciálisan hatékony lehet, melynek sikeressége végső soron a politikai, gazdasági és szakmai szereplők harmonikus együttműködésén múlik.
A növekvő szakemberhiányt, a hatóságok közötti együttműködés esetleges nehézségeit és a gyors technológiai változásokat viszont egyetlen rezsim sem hagyhatja figyelmen kívül, így kulcsfontosságú lesz a rugalmas, folyamatosan tanuló végrehajtási gyakorlat kialakítása. Mindez azt jelenti, hogy a Rendelet megvalósulása nem lehet statikus: finomhangolásra, új szakmai szempontok bevonására és a kockázatok rendszeres ékelésére folyamatosan szükség lesz. Ha az EU közössége képes helyesen reagálni az innovációra, a formálódó rezsim biztató keretrendszerré válhat, egyben megakadályozva az európai MI-ökoszisztéma, közvetve pedig az EU nemzetközi lemaradását a versenyben. A Rendelet képes lehet ösztönözni az átlátható és emberközpontú MI-környezet megteremtését, s ha a kitűzött tervek sikerrel megvalósulnak, az AI Act olyan víziót nyújthat, ami túlmutat az uniós határokon, és standardot állít az MI-alapú rendszerek alkalmazásában. ■
JEGYZETEK
[1] Cancela-Outeda, Celso: The EU's AI act: A framework for collaborative governance, Internet of Things 2024/27. p. 2. https://doi.org/10.1016/j.iot.2024.101291.
[2] Az Európai Parlament és a Tanács (EU) 2024/1689 Rendelete a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet) [AI Act] (2024).
[3] Lásd az AIA Preambulum (3) bekezdését és Cancela-Outeda, Celso i. m. p. 5.
[4] Lásd az AIA Preambulum (22) bekezdését és az AIA 2. cikkét.
[5] Bradford, Anu: The Brussels Effect: How the European Union Rules the World. Oxford University press, 2020; Kiss Lilla Nóra: The Brussels Effect: How the EU's Digital Markets Act Projects European Influence. https://itif.org/publications/2024/03/07/the-brussels-effect-how-the-digital-markets-act-projects-european-influence/ [2024.12.28.]
[6] Lásd Európai Bizottság: Fehér Könyv a mesterséges intelligenciáról: a kiválóság és a bizalom európai megközelítése - COM(2020) 65 final" (2020), p. 4.
[7] A teljesség igénye nélkül idetartozik a Digital Markets Act, a Digital Services Act, a Data Act és a Data Governance Act is.
[8] Novelli, Claudio és mtsai.: A Robust Governance for the AI Act: AI Office, AI Board, Scientific Panel, and National Authorities. European Journal of Risk Regulation, 2024. p. 12-13. https://doi.org/10.2139/ssrn.4817755
[9] Voigt, Paul - Hullen, Nils: How Is the AI Act Implemented and Enforced? In: Paul Voigt - Nils Hullen (szerk.): The EU AI Act: Answers to Frequently Asked Questions 2024. Heidelberg Springer 2024. p. 151., https://doi.org/10.1007/978-3-662-70201-7_6
[10] Ezek a rendszerek elégtelen fejlesztésük vagy működésük eredményeképp az EU alapértékeire így az egészségre, a biztonságra, valamint az alapvető jogokra - köztük a demokráciára, a jogállamiságra és a környezetvédelemre - jelenthetnek fokozott kockázatot, amelynek kiküszöbölése vagy megszüntetése az AIA egyik központi célja.
[11] Az ún. megfelelőségértékelési eljárással kapcsolatban lásd e tanulmány 3.2. pontját.
[12] Novelli és mtsai i. m. p. 11.
[13] AIA Preambulum (148) bekezdés.
[14] Cancela-Outeda, Celso i. m. p. 2.
[15] AIA Preambulum (96) bekezdés.
[16] Az AIA 2024. augusztus 2-án lépett hatályba és a kellő felkészülési idő biztosítása érdekében teljes egészében 2026. augusztus 2-től alkalmazandó.
[17] A Bizottság határozata a mesterséges intelligenciával foglalkozó európai hivatal létrehozásáról - C/2024/1459 (2024). [Bizottsági határozat].
[18] Bizottsági határozat Preambulum (8) bekezdés.
[19] Bizottsági határozat Preambulum (5)-(6) bekezdés.
[20] Novelli és mtsai. i. m. p. 14-16.
[21] Cancela-Outeda, Celso i. m. p. 7.
[22] Angol elnevezése: Directorate General for Communication Networks, Content, and Technology (DG-CNECT).
[23] Bizottsági határozat Preambulum (6) bekezdés.
[24] (n 24)
[25] Novelli, Claudio és mtsai. i. m. p. 15.
[26] (n 26)
[27] Novelli, Claudio és mtsai. i. m. p. 14.
[28] Bizottsági határozat 8. cikk (1)-(2) bekezdés.
[29] (n 26)
[30] AIA Preambulum (148) bekezdés. Hasonló a meghatározás az AIA 64. cikkében is.
[31] AIA 64. cikk (2) bekezdés.
[32] Lásd a Bizottsági határozat 2. cikkét.
[33] Európai Bizottság: AI Factories - Shaping Europe's Digital Future. https://digital-strategy.ec.europa.eu/en/policies/ai-factories [2024.12. 12.].
[34] Novelli, Claudio és mtsai. i. m. p. 15-16.
[35] A Bizottsági határozat 2. cikk (3) bekezdése szerint az érdekelt felek - elsősorban tudományos szakértők és MI-fejlesztők - bevonása mellett a Bizottság érintett, más ágazatokat felügyelő főigazgatóságaival és szolgálataival, valamint az Unióban és a tagállamokban működő valamennyi, MI szempontból releváns szervvel, hivatallal és ügynökséggel kell ki alakítania az együttműködés megfelelő formáit.
[36] AIA 3. cikk 47. pont.
[37] E kategóriába tartoznak az olyan MI-alapú algoritmusok és modellek, amelyek felhasználása nemcsak egy adott célra lehetséges, hanem feladatok széles körét képesek ellátni. Legismertebb képviselőik a ChatGPT, a Google Gemini vagy az európai fejlesztésű Mistral AI.
[38] AIA 88. cikk (1) bekezdése. Az általános célú MI-modellekre vonatkozó szabályokat lásd pl.: az AIA Preambulumának (101), (107)-(108), (112)-(113), (161)-(164) bekezdéseiben és az AIA V. fejezetében.
[39] Ami nem azonos a piacfelügyelettel, lásd e tanulmány 3.2 pontját.
[40] Lásd AIA 89. cikkét és a Bizottsági határozat 3. cikk (1) bekezdésének b)-d) pontjait.
[41] AIA 101. cikk (1) bekezdése.
[42] AIA 95. cikk.
[43] AIA Preambulum (20) bekezdés.
[44] AIA Preambulum (165) bekezdés és 95. cikk.
[45] AIA Preambulum (116) bekezdés és 56. cikk (2)-(9) bekezdés.
[46] AIA Preambulum (135) bekezdés és 50. cikk (7) bekezdés.
[47] AIA Preambulum (117) bekezdés.
[48] Európai Bizottság: General-Purpose AI Code of Practice - Shaping Europe's Digital Future. https://digital-strategy.ec.europa.eu/en/policies/ai-code-practice [2024.12.31.]
[49] Lásd az AIA 56. cikkét.
[50] Az AIA számos esetben írja elő végrehajtási aktusok megalkotásának kötelezettségét az egységes implementáció biztosítása érdekében, például ilyenben rendeli rögzíteni a szabályozási tesztkörnyezetekre vonatkozó részletes szabályokat - lásd AIA 58. cikk (1) bekezdését.
[51] Bizottsági határozat 3. cikk (2) bekezdés a), c)-d) pontjai.
[52] Cancela-Outeda, Celso i .m. p. 8.
[53] AIA 112. cikk (5) bekezdés.
[54] Novelli, Claudio és mtsai i. m. p. 17.
[55] AIA Preambulum (149) bekezdés.
[56] AIA 65. cikk (1) bekezdés.
[57] AIA 65. cikk (4) bekezdés a) pont.
[58] A mandátum egyszer megújítható, lásd az AIA 65. cikk (3) bekezdését.
[59] AIA 65. cikk (4) bekezdés c) pont.
[60] AIA 65. cikk (4) bekezdés.
[61] AIA 65. cikk (2) és (8) bekezdés.
[62] AIA 66. cikk.
[63] AIA 66. cikk e) pont.
[64] Lásd az AIA 66. cikk e) pontjának i., ii. és vii. alpontjait.
[65] (n49)
[66] Lásd e tanulmány 3. fejezetét.
[67] Ilyen például az MI szabályozói tesztkörnyezetek - AIA 57-58. cikk - kialakításának és működésének kérdése.
[68] Az AIA szerint MI-jártassággal nemcsak a fejlesztőknek és a szolgáltatóknak, de összes, MI által érintett személynek rendelkeznie kell. Lásd a 3. cikk 56. pontját.
[69] Lásd AIA Preambulum (20) bekezdés és a 4. cikk.
[70] AIA 66. cikk f) pont.
[71] Lásd Európai Bizottság: Register of Commission expert groups and other similar entities https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=56341&fromExpertGroups=3966 [2025.1.1.]
[72] AIA Preambulum (150) bekezdés és 67. cikk.
[73] AIA 67. cikk (2) bekezdés.
[74] Az AIA 67. cikk (4) bekezdése szerint ezek az Alapjogi Ügynökség, az ENISA, az Európai Szabványügyi Bizottság (CEN), az Európai Elektrotechnikai Szabványügyi Bizottság (CENELEC) és az Európai Távközlési Szabványügyi Intézet (ETSI).
[75] AIA 67. cikk (10) bekezdés.
[76] AIA Preambulum (151) bekezdés és 68. cikk.
[77] AIA 68. cikk (3) bekezdésének a) pontja.
[78] AIAI 68. cikk (3) bekezdésének b) pontja.
[79] AIA 69. cikk.
[80] AIA 68. cikk (2) bekezdés.
[81] Lásd Novelli, Claudio és mtsai. i. m. p. 26-27.
[82] AIA Preambulum (180) bekezdése. Az adatvédelmi biztos és az Európai Adatvédelmi Testület által kiadott közös véleményről bővebben a 4. fejezetben írok.
[83] Lásd a tanulmány 4. fejezetében leírtakat.
[84] AIA 3. cikk 48. pont.
[85] AIA 100. cikk.
[86] AIA 65. cikk (2) bekezdés.
[87] Novelli, Claudio és mtsai. i. m. p. 20.
[88] AIA Preambulum (153) és AIA 70. cikk (1) bekezdés.
[89] AIA 70. cikk (1) bekezdés.
[90] Az AIA 70. cikk (3) bekezdése alapján a rendelkezésre álló tudásnak ki kell terjednie az MI-technológiák, az adatok és az adatszámítás, a személyes adatok védelme, a kiberbiztonság, az alapvető jogok, az egészségügyi és biztonsá-
- 10/11 -
gi kockázatok alapos megértésére, valamint a meglévő szabványok és jogi követelmények ismeretére.
[91] AIA 70. cikk (6) bekezdés.
[92] Lásd AIA Preambulum (8), (109) és (143) bekezdéseit, valamint a 62. cikk.
[93] AIA 70. cikk (8) bekezdés.
[94] AIA 57. cikk (1) bekezdés.
[95] AIA 78. cikk.
[96] Lásd AIA 28. cikk (6) bekezdés, valamint a 74. cikk (14) bekezdés.
[97] AIA 70. cikk (1) bekezdés.
[98] E funkció célja az AIA Preambulum (153) bekezdése és 70. cikk (2) bekezdése szerint egyrészt a szervezeti hatékonyság növelése, másrészt annak biztosítása, hogy a nyilvánosság integráltan férjen hozzá információkhoz, valamint a tagállami és uniós szintű partnerek számára - pl. a Bizottság vagy a Testület - is könnyebb legyen az együttműködés.
[99] Az alábbiakhoz lásd az AIA 74. cikk (3)-(9) bekezdéseit.
[100] Lásd AIA I. melléklet A. szakasz 2., 4. és 11. pontját.
[101] AIA 74. cikk (9) bekezdés.
[102] Lásd e tanulmány 2.1 pontját.
[103] AIA 75. cikk (1) bekezdés.
[104] AIA 74. cikk (10) bekezdés.
[105] Európai Parlament és a Tanács (EU) 2019/1020 rendelete (2019. június 20.) a piacfelügyeletről és a termékek megfelelőségéről, valamint a 2004/42/EK irányelv, továbbá a 765/2008/EK és a 305/2011/EU rendelet módosításáról.
[106] Lásd AIA Preambulum (156) bekezdése, 3. cikk 26. pontja és a 74. cikk (1) bekezdése.
[107] Így az évenkénti jelentésétételi kötelezettség teljesítése során csak néhány AIA-specifikus kiegészítő információval - pl.: a tiltott gyakorlatok előfordulásáról - kell ellátni a Bizottságot [AIA 70. cikk (2) bekezdés], illetve néhány, ellenőrzéssel kapcsolatos jogosítványt bővít ki az AIA, megengedve azok távolról való gyakorlását [AIA 70. cikk (5) bekezdés].
[108] AIA 74. cikk (12) bekezdés.
[109] Lásd AIA 74. cikk (13) bekezdés.
[110] AIA 74. cikk (11) bekezdés.
[111] Lásd AIA 3. cikk 19. pontja, valamint a 28. cikk.
[112] AIA 28. cikk (1) bekezdés.
[113] Lásd AIA 8. cikk és a III. fejezet 2. szakasza.
[114] AIA Preambulum (123) bekezdése és a 16. cikk f) pontja. Az eljárás célja, annak garantálása, hogy az adott nagy kockázatú MI-rendszerek teljesítik a rájuk vonatkozó, a Rendeletben előírt követelményeket. Lásd az AIA 43. cikkét.
[115] A piacra lépéshez minden esetben kötelező a megfelelőségértékelés, azonban e kötelezettségnek több formában lehet eleget tenni, ahhoz nem minden esetben szükséges bejelentett szervezet bevonása, lásd: 43. cikk (1)-(3) bekezdéseit.
[116] AIA 3. cikk 22. pontja.
[117] A bejelentett szervezetek működésére, belső szervezeti felépítésére és szakértelmére szigorú követelmények vonatkoznak - lásd a Rendelet 31-34. cikkeit.
[119] A bejelentett szervezeteket a Bizottság, nem pedig a tagállam tartja nyilván, ami elsősorban az uniós szintű koordinációt biztosítja. Lásd: AIA 35. cikk.
[120] AIA 36. cikk (4) bekezdés.
[121] AIA 28. cikk (3)-(5) bekezdés.
[122] Lásd Novelli, Claudio és mtsai. i. m. p. 21.
[123] Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos 5/2021. sz. közös véleménye a mesterséges intelligenciára vonatkozó harmonizált szabályok (a mesterséges intelligenciáról szóló jogszabály) megállapításáról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatról, 2021. június 18.
[124] Lásd pl. (n 124) 47. és 48. pontjait.
[125] Statement 3/2024 on data protection authorities' role in the Artificial Intelligence Act framework, EDPB, 2024. július 16..
[126] Lásd AIA 74. cikk (8) bekezdése.
[127] Lásd (n 126) 9. és 10. pontja.
[128] Lásd (n 126) 8. pontja.
[129] European Data Protection Board: EDPB adopts statement on DPAs role in AI Act framework, EU-U.S. Data Privacy Framework FAQ and new European Data Protection Seal. https://www.edpb.europa.eu/news/news/2024/edpb-adopts-statement-dpas-role-ai-act-framework-eu-us-data-privacy-framework-faq_en [2024. 12. 21.]
[130] Európai Bizottság: Register of Commission expert groups and other similar entities. https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=56341&fromExpertGroups=3966 [2024.12.20.]
[131] AIA 70. cikk (2) bekezdése és a 113. cikk b) pontja.
[132] A spanyol állam szakértői kulcsszerepet töltöttek be az AIA megalkotásában. Az ország volt az EU soros elnöke a végleges szöveg kialakításakor, így rá hárult a legnehezebb politikai és szakmai alkuk megkötése, valamint a csaknem négyéves folyamat érdemi részének lezárása. Szintén Spanyolországhoz köthető az első, pilot jellegű, AIA kompatibilis MI szabályozási tesztkörnyezet létrehozása. Lásd: Bertuzzi, Luca: AI Act: Spanish presidency makes last mediation attempt on foundation models. https://www.euractiv.com/section/artificial-intelligence/news/ai-act-spanish-presidency-makes-last-mediation-attempt-on-foundation-models/ [2024.1.9.]; European Parliament: Artificial Intelligence Act: Deal on Comprehensive Rules for Trustworthy AI. https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai. [2023.12.9.]
[133] Agencia Española de Supervisión de la Inteligencia Artificial.
[134] Casal Tavasci, Javier: Agencia Española de Supervisión de La Inteligencia Artificial (AESIA) https://protecciondata.es/agencia-espanola-supervision-inteligencia-artificial-aesia/ [2024.12.15.]
[135] Ministerio de la Presidencia, Relaciones con las Cortes y Memoria Democrática, "Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial", Pub. L. No. Real Decreto 729/2023, § 1, BOE-A-2023-18911 122289 (2023).
[136] Real Decreto 729/2023 Preambulum és 25. cikk.
[137] "The Government of Spain in collaboration with the European Commission presents a pilot for EU's first AI Regulatory Sandbox" (Brussles: Ministro de Asuntos Económicos y Transformacion Digital, 2022. június 27.); Fernández Rivaya, Garrigues-Javier - Vidal, Anxo: Spain: The Artificial Intelligence Regulatory »Sandbox« Has Arrived. https://www.lexology.com/library/detail.aspx?g=99939c25-d7bb-4d06-b154-4a972eb71e9b [2024.5.25.]
[138] Ministerio de Asuntos Económicos y Transformación Digital, "Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial", Pub. L. No. Real Decreto 817/2023, § 1, BOE-A-2023-22767 (2023).
[139] El ministerio para la Transformación Digital y de la Función Pública lanza la primera convocatoria del Sandbox de IA para sistemas de alto riesgo. https://digital.gob.es/portalmtdfp/comunicacion/sala-de-prensa/comunicacion_SEDIA/2024/12/2024-12-20_02.html. [2024.12.27.]
[140] Sánchez, Luisja: La AESIA, regulador de la IA nacional, dispondrá de un cuerpo de inspectores que velará por el cumplimiento de la normativa. https://www.economistjurist.es/actualidad-juridica/la-aesia-regulador-de-la-ia-nacional-dispondra-de-un-cuerpo-de-inspectores-que-velara-por-el-cumplimiento-de-la-normativa/ [2024. 10.18.]
[141] Az AIA társelőadója az olasz Brando Benifei képviselő volt, az AI Office első vezetője pedig honfitársa, Lucile Sioli. Lásd: Kroet, Cynthia: AI Office Set-up Announced, Lucilla Sioli to Be in Charge. https://www.euronews.com/next/2024/05/29/ai-office-set-up-announced-lucilla-sioli-to-be-in-charge [2024.5.29.]
[142] Atto Senato n. 1146 XIX Legislatura.
[143] Dentons: The Road to the AI Act: The Italian Approach - Part 2: Unveiling Italy's Pioneering Draft of AI Legislation. https://www.dentons.com/en/insights/articles/2024/may/7/the-road-to-the-ai-act-the-italian-approach-pt-2 [2024.12.21.]
[144] Agenzia per la cybersicurezza nazionale.
[145] Agenzia per l'Italia digitale.
[146] Cooper, Dan - Somaini, Laura: Italy Proposes New Artificial Intelligence Law https://www.insideglobaltech.com/2024/05/30/italy-proposes-new-artificial-intelligence-law [2024.12. 9.]
[147] Lásd az előterjesztés 18. cikkének (1) bekezdését.
[148] A kodifikációs procedúra nyomon követhető itt: "Parlamento Italiano - Disegno di legge S. 1146 - 19[a] Legislatura, https://www.senato.it/leg/19/BGT/Schede/Ddliter/testi/58262_testi.htm. Az említett, 18.1-es számú módosító javaslatot lásd: https://www.senato.it/japp/bgt/showdoc/frame.jsp?tipodoc=Emendc&leg=19&id=1434129&idoggetto=1421069
[149] Lásd előterjesztés 18. cikkének (3) bekezdése és (n 147).
[150] Garante per la Protezione dei Dati Personali: Segnalazione al Parlamento e al Governo sull. https://www.garanteprivacy.it:443/home/docweb/-/docweb-display/docweb/9996493 [2024.12.22.]
[151] (n 124).
[152] Lausuntopalvelu.fi: Lausuntopyyntö: luonnos hallituksen esitykseksi tekoälyasetuksen toimeenpanoa koskevaksi lainsäädännöksi. https://www.lausuntopalvelu.fi/FI/Proposal/Participation?proposalId=0e252297-c14b-4b6b-a0da-0a35756c9a90 [2024.12.23.]
[153] Hannes Snellmann: Draft Government Proposal on the Implementation of EU's AI Act Published https://www.hannessnellman.com/news-views/blog/draft-government-proposal-on-the-implementation-of-eu-s-ai-act-published [2024.12.9.]
[154] Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről.
[156] (n 153)
[157] (n 154)
[158] Az EU MI-startégiájának tekinthető Bizottsági közlemény - Mesterséges intelligencia Európa számára - COM(2018) 237 final/2 - 2018. április 25-én született.
[159] Digitális Jólét Program: Mesterséges Intelligencia Koalíció. https://digitalisjoletprogram.hu/hu/tartalom/mesterseges-intelligencia-koalicio [2023.11.15]
[160] AI Hungary: MI Koalíció. https://ai-hungary.com/hu/tartalom/mi-koalicio [2024.12.20.]
[161] Magyarország Mesterséges Intelligencia Stratégiájáról, valamint a végrehajtásához szükséges egyes intézkedésekről szóló 1573/2020. (IX. 9.) Korm. határozat.
[162] Lásd az MI Stratégia 4.1.6 pontjában foglalt, az MI szabályozási környezet megteremtésével kapcsolatos célokat.
[163] A mesterséges intelligenciáról szóló európai parlamenti és tanácsi rendelet végrehajtásához szükséges intézkedésekről szóló 1301/2024. (IX. 30) Kormány határozat.
[164] Lásd AIA Preambulum (138) és 70. cikk (2) bekezdés.
[165] A teljesség igénye nélkül a legfontosabbak: Mesterséges Intelligencia Koalíció, Magyar Innovációs Szövetség, Mesterséges Intelligencia Nemzeti Labor.
[166] Nemzeti Média- és Hírközlési Hatóság, Magyar Nemzeti Bank, Gazdasági Versenyhivatal, Nemzeti Adatvédelmi és Információszabadság Hatóság, Szabályozott Tevékenységek Felügyeleti Hatósága, Digitális Magyarország Ügynökség Zártkörűen Működő Részvénytársaság.
Lábjegyzetek:
[1] A szerző az ELTE Állam- és Jogtudományi Kar doktorandusz hallgatója. A jelen tanulmány a K-142232 OTKA_22 alapkutatási pályázat keretében született a KIM és az NKFIH támogatásával.
Visszaugrás
