wydanie cyfrowe

Nowe zasady gry dla firm technologicznych w Europie

901450_big_photo_image_photo_image
fot. Shutterstock / Shutterstock
Większe uprawnienia dla użytkowników platform internetowych, ułatwienie dostępu do danych, a w perspektywie także wzięcie w ryzy sztucznej inteligencji – unijne przepisy zmieniają zasady gry na rynku cyfrowym

Mówiąc podczas sejmowej debaty o „regulacyjnym tsunami” w obszarze nowych technologii, Mirosław Wróblewski – wtedy jeszcze kandydat na prezesa Urzędu Ochrony Danych Osobowych – wymienił akt o usługach cyfrowych (DSA, Digital Services Act), akt o rynkach cyfrowych (DMA, Digital Markets Act), akt o zarządzaniu danymi (DGA, Data Governance Act) i akt o danych (Data Act). Te unijne rozporządzenia już weszły w życie.

W przygotowaniu jest zaś kolejna fundamentalna regulacja sfery cyfrowej – akt o sztucznej inteligencji (AI Act).

DSA, czyli konstytucja

Akt o usługach cyfrowych jest nazywany konstytucją internetu i obowiązuje w pełni od 17 lutego tego roku. Wprowadzono go, by zwiększyć bezpieczeństwo w internecie, m.in. za pomocą przepisów wspierających internautów w starciu z platformami i wzmacniających ochronę najmłodszych.

W praktyce oznacza to m.in., że internauci nie muszą już polegać na algorytmach w kwestii doboru treści wyświetlanych w mediach społecznościowych, bo każda bardzo duża platforma internetowa (VLOP, Very Large Online Platforms, np. Facebook, Instagram, TikTok czy YouTube) musi oferować co najmniej jeden alternatywny system rekomendacyjny (najczęściej jest to kolejność chronologiczna).

DSA wymaga też od wszystkich dostawców usług pośrednich – są to np. serwisy z sekcją komentarzy – publikacji regulaminów moderacji treści i raportów z moderacji. Firmy świadczące usługi hostingu muszą ponadto zapewnić mechanizm zawiadamiania o bezprawnych treściach oraz informowania użytkowników o usunięciu ich treści i innych ograniczeniach (z uzasadnieniem). Z kolei platformy internetowe – nawet niebędące VLOP-ami, jak mniejsze platformy e-commerce – umożliwiają odwołanie się od decyzji usunięcia treści. Nie wolno im też używać w celach reklamowych danych wrażliwych ani danych osobowych dzieci.

Kary dla firm, które nie będą się stosować do DSA, mogą sięgnąć 6 proc. ich rocznych przychodów.

W tym pięknym krajobrazie jest jednak pewien szkopuł: w Polsce nie powołano koordynatora ds. usług cyfrowych (DSC). A to znaczy, że nie ma komu skontrolować, czy unijny akt jest przestrzegany, i nałożyć ewentualnej kary. Nie ma też do kogo składać skarg na platformy i inne firmy internetowe podlegające DSA. Przygotowaniem ustawy potrzebnej do egzekwowania DSA zajmuje się Ministerstwo Cyfryzacji. Rola DSC ma przypaść Urzędowi Komunikacji Elektronicznej, wspomaganemu przez Urząd Ochrony Konkurencji i Konsumentów (UOKiK).

DMA, czyli temperowanie big techów

Do UOKiK mogą też już trafiać skargi na sześciu największych cyfrowych graczy – tzw. strażników dostępu. Wyznaczyła ich Komisja Europejska na mocy aktu o rynkach cyfrowych, który zaczął obowiązywać 7 marca tuż przed północą. Strażnik dostępu to firma o tak silnej pozycji rynkowej, że może blokować lub utrudniać działalność swoim konkurentom. Ma w UE ponad 45 mln aktywnych użytkowników miesięcznie i 10 tys. użytkowników biznesowych rocznie, a jej roczne obroty w Europejskim Obszarze Gospodarczym wynoszą co najmniej 7,5 mld euro. Obecnie strażnikami są: Alphabet, Amazon, Apple, ByteDance, Meta i Microsoft. DMA ma ich powstrzymać przed faworyzowaniem swojej oferty, zapewnić konsumentom swobodę wyboru, a firmom – sprawiedliwe zasady konkurowania lub współpracy ze strażnikami.

Unijne rozporządzenie nakazuje m.in. otwarcie szczelnych dotychczas ekosystemów big techów. Dzięki temu użytkownicy smartfonów i innych urządzeń z systemami operacyjnymi strażników (Google Android, iOS, Windows PC OS) mogą już usunąć wstępnie zainstalowane tam aplikacje, jeśli nie są one niezbędne dla funkcjonowania systemu. Nie muszą też korzystać z należących do strażników dostępu sklepów z aplikacjami (App Store i Google Play), jeśli pojawi się alternatywna propozycja. Ułatwiono też wybór innych niż domyślne wyszukiwarek i przeglądarek oraz przenoszenie naszych danych z platform strażników do innych usługodawców (np. z serwisów społecznościowych). Giganci nie mogą też rezerwować lepszej pozycji w wynikach wyszukiwania dla własnej oferty (np. na platformach zakupowych).

DGA i DA, czyli dane na wagę złota

Podobny problem jak przy DSA występuje w przypadku aktu o zarządzaniu danymi. Teoretycznie jest on stosowany od września 2023 r., ale resort cyfryzacji w poprzedniej kadencji nie zdążył złożyć do Sejmu ustawy tworzącej ramy potrzebne do korzystania z tych przepisów.

DGA ułatwia ponowne wykorzystanie niektórych kategorii chronionych danych będących w posiadaniu podmiotów sektora publicznego. Chodzi o informacje, które – np. ze względu na ochronę danych osobowych czy ochronę praw własności intelektualnej – wykraczają poza zakres dyrektywy w sprawie otwartych danych. Akt umożliwia np. dostęp do danych będących źródłem zestawień statystycznych (gromadzonych przez GUS, UKE czy NFZ). Reguluje też działanie usług pośrednictwa danych oraz gromadzenie i udostępnianie danych z pobudek altruistycznych (bez wynagrodzenia).

Tylko że organizacje altruizmu danych – podmioty prowadzące działalność niekomercyjną, które wyrażają zgodę na wykorzystanie ich danych nieosobowych bez żądania wynagrodzenia – nie mogą rozpocząć działalności, bo rejestrujący je organ miał zostać powołany krajową ustawą. Brak też organu właściwego do rejestrowania dostawców usług pośrednictwa danych. Obie role poprzedni minister cyfryzacji chciał powierzyć prezesowi UOKiK, który był temu przeciwny. Urząd Ochrony Danych Osobowych nie godził się z kolei na obowiązek wydawania opinii na temat zgodności udostępnienia danych.

Nowego pomysłu na wdrożenie DGA na razie nie ma.

Tymczasem w styczniu tego roku wszedł w życie akt o danych, który będzie stosowany od września 2025 r. (w przypadku regulacji unijnych mogą to być różne terminy). To rozporządzenie będzie przełomem w dostępie do niemal nieskończonej liczby wysokiej jakości danych przemysłowych.

Data Act usunie bariery w dostępie do danych generowanych przez przedmioty podłączone do internetu, np. sprzęt gospodarstwa domowego, nowoczesne samochody (regulacja nie obejmuje smartfonów i komputerów). Dzięki temu inteligentną lodówkę zamiast w punkcie proponowanym przez producenta będzie można oddać do naprawy w innym, tańszym serwisie. Znikną też utrudnienia przy przenoszeniu danych związanym ze zmianą dostawcy usług chmurowych.

Według Komisji Europejskiej aż 80 proc. gromadzonych danych przemysłowych obecnie nie jest wykorzystywanych. Akt o danych ma to zmienić. W Europarlamencie wyrażono też nadzieję, że przyczyni się on do rozwoju nowych usług z zastosowaniem sztucznej inteligencji – bo do szkolenia algorytmów są potrzebne ogromne liczby danych.

AI Act, czyli ryzyko

Sztucznej inteligencji jest poświęcona unijna regulacja, która nadal stanowi niewiadomą. Wprawdzie trilog AI Actu zakończył się w 2023 r., a w lutym tego roku treść przepisów zaakceptował najpierw Komitet Stałych Przedstawicieli 27 krajów członkowskich przy Radzie UE (COREPER), a potem zrobili to członkowie dwóch komisji Parlamentu Europejskiego (IMCO i LIBE), ale na ostatniej prostej w projekcie pojawiły się tak istotne zmiany, że trudno dziś przesądzić, jaka będzie ostatecznie treść AI Actu.

Projekt dzieli zastosowania sztucznej inteligencji na cztery kategorie zależnie od związanego z nimi ryzyka – i odpowiednio do tego nakłada określone obowiązki. Nieakceptowalne ryzyko skutkuje zakazem. Zastosowania AI wysokiego ryzyka będą dopuszczone do stosowania w UE pod ścisłą kontrolą. Kategoria ograniczonego ryzyka będzie objęta obowiązkami informacyjnymi. Zastosowania AI minimalnego ryzyka unikną zaś regulacji.

Technologia, jaka stoi za ChatGPT i podobnymi modelami, może też służyć do masowej inwigilacji. Stąd walka między instytucjami unijnymi o przepisy dotyczące biometrycznej identyfikacji – np. rozpoznawania twarzy. Europarlamentarzyści starali się ograniczyć użycie AI do tego celu, a w Radzie UE dominowała przeciwna tendencja.

Ujawniony przez Euractiv projekt AI Actu datowany na 21 stycznia przewiduje, że zdalna identyfikacja biometryczna ex post przy użyciu AI będzie dopuszczalna nawet bez zgody sądu, jeśli służy organom ścigania do wstępnej identyfikacji potencjalnego podejrzanego na podstawie obiektywnych i możliwych do sprawdzenia faktów, bezpośrednio związanych z przestępstwem. W innych przypadkach zezwolenie sądu lub organu administracyjnego, którego decyzja jest wiążąca i podlega kontroli sądowej, trzeba będzie uzyskać nie później niż w ciągu 48 godzin od użycia AI do identyfikacji biometrycznej.


Nasz serwis wykorzystuje wyłącznie najnowsze technologie, aby zapewnić użytkownikowi najwyższą jakość usług. Prosimy o zaktualizowanie przeglądarki, aby poznać pełne możliwości naszego serwisu. Pobierz Microsoft Edge, aby korzystać z serwisu.