Od dłuższego czasu na popularności zyskuje temat tzw. sztucznej inteligencji (ang. artificial intelligence, dalej: AI), zarówno jeżeli chodzi o możliwości wykorzystania tej technologii w wielu sektorach gospodarki, jak i w zakresie konieczności dostosowania regulacji prawnych do problemów, które powstają w związku ze stosowaniem AI. Algorytmy AI znajdują szerokie zastosowanie chociażby jako oprogramowanie sterujące samochodami autonomicznymi czy pociskami rakietowymi, służą także do analizy natężenia ruchu, dokonywania operacji na giełdach czy diagnozowania chorób, a w tym zakresie warto chociażby wskazać, że AI zdała w 2017 r. państwowy egzamin lekarski w Chinach[i]. Oprócz sygnalizowanych problemów, takich jak autorstwo dzieła AI, o czym więcej można przeczytać na naszym blogu, oraz działań przestępczych AI, niezwykle istotnym, a zarazem praktycznym zagadnieniem jest kwestia odpowiedzialności AI oraz stworzenia adekwatnego i skutecznego mechanizmu dochodzenia roszczeń kontraktowych i deliktowych wynikających z działania lub zaniechania AI. W tej kwestii możemy liczyć na pewien przełom, ponieważ 4 maja 2020 r. komitet ds. prawnych UE opublikował rekomendacje zawierające projekt przepisów regulujących odpowiedzialność deliktową AI.

Słowem wstępu: czym jest sztuczna inteligencja?

Na początku warto wskazać, że samo pojęcie sztucznej inteligencji zostało użyte po raz pierwszy już w 1956 r. na konferencji w Dartmouth, która stała się motorem napędowym dla tej dziedziny nauki. W wielu wypowiedziach[ii] dotyczących AI wskazuje się, że określenie to obecnie ma charakter głównie marketingowy. Od strony technicznej to, co kryje się za marketingowym zwrotem AI, to przede wszystkim tzw. sztuczne sieci neuronowe oraz uczenie maszynowe. Drugie z tych pojęć ma z kolei kluczowe znaczenie dla zrozumienia sposobu, w jaki AI działa, a w konsekwencji jest podstawą do podejmowania dyskusji na temat odpowiedzialności za działanie sztucznej inteligencji. W dużym uproszczeniu metodę uczenia maszynowego można wytłumaczyć w ten sposób, że zadaniem programistów jest stworzenie algorytmu, który będzie w stanie samodzielnie uczyć się nowych rzeczy, funkcjonalności. Zakres kontroli nad tym procesem nauki jest uzależniony od wybranej techniki (m.in. uczenie nadzorowane, uczenie nienadzorowane) oraz od kontroli nad bazą wiedzy, z której AI będzie się uczyć.

Powyższe rodzi pytania o odpowiedzialność za szkody wyrządzone przez AI, a przede wszystkim o to, kto taką odpowiedzialność powinien ponosić. Jako potencjalne osoby, w odniesieniu do których można by rozważyć odpowiedzialność za szkody wyrządzone przez AI, wskazuje się twórców systemu AI (programistów i producentów takiego oprogramowania, a także osoby uczące AI), osoby wprowadzające oprogramowanie do obrotu w celach jego instalacji w konkretnych urządzeniach, producentów urządzeń wyposażonych w system AI, właścicieli konkretnych urządzeń wykorzystujących AI, podmioty posługujące się systemem AI w ramach swojej działalności gospodarczej, a na samym końcu nawet użytkowników i konsumentów, którzy korzystają z AI w celach prywatnych. W tym miejscu warto wskazać, że z perspektywy dowodowej w większości przypadków udowodnienie konkretnego błędu systemu oraz ustalenie adekwatnego związku przyczynowego może być zadaniem trudnym, a niekiedy nawet niemożliwym. Systemy AI w żaden sposób bowiem nie tłumaczą się ze swojego „procesu myślowego” i nawet następczo bardzo trudno jest ustalić, jakie dokładnie czynniki miały wpływ na podjęcie konkretnej decyzji, a w konsekwencji, czy system był nienależycie zaprojektowany, czy błąd popełniono na etapie programowania systemu AI, jego uczenia, czy też niewłaściwego posługiwania się nim przez użytkownika końcowego. Ten niemożliwy do zrekonstruowania proces określa się mianem tzw. black boxa. Proponowana regulacja przynajmniej w części rozwiązuje powyższe problemy, decydując się w tym zakresie na pewien kompromis i ważenie ryzyka.

Przygotowane rekomendacje a unijny proces legislacyjny

Rekomendacje przygotowane przez komitet ds. prawnych dla Komisji Europejskiej opublikowane w dniu 4 maja 2020 r. (dalej: rekomendacje – link) wynikają z zastosowania art. 47 Regulaminu Parlamentu Europejskiego, zgodnie z którym Parlament może zwrócić się do Komisji o „przedłożenie wszelkich stosownych wniosków mających na celu przyjęcie nowego lub zmianę istniejącego aktu prawnego”. Tym samym przygotowane rekomendacje po rozpatrzeniu przez Komisję Europejską zostaną skierowane do rozpatrzenia w tzw. zwykłej procedurze ustawodawczej, która podobnie jak w polskim parlamencie składa się z trzech czytań, z tą jednak różnicą, że proces przeprowadza zarówno Parlament Europejski, jak i Rada UE, które muszą dojść w zakresie stanowionego prawa do konsensusu. Z przedstawionej propozycji komitetu ds. prawnych wynika, że akt ten powinien mieć status rozporządzenia, a więc nie będzie potrzeby jego implementacji do porządku krajowego, a co szczególnie istotne, w ten sposób zapewniony zostanie maksymalny stopień jednolitości rozwiązań prawnych stosowanych w całej Unii Europejskiej, co znacząco ułatwi dochodzenie roszczeń oraz przyczyni się do jednolitości stosowanych rozwiązań pozaprawnych: procesu zarządzania technologią, procedur bezpieczeństwa, systemów ubezpieczeń.

Definicja sztucznej inteligencji

W art. 3 proponowanej regulacji komitet ds. prawnych dla Komisji Europejskiej zdecydował się na wprowadzenie definicji AI i składających się na tę definicję pojęć. Wydaje się, że jest to krok w dobrą stronę, trudno bowiem tworzyć ramy regulacji wobec niezidentyfikowanego obiektu. Jednocześnie podkreślić należy, że mając na uwadze ciągły postęp technologiczny w dziedzinie IT, stworzenie dobrej, neutralnej technologicznie, a jednocześnie uniwersalnej na lata definicji AI może się okazać zadaniem niezwykle trudnym. Warto również w tym miejscu wskazać, że chociażby w Stanach Zjednoczonych zdecydowano się już na wprowadzenie szerokiej definicji AI w National Defense Authorization Act for Fiscal Year 2019, zatem działania UE w kierunku zdefiniowania AI nie są odosobnione. W raporcie zaproponowano następujące definicje:

  • System AI oznacza system, który wykazuje inteligentne zachowanie poprzez analizę pewnych danych wejściowych i podejmowanie działań, z pewną dozą autonomii, w celuosiągnięcia określonych celów. Systemy AI mogą być oparte wyłącznie na oprogramowaniu, działając w wirtualnym świecie, lub mogą być osadzone w urządzeniach sprzętowych[iii].
  • Autonomiczny oznacza system AI, który działa poprzez postrzeganie określonych danych wejściowych i bez konieczności postępowania zgodnie z zestawem wcześniej ustalonych instrukcji, pomimo swojego zachowania będąc ograniczonym przez cel, który został wyznaczony, i inne istotne wybory projektowe dokonane przez dewelopera sztucznej inteligencji[iv].
  • Wysokie ryzyko oznacza znaczny potencjał w autonomicznie działającym systemie AI do wyrządzenia krzywdy lub szkody jednej osobie lub większej liczbie osób w sposób losowy i niemożliwy do przewidzenia z góry; znaczny potencjał zależy od wzajemnego oddziaływania między skalą możliwej krzywdy lub szkody, prawdopodobieństwem, że ryzyko dojdzie do skutku i sposobem użycia systemu AI[v].

W załączniku do rozporządzenia zaproponowano wyodrębnienie listy systemów AI wysokiego ryzyka, z określeniem rodzaju takiego systemu AI i sektora gospodarki, w którym jest wykorzystywany. Lista miałaby być okresowo aktualizowana przez Komisję Europejską. Dzięki temu, pomimo definicji AI bogatej w zwroty niedookreślone, możliwe będzie jej konkretyzowanie poprzez wylistowanie systemów AI kwalifikujących się pod zakres regulacji przewidzianej dla systemów AI wysokiego ryzyka, a w konsekwencji przedsiębiorcy już na samym wstępie będą mogli zorientować się co do nałożenia na nich kluczowych obowiązków. Powyższa propozycja wydaje się dobrym rozwiązaniem, które znacznie ułatwi stosowanie tych przepisów po ich wejściu w życie. Skuteczność zależeć będzie jednak w głównej mierze od aktywności odpowiednich organów UE, które powinny na bieżąco monitorować wszystkie sektory gospodarki korzystające z AI, tak aby lista ta była jak najbardziej kompletna i aktualna.

Wprowadzone do rekomendacji definicje również należy ocenić pozytywnie. Wskazują one bowiem na najbardziej istotne cechy systemów AI, a więc przede wszystkim ich autonomiczność, wykazywanie inteligentnego zachowania oraz działanie na podstawie dostarczanych do systemu danych. Ponadto, co niezwykle istotne, postać systemu AI może przybrać zarówno formę oprogramowania w czystej postaci, jak i urządzenia fizycznego wyposażonego w system AI, co umożliwia objęcie zakresem regulacji robotów, samochodów autonomicznych czy telefonów komórkowych. Należy jednak zwrócić uwagę, że definicja AI może nie być wyczerpująca, posłużenie się bowiem pojęciem „osiągnięcia określonych celów” sugeruje wyłączenie spod jej zakresu systemów uczenia nienadzorowanego, które niekiedy uruchamiane są beż żadnego określonego celu. Przykładem takiego systemu był chociażby chatbot Microsoftu o nazwie Tay, który po niecałej dobie rozmowy z użytkownikami i poszerzaniu swojej bazy wiedzy na podstawie prowadzonych rozmów stał się rasistą, był wulgarny i pochwalał idee nazistowskie.

Cele regulacji i zakres odpowiedzialności

W motywach do przedstawionej regulacji wskazano konieczność dostosowania obecnego systemu odpowiedzialności za szkody do zmieniającej się rzeczywistości technologicznej. Wskazuje się na podwójną rolę zasad odpowiedzialności, które z jednej strony gwarantują możliwość rekompensaty za poniesione szkody i krzywdy, z drugiej stanowią czynnik motywacyjny dla przedsiębiorców do przestrzegania określonych zasad. Równocześnie w rekomendacjach dostrzeżono ogromny potencjał technologii AI, która będzie w stanie zrewolucjonizować właściwie każdy sektor gospodarki, służbę zdrowia, walkę ze zmianami klimatu czy czynności życia codziennego, co obecnie staje się już coraz bardziej powszechne. W raporcie zwrócono również uwagę na fakt, że AI nie ma własnej osobowości ani ludzkiego sumienia, co – przynajmniej na chwile obecną – zamyka dyskusję o przyznaniu takim systemom osobowości prawnej.

Zdaniem twórców raportu tylko niewielka część systemów AI stanowi rzeczywiste zagrożenie, gdyż pozostałe wykonują proste i drobne czynności. Ustalenie zasad odpowiedzialności jest natomiast kluczowe dla przedsiębiorców oraz stabilności całej gospodarki. Pewność prawa to jeden z głównych czynników wpływających na podejmowane decyzje inwestycyjne i biznesowe. W związku z tym w zaprezentowanej w rekomendacjach propozycji wprowadzono podział systemów AI na tzw:

  • systemy wysokiego ryzyka (high risk AI systems);
  • pozostałe systemy AI.

Zakres przedmiotowy proponowanej regulacji obejmuje jedynie krzywdy i szkody związane ze zdrowiem i życiem ludzkim oraz z własnością. Projektowanych przepisów nie będzie można natomiast zastosować do roszczeń z obszaru dóbr osobistych, naruszenia regulacji o ochronie danych osobowych, prawa antydyskryminacyjnego czy prawa ochrony konsumentów, gdyż zdaniem twórców rekomendacji obecnie istniejące przepisy są w tym zakresie wystarczające. Zakres podmiotowy także jest wąski – propozycje dotyczą jedynie tzw. osób wdrażających (deployer), natomiast zakres odpowiedzialności producentów, wytwórców (manufacturer), operatorów końcowych (backend operator) i programistów (developer) tworzących sztuczną inteligencję ma zostać uregulowany odrębnie w dyrektywie o produktach wadliwych[vi], która ma zostać w tym zakresie znowelizowana. Niemniej jednak to właśnie wdrażający mają zazwyczaj bezpośredni kontakt z osobą poszkodowaną, wobec czego warto zwrócić uwagę na zakres tego pojęcia, aby ustalić, kogo dotyczą opisywane w dalszej części artykułu proponowane zasady odpowiedzialności.

Zgodnie z zaproponowaną definicją „wdrażający” oznacza osobę, która decyduje o użyciu systemu AI, sprawuje kontrolę nad powiązanym ryzykiem i czerpie korzyści z jego działania[vii].

Przedstawiona definicja wskazuje na trzy kluczowe elementy, tj.:

  • decyzję o użyciu AI;
  • kontrolę nad powiązanym ryzykiem;
  • czerpanie korzyści z działania AI.

Nie jest przy tym jednak jasne, czy jako wdrażającego będzie można uznać również zwykłego użytkownika, konsumenta, który posługuje się danym systemem w celach prywatnych, np. korzysta z inteligentnej, autonomicznej kosiarki, na wzór odkurzaczy iRobot Roomba. Definicja nie odnosi się bowiem w żaden sposób do rodzaju czerpanych korzyści czy do definicji przedsiębiorcy.

W wyjaśnieniu zakresu stosowania tej definicji może pomóc motyw 9, zgodnie z którym „jeżeli użytkownik, a mianowicie osoba korzystająca z systemu AI, bierze udział w zdarzeniu szkodliwym, powinna ona ponosić odpowiedzialność na podstawie niniejszego rozporządzenia tylko wtedy, gdy użytkownik kwalifikuje się również jako wdrażający”[viii]. Wydaje się zatem, że zwykli użytkownicy systemu AI, np. konsumenci, co do zasady nie będą ponosić odpowiedzialności, ale poniosą ją producenci danego urządzenia, w którym zaimplementowano system AI. Kwestia ta jest jednak niejasno rozgraniczona w proponowanej regulacji i wydaje się, że wymaga doprecyzowania, może bowiem rodzić najwięcej praktycznych wątpliwości.

Zasady odpowiedzialności

Po ustaleniu zakresu przedmiotowego i podmiotowego proponowanych przepisów warto przyjrzeć się zasadom odpowiedzialności, które z perspektywy przedsiębiorców mają najważniejsze znaczenie, wpływają bowiem na sposób prowadzenia biznesu, rodzaj działań podejmowanych w celu minimalizacji ryzyka oraz całościowe zarządzanie takim ryzykiem. W projekcie przewidziano dwa modele odpowiedzialności:

  • pierwszy oparty został na zasadzie ryzyka – dotyczy wdrażających systemy AI wysokiego ryzyka;
  • drugi oparto na zasadzie winy – dotyczy wdrażających pozostałe systemy AI.

A. Odpowiedzialność na zasadzie ryzyka

Reżim odpowiedzialności na zasadzie ryzyka został przewidziany dla systemów AI o wysokim ryzyku, które zostały wylistowane w załączniku do projektu rozporządzenia. Obecnie propozycja listy nie jest zbyt długa i prezentuje się następująco:

System AI Sektor krytyczny
Bezzałogowe statki powietrzne transport
Pojazdy autonomiczne o poziomach 4 i 5 transport
Autonomiczne systemy zarządzania ruchem transport
Roboty autonomiczne wsparcie
Autonomiczne urządzenia do czyszczenia miejsc publicznych wsparcie

Lista ma być co 6 miesięcy aktualizowana, jednak już teraz można wskazać, że jednym z krytycznych obszarów zastosowania projektowanych przepisów będzie transport: autonomiczne samochody, autonomiczne drony, systemy sterowania ruchem drogowym. Przedsiębiorcy zajmujący się wdrażaniem systemów AI w tych obszarach będą więc szczególnie zainteresowani ostatecznym kształtem regulacji.

Obowiązkiem wdrażającego systemy AI wysokiego ryzyka będzie posiadanie ubezpieczenia OC w zakresie kwot wskazanych w art. 5: 10 mln euro w wypadku krzywdy w postaci śmierci i naruszenia stanu zdrowia oraz 2 mln euro w wypadku szkody dla przedmiotu własności. W tym kontekście szczególnie ważne staje się ustalenie, kim jest podmiot wdrażający – czy będzie to producent środka transportu, jego dystrybutor, czy też posługujący się tym środkiem transportu. Obecnie, z racji brzmienia definicji wdrażającego, kwestii tej nie można przesądzić, choć istnieją podstawy, aby twierdzić, że z obowiązku posiadania ubezpieczenia będą wyłączone podmioty korzystające z systemów AI wysokiego ryzyka – nie kontrolują oni powiązanego ryzyka, skoro nie kierują środkiem transportu ani nie mają żadnego wpływu na jego działanie czy na decyzję o tym, jakie konkretne oprogramowanie zostało w nim zaimplementowane. Pozostaje przy tym liczyć, że regulacja zostanie doprecyzowana, tak aby powyższe wątpliwości zostały usunięte.

Wdrażający będzie mógł uwolnić się od odpowiedzialności jedynie poprzez udowodnienie siły wyższej, przy czym nie będzie można jako argumentu użyć twierdzenia, że AI działała w sposób autonomiczny, a wdrażający dochował należytej staranności. Zaproponowane okresy przedawnienia są bardzo długie i wynoszą 30 lat od dnia wystąpienia szkody w wypadku śmierci lub naruszenia zdrowia oraz 10 lat od dnia wystąpienia szkody dla przedmiotu własności, z zastrzeżeniem alternatywnego terminu 30 lat od dnia uruchomienia systemu AI. W razie wystąpienia szkody ryzyko poniesienia odpowiedzialności przez dysponenta, np. w sytuacji wypadku drogowego z powodu nieprawidłowo działającej sygnalizacji świetlnej, jest spore, co będzie powodować zwiększenie wydatków na zapewnienie bezawaryjności systemów oraz konieczność wykupienia odpowiednich ubezpieczeń.

B. Odpowiedzialność na zasadzie winy

Z kolei model odpowiedzialności oparty na winie przewidziany został dla pozostałych systemów AI, które co prawda niosą za sobą pewien stopień ryzyka, jednak w odczuciu UE nie jest ono znaczne, a szkody przez nie powodowane nie będą bardzo dotkliwe. Z tego powodu w zakresie takich systemów nie będzie obowiązku posiadania ubezpieczeń od odpowiedzialności cywilnej, chociaż nie można wykluczyć, że pośrednio tego typu zagrożenie zostanie wliczone do ubezpieczeń udzielanych w danym sektorze gospodarki czy też wyspecjalizowanych ubezpieczeń przewidzianych dla prowadzenia konkretnego typu działalności. Propozycje dla tego rodzaju odpowiedzialności zakładają domniemanie winy, które może zostać obalone poprzez udowodnienie, że:

  • system AI został aktywowany bez wiedzy wdrażającego, a równocześnie podjęto wszystkie uzasadnione i niezbędne środki, aby uniknąć takiej aktywacji[ix], lub
  • zachowano należytą staranność, wybierając odpowiedni system AI dla właściwego zadania i wymaganych umiejętności, system AI został uruchomiony prawidłowo, monitorowano aktywność AI i utrzymanie niezawodności działania poprzez regularne instalowanie wszystkich dostępnych aktualizacji[x].

Wdrażający nie może powoływać się na to, że szkoda została wyrządzona przez autonomiczne działanie AI, natomiast może powołać się na siłę wyższą. Od odpowiedzialności na zasadzie winy następuje jednak w projektowanych przepisach pewien wyłom w przypadku ingerencji osoby trzeciej. Jeżeli bowiem dojdzie do takiej ingerencji, dana osoba trzecia ponosić będzie pełną odpowiedzialność za wyrządzone szkody czy krzywdy, jeżeli jednak nie można jej wyśledzić lub nie ma ona wystarczających środków, aby zrekompensować powstałą szkodę, to odpowiedzialność poniesie podmiot wdrażający. Jest to poważne zaostrzenie odpowiedzialności, które wymagać będzie od tych podmiotów podjęcia adekwatnych działań w zakresie cyberbezpieczeństwa ich systemów. Przepis ten będzie prawdopodobnie szeroko dyskutowany, natomiast jego idea pozostaje w zgodzie z założeniami regulacji – większe znaczenie przyznaje się ostatecznie ochronie pokrzywdzonego, kosztem wdrażającego, który nawet przy odpowiedzialności na zasadzie winy przewidzianej w projekcie w wypadku kolizji interesu poszkodowanego i braku winy wdrażającego ostatecznie powinien być odpowiedzialny w razie zaktualizowania się ryzyka, które sam wywołał poprzez wdrożenie systemu AI. W tym zakresie na producentach systemów AI ciąży obowiązek współpracy z wdrażającym, tak aby zapewnić mu możliwość wykazania, że działał bez winy. Konsekwencją tego przepisu będzie konieczność utworzenia przez producentów spoza UE swoich przedstawicieli na terenie Wspólnoty, tak aby zapewnić rzeczywistą możliwość realizacji powyższego uprawnienia. Równocześnie można się spodziewać, że producent niechętnie będzie spełniał obowiązek współpracy – wykazanie, że wdrażający nie ponosi odpowiedzialności może bowiem prowadzić do sytuacji, w której odpowiedzialność przejdzie na producenta. Uregulowane powyższymi przepisami roszczenia odszkodowawcze przedawniają się na zasadach ogólnych określonych w przepisach krajowych.

Podsumowanie

Zaproponowane przepisy wydają się dobrym krokiem w kierunku regulacji zasad odpowiedzialności za działania sztucznej inteligencji. Stworzenie dwustopniowego reżimu odpowiedzialności należy ocenić jako słuszne, pod warunkiem jednak, że lista systemów AI wysokiego ryzyka będzie odpowiednio aktualizowana. Z kolei ograniczenie regulacji tylko do konkretnych szkód – zdrowia, życia i szkód na mieniu – również jest rozwiązaniem pozytywnym, zwłaszcza że jesteśmy obecnie na etapie implementacji przepisów dyrektyw o usługach cyfrowych[xi] i sprzedaży produktów posiadających takie treści[xii], w których przewidziano środki ochrony, np. w wypadku niezgodności usługi cyfrowej z umową. Ponadto jeżeli tylko odpowiednio zostanie zmodyfikowana dyrektywa o produktach wadliwych, tak aby nie doszło do powstania kolejnej luki w regulacjach prawnych, system dochodzenia roszczeń powinien mieć charakter w zdecydowanej większości przypadków kompletny. Przyjęcie rozporządzenia o odpowiedzialności za szkody wywołane przez systemy AI wiązać się będzie z szeregiem obowiązków po stronie wszystkich podmiotów uczestniczących w produkcji i wdrażaniu tego typu systemów, tak aby minimalizować ryzyko wystąpienia szkody oraz bycia pociągniętym do odpowiedzialności, jeżeli do powstania takiej szkody dojdzie.

Projektowane regulacje będą miały szczególne znaczenie dla podmiotów planujących wykorzystanie AI w sektorach uznanych za krytyczne, czyli obecnie w sektorze transportowym. Dla tych podmiotów przewidziano system odpowiedzialności oparty na zasadzie ryzyka, wobec czego w wypadku powstania szkody zwolnienie się z odpowiedzialności będzie utrudnione. Wprowadzenie dla systemów AI wysokiego ryzyka obowiązkowych ubezpieczeń może również wpłynąć na działalność podmiotów ubezpieczeniowych. Biorąc pod uwagę etap obecnych prac i sposób procedowania aktów prawnych w UE, można zakładać, że ewentualne planowane rozporządzenie zaczęłoby obowiązywać nie wcześniej niż w 2022 lub 2023 r. Warto na bieżąco śledzić prace nad tym projektem, jego wpływ na całą gospodarkę może być bowiem znaczący.

[i] P. Winiarski, Chiński robot zdał egzamin lekarski. Koniec z problemami w służbie zdrowia?, Antyweb, 29.11.2017, [online] https://antyweb.pl/robot-zdaje-egzamin-lekarski/ (3.06.2020).

[ii] K. Wołk, Czy współczesna SI to tylko marketingowy bełkot? Cała prawda o sztucznej inteligencji, PC Lab, 4.08.2018, [online] https://pclab.pl/art78416-3.html (3.06.2020).

[iii] AI-system means a system that displays intelligent behaviour by analysing certain input and taking action, with some degree of autonomy, to achieve specific goals. AI systems can be purely software-based, acting in the virtual world, or can be embedded in hardware devices.

[iv] Autonomous means an AI-system that operates by perceiving certain input and without needing to follow a set of pre-determined instructions, despite its behavior being constrained by the goal it was given and other relevant design choices made by its developer.

[v] High risk means a significant potential in an autonomously operating AI-system to cause harm or damage to one or more persons in a manner that is random and impossible to predict in advance; the significance of the potential depends on the interplay between the severity of possible harm or damage, the likelihood that the risk materializes and the manner in which the AI-system is being used.

[vi] Dyrektywa Rady z dnia 25 lipca 1985 r. w sprawie zbliżenia przepisów ustawowych, wykonawczych i administracyjnych Państw Członkowskich dotyczących odpowiedzialności za produkty wadliwe.

[vii] Deployer means the person who decides on the use of the AI-system, exercises control over the associated risk and benefits from its operation.

[viii] If a user, namely the person that utilises the AI-system, is involved in the harmful event, he or she should only be liable under this Regulation if the user also qualifies as a deployer.

[ix] The AI-system was activated without his or her knowledge while all reasonable and necessary measures to avoid such activation were taken, or

[x] due diligence was observed by selecting a suitable AI-system for the right task and skills, putting the AI-system duly into operation, monitoring the activities and maintaining the operational reliability by regularly installing all available updates.

[xi] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych.

[xii] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/771 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów sprzedaży towarów, zmieniająca rozporządzenie (UE) nr 2017/2394 oraz dyrektywę 2009/22/WE i uchylająca dyrektywę 1999/44/WE.