ČPIT 2024: nejen AI hýbe světem práva informačních technologií

12. a 13. září proběhl na Právnické fakultě Masarykovy univerzity v Brně již 16. ročník konference České právo a informační technologie. O aktuální témata opět nebyla nouze.

Když se všichni účastníci konference sešli na zahajovací panelovou diskusi o Digitální ekonomice, učebna praskala ve švech. Matěj Myška si vzal mikrofon, uvítal účastníky, poděkoval sponzorům a zavzpomínal na první ročník konference, který proběhl již před 15 lety.

Mikrofonu se pak ujal prorektor Radim Polčák, který vzal posluchače na historický exkurs od počátků myšlenky, že poskytovatel technologie by měl odpovídat za protiprávní jednání jeho uživatelů, přes evropskou směrnici o e-commerce až po aktuální nařízení o digitálních službách, které směrnici nahradilo od února 2024.

Tomáš Ondrejka z ČTÚ, zabývající se vymáháním nových povinností vyplývajících z nařízení, navrhnul posluchačům, že již nemusí chodit za ČTÚ, ale mohou se obrátit rovnou na soud. Zároveň si pochvaloval, že největší poskytovatelé hostingu v České republice jsou pornografické servery, a ty negenerují velké množství stížností. Většinu věcí ČTÚ stejně předává do Irska, kde sídlí největší internetové firmy.

V diskusi zazněly názory, že s přijetím nového nařízení se nic moc nezměnilo a změna nebyla rozhodně tak dramatická, jako v případě GDPR. Politický postulát minulých dekád „kdo sáhne na směrnici o e-commerce shoří v pekle“ se nenaplnil.

Třetím členem úvodního panelu byla Viola Fieberová, která na MPO připravuje návrh zákona o digitální ekonomice. „Všechny šedé vlasy, co mám, jsou kvůli tomuto zákonu“, řekla na úvod a vzala posluchače na procházku legislativním peklem, kterému se odborně říká mezirezortní připomínkové řízení.

Po prodloužené přestávce na kávu přišla na řadu sekce věnovaná kyberkriminalitě. Pokud jste někdy uvažovali, že by distribuované autonomní organizace, tedy jakési projekty formou počítačových programů obsluhující distribuované databáze bez nutnosti lidské obsluhy, jako je třeba Bitcoin, měly být právnickými osobami, rozhodně neváhejte číst disertaci Martiny Černé, kterou prezentovala na úvod sekce. Anežka Karpjáková na ni následně navázala příspěvkem věnovaným právním nástrojům v boji proti online podvodům s autorizovanými platbami.

V jiné, paralelní sekci věnované AI aktu nejprve Soňa Matochová představila AI Akt z pohledu ochrany dat a František Nonnemann následně seznámil posluchače s poznatky z praxe, které získal při řízení rizik spojených s nasazováním AI v jedné české bance. Zdůrazňoval, že pokud jde o závažnost incidentu, existují dva přístupy – jednak riziko pro organizaci a jednak riziko pro dotčené osoby; přičemž mohou nastat situace, kdy je riziko podle kybernetického zákona minimální a riziko podle GDPR maximální.

Pan proděkan Radim Polčák měl moderovat sekci věnovanou Sandboxům, avšak namísto toho se musel vzdálit na zasedání krizového štábu Univerzity v souvislosti s blížícím se povodňovým stavem, před nímž ČHMÚ varoval. Tato sekce měla i bez jeho přispění dlouhou a zajímavou diskusi, která následovala po příspěvku Kláry Krbušek o Regulačním sandboxu pro AI. Ačkoliv se v tuto chvíli pro Českou republiku jedná o teoretický koncept, zájem z praxe o toto téma byl relativně velký. Jde totiž o testování nasazení AI v reálných podmínkách (na reálných datech, s reálnými uživateli) pod dohledem státní instituce, což snižuje rizika i odpovědnost.

V sekci věnované kybernetické bezpečnosti a obraně Kateřina Hůtová představila "Stopařova průvodce samoidentifikací", který odkazoval především na návrh zákona o kybernetické bezpečnosti, podle kterého se bude moci každý subjekt jednoduše samoidentifikovat a určit, zda pod působnost tohoto zákona spadá. K samoidentifikaci je nejprve potřeba si říci, co vlastně dělám (byznysově) – je potřeba se zařadit do odvětví, dále zjistit, zda jde o regulovanou službu, ale taky se podívat, jak společnost řeší např. odpady nebo jestli má fotovoltaiku. Další roli hraje i velikost podniku. Hlavní informací ale je, že společnosti by se zaváděním opatření neměly čekat na účinnost zákona, protože termíny v něm uvedené není reálně možné stíhat. 

Jiří Dočekal  z NÚKIB se věnoval bezpečnosti dodavatelského řetězce, kritickým službám a rizikovým dodavatelům. A pozor – nemluvíme tady jen o telekomunikacích, ale celém širokém spektru služeb. Michaela Prucková na závěr sekce představila Akt o kybernetické odolnosti, jehož přijetí se předpokládá na podzim 2024 a účinnost ke konci roku 2027. Cílem předpisu je zvýšit bezpečnost produktů (softwarových i hardwarových) a zlepšit informovanost uživatelů. Zabránit by tak měl např. situacím kdy vám hacker napadne třeba dětskou chůvičku a pak mluví na vaše dítě, aniž byste o tom věděli.

Druhý den konference zahájily dva paralelní bloky, z nichž jeden se zabýval osobními údaji a soukromím a jako první v něm vystoupila Kristýna Bónová s příspěvkem nazvaným "Peníze, nebo (soukromý) život! Ochrana osobních údajů v obchodním modelu pay or okay". Tento model známe v českém prostředí především díky Seznamu a jednou z hlavních otázek bylo, zda je komoditizace osobních údajů správným přístupem a jaké problémy může přístup „pay or OK“ přinášet, protože i když už na toto téma máme rozhodnutí SD EU, které jej schvaluje, EDPB našla mnoho důvodů, proč to tak jednoduché není. 

Eva Fialová se následně věnovala datové legislativě z pohledu GDPR, přičemž upozornila mimo jiné na to, že účel GDPR a datové legislativy je v rozporu a i když se nabízí několik řešení tohoto rozporu, žádné není ideální. Martin Erlebach hovořil o datových monopolech a jejich regulaci skrze GDPR. Tento problém začíná být například ve Spojených státech vnímaný už i ve společnosti – tamní soudy rozhodovaly například o monopolu společnosti Google na trhu s online reklamou a rovněž o monopolu ve vyhledávání.

V bloku věnovaném duševnímu vlastnictví online bylo tématem například nové nařízení DSM, přinášející výjimku pro data-mining, kterou se tato činnost za určitých podmínek povoluje, zejm. pokud proti tomu vytěžovaný nevznese výhradu. Advokát Jiří Čermák se zamyslel nad tím, jak má tato výhrada vlastně vypadat, jelikož je těžké posuzovat „vědět měl a mohl“ z pohledu stroje, který data-mining provádí. Podle něj je celá tato výjimka „k ničemu“, jelikož nemůžete nikdy vědět, že výhrada zakazující datamining není uvedena někde jinde, nebo zda se v budoucnu neobjeví. Daleko konkrétnější byl příspěvek Jaroslava Menčíka, který se také zabýval vytěžováním (scrapingem), a to komplexně – jako právním problémem zasahujícím do několika právních odvětví (smluvní závazky, duševní vlastnictví, osobní údaje, utajované informace). Prezentoval aktuální judikaturu mj. i z USA, kde je vidět jasný trend rozhodovat ve prospěch scraperů, aby se nevytvářely informační monopoly. Té nejaktuálnější judikatuře se věnoval Damián Palašta. Judikatura se týkala generativní AI a byla dokonce tak čerstvá, že ještě nebyla ani vydána – šlo totiž o přehled kauz, které se aktuálně projednávají, jaké jsou nejčastější požadavky stran, na základě čeho žalují a jaké věci soudy rovnou odmítají. Pro právníka z oboru šlo o zlatý důl praktických informací a nábojů do litigace.

V bloku věnovaném elektronizaci státní správy, e-justice a ODR nejprve Libor Pavlíček v příspěvku o možnosti formální reprezentace práva v ČR označil přístup úřadů známým úslovím „jako Baťa cvičky“. Adam Jareš se následně věnoval zákonu o právu na digitální služby 5 let po účinnosti a předestřel otázku - co se stane 1. 2. 2025? Přemysl Sezemský a Radek Měrka představili fungování digitálního nástroje eCodex a věnovali se budoucnosti přeshraniční justiční komunikace v EU. Posledními vystupujícími byli Pavel Loutocký a Andrej Krištofík, kteří přišli představit výzkumný projekt IDEA: elektronické nástroje pro zlepšování přístupu ke spravedlnosti ve specifických situacích. 

Nejakademičtější částí konference byla patrně sekce Právní informatika, kterou již tradičně moderoval Jakub Harašta a letos ji označil za „one woman show“, jelikož Tereza Novotná se podílela na 3 ze 4 prezentovaných projektů. Nejdříve se pochlubila pokroky v přípravě on-line nástroje na úpravu právních textů, aby byly srozumitelnější. Jelikož jde o produkt z veřejných peněz, musí být do konce roku 2026 zprovozněn pro používání veřejností, zdarma. Držíme palce! Tereza Novotná vedle toho pracuje na projektu evaluace výstupů velkých jazykových modelů, kde se snaží spojit lidskou a automatickou evaluaci. Průběžná čísla z těchto evaluací nepřekvapí – AI má největší problémy s přesností podávaných informací.

Další stálicí ČPIT konferencí je Arkady Alexandrov, který již několik let pokračuje v hledání „svatého grálu“ – smyslu právního systému, pomocí nástrojů strojového učení. I letos přinesl nové grafy a vizualizace a podělil se o zkušenosti s jejich přípravou. Jako problém identifikoval především použitelnost velkých jazykových modelů, které se na právo dají jen obtížně aplikovat, jelikož právo nemá racionální strukturu.

Poslední příspěvek se týkal vnímání dokumentů vytvořených AI, kde Jakub Harašta prezentoval závěry své studie, která jednoznačně potvrdila, že lidé a priori nevěří dokumentům, o nichž si myslí, že byly vytvořeny AI. Hůře je hodnotí a hledají v nich chyby. Účastníkům studie ovšem žádné dokumenty vytvořené AI předloženy nebyly, šlo o lidské výtvory. Pokud ale dokument měl v hlavičce „automaticky generovaný text“ málokdy získal maximální hodnocení a gramatickou chybu v něm čtenáři odhalili s mnohanásobně větší pravděpodobností.

Na závěr nezbývá než Ústavu práva a technologií poděkovat za uspořádání dalšího ročníku vydařené konference nabité informacemi nejen ze světa práva informačních technologií, ale také milými osobními setkáními a velmi zajímavými diskuzemi.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články