Ένας Εγκεκριμένος Πάροχος Υπηρεσιών Εμπιστοσύνης (Qualified Trust Service Provider – QTSP), όπως ορίζεται στον Kανονισμό (ΕΕ) 910/2014 (eIDAS), ενδέχεται ολοένα και περισσότερο να βασίζεται σε συστήματα τεχνητής νοημοσύνης (ΤΝ) για την υποστήριξη των υπηρεσιών εμπιστοσύνης που παρέχει.
Ευαγγελία Παπαδάκη
Νομικός Σύμβουλος, ADACOM
Η χρήση συστημάτων ΤΝ εγείρει σημαντικά ζητήματα στο πλαίσιο του Κανονισμού (ΕΕ) 2024/1689 (AI Act), ιδίως όσον αφορά την κατηγοριοποίηση των ρόλων σύμφωνα με το άρθρο 3 αυτού.
Στην πράξη ένας QTSP μπορεί να χαρακτηρίζεται ταυτόχρονα τόσο ως πάροχος (provider) όσο και ως φορέας εφαρμογής (deployer), ανάλογα με τον τρόπο χρήσης και ενσωμάτωσης του συστήματος ΤΝ.
QTSP ως Deployer
Ένας QTSP χαρακτηρίζεται ως deployer, κατά την έννοια του άρθρου 3 παρ. 4 του AI Act, όταν χρησιμοποιεί ένα σύστημα ΤΝ που έχει αναπτυχθεί από τρίτο μέρος στο πλαίσιο παροχής των υπηρεσιών του. Για παράδειγμα, όταν ένας QTSP χρησιμοποιεί μια λύση εξ αποστάσεως ταυτοποίησης με χρήση ΤΝ, η οποία περιλαμβάνει σύγκριση προσώπου με φωτογραφία σε έγγραφο ταυτότητας, ανίχνευση ζωτικότητας (liveness detection) και επαλήθευση στοιχείων του εγγράφου ταυτότητας.
Ο QTSP δεν αναπτύσσει ο ίδιος το σύστημα, αλλά το εφαρμόζει σε πραγματικό περιβάλλον για την ταυτοποίηση. Ως deployer, ο QTSP υποχρεούται να χρησιμοποιεί το σύστημα σύμφωνα με τις οδηγίες χρήσης του provider, να διασφαλίζει την κατάλληλη ανθρώπινη εποπτεία και να παρακολουθεί τη λειτουργία του συστήματος και τους ενδεχόμενους κινδύνους από τη χρήση του.
Τα συστήματα εξ αποστάσεως βιομετρικής ταυτοποίησης κατηγοριοποιούνται συνήθως ως συστήματα ΤΝ υψηλού κινδύνου. Έτσι, ο QTSP θα πρέπει να αξιολογήσει τους κινδύνους από τη χρήση του συστήματος ΤΝ διενεργώντας εκτίμηση αντικτύπου στα θεμελιώδη δικαιώματα (άρθρο 27 AI Act). Ωστόσο, το επίπεδο του κινδύνου θα μετριαστεί αφενός επειδή η ταυτοποίηση είναι υποχρεωτική εκ του νόμου για έναν QTSP πριν από την έκδοση ενός πιστοποιητικού, και αφετέρου επειδή δεν πρόκειται για βιομετρική ταυτοποίηση από ένα ευρύ σύνολο («Ποιο είναι το πρόσωπο αυτό;»), αλλά για επαλήθευση συγκεκριμένης δηλωθείσας ταυτότητας μέσω σύγκρισης βιομετρικών («Είναι το πρόσωπο αυτό εκείνο που ισχυρίζεται ότι είναι;»).
QTSP ως Provider
Ένας QTSP μπορεί επίσης να χαρακτηριστεί ως provider κατά την έννοια του άρθρου 3 παρ. 3, όταν διαθέτει ένα σύστημα ΤΝ στην αγορά ή το θέτει σε λειτουργία υπό τη δική του επωνυμία ή εμπορικό σήμα, π.χ. όταν ο QTSP ενσωματώσει ένα σύστημα ΤΝ τρίτου μέρους στις δικές του υπηρεσίες, ακόμη και αν η υποκείμενη τεχνολογία προέρχεται από τρίτο.
Στην περίπτωση αυτή, ο QTSP αναλαμβάνει τις υποχρεώσεις ενός provider, όπως:
- θέσπιση συστήματος διαχείρισης κινδύνων,
- συστήματος διαχείρισης ποιότητας,
- τήρηση τεκμηρίωσης,
- κατάρτιση τεχνικού φακέλου,
- εφαρμογή μέτρων διαφάνειας, πληροφόρησης και ανθρώπινης εποπτείας.
Η διάκριση μεταξύ των ρόλων δεν είναι στατική. Η μετάβαση από deployer σε provider μπορεί να επέλθει όταν ο QTSP τροποποιήσει ουσιωδώς το σύστημα ΤΝ, για παράδειγμα μέσω επανεκπαίδευσης ή προσαρμογής του μοντέλου με δικά του δεδομένα ή μεταβολής του προοριζόμενου σκοπού του ή διάθεσής του ως μέρος της δικής του υπηρεσίας εμπιστοσύνης.
Στις περιπτώσεις αυτές, ο QTSP δεν περιορίζεται πλέον στη χρήση του συστήματος αλλά καθορίζει ουσιαστικά τα χαρακτηριστικά και τη λειτουργία του. Σύμφωνα με το AI Act, αυτό το επίπεδο ελέγχου δικαιολογεί την επιβολή των υποχρεώσεων που ισχύουν για τους providers.
Κανονιστικές Υποχρεώσεις και Συμμόρφωση
Ο διττός αυτός ρόλος έχει σημαντικές κανονιστικές συνέπειες. Οι QTSP λειτουργούν ήδη εντός αυστηρού πλαισίου συμμόρφωσης βάσει του κανονισμού eIDAS, ο οποίος επιβάλλει υποχρεώσεις σχετικά με την ασφάλεια, αξιοπιστία, νομική ισχύ και εποπτεία των υπηρεσιών εμπιστοσύνης.
Με την εισαγωγή συστημάτων ΤΝ, οι παραπάνω υποχρεώσεις συμπληρώνονται από εκείνες του AI Act. Ιδίως όταν τα συστήματα ΤΝ περιλαμβάνουν βιομετρική ταυτοποίηση ή άλλες χρήσεις εν δυνάμει υψηλού κινδύνου, ενδέχεται να ενεργοποιηθούν εκτεταμένες απαιτήσεις συμμόρφωσης.
Συνεπώς, οι QTSP πρέπει να αξιολογούν σε συνεχή βάση τον ρόλο τους βάσει του AI Act, λαμβάνοντας υπόψη την εξέλιξη της χρήσης των συστημάτων ΤΝ.
Επιπλέον, ένας QTSP μπορεί να ενεργεί ως διανομέας (distributor) όταν καθιστά ένα σύστημα ΤΝ διαθέσιμο στην ενωσιακή αγορά χωρίς να το τροποποιεί και χωρίς να είναι ο πάροχος ή ο εισαγωγέας (μπορεί, ωστόσο, να είναι φορέας εφαρμογής). Αντίστοιχα, μπορεί να ενεργεί ως εισαγωγέας (importer) όταν είναι εγκατεστημένος στην Ένωση και εισάγει στην αγορά της ΕΕ ένα σύστημα ΤΝ που φέρει την επωνυμία ενός παρόχου εγκατεστημένου εκτός ΕΕ.
Ως distributor ή ως importer, ο QTSP οφείλει να εξασφαλίσει ότι το σύστημα συμμορφώνεται με το AI Act και ότι συνοδεύεται από την απαιτούμενη τεκμηρίωση.
Κάθε ρόλος στο πλαίσιο του AI Act συνεπάγεται διακριτές υποχρεώσεις συμμόρφωσης. Ο σωστός εντοπισμός του κάθε ρόλου και των αντίστοιχων υποχρεώσεων, ιδίως σε περιπτώσεις πολλαπλών ρόλων, εξασφαλίζει την αποφυγή πιθανής μη συμμόρφωσης και επιβολής κυρώσεων.
Το παρόν παρέχεται αποκλειστικά για ενημερωτικούς σκοπούς και δεν συνιστά ή υποκαθιστά νομική συμβουλή. Απαιτείται εξειδικευμένη νομική αξιολόγηση για τον καθορισμό των εφαρμοστέων υποχρεώσεων για κάθε περίπτωση
