100 let vpřed či 100 let zpět? Nová pravidla EU o odpovědnosti za software
____________________________

S novou směrnicí EU o odpovědnosti za vadné výrobky (PE-CONS 7/24) se nyní software a systémy s umělou inteligencí (AI) oficiálně uznávají v rámci právní odpovědnosti za výrobky. Tato regulace platí ve všech zemích EU a také pro všechny globální společnosti, které působí na trhu EU.

Tento legislativní posun má tak jako každá mince dvě strany. Na straně jedné přináší dlouho očekávanou odpovědnost pro poskytovatele softwaru. Na straně druhé tato směrnice může omezit inovace kvůli vysokým nákladům na dodržování pravidel, což by zvláště zasáhlo menší technologické firmy. Pojďme se tedy podívat na dopady této směrnice z obou stran a dopady na celé softwarové odvětví.

Softwarové společnosti jsou konečně zodpovědné za své výrobky

Software je výrobek jako každý jiný: Se softwarem nyní klasifikovaným jako „výrobkem“ podle práva EU mohou spotřebitelé požadovat po vývojářích stejnou odpovědnost jako u fyzického zboží. To znamená, že digitální produkty - od samostatného softwaru až po zabudované systémy nebo cloudové služby - musí splňovat jasné bezpečnostní normy. Pokud tedy produkt selže, spotřebitelé mají nárok na náhradu škody bez potřeby dokazování nedbalosti, což klade prioritu na ochranu spotřebitele.

Systémy AI pod přísnějším dohledem: Směrnice zahrnuje systémy AI pod přísnější regulační kontrolu a klasifikuje vývojáře a poskytovatele služeb jako „výrobce.“ Tím se společnosti stávají odpovědnými za chování a bezpečnost produktů AI, i v případech autonomního rozhodování. Pro vysoce riziková odvětví jako je automobilový a zdravotnický průmysl to přináší jistotu, že AI bude splňovat určité bezpečnostní a spolehlivostní standardy.

Široká aplikace na všechny formy softwaru: Směrnice se vztahuje na veškerý software bez ohledu na způsob jeho distribuce - od instalovaných aplikací po SaaS platformy. To zajišťuje, že digitální služby budou odpovídat bezpečnostním požadavkům a že firmy nebudou moci obejít odpovědnost změnou způsobu dodání. Vývojáři SaaS, tvůrci IoT zařízení a firmy využívající edge computing tak budou muset klást větší důraz na posouzení rizik a preventivní bezpečnostní opatření.

Vyšší standard kybernetické bezpečnosti: Zahrnutím kybernetických hrozeb do rámce odpovědnosti musí společnosti zavést robustnější bezpečnostní protokoly.

Tato nová směrnice se shoduje s body uvedenými v mém předchozím článku jak „Donutit výrobce softwaru k odpovědnosti za následky chyb v jejich software“, který vyzývá k přísnějším standardům odpovědnosti pro poskytovatele softwaru. Směrnice posiluje myšlenku, že společnosti účtující za software pro kritické aplikace musí nést odpovědnost za jeho výkonnost, což může posílit důvěru v digitální produkty.

Další rána evropskému průmyslu – finální akt de-industrializace Evropy?

Nyní se podívejme na tuto směrnici z druhé strany – strach společností cokoliv dodávat na evropský trh, extrémní navýšení nákladů na jakýkoliv software. Lze s jistotou očekávat, že mnozí výrobci software nebudou své výrobky jednoduše dodávat na evropský trh a inovace se zcela zastaví. Na druhou stranu, pokud by šli lidé zodpovědní za vyhazovaní miliard „digitalizace státu“ do vězení, možná by věci začaly fungovat lépe.

Křehká rovnováha mezi inovací a odpovědností: Rozsáhlé požadavky na odpovědnost vyžadované směrnicí mohou neúmyslně potlačit inovace, zvláště mezi menšími technologickými firmami. Startupy se často spoléhají na rychlé vývojové cykly, rychlou iteraci a experimentální funkce, ale podle této směrnice by každý nový řádek kódu mohl představovat významné riziko odpovědnosti. To zcela jistě firmy odradí od riskování a zcela zabrzdí technologický pokrok.

Negativní dopad na vývoj AI: Zatímco zahrnutí AI do odpovědnostního práva podporuje bezpečnost, může také zkomplikovat vývoj u firem pracujících na inovativních funkcích v AI. Autonomní software, který se přizpůsobuje novým podmínkám nebo systémy, které využívají strojové učení pro vlastní evoluci, jsou inherentně nepředvídatelné. Aby firmy splňovaly požadavky směrnice, mohly by být nuceny omezit míru autonomie AI, což by mohlo zbrzdit inovace a zabránit průlomům v automatizaci a strojovém učení.

Vysoké náklady na shodu pro nové účastníky: Dodržování požadavků na odpovědnost nebude levné. Velké podniky si mohou dovolit absorbovat náklady na dodatečné testování, monitorování a úpravy, ale pro malé a středně velké firmy by to mohlo představovat výraznou finanční zátěž. Pro technologické odvětví, zejména pro startupy, mohou tyto náklady přinutit vývojáře k omezení inovací kvůli rizikům právní odpovědnosti. Takže software nakonec zůstane v rukou několika gigantů, kteří se díky hordám právníků stejně jakékoliv odpovědnosti vyhnou.

Výzvy v open-source softwaru: Ačkoli směrnice osvobozuje nekomerční open-source software, komerční společnosti, které spoléhají na open-source příspěvky, zůstávají v právní nejistotě. Komerční firmy by mohly váhat s využitím open-source kódu, pokud budou odpovědné za jeho potenciální chyby, což by vedlo k vyšším vývojovým nákladům a případně k omezení spolupráce v rámci vývojářské komunity.

Původně zveřejněno na LinkedIn:

https://www.linkedin.com/pulse/100-years-forward-back-eus-new-software-rules-petr-roupec-xp69c