W 2023 roku w szkole w Teksasie dwie uczennice stały się ofiarami cyfrowej przemocy: ktoś wygenerował i rozpowszechnił spreparowane zdjęcia o charakterze seksualnym z ich twarzami. Technologia, która to umożliwiła, istniała legalnie. Prawo, które mogłoby temu zapobiec, jeszcze nie istniało. Dopiero w 2025 roku Stany Zjednoczone uchwaliły ustawę zakazującą publikowania nieautoryzowanych deepfake’ów. Malwina Śliwińska, prezentując swój referat podczas VII edycji Our Future Forum w grudniu 2025 roku, pokazuje, że ta historia jest czymś więcej niż bulwersującym przypadkiem: jest ilustracją dwóch zupełnie różnych filozofii regulowania sztucznej inteligencji i prywatności.

Paradoks, który napędza AI

Punktem wyjścia referatu jest obserwacja, którą Śliwińska nazywa paradoksem prywatności AI. Z jednej strony użytkownicy głośno domagają się ochrony swoich danych osobowych. Z drugiej strony chętnie i masowo udostępniają ogromne ilości informacji w zamian za dostęp do bezpłatnych usług cyfrowych. To właśnie te dane, gromadzone i przetwarzane przez algorytmy, napędzają rozwój systemów sztucznej inteligencji. Innymi słowy: użytkownicy są jednocześnie beneficjentami AI i jej paliwem. I właśnie dlatego ochrona ich prywatności jest tak trudna.

Problem pogłębia się, gdy weźmiemy pod uwagę zjawisko, które Śliwińska opisuje jako predictive privacy, czyli prywatność przewidywaną. Nawet jeśli użytkownik nigdy nie ujawnił swojego stanu zdrowia, orientacji seksualnej czy poglądów politycznych, zaawansowany algorytm może je wydedukować z danych, które udostępnił, wzorców zachowań, historii zakupów, aktywności w mediach społecznościowych. To informacje pozyskiwane bez wiedzy i woli użytkownika. Istniejące prawo w dużej mierze ich nie obejmuje.

Europa: najpierw chroń, potem rozwijaj

Śliwińska szczegółowo analizuje europejski model regulacyjny, który opiera się na dwóch filarach: RODO i AI Act. RODO, obowiązujące od 2018 roku, chroni dane osobowe i wymaga ich przetwarzania w określonych, jasnych celach. Artykuł 22 zapewnia ochronę przed decyzjami podejmowanymi wyłącznie przez algorytmy bez udziału człowieka. Sankcje za naruszenia są realne: do 10 milionów euro lub 2 procent globalnego obrotu przedsiębiorstwa.

AI Act z 2024 roku uzupełnia ten system o regulację samych systemów sztucznej inteligencji. Dzieli je na cztery kategorie ryzyka. Systemy niedopuszczalne, takie jak klasyfikacja społeczna czy biometryczna identyfikacja w czasie rzeczywistym, są zakazane. Systemy wysokiego ryzyka podlegają rygorystycznym wymogom, w tym obowiązkowi nadzoru człowieka. Systemy niskiego i minimalnego ryzyka objęte są przede wszystkim wymogiem przejrzystości.

Śliwińska dostrzega jednak granicę tego systemu: nawet najlepsze prawo napotyka na problem czarnej skrzynki. Algorytmy generatywnej AI, klasyfikowane jako niskie ryzyko, działają w sposób, którego nie rozumieją w pełni nawet ich twórcy. Użytkownik może formalnie wyrazić zgodę na przetwarzanie danych, ale nie ma realnej możliwości zrozumienia, co system z nimi zrobi.

Ameryka: najpierw pozwól działać, potem naprawiaj

Kontrast z podejściem europejskim jest uderzający. Stany Zjednoczone nie mają jednolitego federalnego prawa regulującego sztuczną inteligencję i ochronę danych. Regulacje powstają na poziomie stanowym lub sektorowym, a ich cechą wspólną jest charakter reaktywny: prawo pojawia się w odpowiedzi na szkodę, nie po to, żeby jej zapobiec.

Ustawa Take It Down z 2025 roku jest tego przykładem: zakazuje deepfake’ów, bo wcześniej skrzywdzono konkretne osoby. Californian Consumer Privacy Act daje mieszkańcom Kalifornii prawo do informacji o tym, jak są wykorzystywane ich dane, ale obowiązuje tylko w tym jednym stanie. Osoba mieszkająca w innym stanie może korzystać z tych samych usług cyfrowych i nie mieć żadnej porównywalnej ochrony.

Śliwińska ocenia ten model jako częściowo skuteczny. Sprzyja on innowacjom i elastyczności. Nie gwarantuje jednak równej ochrony wszystkich użytkowników i pozwala szkodliwym zjawiskom zaistnieć, zanim zostaną uregulowane.

Co dalej?

Autorka wskazuje dwa kierunki, w których powinna podążać przyszłość regulacji. Pierwszy to ujednolicenie prawa w Stanach Zjednoczonych, wzorowane na europejskim modelu. Drugi, bardziej nowatorski, to wprowadzenie do systemów prawnych pojęcia predictive privacy jako osobnej kategorii chronionego dobra. Jeśli algorytm może wydedukować o mnie informację, której nigdy nie ujawniłem, to czy ta informacja nie powinna podlegać ochronie tak samo jak ta, którą świadomie udostępniłem?

To pytanie, na które prawo nie ma jeszcze odpowiedzi. Ale jak pokazuje referat Śliwińskiej, czas na jego postawienie właśnie nadszedł.

Opracowano na podstawie referatu, pn. „Granice prawa do prywatności w erze sztucznej inteligencji i big data” wygłoszonego przez Malwinę Śliwińską podczas VII edycji konferencji Our Future Forum w ramach konkursu na najlepszy referat. Zapraszamy do wysłuchania całego wystąpienia na naszym kanale na YouTube.