A közelmúltban kihirdetésre került az új termékfelelősségi irányelv (2024/2853 irányelv), amely megújítja, a korábbi, az 1985-ben elfogadott irányelvvel kialakított termékfelelősségi rendszert. A tagállamoknak 2026. december 9-ig kell az irányelv rendelkezéseit átültetniük a nemzeti jogukba és az irányelvben szereplő szabályok a 2026. december 9. után forgalomba hozott vagy használatba vett termékekre alkalmazandók.
Több fontos újdonság mellet az új szabályozás egyik kiemelt eleme, hogy a jövőben - a termék fogalmának kibővítése révén - a szoftverekre is kiterjed majd.
Adja magát a kérdés: miként lesz alkalmazható a kiterjesztett hatályú termékfelelősségi irányelv az MI-rendszerek, illetve MI-modellek tekintetében (különösen úgy, hogy az új termékfelelősségi irányelvvel egy időben kezdeményezett MI-felelősségi irányelv elfogadása egyelőre várat magára)?
1. Mit jelent, hogy a termékfelelősségi irányelv szoftverekre is alkalmazandó?
A digitalizációnak köszönhetően a szoftverek, illetve szoftver-alapú termékek egyre jelentősebb szerepet játszanak a gazdaságban és az ilyen termékek kizárása a termékfelelősségi szabályok hatálya alól azzal a következménnyel járt volna, hogy az irányelven alapuló szabályok egyre kevésbé felelnének meg a kor kihívásainak, nem teljesítve ezáltal a jogalkotói célt, a fogyasztók védelmét.
Az új irányelv szerint "terméknek" minősül
minden ingó dolog, abban az esetben is, ha azt egy másik ingó dologba vagy ingatlanba építették be, vagy ha az egy másik ingó dologhoz vagy ingatlanhoz kapcsolódik; a „termék” magában foglalja a villamos energiát, a digitális gyártási fájlokat, a nyersanyagokat és szoftvereket. (4. cikk, 1. pont, kiemelés tőlem)
"A digitális korban a termékek lehetnek materiálisak vagy immateriálisak. Egyre gyakoribbak a piacon az olyan szoftverek, mint az operációs rendszerek, a belső vezérlőprogramok, a számítógépes programok, az alkalmazások vagy az MI-rendszerek, és egyre fontosabb szerepet töltenek be a termékbiztonság szempontjából. A szoftver önálló termékként forgalomba hozható vagy később alkotóelemként beépíthető más termékekbe, és a futtatásával képes kárt okozni. A jogbiztonság érdekében egyértelművé kell tenni ezen irányelvben, hogy a szoftver az objektív felelősség alkalmazásához terméknek minősül, függetlenül a rendelkezésre bocsátásának vagy a felhasználásának módjától, és ezért függetlenül attól, hogy a szoftvert eszközön tárolják-e, kommunikációs hálózaton, felhőalapú technológiákon keresztül férnek ahhoz hozzá vagy azt mint szolgáltatási modellt bocsátják rendelkezésre. Az információ azonban nem tekinthető terméknek, ezért a termékfelelősségre vonatkozó szabályok nem alkalmazhatók a digitális fájlok, például médiafájlok vagy e-könyvek tartalmára vagy a szoftverek egyedüli forráskódjára. A szoftver fejlesztőjét vagy gyártóját, beleértve az (EU) 2024/1689 európai parlamenti és tanácsi rendelet* szerinti MI-rendszerek szolgáltatóit is gyártónak kell tekinteni." (Preambulum (13) bekezdés, kiemelés tőlem)
[*A Mesterséges Intelligenciáról szóló rendelet]
A termék definíciója alapján terméknek kell tehát tekinteni a szoftvert is, így a termékfelelősségi szabályok a szoftverekre is alkalmazandóak, függetlenül attól, hogy azok önálló termékként kerülnek forgalomba vagy alkotóelemként beépíthetők más termékekbe.
2. Mely szoftverekre nem alkalmazandó az irányelv?
Nem alkalmazandó viszont az irányelv a nem kereskedelmi tevékenység során kifejlesztett vagy rendelkezésre bocsátott szabad és nyílt forráskódú szoftverekre.
Az olyan szoftverek minősülnek szabad és nyílt forráskódú szoftvereknek,
amelyek esetében a forráskódot nyíltan megosztják, és a felhasználók szabadon hozzáférhetnek a szoftverhez vagy annak módosított változataihoz, illetve azokat szabadon használhatják, módosíthatják és továbbterjeszthetik. Az ilyen szoftver olyan nyilvános licencekre támaszkodik, amelyek bárki számára lehetővé teszik a szoftver futtatásának, másolásának, terjesztésének, tanulmányozásának, módosításának és javításának szabadságát. (lásd Preambulum (14) bekezdés)
Itt érdemes utalni arra, hogy az MI Rendelet hatálya sem terjed ki a szabad és nyílt forráskódú licencek alapján kibocsátott MI-rendszerekre, kivéve, ha azokat nagy kockázatú MI-rendszerként, vagy tiltott MI-gyakorlatot megvalósító rendszerként (MI Rendelet 5. cikk) vagy 50. cikk hatálya alá tartozó MI-rendszerként, így pl. a felhasználókkal közvetlenül interakcióba lépő rendszerként, "deepfake-t" előállító rendszerként, érzelemfelismerő rendszerként vagy a biometrikus kategorizálási rendszerként, stb. hozzák forgalomba vagy helyezik üzembe (lásd 2. cikk (12) bekezdés). A szabad és nyílt forráskódú licenc alapján elérhetővé tett modellek lehetővé teszik a nyílt megosztást, és a felhasználók általi szabad hozzáférést, használatot, módosítást és terjesztést mind eredeti, mind módosított formában. A licencet továbbá "akkor is szabad és nyílt forráskódúnak kell tekinteni, ha lehetővé teszi a felhasználók számára a szoftverek és adatok futtatását, másolását, terjesztését, tanulmányozását, módosítását és tökéletesítését, beleértve a modelleket is, feltéve, hogy feltüntetik a modell eredeti szolgáltatóját, és tiszteletben tartják az azonos vagy összehasonlítható terjesztési feltételeket". (lásd MI Rendelet, Preambulum (102) bekezdés).
Nem minősül kereskedelmi tevékenység során történő kifejlesztésnek vagy rendelkezésre bocsátásnak (lásd Preambulum (14) bekezdés), ha a szabad és nyílt forráskodú szoftvert
- nyílt adattárakban helyezik el, kivéve, ha ez kereskedelmi tevékenység keretében történik,
- nonprofit szervezetek bocsátják rendelkezésre, kivéve, ha ez a rendelkezésre bocsátás kereskedelmi tevékenység keretében történik.
Kereskdelmi tevékenységnek minősül ugyanakkor (lásd szintén a Preambulum (14) bekezdést), "amennyiben azonban a szoftvert ár, vagy olyan személyes adatok,* amelyeket nem kizárólag a szoftver biztonságának, kompatibilitásának vagy interoperabilitásának javítására használnak ellenében bocsátják rendelkezésre ...." (kiemelés tőlem, *Érdemes felhívni a figyelmet, hogy a "személyes adatokkal fizetés" esetén is kiterjedhet az irányelv hatálya a szoftverekre, nem csak az ár ellenében történő forgalmazásra.)
Ha az ilyen (szabad és nyílt forráskodú) szoftvert a gyártó később kereskedelmi tevékenység keretében alkotóelemként beépíti egy termékbe, és ily módon forgalomba hozza, az ilyen szoftver hibája által okozott károkért a termék gyártóját vonják felelősségre, a szoftver gyártóját azonban nem (lásd Preambulum (15) bekezdés). Ez a kitétel a szabad és nyílt forráskódú licencek alapján kibocsátott MI-rendszereket, illetve MI-modelleket a termékeikbe beépítő gyártók esetében is jelentőséggel bír.
3. Mi a helyzet az MI-rendszerekkel, ezekre is vonatkozik a termékfelelősségi irányelv?
Az új termékfelelősségi irányelv már az elején, a preambulumának (3) bekezdésében kiemeli, hogy a korábbi irányelv felülvizsgálatát - többek között - éppen az új technológiák, köztük az MI megjelenése és elterjedése tette szükségessé:
A 85/374/EGK irányelv az eddigiek során hatékony és fontos eszköz volt, ugyanakkor felül kell vizsgálni az új technológiákkal – többek között a mesterséges intelligenciával (MI), a körforgásos gazdaság új üzleti modelljeivel és az új globális ellátási láncokkal – kapcsolatos fejlemények fényében, amelyek következetlenségekhez és jogbizonytalansághoz vezettek, különösen a „termék” kifejezés jelentését illetően. Az említett irányelv alkalmazása során szerzett tapasztalatok arra is rámutattak, hogy a károsultak nehezen jutnak kártérítéshez a kártérítési igények érvényesítésének korlátozása, valamint a felelősség bizonyításához szükséges bizonyítékok összegyűjtésével kapcsolatos nehézségek miatt, különösen az egyre összetettebb műszaki és tudományos vonatkozások fényében. Ide tartoznak az új technológiákkal kapcsolatos kártérítési igények is. Az említett irányelv felülvizsgálata ezért ösztönözné az ilyen új technológiák, többek között az MI bevezetését és elterjedését, ugyanakkor biztosítaná, hogy a felperesek az érintett technológiától függetlenül azonos szintű védelemben részesülhessenek, és hogy minden vállalkozás nagyobb jogbiztonságot és egyenlő versenyfeltételeket élvezzen. (kiemelés tőlem)
Néhány preambulumbekezdéssel később (lásd Preambulum (13) bekezdés) pedig a szoftverek egyes típusai között kifejezetten nevesíti az MI-rendszereket:
[...] Egyre gyakoribbak a piacon az olyan szoftverek, mint az operációs rendszerek, a belső vezérlőprogramok, a számítógépes programok, az alkalmazások vagy az MI-rendszerek, és egyre fontosabb szerepet töltenek be a termékbiztonság szempontjából. [...] (kiemelés tőlem)
Az irányelv preambuluma alapján tehát sok kétség nem merülhet fel, hogy a jogalkotói szándék kiterjedt a termékfelelősségi szabályok MI-rendszereket érintő alkalmazására is.
Az irányelv ugyanakkor nem határozza meg az MI-rendszer fogalmát, ezt meghagyja az MI Rendeletnek. Az MI Rendelet alapján „MI-rendszer”:
gépi alapú rendszer, amelyet különböző autonómiaszinteken történő működésre terveztek, és amely a bevezetését követően alkalmazkodóképességet tanúsíthat, és amely a kapott bemenetből – explicit vagy implicit célok érdekében – kikövetkezteti, miként generáljon olyan kimeneteket, mint például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket, amelyek befolyásolhatják a fizikai vagy a virtuális környezetet. (MI Rendelet 3. cikk, 1. pont)
(Az MI Rendeletben szereplő MI-rendszer fogalom tartalmáról itt írtam részletesebben.)
Az MI Rendeletből ide kívánkozik még az „általános célú MI-modell” és az „általános célú MI-rendszer” fogalma:
- „általános célú MI-modell”: olyan MI-modell – ideértve azt is, amikor az ilyen MI-modell tanítása nagy adatmennyiséggel, nagy léptékű önfelügyelet mellett történik –, amely jelentős általánosságot mutat, és forgalomba hozatalának módjától függetlenül, különféle feladatok széles körének elvégzésére képes, valamint többféle downstream rendszerbe vagy alkalmazásba integrálható, azon MI-modellek kivételével, amelyeket a forgalomba hozatalukat megelőzően kutatási, fejlesztési vagy prototípus-alkotási tevékenységekre használnak;
- „általános célú MI-rendszer”: általános célú MI-modellen alapuló MI-rendszer, amely – mind közvetlen felhasználás, mind más MI-rendszerekbe való integráció céljából – többféle célt képes szolgálni.
A termékfelelősségi irányelv nem határoz meg speciális szabályokat az MI-rendszerekre vonatkozóan, azokra megfelelően alkalmazni kell az általános termékfelelősségi szabályokat, illetve adott esetben a szoftverekre vonatkozó egyes rendelkezéseket. Egy dolgot azonban mindenképpen érdemes kiemelni, ez pedig az MI-rendszer "tanulási képessége":
Amennyiben a lényeges módosítás szoftverfrissítés vagy -fejlesztés révén, vagy egy MI-rendszer folyamatos tanulásának eredményeként történik, a lényegesen módosított terméket úgy kell tekinteni, mintha a változás tényleges végrehajtásának időpontjában forgalmazták volna vagy vették volna használatba. (Preambulum (40) bekezdés, kiemelés tőlem)
A Preambulum (32) bekezdése pedig rögzíti:
[...] Figyelembe kell venni a termék biztonságosságára gyakorolt bármely hatását annak is, hogy a termék a forgalomba hozatalt vagy használatbavételt követően képes tanulni és új funkciókat elsajátítani, azon jogos elvárás tükrözése érdekében, hogy a termék szoftvere és az annak alapjául szolgáló algoritmusok tervezése oly módon történjen, hogy megakadályozza a termék veszélyes viselkedését. Következésképpen a váratlan magatartás kialakítására képes terméket tervező gyártónak továbbra is felelősséget kell vállalnia a kárt okozó viselkedésért. [...] (kiemelés tőlem)
Az irányelvben hivatkozott "folyamatos tanulás" (lásd az irányelv 7. cikkében, a termék hibájának vizsgálatához adott szempontok körében), illetve "új funkciók elsajátítása" az MI Rendelet szerinti fogalommeghatározásban lényegében az "alkalmazkodóképesség" lehetőségének feleltethető meg és ez hatással van arra, hogy a gyártói felelősség miként alakul, illetve, hogy adott esetben a felelősség alóli mentesülés feltételei fennállhatnak-e a gyártónál (hiszen a tanulás révén bekövetkezett változás a termék lényeges módosításának minősülhet). Fontos azonban, hogy a "folyamatos tanulásra" való képesség meglétét külön vizsgálni kell az adott MI-rendszer tekintetében, hiszen az alkalmazkodóképesség nem feltétlenül jelenik meg minden MI-rendszerben (az MI Rendelet szerinti fogalommeghatározás is csak annyit mond, hogy a rendszer "alkalmazkodóképességet tanúsíthat", azaz rendelkezhet ilyen jellemzővel, de ez nem elengedhetetlen fogalmi elem).
Az irányelv preambuluma arra vonatkozóan is ad támpontot, hogy az MI Rendelet szerinti MI-rendszerek szolgáltatóit is gyártónak kell tekinteni (az MI Rendeletben meghatározott "szerepekről" itt írtam részletesebben).
Az MI Rendelet szerint a „szolgáltató” olyan természetes vagy jogi személy, hatóság, ügynökség vagy egyéb szerv, aki vagy amely MI-rendszert vagy általános célú MI-modellt fejleszt vagy fejleszttet, és a saját neve vagy védjegye alatt – akár fizetés ellenében, akár ingyenesen – az MI-rendszert vagy az általános célú MI-modellt forgalomba hozza, vagy az MI-rendszert üzembe helyezi.
Bár erre már nem tér ki külön a termékfelelősségi irányelv, de érdemes megemílteni az MI Rendelet „downstream szolgáltató” fogalmát, amely "olyan MI-rendszer – ideértve az általános célú MI-rendszert is – szolgáltatója, amelybe MI-modellt integráltak, függetlenül attól, hogy a szolgáltató által biztosított, vertikálisan integrált MI-modellről vagy egy másik szervezet által szerződéses viszonyok alapján biztosított MI-modellről van-e szó" (MI Rendelet 3. cikk 68. pont). Érdekes gyakorlati kérdéseket jelent majd a downstream szolgáltatók felelősségének megjelenése a termékfelelősségi irányelv alapján megszülető nemzeti jogszabályok alapján esetlegesen érvényesített kárigények tekintetében.
Szintén nem tér ki rá a termékfelelősségi irányelv, de az MI Rendelet szerinti "termékgyártók", azaz a termékek azon gyártói, amelyek "a termékükkel együtt MI-rendszert hoznak forgalomba vagy helyeznek üzembe a saját nevük vagy védjegyük alatt", sztintén a gyártó termékfelelősségi irányelv szerinti fogalma alá esnek.
(Természetesen az irányelv logikájával összhangban az MI-rendszerek tekintetében megállhat az értékláncban megjelenő egyéb szereplők, pl. importőrök, forgalmazók felelőssége is.)
4. Mit jelent az MI-rendszerek tekintetében gyártónak minősülő szereplőknek a termékfelelősségi szabályok kiterjesztése az MI-rendszerekre is?
A termékfelelősségi szabályok hatályának kiterjedése a szoftverekre és ezen belül az MI-rendszerekre is aláhúzza a termékmegfelelősség fontosságát. Ebben az MI Rendeletnek való megfelelés, különös tekintettel a nagy kockázatú MI-rendszerek, illetve az általános célú MI-modellek esetében kiemelt szerepet kap. Az MI Rendeletnek való megfelelésre való felkészülés részét kell tehát, hogy képezze a termékfelelősséggel kapcsolatos kockázatértékelés, a kockázatok megfelelő kezelése és a megfelelő dokumentálás, amely szerepet kaphat egy esetleges, a termékfelelősségi szabályok alapján történő igényérvényesítés kapcsán is.
A felkészülés kapcsán figyelemmel kell lenni olyan kérdésekre is, mint a szabad és nyílt forráskodú szoftver (MI-modell) alkotóelemként a termékbe történő beépítésével összefüggő kérdésekre (hiszen, ha ilyen termék kerül kereskedelmi forgalomba, akkor a szoftver hibája által okozott károkért is a termék gyártóját vonják felelősségre), illetve a "folyamatos tanulás" képessége, mint MI-rendszerek esetében megjelenő sajátosság termékfelelősségre gyakorolt hatására.
5. Miért van (lehet) egyáltalán szükség még MI-felelősségi irányelvre, ha az új termékfelelősségi irányelv is kiterjed az MI-rendszerekre?
Ahogy fent láttuk a termékfelelősségi irányelv valóban kiterjed a szoftverekre, ezen belül az MI-rendszerekre, ugyanakkor számos olyan kérdést, illetve esetleges károkozással kapcsolatos helyzetet nem érint, amely az MI-rendszerek vagy szélesebb értelemben, a szoftverek esetében igen könnyen felmerülhet, hiszen a termékfelelősségi irányelv a termékbiztonsággal kapcsolatos kérdésekre fókuszál. (Pl. a termékfelelősségi irányelv nem kezeli azokat a helyzeteket, amikor az MI-rendszer alkalmazása révén diszkriminatív vagy egyéb alapvető jogokat sértő döntések születnek és ezáltal következik be károkozás). Az alapmegközelítés is eltérő, míg a termékfelelősségi irányelv egy termékbiztonsági, szerződésen kívüli károkozásra vonatkozó, objektív felelősségen alapú rendszer, addig az MI-felelősségi irányelv tervezete egy szerződésen kívüli károkozáson alapuló, de vétkességi alapú felelősségre vonatkozik. Nem véletlen, hogy az MI-felelősségi irányelv kapcsán szeptemberben publikált európai parlamenti hatástanulmány az MI-felelősség irányelv kiterjesztését és általánosabb, szoftverfelelősségi szabályozássá alakítását javasolja (erről itt írtam részletesebben).
