Carlos B Fernández. A lo largo de este mes de agosto, la República Popular China ha dado importantes pasos en la regulación de las tecnologías inteligentes: por una parte ha aprobado una Ley general reguladora de la Inteligencia Artificial (IA) y, en paralelo, ha aprobado otra regulación específica de la IA generativa. Ambas normas tendrán un impacto significativo en el desarrollo, la prestación y el uso de los servicios de IA en China.
Formalmente, ambas normas muestran una evidente inspiración en los modelos regulatorios occidentales, en particular la propuesta de Reglamento europeo de IA y la propuesta de convenio internancional sobre IA de la OCDE. Pero su sujección, expresamente apuntada, al desarrollo del modelo de socialismo chino, con las implicaciones que ello supone sobre el respeto a los derechos humanos, evidencian las diferentes concepciones en juego.
LEY DE INTELIGENCIA ARTIFICIAL
Esta ley es consecuencia del Plan de Trabajo Legislativo 2023 elaborado por el Consejo de Estado como consecuencia del XX Congreso Nacional del Partido Comunista de China, celebrado del 16 al 22 de octubre de 2022.
Se trata de una norma compuesta por 73 artículos, estructurados en siete capítulos.
Concepto de IA. El artículo 71 define la IA como “los sistemas automatizados que funcionan con cierto grado de autonomía, sirven a determinados objetivos y son capaces de influir en el entorno físico o virtual mediante la predicción, la recomendación o la toma de decisiones, etc.”
Ámbito de aplicación. El artículo 2, define el ámbito de aplicación de esta norma, que “se aplica a la investigación y desarrollo, suministro y uso de la IA, así como a la regulación de la IA, dentro de las fronteras de la República Popular de China (RPC)”. Sin embargo, añade una previsión de extraterritorialidad al establecer que “Las actividades relacionadas con la investigación y el desarrollo, el suministro y el uso de la IA realizadas fuera del territorio de la RPC que afecten o puedan afectar a la seguridad nacional, los intereses públicos o los derechos e intereses legítimos de personas u organizaciones de la RPC, están sujetas a esta ley”.
Centralidad de la persona. Según el artículo 4, “Las actividades relacionadas con la investigación y el desarrollo, el suministro o el uso de la IA deben estar centradas en las personas y dirigir la inteligencia hacia el bien. Garantizar que los humanos puedan supervisar y controlar continuamente la IA, con el objetivo último de promover siempre el bienestar de la humanidad.”
Principios aplicables al desarrollo de la IA. Según los artículos 5 a 9 de la norma, los investigadores y desarrollores, proveedores y usuarios de sistemas de IA deben aplicar los principios de seguridad y robustez; apertura (Openness), transparencia y explicabilidad; responsabilidad proactiva (Accountability) y equidad e igualdad. Igualmente se fomentará el uso de energías eficientes, para la protección del medio ambiente, en el desarrollo de estas tecnologías. Estos principios aparecen desarrollados con detalle en el Capítulo 4 de la norma (arts. 33 a 50), que regulan los principios generales (sección 1.ª), las obligaciones de los desarrolladores e investigadores (sección 2.ª), que incluyen un sistema de gestión de riesgos, y las obligaciones de los distribuidores (sección 3.ª), que incluyen un sistema de información de la puesta en marcha del sistema, de auditoría y de gestión interna.
Promoción de la IA. Corresponde al Estado, incluyendo la construcción de su infraestructura, las bases de datos, el diseño de los modelos fundacionales, la formación del personal necesario y la dotación de fondos.
Sistema de listas negativas. Los artículos 23 a 32 prevén que el Estado establecerá un sistema de Lista Negativa para la IA, sujeta a la concesión de permisos para el desarrollo de productos y servicios de IA. Esta lista se basará en el daño potencial para la seguridad nacional, el interés público, los derechos e intereses legales de las personas y organizaciones, y el orden económico que puedan derivarse de la utilización de estos sistemas.
Sandbox regulatorio. El artículo 56 de la norma prevé que la autoridad nacional responsable, debe establecer un mecanismo de espacion de prueba regulatorio y las condiciones de acceso y funcionamiento del mismo.
Mecanismo de aplicación de la ley. Según el artículo 57, la autoridad nacional responsable debe impulsar la formación de equipos técnicos especializados que aseguren la aplicación de las disposiciones de esta ley.
Responsabilidad por incumplimiento. El artículo 61 de la ley establece que a quienes infrinjan los artículos 34 a 51 de esta Ley, relativos a la investigación, el desarrollo o el suministro de IA, el organismo estatal responsable de la IA podrá ordenarles que hagan correcciones, darles una advertencia, confiscarles sus ganancias ilegales y ordenarles que suspendan o pongan fin al suministro de esos productos o servicios.
Sanciones. Los responsables de los productos que se nieguen a hacer correcciones a que se refiere el artículo 61 deberán ser multados con hasta un millón de renminbi (RMB). El supervisor directamente responsable y otros responsables directos deben ser multados con entre 10.000 y 100.000 RMB. En los casos considerados graves, el organismo estatal responsable de la IA debe ordenar la rectificación, confiscar los ingresos ilegales e imponer una multa máxima de 50 millones de RMB o hasta el 4% de los ingresos del año anterior. El organismo estatal responsable de la IA también puede ordenar la suspensión de la actividad empresarial pertinente o la suspensión de la actividad empresarial para su rectificación, notificar a las autoridades competentes pertinentes la revocación de los permisos empresariales pertinentes o revocar la licencia empresarial. El supervisor directamente responsable y otros miembros del personal directamente responsables deberán pagar una multa de 100.000 a 1 millón de RMB. Además, aquellas personas que cometan actividades contrarias a esta ley, verán reducido su crédito social, de acuerdo con la normativa aplicable, sanción que será hecha pública.
Responsabilidad civil extracontractual. (artículo 66) Si la IA investigada, desarrollada o suministrada vulnera los derechos e intereses de personas, causando daños, y el investigador, desarrollador o proveedor incumple las obligaciones que le impone esta Ley, deberá asumir la responsabilidad extracontractual, incluyendo la indemnización por daños y perjuicios, a menos que el desarrollador o proveedor pueda demostrar que no es culpable. Dicha responsabilidad deberá determinarse en función de las pérdidas sufridas por el usuario o las personas u organizaciones afectadas, o de los beneficios obtenidos por el investigador, desarrollador o proveedor como resultado. Si resulta difícil determinar las pérdidas sufridas por los usuarios o las personas u organizaciones afectadas y los beneficios obtenidos por los proveedores como resultado, el importe del pago compensatorio deberá determinarse en función de la situación real.
Litigios de interés público(artículo 67) Si un sistema de IA se pone en el mercado en violación de las disposiciones de esta Ley y vulnera los derechos e intereses de un gran número de personas, la Fiscalía Popular, las organizaciones de consumidores estipuladas por la ley y las organizaciones determinadas por el órgano estatal responsable de la IA podrán interponer una demanda ante el Tribunal Popular de conformidad con la ley.
REGULACIÓN DE LA IA GENERATIVA
Según la página oficial, en inglés, del gobierno chino (http://english.www.gov.cn/), el pasado 13 de julio, la Administración del Ciberespacio de China (CAC) y los ministerios de Ciencia y Tecnología, de Industria y Tecnología de la Información y de Seguridad Pública y otros reguladores, publicaron conjuntamente un reglamento provisional sobre la gestión de los servicios de inteligencia artificial generativa (IA), que entró en vigor el pasado 15 de agosto.
La norma tiene como objetivo promover el desarrollo sólido de la IA generativa y sus aplicaciones estándar, salvaguardar la seguridad nacional y los intereses públicos sociales, y proteger los derechos e intereses legítimos de los ciudadanos, las personas jurídicas y las organizaciones.
El auge de la tecnología de IA generativa ha creado nuevas oportunidades para el desarrollo económico y social, pero también ha traído problemas como la difusión de información falsa, la violación de la información personal y la seguridad de los datos, señaló un funcionario de la CAC.
La norma incluye una serie de medidas para impulsar la tecnología de IA generativa, por un lado, y estipula normas básicas para los proveedores de servicios de IA generativa, por otro.
Según el reglamento, China fomentará las aplicaciones innovadoras de la tecnología de IA generativa en diversas industrias y campos, y apoyará a organizaciones industriales, empresas, institutos de educación e investigación y otras instituciones relacionadas para que colaboren en este sentido.
A la vez, los reguladores ejercerán una supervisión sobre los servicios de IA generativa, exigiendo a los proveedores de estos servicios que cumplan determinadas obligaciones de seguridad, incluida la protección de los datos personales de los internautas, y que tomen precauciones para evitar que los usuarios menores de edad se vuelvan adictos a tales servicios.
En opinión de Parsons, Gong, Zhu y Fen, abogados de Hogal Lovells, en www.engage.hoganlovells.com/knowledgeservices, la regulación adoptada muestra cierto grado de relajación respecto del borrador de la consulta, publicado en abril de 2023, más próximo a la posición de la industria en áreas como la garantía de la autenticidad y exactitud de los datos de formación. Sin embargo, al tratarse de unas normas "provisionales", cabe esperar cambios en las mismas a medida que los reguladores adquieran experiencia en un campo como el de la IA, que avanza con rapidez, y en los retos particulares que la tecnología puede plantear en una jurisdicción en la que la ley exige que su uso sea coherente con los valores fundamentales socialistas.
Ámbito de aplicación
Según informan Anna Gamvros, Edward Yau y Steven Chong en https://www.dataprotectionreport.com/, la ley de medidas sobre IA Generativa se aplica al "uso de tecnología de IA generativa (se refiere a algoritmos, modelos u otras reglas) para prestar servicios de generación de texto, imágenes, sonidos, vídeos y otros contenidos dentro del territorio de China".
Es importante señalar también que las Medidas sobre IA Generativa se aplican a los servicios ofrecidos al público y no al uso de servicios de IA generativa por parte de las empresas.
Alcance extraterritorial
Esta norma se aplicará a las empresas nacionales y a los proveedores de servicios de IA generativa extranjeros que ofrezcan servicios de IA generativa al público en general en China.
Es decir, sus medidas tienen aplicación extraterritorial, lo que es especialmente relevante para los proveedores de servicios de IA generativa situados fuera de China. En concreto, según el el artículo 20 de la norma, la CAC y las autoridades competentes pueden informar a los proveedores de servicios de IA generativa que se encuentren fuera de China y presten servicios de IA generativa en el territorio para que adopten las medidas técnicas u otras necesarias si no cumplen las leyes y reglamentos chinos pertinentes. Esta aplicación extraterritorial implica que los proveedores extraterritoriales que cumplan la ley pueden prestar servicios de IA generativa en China.
Principales obligaciones de los prestadores de servicios
1. En el desarrollo y uso de servicios de IA generativa, los proveedores de servicios de IA generativa deben:
- no generar contenidos ilegales, como información falsa o perjudicial;
- tomar medidas efectivas para evitar la generación de contenidos discriminatorios;
- no utilizar ventajas en algoritmos, datos o plataformas cuando ello conduzca a comportamientos de monopolio y competencia desleal
- no infringir los derechos de imagen, reputación, honor, intimidad e información personal de los demás; y
- adoptar medidas eficaces para aumentar la transparencia de los servicios de IA generativa y la exactitud y fiabilidad de los contenidos de IA generativa.
2. Con respecto a los datos de entrenamiento, los proveedores de servicios de IA generativa deben:
- utilizar datos y modelos fundamentales de fuentes legítimas;
- no infringir la propiedad intelectual legítima de terceros
- obtener datos personales con consentimiento o en situaciones prescritas por la ley o medidas administrativas; y
- tomar medidas eficaces para aumentar la calidad de los datos de entrenamiento, su veracidad, exactitud, objetividad y diversidad.
3. Al prestar servicios de IA generativa, los proveedores de servicios de IA generativa tienen obligaciones de ciberseguridad como productores de contenidos de información en línea y obligaciones de protección de la información personal como responsables del tratamiento de la información personal, y deben:
- celebrar acuerdos de servicio con los usuarios registrados de servicios de IA generativa en los que se especifiquen los derechos y obligaciones de ambas partes;
- orientar a los usuarios sobre el uso legal de la tecnología de IA generativa y tomar medidas efectivas para evitar que los usuarios dependan excesivamente del servicio de IA generativa o sean "adictos a él";
- no recopilar información personal no esencial, no retener ilegalmente información de entrada y registros de uso que puedan utilizarse para identificar a un usuario y no proporcionar ilegalmente información de entrada y registros de uso de los usuarios a terceros;
- recibir y resolver las solicitudes de los interesados;
- etiquetar los contenidos generados, como fotos y vídeos, de conformidad con las Disposiciones Administrativas sobre Síntesis Profunda de Servicios de Información basados en Internet (Disposiciones sobre Síntesis Profunda);
- si se descubren contenidos ilegales, tomar medidas para detener la generación y transmisión de contenidos ilegales y eliminarlos, tomar medidas de rectificación, como la mejora del modelo, e informar a las autoridades competentes pertinentes;
- si se descubre que los usuarios utilizan los servicios de IA generativa para realizar actividades ilegales, tomar medidas para advertir al usuario, o restringir, suspender o cancelar el servicio, conservar los registros e informar a las autoridades competentes pertinentes; y
- establecer un mecanismo para recibir y gestionar reclamaciones
4. Finalmente, en relación con la supervisión del cumplimiento, los proveedores de servicios de IA generativa deberán:
- si el servicio de IA generativa viene con un atributo de opinión pública o capacidad de movilización social, llevar a cabo una obligación de evaluación de la seguridad y (en el plazo de diez días laborables a partir de la fecha de prestación de los servicios) pasar por las formalidades de registro de conformidad con las Disposiciones Administrativas sobre Recomendación de Algoritmos para Servicios de Información en Internet (Disposiciones sobre Algoritmos); y
- cuando las autoridades competentes pertinentes (por ejemplo, la CAC) inicien los controles de supervisión del servicio de IA generativa, cooperar con ellas, explicar la fuente, el tamaño y los tipos de los datos de entrenamiento, las normas de etiquetado y los mecanismos y principios del algoritmo y proporcionar la tecnología y los datos necesarios, etc., para apoyo y asistencia.