Agent to nie paralegal.
Levy wraca z toolkitem.

Kiedy w styczniu recenzowałem TOM 005 - pierwszą książkę Levy'ego o etyce AI - zapisałem zdanie: amerykański playbook bez RODO to dobra literatura do rozmowy, słaba literatura do pracy. Trzy miesiące później autor wraca z tematem trudniejszym. Generatywna AI odpowiadała na pytania. Agent podejmuje działania. Różnica jest taka, jak między poradą ustną a pełnomocnictwem procesowym.

Ten sam autor, ten sam warsztat, ten sam limit. I dwie rzeczy nowe. Po pierwsze, Levy wyciąga wnioski z własnej pierwszej książki i pisze dokładniej o ograniczeniach jurysdykcyjnych. Po drugie, zamiast argumentacji daje artefakty - do wykorzystania w poniedziałek rano. To jest różnica między podręcznikiem a narzędziem.

O czym jest ten materiał

Książka dzieli się na siedem części. Część pierwsza definiuje agenta w trzech składowych: dostęp do narzędzi (tool use), zdolność do wielokrotnego działania bez pośredniej zgody człowieka i skutki w świecie rzeczywistym. Tabela kluczowych pojęć obejmuje siedem terminów: AI Agent, Tool Use, Orchestration, Human in the Loop, Autonomy Level, Guardrails, Audit Log, Multi-Agent System. Część druga pokazuje pięć przypadków użycia: contract lifecycle, legal research, intake i triage, compliance monitoring, litigation i discovery. Część trzecia to nowe ryzyka: compounding errors across steps (z mocnym Worked Example o contract intake, który skończył się DPA ukrytym w MSA), tool misuse, confidentiality i data movement, auditability.

Część czwarta to professional responsibility: ABA Formal Opinion 512 z lipca 2024 jako punkt wyjścia, szczegółowa analiza Model Rules 5.1 i 5.3 (supervision), Rule 1.5 (fees), malpractice i insurance, wariacje stanowe (Kalifornia listopad 2023, Floryda styczeń 2024, NY, NJ, DC), cross-border (EU AI Act z Annex III dla systemów wspomagających wymiar sprawiedliwości, art. 22 RODO). Część piąta to governance framework: scoping authority, human-in-the-loop checkpoints z tabelą Autonomy by Risk (Suggest / Approve / Notify / Autonomous), logging, vendor diligence. Część szósta - getting started (NDA triage jako kanoniczny pilot). Część siódma - toolkit: Sample AI Agent Use Policy Outline (12 punktów), Vendor Questionnaire (22 pytania w sześciu kategoriach), Pilot Readiness Checklist (12 pozycji), Human Checkpoint Decision Aid (cztery pytania decyzyjne).

Całość liczy formalnie dwadzieścia siedem stron, z czego osiem to puste strony tytułowe części. Realnie tekst to około osiemnaście stron gęstej treści.

Jednym zdaniem: to jest amerykański podręcznik operacyjny o agentach AI w praktyce prawniczej, napisany przez legal-tech praktyka z pełną świadomością własnych ograniczeń jurysdykcyjnych.

Recenzja właściwa

Co Levy robi najlepiej

Worked Example o contract intake to jest prawdopodobnie najlepszy w całej współczesnej literaturze legal-tech przykład, jak kaskada "nie-nierozsądnych w izolacji" kroków prowadzi do szkody. Agent klasyfikuje dokument po tytule jako MSA, ładuje playbook MSA, generuje redlines kompletne dla MSA, routuje do commercial attorney. Commercial attorney, ufając poprzednim krokom, nie czyta dokumentu. Deal się zamyka. Sześć miesięcy później wybucha incydent danych. None of the four steps was unreasonable in isolation. The compounding is what produced the harm. Levy pokazuje w trzydziestu sekundach czytania to, o co European Commission pyta w AI Act: dlaczego system ma być high-risk i dlaczego potrzebuje human oversight. Każdy zarząd kancelarii powinien dostać ten przykład do przeczytania.

Drugie miejsce w rankingu: tabela Autonomy by Risk. Cztery poziomy - Suggest, Approve, Notify, Autonomous. Suggest to narzędzia nowe i matery wrażliwe. Approve to rutynowe ale konsekwentne (contract redlines). Notify to nisko-stawkowe, łatwo odwracalne (triage tagging). Autonomous - wąskie, dobrze przetestowane, niskie ryzyko, mocne logowanie. Taksonomia prosta, zarządzalna, dająca się zaimplementować. Polska kancelaria może tę tabelę wkleić do regulaminu wewnętrznego, dopiszu jeden wiersz dla every use case i ma gotowy szkielet polityki.

Trzecie: vendor questionnaire. Dwadzieścia dwa pytania w sześciu kategoriach, z bezwzględnie najlepszym pytaniem w całym dokumencie - Is our content used to train, fine-tune, or evaluate any model? Can we opt out? To jest jedno zdanie, które oddziela wdrożenie dopuszczalne od niedopuszczalnego z perspektywy tajemnicy zawodowej. Kancelaria, która dostanie od dostawcy odpowiedź "tak, używamy, nie, nie można się wypisać" - ma jasność. Bez tego pytania nie ma jasności.

Perspektywa professional responsibility i compound regime

Levy uczciwie traktuje analogię: agent jest formą non-lawyer assistance w rozumieniu Model Rule 5.3. If you would not let a first-week paralegal send the email, file the brief, or sign the document without review, the agent should not do it either. Ta analogia działa w systemie amerykańskim. W polskim nie do końca.

Polska konstrukcja nadzoru nad pracownikami kancelarii (art. 16 ustawy o adwokaturze, art. 11 ustawy o radcach prawnych, regulaminy KIRP i NRA) operuje pojęciem osobowej odpowiedzialności adwokata lub radcy za czynności wykonywane w ramach pomocy prawnej. Agent AI nie jest osobą - nie ma pełnomocnictwa, nie ma aplikacji, nie ma karalnej odpowiedzialności dyscyplinarnej. Rozszerzenie analogii wymaga zatem uzupełnienia: agent jest narzędziem, a nie pracownikiem. Odpowiedzialność adwokata za błąd agenta jest bliższa odpowiedzialności za narzędzie wadliwe (art. 415 k.c., art. 471 k.c.) niż odpowiedzialności za działania podwładnego (art. 430 k.c.). Levy'emu wolno tego nie widzieć - on pisze z perspektywy Model Rules. Polska kancelaria musi to mapować samodzielnie, zanim zbuduje politykę.

Druga warstwa: compound regime dla pojedynczej akcji agenta. Worked Example Levy'ego o contract intake niemal idealnie ilustruje to, czego Levy nie nazywa. Agent czyta umowę klienta - przetwarza dane osobowe w rozumieniu RODO. Agent klasyfikuje umowę i generuje redlines - jeżeli ta klasyfikacja wpływa na routing, to jest element zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO. Agent routuje plik do konkretnego prawnika - to jest przetwarzanie o skutkach istotnych dla obsługi sprawy klienta. Jeżeli dodatkowo klient jest osobą fizyczną (np. klient prawa rodzinnego), a agent wpływa na ścieżkę decyzyjną kancelarii w jego sprawie - wchodzimy w art. 22 ust. 1 RODO. Do tego dochodzi art. 26 AI Act (obowiązki deployera) i potencjalnie art. 50 AI Act (transparentność treści syntetycznych) oraz art. 4 AI Act (AI literacy). Cztery warstwy obowiązków na jeden run agenta. Levy widzi jedną z nich - GDPR Article 22 jako cross-border flag. Polska kancelaria musi widzieć cztery.

Tajemnica zawodowa i logging

Levy pisze: complete logging of inputs, decisions, tool calls, and outputs. To jest sensowne z perspektywy defensibility przed sądem amerykańskim i audytu malpractice. W polskim kontekście audit log pełny z zawartością czytanych dokumentów to jest potencjalnie duplikat akt klienta zapisany w infrastrukturze dostawcy agenta - z wszystkimi tego konsekwencjami: tajemnica zawodowa art. 6 Prawa o adwokaturze (bezwarunkowa, bezwzględna, nie ograniczona w czasie), art. 32 RODO (bezpieczeństwo przetwarzania), art. 17 RODO (prawo do bycia zapomnianym - log z danymi klienta podlega mu tak samo jak sam dokument), umowna retencja w kontrakcie z klientem.

Rekomendacja Levy'ego - pełne logowanie - wymaga przekładu na polski: logowanie metadanych i ścieżek decyzyjnych (kto, kiedy, jakie narzędzie, jaki rezultat) tak. Pełne logowanie treści przetwarzanych dokumentów tylko pod warunkiem, że infrastruktura logging mieści się w obszarze chronionym tajemnicą zawodową i jest kontrolowana przez kancelarię, a nie przez dostawcę agenta. W praktyce oznacza to lokalny data lake albo dedykowany tenant z enkrypcją kluczem kancelarii - nie SaaS w chmurze amerykańskiej.

Autonomy Level vs art. 14 AI Act

Najbardziej delikatny punkt: poziom Autonomous w tabeli Levy'ego. Autor dopuszcza agenta działającego bez powiadomienia człowieka - reserve for narrow, well-tested, low-risk steps with strong logging. W systemie amerykańskim jest to decyzja zarządu kancelarii. W systemie europejskim, jeżeli agent wpada w katalog high-risk z Annex III AI Act (a wpada, jeżeli wpływa na decyzje w zakresie zatrudnienia, zdrowia, kredytów, zabezpieczenia społecznego, wymiaru sprawiedliwości), obowiązuje art. 14 AI Act: human oversight jako obowiązek systemowy, nie decyzja operacyjna. Poziom Autonomous dla systemu high-risk jest prawnie wątpliwy - a kancelaria obsługująca klientów HR, medycznych lub finansowych łatwo tam wpada.

To nie jest błąd autora. To jest granica ramy amerykańskiej. Ale polska kancelaria powinna w swojej polityce wewnętrznej zaznaczyć: poziom Autonomous jest dopuszczalny tylko dla workflow poza Annex III AI Act, a każdy workflow dotykający domen z Annex III idzie na poziom Approve minimum, z udokumentowanym human oversight.

Czego jeszcze autor nie dostrzegł

Trzy rzeczy, które dopisałem na marginesie czytając.

AI literacy jako obowiązek, nie rekomendacja. Art. 4 AI Act obowiązuje od 2 lutego 2025. Providerzy i deployerzy mają obowiązek zapewnić odpowiedni poziom świadomości AI u personelu pracującego z systemami AI. Levy wspomina o training and acknowledgment w Sample Policy jako dobrą praktykę. W polskim kontekście to jest prawny obowiązek, którego niespełnienie samo w sobie jest naruszeniem. Kancelaria wdrażająca agenta od poniedziałku musi udokumentować szkolenie w czwartek.

Transfer danych do USA. Większość narzędzi agentowych 2026 roku biegnie na OpenAI, Anthropic, Google - dostawcy amerykańscy. Polska kancelaria przesyłająca treść dokumentów klienta do chmury amerykańskiej realizuje transfer do państwa trzeciego w rozumieniu art. 44 i następnych RODO. Adekwatność na podstawie Data Privacy Framework jest zmienna i podlegać może ponownej ocenie w świetle kolejnych wyroków TSUE. Transfer Impact Assessment, SCC, okresowa weryfikacja - standardy, których vendor questionnaire Levy'ego nie obejmuje, a bez których polska kancelaria nie ma podstawy legalnego użycia.

Multi-Agent System i mnożnik ryzyka. Levy definiuje MAS w tabeli, ale nie rozwija. W praktyce 2026 roku coraz więcej rozwiązań to agent orchestration - jeden agent główny delegujący do podagentów. Z perspektywy RODO to jest łańcuch procesorów i podprocesorów z art. 28 RODO. Z perspektywy AI Act - potencjalna kumulacja systemów i obowiązków transparentności. Z perspektywy tajemnicy zawodowej - kolejne ręce widzące treść dokumentu. Levy tego nie rozwija. Polska kancelaria widząc w vendor questionnaire pytanie o subprocessorów musi dopisać drugie: ilu agentów, w jakiej kolejności, co robi każdy.

Co z tego wynika

Książkę Levy'ego polecam. To jest najkrótszy i najbardziej wykonawczy materiał o agentach AI dla prawników, jaki znam w 2026 roku. Toolkit - Sample Policy, Vendor Questionnaire, Pilot Readiness Checklist, Human Checkpoint Decision Aid - to są artefakty, które polska kancelaria może zaadaptować w ciągu dwóch dni, a nie dwóch tygodni. Worked Example o contract intake to powinna być lektura obowiązkowa dla każdego zarządu kancelarii przed zatwierdzeniem pierwszego agenta.

Nie używam tego materiału jako jedynej lektury. Dopisuję polski dopisek: mapowanie art. 22 / 25 / 32 / 35 RODO na Worked Example, zestawienie Autonomy by Risk z Annex III AI Act, zestawienie vendor questionnaire z obowiązkami z art. 28 RODO i transferem danych do USA, analiza tajemnicy zawodowej dla konkretnego schematu agentowego. Bez tej warstwy Levy jest referencją. Z tą warstwą jest narzędziem operacyjnym.

Levy pisze w zakończeniu: Generative AI asked lawyers to verify outputs. Agentic AI asks lawyers to govern systems. Dobre zdanie. Polska kancelaria dopisuje jeszcze jedno: i zarządzać łańcuchem obowiązków, z których każdy ma własny kalendarz, własny organ nadzoru i własną sankcję.