Menu
Menu

Rozporządzenie AI – zakazy i obowiązki

UE chce uregulować zasady wykorzystywania sztucznej inteligencji (AI). 13 marca 2024 r. Parlament Europejski przyjął rozporządzenie w tej sprawie tzw. Artificial Intelligence Act. Określa ono, jakie praktyki stosowania AI są zakazane, a które niosą ze sobą wysokie ryzyko dla ludzi. Ustanawia też obowiązki w zakresie przejrzystości co do niektórych systemów AI. Większość nowych obowiązków spoczywa na dostawcach (podmiotach wdrażających, providerach, developerach) systemów sztucznej inteligencji wysokiego ryzyka. Za ich niedochowanie przedsiębiorcy grozi kara nawet do 35 mln euro.

regulacje sztucznej inteligencji

W kwietniu 2021 r. Komisja Europejska zaproponowała pierwsze unijne ramy regulacyjne dotyczące sztucznej inteligencji. Systemy AI, obecne w różnych dziedzinach życia, są analizowane i klasyfikowane zgodnie z ryzykiem, jakie stwarzają dla użytkowników. Różne poziomy ryzyka będą oznaczać więcej lub mniej regulacji. Aplikacje AI wpływają na to, jakie informacje użytkownik widzi w sieci, przewidując, jakie treści są dla niego interesujące. Przechwytują i analizują informacje z twarzy w celu egzekwowania prawa lub personalizacji reklam.

Artificial Intelligence Act określa trzy kategorie ryzyka

AI Act to pierwszy na świecie kompleksowy akt prawny dotyczący sztucznej inteligencji. Unijne rozporządzenie tworzy klasyfikację AI, przypisując jej wykorzystywanie do 3 kategorii ryzyka. Po pierwsze aplikacje i systemy, które stwarzają niedopuszczalne ryzyko, takie jak rządowy scoring społeczny (systemy oceny społecznej) typu stosowanego w Chinach, są zakazane. Po drugie aplikacje wysokiego ryzyka, takie jak narzędzie do skanowania CV, które klasyfikuje kandydatów do pracy, muszą spełniać określone normy. Wreszcie systemy o ograniczonym ryzyku AI (niskie lub minimalne) podlegają obowiązkom w zakresie przejrzystości. Oznacza to, że developerzy i wdrożeniowcy muszą zapewnić, że użytkownicy końcowi są świadomi, iż wchodzą w interakcję ze sztuczną inteligencją (chatboty i deep fakes).

Aplikacje i systemy, których nie zakazano lub nie wymieniono jako obarczonych wysokim ryzykiem, kategoryzuje się jako niosące minimalne ryzyko dla użytkowników i pozostawia nieuregulowanymi.

Kogo dotyczą przepisy rozporządzenia?

Zgodnie z art. 2 rozporządzenia jego regulacje dotyczą dostawców wprowadzających do obrotu lub oddających do użytku systemy AI lub wprowadzających do obrotu na rynek modele sztucznej inteligencji ogólnego przeznaczenia w Unii Europejskiej, niezależnie od tego, czy mają siedzibę lub miejsce prowadzenia działalności na jej terytorium, czy na terytorium w państwie trzecim. Kolejnym adresatem są podmioty wdrażające systemy AI, które mają miejsce prowadzenia działalności lub które znajdują się na terytorium Unii, a także dostawcy i podmioty wdrażające, mające miejsce prowadzenia działalności lub siedzibę w państwie trzecim, w którym wytworzone przez AI produkty są wykorzystywane w UE.

Przepisy dotyczą również importerów i dystrybutorów systemów AI, producentów wyrobów, którzy wprowadzają do obrotu lub oddają do użytku system AI wraz ze swoim produktem i pod własną nazwą lub znakiem towarowym, upoważnionych przedstawicieli dostawców niemających siedziby w Unii oraz innych zainteresowanych osób, które mają siedzibę w UE.

Zakazane praktyki

Zakaz dotyczy praktyk, które mogą manipulować ludźmi za pomocą technik podprogowych poza ich świadomością lub wykorzystywania słabości określonych grup społecznych szczególnie wrażliwych, takich jak dzieci lub osoby niepełnosprawne, w celu istotnego zniekształcenia ich zachowania w sposób, który może wyrządzić im lub innej osobie szkodę psychiczną lub fizyczną. Inne praktyki manipulacyjne lub wykorzystujące osoby dorosłe, które mogą być ułatwione przez systemy sztucznej inteligencji, mogą być objęte istniejącymi przepisami dotyczącymi ochrony danych, ochrony konsumentów i usług cyfrowych, które gwarantują, że osoby fizyczne są odpowiednio informowane i mają wolny wybór, aby nie podlegać profilowaniu lub innym praktykom, które mogą wpływać na ich zachowanie.

Poza wyjątkami, zabrania się również stosowania zdalnych systemów identyfikacji biometrycznej „w czasie rzeczywistym” w publicznie dostępnych przestrzeniach w celu egzekwowania prawa.

Systemy AI wysokiego ryzyka

Systemy AI wysokiego ryzyka są dozwolone na rynku europejskim pod warunkiem spełnienia określonych obowiązkowych wymogów i oceny zgodności ex ante, czyli przed wdrożeniem. Klasyfikacja do wysokiego ryzyka zależy nie tylko od funkcji pełnionej przez system AI, lecz także od konkretnego celu i warunków, w jakich się go wykorzystuje.

Systemy AI wysokiego ryzyka muszą wypełniać wymogi w odniesieniu do danych i zarządzania danymi, dokumentacji i prowadzenia rejestrów, przejrzystości i dostarczania informacji użytkownikom, nadzoru ludzkiego, solidności, dokładności i bezpieczeństwa. Dokładne rozwiązania techniczne mające na celu osiągnięcie zgodności z tymi wymogami mogą zapewnić normy lub inne specyfikacje techniczne opracowane zgodnie z ogólną wiedzą inżynieryjną lub naukową według uznania dostawcy systemu AI.

Systemy wysokiego ryzyka AI to systemy sztucznej inteligencji stosowane jako element bezpieczeństwa w którymś z produktów wskazanych w Załączniku nr 2 do rozporządzenia, oraz w takich obszarach, jak kategoryzacja osób, edukacja, zatrudnienie, egzekwowanie prawa i wymiar sprawiedliwości.

Obowiązki w zakresie przejrzystości

Przedsiębiorstwa dostarczające systemy sztucznej inteligencji będą musiały wypełniać obowiązki związane ze szczególnym ryzykiem manipulacji, jakie systemy te mogą stwarzać. To tzw. obowiązki w zakresie przejrzystości, które będą miały zastosowanie do systemów: wchodzących w interakcje z ludźmi, wykorzystywanych do wykrywania emocji lub określania powiązań z kategoriami (społecznymi) na podstawie danych biometrycznych lub generujących treści lub manipulujących nimi (deep fakes).

Gdy osoby wchodzą w interakcję z AI, zautomatyzowane środki rozpoznają ich emocje lub cechy. Wówczas muszą one uzyskać informacje o tej okoliczności. Jeśli system sztucznej inteligencji służy generowaniu lub manipulowaniu treściami graficznymi, dźwiękowymi lub wideo, które w znacznym stopniu przypominają autentyczne treści, należy ujawniać, że treści te powstają w sposób zautomatyzowany, z zastrzeżeniem wyjątków dla uzasadnionych celów, takich jak egzekwowanie prawa czy wolność wypowiedzi.

Koszty finansowe i osobowe przestrzegania nowych przepisów

Autorzy rozporządzenia przyznali w 2021 r., że przedsiębiorstwa, które opracowują lub wykorzystują aplikacje AI wysokiego ryzyka, przy spełnianiu nowych wymogów i obowiązków, do 2025 r. będą musiały się liczyć z niebagatelnymi kosztami, jakie będą towarzyszyć dostawie, weryfikacji czy nadzorowi nad takimi systemami. Firmy, które opracowują lub wykorzystują aplikacje AI niesklasyfikowane jako wysokiego ryzyka, miałyby jedynie minimalne obowiązki informacyjne. Mogłyby one jednak zdecydować się na dołączenie do innych i wspólnie przyjąć kodeks postępowania w celu przestrzegania odpowiednich wymogów i zapewnienia, że ich systemy sztucznej inteligencji są godne zaufania. W takim przypadku koszty byłyby najwyżej tak wysokie jak w przypadku systemów AI wysokiego ryzyka.

Wysokie kary, skuteczne i odstraszające

By zabezpieczyć przestrzeganie nowych przepisów w rozporządzeniu przewidziano surowe kary. Mają one być skuteczne, proporcjonalne i odstraszające. Naruszenia w obszarze zakazanych praktyk AI zagrożone są karą w wysokości do 35 mln euro lub do 7 proc. rocznego światowego obrotu w przypadku przedsiębiorstwa, w zależności od tego, która z tych kar będzie dla niego wyższa. Dostarczenie właściwym organom krajowym nieprawidłowych informacji wymaganych rozporządzeniem podlega karze do 7,5 mln euro lub 1 proc. obrotu.

Rozporządzenie AI harmonizuje przepisy dotyczące wprowadzania do obrotu, oddawania do użytku i używania systemów sztucznej inteligencji na terytorium UE. Ustanawia zakaz stosowania niektórych praktyk w zakresie AI, a także określa szczególne wymogi dotyczące systemów sztucznej inteligencji wysokiego ryzyka i wynikające z tego obowiązki operatorów tych systemów. Unifikuje również przepisy w zakresie przejrzystości systemów AI przeznaczonych do interakcji z konsumentami, systemów rozpoznawania emocji i systemów kategoryzacji biometrycznej oraz systemów sztucznej inteligencji wykorzystywanych do generowania lub przetwarzania treści graficznych, dźwiękowych lub wideo.

Ponadto wprowadza regulacje dotyczące monitorowania i nadzoru rynku. Jednocześnie ustanawia środki wspierające innowacje, ze szczególnym uwzględnieniem sektora małych i średnich przedsiębiorstw, w tym startupów. Na przedsiębiorców związanych z dostarczaniem, udostępnianiem systemów sztucznej inteligencji AI spadnie jednak obowiązek dostosowania się do wymogów nowych przepisów, obarczony wysokimi kosztami. Jeszcze wyższy jest ciężar ewentualnych kar, jaki nad nimi zawiśnie.

Na tym etapie trudno oceniać wartość wprowadzonych regulacji. Jednak potrzeba zwiększenia kontroli nad coraz powszechniejszym zjawiskiem wykorzystywania AI w wielu dziedzinach życia nie ulega wątpliwości. Olbrzymie możliwości AI powodują bowiem, że pozostawienie jej wykorzystywania bez zapewnienia odpowiedniego nadzoru mogłoby stanowić ogromne zagrożenie. Wprowadzone przepisy mają chronić użytkowników, zapewniając im świadomość tego, co jest wytworem człowieka, a co komputera, i stanowić prewencję przeciw „dzikiemu” rozwojowi zastosowań sztucznej inteligencji.

Robert Nogacki, radca prawny, partner zarządzający w Kancelarii Prawnej Skarbiec, specjalizującej się w doradztwie prawnym, podatkowym oraz strategicznym dla przedsiębiorców

Dodaj komentarz

Twój adres email nie zostanie opublikowany.