UE chce uregulować zasady wykorzystywania sztucznej inteligencji (AI). Parlament Europejski 13 marca 2024 r. przyjął rozporządzenie w tej sprawie, tzw. Artificial Intelligence Act. Określa ono jakie praktyki stosowania AI są zakazane, a które niosą ze sobą wysokie ryzyko dla ludzi, oraz ustanawia obowiązki w zakresie przejrzystości co do niektórych systemów AI. Większość nowych obowiązków spoczywa na dostawcach (podmiotach wdrażających, providerach, developerach) systemów sztucznej inteligencji wysokiego ryzyka. Za ich niedochowanie przedsiębiorcy grozi kara nawet do 35 mln euro.
Artificial Intelligence Act określa trzy kategorie ryzyka
W kwietniu 2021 r. Komisja Europejska zaproponowała pierwsze unijne ramy regulacyjne dotyczące sztucznej inteligencji. Systemy AI, które mogą być wykorzystywane w różnych dziedzinach życia, są analizowane i klasyfikowane zgodnie z ryzykiem, jakie stwarzają dla użytkowników. Różne poziomy ryzyka będą oznaczać więcej lub mniej regulacji. Aplikacje AI wpływają na to, jakie informacje użytkownik widzi w sieci przewidując, jakie treści są dla niego interesujące. Przechwytują i analizują informacje z twarzy w celu egzekwowania prawa lub personalizacji reklam, a także są wykorzystywane w wielu innych aspektach życia.
AI Act to pierwszy na świecie kompleksowy akt prawny dotyczący sztucznej inteligencji. Unijne rozporządzenie tworzy klasyfikację AI przypisując jej wykorzystywanie do trzech kategorii ryzyka. Po pierwsze, aplikacje i systemy, które stwarzają niedopuszczalne ryzyko, takie jak rządowy scoring społeczny (systemy oceny społecznej) typu stosowanego w Chinach, są zakazane. Po drugie, aplikacje wysokiego ryzyka, takie jak narzędzie do skanowania CV, które klasyfikuje kandydatów do pracy, muszą spełniać określone normy. Po trzecie, systemy o ograniczonym ryzyku AI (niskie lub minimalne) podlegają obowiązkom w zakresie przejrzystości – developerzy i wdrożeniowcy muszą zapewnić, że użytkownicy końcowi są świadomi tego, iż wchodzą w interakcję ze sztuczną inteligencją (chatboty i deep fakes). Aplikacje, systemy, które nie zostały wyraźnie zakazane lub wymienione jako obarczone wysokim ryzykiem, kategoryzuje się jako niosące minimalne ryzyko dla użytkowników i pozostawia nieuregulowanymi.
Kogo dotyczą przepisy rozporządzenia?
Zgodnie z art. 2 rozporządzenia, jego regulacje dotyczą dostawców wprowadzających do obrotu lub oddających do użytku systemy AI lub wprowadzających do obrotu na rynek modele sztucznej inteligencji ogólnego przeznaczenia w Unii Europejskiej, niezależnie od tego, czy dostawcy ci mają siedzibę lub miejsce prowadzenia działalności na jej terytorium, czy na terytorium w państwie trzecim. Kolejnym adresatem są podmioty wdrażające systemy AI, które mają miejsce prowadzenia działalności lub które znajdują się na terytorium Unii, a także dostawcy i podmioty wdrażające, którzy mają miejsce prowadzenia działalności lub którzy mają siedzibę w państwie trzecim, w którym wytworzone przez AI produkty są wykorzystywane w UE. Przepisy dotyczą również importerów i dystrybutorów systemów AI, producentów produktów wprowadzających do obrotu lub oddających do użytku system AI wraz ze swoim produktem i pod własną nazwą lub znakiem towarowym, upoważnionych przedstawicieli dostawców niemających siedziby w Unii, i inne zainteresowane osoby, które mają siedzibę w UE.
Zakazane praktyki
Zakazane są praktyki, które mogą manipulować ludźmi za pomocą technik podprogowych poza ich świadomością lub wykorzystywania słabości określonych grup społecznych szczególnie wrażliwych, takich jak dzieci lub osoby niepełnosprawne, w celu istotnego zniekształcenia ich zachowania w sposób, który może wyrządzić im lub innej osobie szkodę psychiczną lub fizyczną. Inne praktyki manipulacyjne lub wykorzystujące osoby dorosłe, które mogą być ułatwione przez systemy sztucznej inteligencji, mogą być objęte istniejącymi przepisami dotyczącymi ochrony danych, ochrony konsumentów i usług cyfrowych, które gwarantują, że osoby fizyczne są odpowiednio informowane i mają wolny wybór, aby nie podlegać profilowaniu lub innym praktykom, które mogą wpływać na ich zachowanie. Poza wyjątkami, zabronione jest również stosowanie zdalnych systemów identyfikacji biometrycznej „w czasie rzeczywistym” w publicznie dostępnych przestrzeniach w celu egzekwowania prawa.
Systemy AI wysokiego ryzyka
Systemy AI wysokiego ryzyka są dozwolone na rynku europejskim pod warunkiem spełnienia określonych obowiązkowych wymogów i oceny zgodności ex ante (z góry, przed wdrożeniem). Klasyfikacja do wysokiego ryzyka zależy nie tylko od funkcji pełnionej przez system AI, ale także od konkretnego celu i warunków, w jakich jest on wykorzystywany.
Systemy AI wysokiego ryzyka muszą wypełniać wymogi w odniesieniu do danych i zarządzania danymi, dokumentacji i prowadzenia rejestrów, przejrzystości i dostarczania informacji użytkownikom, nadzoru ludzkiego, solidności, dokładności i bezpieczeństwa. Dokładne rozwiązania techniczne mające na celu osiągnięcie zgodności z tymi wymogami mogą być zapewnione przez normy lub inne specyfikacje techniczne lub w inny sposób opracowane zgodnie z ogólną wiedzą inżynieryjną lub naukową według uznania dostawcy systemu AI.
Systemy wysokiego ryzyka AI to systemy sztucznej inteligencji stosowane jako element bezpieczeństwa w którymś z produktów wskazanych w Załączniku nr 2 do rozporządzenia, oraz w takich obszarach jak kategoryzacja osób, edukacja, zatrudnienie, egzekwowanie prawa i wymiar sprawiedliwości.
Obowiązki w zakresie przejrzystości
Przedsiębiorstwa dostarczające systemy sztucznej inteligencji będą musiały wypełniać obowiązki związane ze szczególnym ryzykiem manipulacji, jakie systemy te mogą stwarzać. To tzw. obowiązki w zakresie przejrzystości, które będą miały zastosowanie do systemów: wchodzących w interakcje z ludźmi, wykorzystywanych do wykrywania emocji lub określania powiązań z kategoriami (społecznymi) na podstawie danych biometrycznych lub generujących treści lub manipulujących nimi („deep fakes„). Gdy osoby wchodzą w interakcję z AI lub ich emocje lub cechy są rozpoznawane za pomocą zautomatyzowanych środków, muszą zostać poinformowane o tej okoliczności. Jeśli system sztucznej inteligencji jest wykorzystywany do generowania lub manipulowania treściami graficznymi, dźwiękowymi lub wideo, które w znacznym stopniu przypominają autentyczne treści, należy wówczas ujawniać, że treści te są generowane w sposób zautomatyzowany, z zastrzeżeniem wyjątków dla uzasadnionych celów, takich jak egzekwowanie prawa, czy wolność wypowiedzi.
Koszty finansowe i osobowe przestrzegania nowych przepisów
Autorzy rozporządzenia w 2021 r. przyznali, że przedsiębiorstwa, które opracowują lub wykorzystują aplikacje AI wysokiego ryzyka, przy spełnianiu nowych wymogów i obowiązków, do 2025 roku będą musiały się liczyć z niebagatelnymi kosztami, jakie będą towarzyszyć dostawie, weryfikacji czy nadzoru nad takimi systemami. Firmy, które opracowują lub wykorzystują aplikacje AI niesklasyfikowane jako wysokiego ryzyka, miałyby jedynie minimalne obowiązki informacyjne. Mogłyby one jednak zdecydować się na dołączenie do innych i wspólnie przyjąć kodeks postępowania w celu przestrzegania odpowiednich wymogów i zapewnienia, że ich systemy sztucznej inteligencji są godne zaufania. W takim przypadku koszty byłyby co najwyżej tak wysokie, jak w przypadku systemów AI wysokiego ryzyka.
Wysokie kary, skuteczne i odstraszające
By zabezpieczyć przestrzeganie nowych przepisów w rozporządzeniu przewidziano surowe kary, które mają być skuteczne, proporcjonalne i odstraszające. Naruszenia w obszarze zakazanych praktyk AI zagrożone są karą w wysokości do 35 000 000 euro lub do 7% rocznego światowego obrotu w przypadku przedsiębiorstwa, w zależności od tego, która z tych kar będzie dla niego wyższa. Dostarczenie właściwym organom krajowym nieprawidłowych informacji wymaganych rozporządzeniem podlega karze do 7 500 000 euro lub 1% obrotu.
Podsumowanie
Rozporządzenie AI harmonizuje przepisy dotyczące wprowadzania do obrotu, oddawania do użytku i używania systemów sztucznej inteligencji na terytorium Unii Europejskiej. Ustanawia zakaz stosowania niektórych praktyk w zakresie AI, a także określa szczególne wymogi dotyczące systemów sztucznej inteligencji wysokiego ryzyka i wynikające z tego obowiązki operatorów tych systemów. Unifikuje również przepisy w zakresie przejrzystości systemów AI przeznaczonych do interakcji z konsumentami, systemów rozpoznawania emocji i systemów kategoryzacji biometrycznej oraz systemów sztucznej inteligencji wykorzystywanych do generowania lub przetwarzania treści graficznych, dźwiękowych lub wideo. Wprowadza regulacje dotyczące monitorowania i nadzoru rynku. Ale ustanawia również środki wspierające innowacje, ze szczególnym uwzględnieniem sektora małych i średnich przedsiębiorstw, w tym startupów. Na przedsiębiorców związanych z dostarczaniem, udostępnianiem systemów sztucznej inteligencji AI spadnie jednak obowiązek i wysokie koszty dostosowania się do wymogów nowych przepisów. Jeszcze wyższy jest ciężar ewentualnych kar, jaki nad nimi zawiśnie.
Na tym etapie trudno jeszcze oceniać wartość wprowadzonych regulacji. Jednak potrzeba zwiększenia kontroli nad coraz bardziej powszechnym z każdym dniem zjawiskiem wykorzystywania AI w wielu dziedzinach życia nie ulega wątpliwości. Olbrzymie możliwości AI powodują bowiem, że pozostawienie jej wykorzystywania bez zapewnienia odpowiedniego nadzoru mogłoby stanowić ogromne zagrożenie. Wprowadzone przepisy mają chronić użytkowników zapewniając im świadomość tego, co jest wytworem człowieka, a co komputera, i stanowić prewencję przeciw „dzikiemu” rozwojowi zastosowań sztucznej inteligencji.
Autor: Robert Nogacki, radca prawny, partner zarządzający, Kancelaria Prawna Skarbiec, specjalizująca się w doradztwie prawnym, podatkowym oraz strategicznym dla przedsiębiorców