Akt w sprawie sztucznej inteligencji - AI Act - przyjęty przez Unię Europejską

Unia Europejska przyjęła AI Act – nowatorskie rozporządzenie regulujące stosowanie sztucznej inteligencji. Akt wprowadza ważne obowiązki dla firm, m.in. oznaczanie treści wygenerowanych przez AI i rejestrację systemów wysokiego ryzyka. Przewiduje także kary finansowe za nieprzestrzeganie przepisów. Sprawdź, jak AI Act wpłynie na Twój biznes i jakie kroki podjąć, aby dostosować się do nowych regulacji.

AI Act, czyli co?

Rada Unii Europejskiej zdecydowała się przyjąć nowatorski akt prawny stawiający Wspólnotę w światowej czołówce, jeśli chodzi o prawne zainteresowanie tematem sztucznej inteligencji. Stale rosnąca popularność modeli opartych o uczenie maszynowe (ang. machine learning) obserwujemy już od kilku lat. 

Po spektakularnych sukcesach komercyjnych ChataGPT oraz Gemini od Google, unijni przedstawiciele coraz częściej wskazywali na konieczność uregulowania stosowania sztucznej inteligencji pod względem prawnym, ponieważ zauważono, że zagrożeń płynących z jej użycia może być równie dużo co korzyści. Można w tym miejscu wskazać chociażby na pojawiające się od czasu do czasu w przestrzeni publicznej oskarżenia o plagiat i bezprawne użycie własności intelektualnej lub naruszenie prawa do prywatności i dobrego mienia za sprawą wykorzystania technologii deep fake, kierowane pod adresem twórców najbardziej rozpoznawalnych modeli AI. 

Unia Europejska, chcąc temu zaradzić, już w 2021 r. rozpoczęła procedurę legislacyjną. Zakończyła się ona 21 maja bieżącego roku przyjęciem ostatecznej wersji Rozporządzenia Parlamentu Europejskiego i Rady. Ustanowiono zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji) i zmieniające niektóre akty ustawodawcze Unii, co w przestrzeni medialnej określane jest mianem AI Act.

Najważniejsze obszary regulacji AI Act

Nadrzędnym celem, który przyświecał unijnemu prawodawcy podczas opracowywania nowych regulacji, było przede wszystkim zabezpieczenie interesu konsumenta. Najważniejszym aspektem rozporządzenia jest wprowadzona do aktu terminologia oraz wykreowany przez nią podział technologii opartej o AI. Na jego podstawie wydzielono cztery grupy w zależności od ryzyka, jakim będzie obarczone użycie danej aplikacji. Im większe szkody mogą być wyrządzone, tym surowsze będą przepisy ją regulujące. Można wyróżnić następujące kategorie technologii: 

1. wysokiego ryzyka,
2. ograniczonego ryzyka,
3. minimalnego ryzyka, 
4. nieakceptowalne.

Co to oznacza w praktyce? Modele minimalnego i ograniczonego ryzyka będą podlegać relatywnie niewielkim wymogom regulacyjnym. Osoby je stosujące będą musiały respektować określony w rozporządzeniu wymóg przejrzystości, czyli przedstawiać użytkownikowi niezbędne informacje dostępne na stronie tak, by szybko mógł się zorientować, że korzysta z technologii opartej o AI. Oraz – jeżeli dany model tworzy nowe treści (np. ChatGPT) – muszą zadbać o odpowiednie oznaczenie treści generowanych przez AI, by odbiorcy byli tego świadomi i mogli łatwo rozpoznać te materiały. Co więcej, technologie będą musiały być tak zaprojektowane, by nie generowały nielegalnych treści, a ich twórcy będą mieli obowiązek publikowania chronionych prawem autorskim streszczeń danych wykorzystywanych do szkolenia algorytmów.

Jakie to ma przełożenie na funkcjonowanie małych i średnich przedsiębiorstw? Przykładowo obsługiwana przez model AI wtyczka chatbota na stronie www będzie wymagała wyraźnego oznaczenia, że użytkownik korzysta z rozwiązania zasilanego algorytmami sztucznej inteligencji. Również wszelkie wygenerowane przez AI treści dźwiękowe, video i graficzne mogące sprawiać wrażenie rzeczywistych, będą musiały być wyraźnie oznaczane jako wygenerowanie przez AI.

Z kolei systemami wysokiego ryzyka określono takie modele AI, które mogą wpłynąć na bezpieczeństwo i podstawowe prawa obywateli. Należą do nich systemy sztucznej inteligencji:

• stosowane w produktach objętych unijnymi przepisami dotyczącymi bezpieczeństwa produktów;
• należące do ośmiu konkretnych obszarów, które będą musiały zostać zarejestrowane w unijnej bazie danych dotyczących: zarządzania i eksploatacji infrastruktury krytycznej, edukacji i szkolenia zawodowego, zatrudnienia, zarządzania pracownikami i dostępu do samozatrudnienia. 

W przypadku zakwalifikowania danej technologii jako potencjalnie wiążącej się z wysokim ryzykiem, podlegać będzie ona ocenie ryzyka zarówno w okresie przed wprowadzeniem jej na rynek, jak i już po tym czasie. Obywatele będą mieli prawo do składania skarg dotyczących tych systemów do wyznaczonych organów krajowych.

Najbardziej restrykcyjnie mają być traktowane systemy zaliczone do ostatniej kategorii – nieakceptowalnych – których użycie ma być bezwzględnie zakazane. Chodzi zwłaszcza o systemy manipulacji poznawczo-behawioralnej i punktacji społecznej, a także sytuacje, w których sztuczna inteligencja jest wykorzystywana do pozyskiwania danych wyjątkowo wrażliwych. Prawo będzie zabraniać wykorzystywania sztucznej inteligencji do predykcyjnych działań policyjnych opartych na profilowaniu i kategoryzowaniu ludzi według takich czynników jak rasa, religia czy orientacja. W takim ujęciu do systemów zakazanych zaliczone zostaną między innymi te pozwalające na rozpoznawanie twarzy.

Organy monitorujące AI Act

Regulacja zakłada także powołanie nowych organów monitorujących przestrzeganie prawa, w tym Urzędu ds. Sztucznej Inteligencji przy Komisji Europejskiej oraz rady, w której zasiadać mają przedstawiciele państw unijnych. Podobnych działań na tym polu dokonało również Ministerstwo Cyfryzacji, które niedawno zakończyło prekonsultacje w kwestii powołania krajowego organu nadzoru. Ten zajmowałby się kwestiami sztucznej inteligencji w zakresie wynikającym z AI Act.

Perspektywa przedsiębiorcy

Co możesz zrobić, jeśli już teraz chcesz przygotować swój biznes do przyszłych zmian? Zacznij od odpowiedniego zarządzania – kształtowania polityki firmy zgodnie z kategoryzacją ryzyka związanego z AI – oraz ciągłego ulepszania mechanizmów zarządzania sztuczną inteligencją. Równie ważne jest rozpoznanie ryzyka związanego z użyciem modeli AI, zarówno w wymiarze zewnętrznym, jak i wewnętrznym. Dobrym pomysłem z pewnością będzie także prowadzenie rzetelnej dokumentacji i rejestrów działań związanych z wykorzystaniem AI, szkolenie pracowników w tej dziedzinie oraz przejrzysta komunikacja względem klientów. 

Poza obowiązkami prawodawca ma stworzyć możliwości dla małych i średnich przedsiębiorstw oraz start-upów, które zachęcą ich do rozwijania i szkolenia modeli sztucznej inteligencji, zanim staną się one dostępne dla ogółu społeczeństwa. 

Co ważne, akt przewiduje również kary finansowe dla firm, które nie będą przestrzegać unijnych przepisów o AI. Dla „dużych graczy” będzie to albo część globalnego zysku przedsiębiorstwa (od 7,5 mln euro do 35 mln euro), albo odgórnie określona grzywna. Dla małych firm i start-upów będą to raczej kary administracyjne. 

Wejście w życie aktu

AI Act wejdzie w życie 20 dni po publikacji w Dzienniku Urzędowym Unii Europejskiej, a w pełni obowiązywać będzie 24 miesiące później. Dla niektórych kategorii przepisów przewidziano jednak odrębne reguły wejścia w życie:

• zakazy dotyczące niedozwolonych praktyk – 6 miesięcy po publikacji,
• kodeksy postępowania – 9 miesięcy po publikacji, 
• przepisy o sztucznej inteligencji ogólnego przeznaczenia – 12 miesięcy po publikacji;
• systemy AI wysokiego ryzyka – 36 miesięcy po tym, jak prawo wejdzie w życie.