AI Act opublikowany w Dzienniku Urzędowym UE. Co z niego wynika?
Pierwszy unijny akt dotyczący sztucznej inteligencji zacznie obowiązywać już na początku sierpnia 2024 r., przy czym od razu będzie on wiążący i stosowany we wszystkich państwach członkowskich. AI Act kategoryzuje ryzyko dla systemów sztucznej inteligencji. Rozporządzenie wprowadza również obowiązki dla wykorzystujących tę technologię, a także określa sankcje za uchybienia w tym zakresie. Co istotne, wysokość kar ma uwzględniać m.in. wielkość firmy, a także wcześniejsze naruszenia z tego obszaru.
21 maja 2024 r. Rada Europejska formalnie przyjęła AI Act, czyli europejskie rozporządzenie dotyczące sztucznej inteligencji (AI). To pierwszy akt prawny w tej dziedzinie, którego celem jest wprowadzenie kompleksowych ram prawnych dla rozwoju i zastosowania sztucznej inteligencji na terenie UE. Rozporządzenie przewiduje jednolite zasady dotyczące wprowadzania na rynek, oddawania do użytku i stosowania systemów AI na terenie Unii. Obejmuje także zakazy dotyczące niektórych praktyk związanych z AI, szczegółowe wymagania dla systemów sztucznej inteligencji wysokiego ryzyka oraz obowiązki dla operatorów takich systemów. AI Act ustanawia również jednolite zasady przejrzystości dla wybranych systemów AI oraz reguluje wprowadzanie na rynek nowych modeli sztucznej inteligencji ogólnego przeznaczenia.
AI Act dotyczy każdego, kto wytwarza, używa, importuje lub dystrybuuje systemy sztucznej inteligencji w UE, niezależnie od miejsca jego siedziby, co oznacza, że dotyczy systemów AI używanych w UE, nawet jeśli są one wytwarzane gdzie indziej (poza rozwiązaniami wykorzystywanymi do celów wojskowych, obronnych lub bezpieczeństwa narodowego).
Trzy kategorie ryzyka w ramach AI Act
AI Act wprowadza system klasyfikacji dla systemów sztucznej inteligencji w oparciu o ich potencjalny wpływ na prawa człowieka i dzieli je na różne kategorie, w zależności od danych, które zbierają, oraz decyzji lub działań podejmowanych na podstawie tych danych.
Pierwsza kategoria obejmuje systemy zakazane, takie jak systemy profilujące, które mogą prowadzić do niekorzystnego lub krzywdzącego traktowania np. system social scoringu, sztuczną inteligencję manipulującą zachowaniem ludzi lub wykorzystującą ich słabości, rozwiązania stosowane w systemach kategoryzacji biometrycznej wykorzystujące wrażliwe cechy oraz nieukierunkowane pobieranie wizerunków twarzy z internetu lub nagrań z telewizji przemysłowej do tworzenia baz danych do rozpoznawania twarzy, czy też rozpoznawanie emocji w miejscach pracy i instytucjach edukacyjnych.
Oczywiście unijny ustawodawca przewidział wyjątki dla organów ścigania, zgodnie z którymi systemy identyfikacji biometrycznej w czasie rzeczywistym mogą być używane tylko w określonym czasie i miejscu, na podstawie specjalnego zezwolenia sądowego lub administracyjnego w ściśle określonym celu, jakim jest odnalezienie zaginionej osoby lub zapobieganie atakowi terrorystycznemu.
Druga kategoria to systemy wysokiego ryzyka. Zgodnie z AI Act powinien zostać do niej zaliczony każdy system, którego działanie może negatywnie wpływać na bezpieczeństwo lub prawa podstawowe np. w związku z profilowaniem osób fizycznych (niezależnie od kontekstu jego zastosowania). Przykładowo mogą to być: systemy służące ocenie zdolności kredytowej, zdrowotnej lub ubezpieczeniowej bądź uzyskaniu świadczeń publicznych, jak również programy do analizy aplikacji o pracę lub oceny kandydatów.
AI Act dotyczy każdego, kto wytwarza, używa, importuje lub dystrybuuje systemy sztucznej inteligencji w UE, niezależnie od miejsca jego siedziby, co oznacza, że dotyczy systemów AI używanych w UE, nawet jeśli są one wytwarzane gdzie indziej.
Co do zasady, każdy system sztucznej inteligencji jest uznawany za system wysokiego ryzyka, a jeśli dostawcy danego rozwiązania AI będą uważać, że nie jest ono obarczone wysokim ryzykiem, będą to musieli udokumentować przed jego sprzedażą lub użyciem. Wszystkie systemy AI wysokiego ryzyka będą bowiem oceniane przed wprowadzeniem na rynek, a także przez cały cykl ich życia.
Co ważne, Komisja Europejska przedstawi przykłady systemów AI wysokiego i niskiego ryzyka, a także wytyczne z tym związane.
Dodatkowo należy podnieść, iż podmioty rozwijające systemy należące do kategorii wysokiego ryzyka będą miały liczne obowiązki, takie jak np. testowanie systemów, wprowadzenie wewnętrznej kontroli jakości, której elementem ma być autentyczny i stały nadzór człowieka, czy stosowanie praktyk zarządzania danymi.
Obowiązki firm w zakresie informowania o wykorzystaniu sztucznej inteligencji
Zgodnie z AI Act, firmy muszą jasno informować użytkowników o interakcji z systemami sztucznej inteligencji, chyba że jest to oczywiste lub gdy jest to wykorzystywane do celów prawnie uzasadnionych, takich jak wykrywanie przestępstw. Ważnym wymogiem jest oznaczanie syntetycznych treści, takich jak deepfake, jako sztucznie wygenerowanych.
Akt przyjęty przez Radę Europejską zobowiązuje także firmy do informowania użytkowników w przypadkach wykorzystywania sztucznej inteligencji przy rozpoznawaniu emocji lub kategoryzacji biometrycznej, o ile nie jest to zgodne z prawem. W przypadku, gdy system sztucznej inteligencji tworzy lub modyfikuje treści, firma musi ujawnić ten fakt, chyba że treść ma charakter artystyczny lub satyryczny bądź jej użycie jest zgodne z prawem.
Co ważne, powstanie także Urząd UE ds. AI , który będzie opracowywać wytyczne dotyczące wykrywania i oznaczania sztucznie generowanych treści. Dzięki tym regulacjom, użytkownicy będą lepiej chronieni przed potencjalnymi nadużyciami związanymi z technologią sztucznej inteligencji. Oprócz tego Urząd UE ds. AI oraz poszczególne państwa członkowskie mają wspierać tworzenie kodeksów postępowania dla systemów AI, promujących dobrowolne przestrzeganie określonych standardów i najlepszych praktyk branżowych. Kodeksy te mają zachęcać do minimalizowania wpływu tej technologii na środowisko, promowania integracji i różnorodności oraz ochrony słabszych grup społecznych.
Potencjalne kary
AI Act nakłada na państwa członkowskie obowiązek ustalenia zasad karania i środków egzekucyjnych za naruszenia przepisów. Rozporządzenie przewiduje, że sankcje muszą być skuteczne, proporcjonalne i odstraszające, a przy tym uwzględniające interesy MŚP i startupów. Nieprzestrzeganie wytycznych dotyczących SI może wiązać się z karą finansową do 35 mln euro lub 7% rocznego obrotu firmy. Mniejsze naruszenia mogą skutkować karą do 15 mln euro lub 3% rocznego obrotu, a udzielenie fałszywych informacji – karą do 7,5 mln euro lub 1% rocznego obrotu. MŚP podlegają niższym karom, przy czym ich surowość zależy od wielu czynników, w tym od wielkości firmy i wcześniejszych naruszeń. Państwa członkowskie mają raportować nałożone kary do Komisji Europejskiej w ujęciu rocznym.
Harmonogram wejścia w życie
AI Act zostało oficjalnie opublikowane w Dzienniku Urzędowym Unii Europejskiej 12 lipca 2024 r. i zacznie formalnie obowiązywać po upływie 20 dni.
Dalszy harmonogram wdrożenia AI Act prezentuje się następująco:
- 6 miesięcy po wejściu w życie AI Act – zaczną obowiązywać rozdziały I i II, które zakazują AI o niedopuszczalnym ryzyku;
- 12 miesięcy po wejściu w życie – zaczną obowiązywać przepisy dotyczące notyfikacji organów, modeli AI ogólnego przeznaczenia, zarządzania oraz poufności i kar, z wyjątkiem kar dla dostawców systemów AI ogólnego przeznaczenia (GPAI);
- 24 miesiące po wejściu w życie – zacznie obowiązywać zdecydowana większość przepisów AI Act;
- 36 miesięcy po wejściu w życie – zacznie obowiązywać artykuł 6(1) (dotyczący sposobów klasyfikacji systemów sztucznej inteligencji wysokiego ryzyka) i odpowiadające mu obowiązki.
Co najważniejsze rozporządzenie jest wiążące i bezpośrednio stosowane we wszystkich państwach członkowskich UE.
Autor: Katarzyna Adamiak-Machaj, adwokat