08 January 2024

AI Act, czyli jak UE reguluje sztuczną inteligencję

9 grudnia zeszłego roku zakończyły się trójstronne negocjacje (z ang. trilogue) pomiędzy Komisją, Parlamentem oraz Radą co do zasadniczych kierunków regulacji, które mają się znaleźć w tzw. EU AI Act, czyli akcie o sztucznej inteligencji. Są to pierwsze na świecie kompleksowe regulacje prawne dotyczące AI. Aktualnie przygotowywana jest ostateczna treść nadchodzącego rozporządzenia.

 

 

Czym jest AI?

 

Potocznie opisuje się ją jako zdolność maszyn do wykazywania ludzkich umiejętności, takich jak rozumowanie, uczenie się, planowanie i kreatywność. W praktyce aktualnie sztuczną inteligencję kojarzymy z takimi narzędziami jak Chat GPT, Midjourney, Dall-E, Bard czy Bing AI. Są to narzędzia z kategorii generatywnej sztucznej inteligencji, które pozwalają nam generować tekst lub grafikę cyfrową i co do zasady dzielą się multimodalne modele językowe (z ang. large language models, LLM) oraz modele dyfuzyjne (z ang. diffusion models).

 

Te pierwsze to zaawansowane sieci neuronowe, które doskonalą się w rozumieniu i generowaniu ludzkiego języka. Ich dane treningowe pochodzą zazwyczaj z obszernych źródeł tekstowych, w tym książek, artykułów i stron internetowych. Analizując ogromną ilość danych, duże modele językowe mogą generować tekst podobny stylem i tonem do tekstu wejściowego, czyli ludzkiego.

 

Modele dyfuzyjne to kolejny model generatywny, który tworzy wysokiej jakości obrazy z opisów tekstowych, tzw. promptów. Modele te są trenowane na dużych zbiorach danych obrazów i wykorzystują proces dyfuzji do generowania pomysłów pasujących do tekstu wejściowego. Narzędzia takie jak Midjourney wykorzystują właśnie duże modele językowe, aby skutecznie zrozumieć znaczenie podpowiedzi.

 

 

Po co EU reguluje AI?

 

Oczywiście tworzenie tekstów i generowanie grafik to nie jedyne zastosowania AI. Wkrótce w sposób nieunikniony technologia AI będzie ona wykorzystywana w medycynie, wojskowości, edukacji, procesach rekrutacyjnych i innych istotnych dziedzinach naszego życia. Sztuczna inteligencja znajdzie powszechne zastosowanie co niesie za sobą szereg ryzyk, do których zalicza się w szczególności:

  • naruszenia bezpieczeństwa i prywatności danych,  
  • stronniczość i dyskryminację (w ramach generowanych treści),
  • nieprzewidywalność i niezamierzone działania, błędy systemów AI i ich skutki,
  • brak transparentności systemów AI (zasady ich działania i uczenia się nie są w pełni znane),
  • negatywne skutki dla rynku pracy i wprowadzenie nierówności ekonomicznych,
  • dezinformację i manipulację (np. deepfake’i, boty na forach internetowych).

 

Nadchodzące rozporządzenie ma na celu zapewnienie bezpieczeństwa systemów AI na rynku wewnętrznym UE oraz zagwarantowanie pewności prawa w zakresie inwestycji i innowacji w obszarze sztucznej inteligencji, przy jednoczesnym zminimalizowaniu związanego z tym ryzyk dla konsumentów, a także kosztów zapewnienia zgodności z przepisami ponoszonych przez dostawców systemów AI. Jest to więc stoistego rodzaju kompromis pomiędzy prawami i bezpieczeństwem konsumentów oraz postępem technologicznym, którego UE nie chce hamować i być jednocześnie jego beneficjentem.

 

AI Act w znacznym stopniu opiera się na podejściu opartym na analizie ryzyka, definiując cztery różne klasy w tym zakresie, z których każda obejmuje różne przypadki użycia systemów sztucznej inteligencji. Podczas gdy niektóre systemy sztucznej inteligencji są całkowicie zakazane, z wyjątkiem wąskich wyjątków, unijne rozporządzenie nakłada określone obowiązki na dostawców i podmioty wdrażające systemy sztucznej inteligencji wysokiego ryzyka, w tym obowiązki w zakresie testowania, dokumentacji, przejrzystości i powiadamiania.

 

 

Podejście oparte na ryzyku

 

W rozporządzeniu AI Act zastosowano podejście oparte na analizie ryzyka, wprowadzając rozróżnienie między zastosowaniami AI, które stwarzają:

  • niedopuszczalne ryzyko,
  • wysokie ryzyko,
  • ograniczone ryzyko oraz
  • niskie lub minimalne ryzyko.

 

Rozporządzenie prawdopodobnie skupi się na systemach AI o niedopuszczalnym ryzyku i wysokim ryzyku, przy czym obu klasom ryzyka poświęcono wiele uwagi w poprawkach Parlamentu Europejskiego i Rady UE oraz podczas negocjacji trójstronnych.

 

  • Systemy AI powodujące niedopuszczalne ryzyko uznane będą za wyraźne zagrożenie dla praw podstawowych i zostaną zakazane. Zakaz obejmować będzie systemy lub aplikacje sztucznej inteligencji, które:
    • manipulują ludzkim zachowaniem w celu obejścia wolnej woli użytkowników,
    • umożliwiają „punktację społeczną” (z ang. social scoring) przez rządy lub firmy, a także
    • umożliwiają stosowanie predykcyjnego nadzoru policyjnego;
    • dokonują biometrycznej kategoryzacji i rozpoznają emocje (z wąskimi wyjątkami).

 

  • Systemy AI zidentyfikowane jako obarczone wysokim ryzykiem będą musiały spełniać rygorystyczne wymogi, w tym systemy ograniczania ryzyka, wysoką jakość zbiorów danych, rejestrowanie aktywności, szczegółową dokumentację, jasne informacje o użytkowniku, nadzór ludzki oraz wysoki poziom niezawodności, dokładności i cyberbezpieczeństwa. Piaskownice regulacyjne (z ang. sandboxes) będą ułatwiały odpowiedzialne innowacje i rozwój zgodnych z przepisami systemów sztucznej inteligencji. Do tej kategorii mają się zaliczać systemy AI wykorzystywane w zakresie:
    • Infrastruktury krytycznej,
    • Urządzeń medycznych
    • Określania dostępu do instytucji edukacyjnych,
    • niektóre systemy stosowane w dziedzinie egzekwowania prawa, kontroli granicznej, wymiaru sprawiedliwości i procesów demokratycznych.

 

  • Jako trzecie wytypowano systemy ograniczonego ryzyka, w tym chatbot’y oraz niektóre systemy rozpoznawania emocji i kategoryzacji biometrycznej, a także systemy generujące deepfake’i, będą podlegać obowiązkom w zakresie transparentności.  Deepfake’i i inne treści generowane przez AI będą musiały być oznaczone jako takie, a użytkownicy będą musieli być informowani, kiedy używane są systemy kategoryzacji biometrycznej lub rozpoznawania emocji. Ponadto dostawcy będą musieli zaprojektować systemy w taki sposób, aby syntetyczne treści audio, wideo, tekst i obrazy były oznaczone w formacie nadającym się do odczytu maszynowego i możliwe do wykrycia jako sztucznie wygenerowane lub zmanipulowane.

 

  • Wszystkie pozostałe systemy będą zaliczane do kategorii minimalnego ryzyka. Aplikacje o minimalnym ryzyku, takie jak systemy rekomendacji oparte na sztucznej inteligencji lub filtry antyspamowe, będą zwolnione z ograniczeń, ponieważ systemy te stanowią jedynie minimalne lub nie powodują ryzyka dla praw lub bezpieczeństwa obywateli. Na zasadzie dobrowolności dostawcy systemów AI mogą jednak zobowiązać się do przestrzegania dodatkowych kodeksów postępowania dla tych systemów AI.

 

 

 

 

Nowe organy UE

 

Przewiduje się, że nowe regulacje będą egzekwowane przede wszystkim za pośrednictwem właściwych krajowych organów nadzoru rynku w każdym państwie członkowskim. Ponadto Europejski Urząd ds. AI - nowy organ w Komisji Europejskiej – będzie podejmować różne zadania administracyjne, związane z ustanawianiem standardów i egzekwowaniem przepisów, w tym w odniesieniu do nowych zasad dotyczących modeli GPAI, w celu zapewnienia koordynacji na szczeblu europejskim. Dodatkowo Europejska Rada ds. AI, składająca się z przedstawicieli państw członkowskich, będzie pełnić rolę platformy koordynacyjnej i doradzać Komisji.

 

 

Surowe kary

 

Dostawcy systemów nieprzestrzegający nowych zasad będą karani grzywną. Grzywny będą zależeć od rodzaju systemu sztucznej inteligencji, wielkości przedsiębiorstwa i wagi naruszenia i będą wynosić od:

  • 7,5 mln euro lub 1,5% całkowitego rocznego światowego obrotu spółki (w zależności od tego, która z tych kwot jest wyższa) za dostarczenie nieprawidłowych informacji; do
  • 15 mln euro lub 3% całkowitego rocznego światowego obrotu przedsiębiorstwa (w zależności od tego, która z tych kwot jest wyższa) za naruszenie obowiązków wynikających z unijnej ustawy o sztucznej inteligencji; do
  • 35 milionów euro lub 7% całkowitego rocznego światowego obrotu firmy (w zależności od tego, która z tych kwot jest wyższa) za naruszenie zakazanych aplikacji AI.

 

Bardziej proporcjonalne limity kar administracyjnych będą przewidziane dla mniejszych firm i startupów. Ponadto unijna rozporządzenie umożliwi osobom fizycznym lub prawnym zgłaszanie przypadków niezgodności z przepisami do odpowiedniego organu nadzoru rynku.

 

 

Minimalizacja ryzyka prawnego

 

Wraz z szeregiem nowych regulacji i grożących kar za ich nieprzestrzegania rozwijać się będzie katalog środków minimalizacji ryzyk prawnych dla dostawców systemów AI. Do środków tych można zaliczyć przede wszystkim:

  • wdrożenie wewnątrz organizacji własnego kodeksu etyki i procedur w zakresie projektowania oraz postępowania z systemami AI,
  • wdrożenie stosownych standardów ISO,
  • tworzenie wykazów algorytmów AI,
  • przeprowadzanie okresowych audytów i szkoleń.

 

 

Od kiedy?

 

Ostateczny tekst rozporządzenia jest aktualnie opracowywany i wejdzie w życie 20 dni po opublikowaniu w Dzienniku Urzędowym UE. W pełni zacznie obowiązywać dwa lata po jego  wejściu w życie, z wyjątkiem niektórych przepisów szczegółowych: zakazy będą miały zastosowanie już po 6 miesiącach, natomiast przepisy dotyczące AI ogólnego przeznaczenia będą miały zastosowanie po 12 miesiącach.

 

 

 

 

 

Źródła:

1.  https://ec.europa.eu/commission/presscorner/detail/pl/ip_23_6473 

2. https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52021PC0206 

 

Autorem artykułu jest r. pr. Tomasz Derwich. Stan prawny na styczeń 2024 r.

 

TAGI: #AI #GPAI #PRAWO #PRAWOIT #NOWETECHNOLOGIE #SZTUCZN #INTELIGENCJA