AI Act: nowe ramy prawne dla sztucznej inteligencji w Europie
Wprowadzenie unijnego AI Act (Akt o Sztucznej Inteligencji) stanowi kamień milowy w regulacji rozwoju oraz wykorzystania sztucznej inteligencji (AI) w Europie. Akt ten wszedł w życie 1 sierpnia 2024 r. i ma na celu ustanowienie ram prawnych, które wspierają innowacje, a jednocześnie zapewniają bezpieczeństwo i ochronę praw obywateli. AI Act jest pierwszą na świecie tak kompleksową regulacją dotyczącą AI, co czyni Europę liderem w odpowiedzialnym rozwoju tej technologii.
Co należy rozumieć pod pojęciem AI?
Sztuczna inteligencja (AI) to technologia, która umożliwia maszynom i systemom komputerowym naśladowanie ludzkich zdolności, takich jak wnioskowanie, uczenie się, rozumienie języka czy podejmowanie decyzji. AI działa na podstawie analizy danych, dzięki czemu jest w stanie tworzyć prognozy, generować rekomendacje, a także wykonywać zadania o różnym stopniu złożoności, zarówno w świecie fizycznym, jak i cyfrowym.
Kluczowe cechy AI obejmują:
- Autonomię – systemy AI mogą działać samodzielnie, bez potrzeby bezpośredniego nadzoru człowieka.
- Zdolność adaptacji – AI uczy się na podstawie dostarczonych danych, co pozwala mu doskonalić swoje wyniki i dostosowywać działania do nowych okoliczności.
- Wnioskowanie – na podstawie analizowanych informacji AI tworzy decyzje i prognozy.
Nie wszystkie zaawansowane systemy technologiczne spełniają kryteria uznania ich za sztuczną inteligencję.
Przykłady technologii, które nie są rozumiane jako AI, obejmują:
- Algorytmy o stałej funkcji – systemy, które wykonują jedynie zaprogramowane operacje bez zdolności do samodzielnego uczenia się lub adaptacji.
- Systemy alarmowe – technologie, które reagują automatycznie na określone bodźce, ale nie potrafią wnioskować ani dostosowywać swoich działań w oparciu o nowe dane.
- Automatyzacja procesów – choć automatyzacja może być skomplikowana, systemy takie, jak roboty produkcyjne działające według ustalonych schematów, bez zdolności do uczenia się, nie są uznawane za AI.
Kluczową cechą sztucznej inteligencji jest więc jej zdolność do samodzielnego rozwoju i adaptacji, czego brakuje w prostszych, statycznych technologiach.
Czym jest AI Act?
AI Act, czyli Regulacja (UE) 2024/1689, to prawodawstwo Unii Europejskiej, które wprowadza jednolite zasady dotyczące tworzenia i stosowania systemów AI. Jego głównym celem jest stworzenie zaufanego środowiska dla rozwoju sztucznej inteligencji, która szanuje prawa człowieka oraz zapewnia bezpieczeństwo. Reguluje on m.in. kwestie etyki, bezpieczeństwa oraz odpowiedzialności za wdrażanie sztucznej inteligencji.
Dlaczego jest potrzebny?
Wraz z dynamicznym rozwojem AI pojawiają się obawy dotyczące przejrzystości, dyskryminacji i odpowiedzialności związanych z podejmowanymi przez AI decyzjami. Przykłady to choćby automatyczne oceny kredytowe czy procesy rekrutacyjne, gdzie brak odpowiednich zabezpieczeń może prowadzić do nieuzasadnionych decyzji. AI Act ma na celu ochronę obywateli przed niepożądanymi skutkami działania AI oraz wsparcie transparentnego i odpowiedzialnego korzystania z tej technologii.
Kogo będą dotyczyły przepisy AI Act?
AI Act będzie miał wpływ na szerokie spektrum przedsiębiorstw, nie tylko na te bezpośrednio związane z branżą IT czy rozwojem sztucznej inteligencji. Przepisy będą miały wpływy na dostawców, importerów, dystrybutorów oraz użytkowników systemów sztucznej inteligencji. Co istotne, regulacja dotyczy nie tylko firm z siedzibą w Unii Europejskiej, ale również przedsiębiorstw spoza UE, jeżeli wyniki działania ich systemów AI są wykorzystywane na terytorium Unii. Oznacza to, że nawet globalne firmy muszą dostosować swoje technologie do unijnych standardów, jeśli ich rozwiązania są stosowane w Europie.
Wyłączenia spod działania AI Act obejmują systemy AI wykorzystywane wyłącznie do celów wojskowych, obronnych lub bezpieczeństwa narodowego, a także technologie, które nie są dostępne na rynku UE i nie są używane w Unii w tych celach.
Nowe obowiązki dla przedsiębiorców
AI Act nakłada na przedsiębiorców szereg obowiązków związanych z rozwojem, wprowadzaniem na rynek i korzystaniem z systemów AI. Dostawcy systemów AI, w szczególności tych wysokiego ryzyka, są zobowiązani do oceny ryzyka, dostarczania szczegółowej dokumentacji technicznej oraz zapewnienia przejrzystości i bezpieczeństwa systemów. Muszą regularnie przeprowadzać audyt zgodności i aktualizować rozwijane technologie, aby spełniały wymogi AI Act.
Dystrybutorzy i importerzy mają za zadanie upewnić się, że wprowadzane na rynek systemy AI spełniają wszystkie wymogi prawne, a w przypadku naruszeń mogą być obciążeni podobną odpowiedzialnością co dostawcy. Użytkownicy natomiast są zobowiązani do monitorowania działania systemów, zgłaszania problemów i zapewnienia, że technologie są wykorzystywane zgodnie z ich przeznaczeniem oraz zaleceniami dostawcy.
Klasyfikacja ryzyka według AI Act
AI Act wprowadza cztery poziomy ryzyka związane z zastosowaniem systemów sztucznej inteligencji. Im wyższy poziom ryzyka, tym bardziej rygorystyczne wymogi regulacyjne.
- Niedopuszczalne ryzyko – obejmuje systemy AI, które uznano za szczególnie niebezpieczne. Są one całkowicie zakazane, jak np. społeczna punktacja (social scoring) lub manipulowanie zachowaniem osób przy pomocy podprogowych technik. W kategorii niedopuszczalnego ryzyka istnieją pewne wyjątki, które dopuszczają użycie sztucznej inteligencji, głównie w kontekście działań organów ścigania przez władze państwowe.
- Wysokie ryzyko – obejmuje systemy AI, które mogą wpływać na zdrowie, bezpieczeństwo i prawa obywateli, np. systemy stosowane w ochronie zdrowia, transporcie, czy rekrutacji pracowników. Dla systemów AI o wysokim ryzyku istnieje szereg wymagań, które muszą zostać spełnione. Obejmują one m.in. przeprowadzenie dokładnej analizy i oceny potencjalnych zagrożeń oraz wdrożenie kompleksowego systemu zarządzania ryzykiem związanego z AI.
- Ograniczone ryzyko – dotyczy systemów, które mogą mieć negatywny wpływ, ale w mniejszym stopniu. Przykłady to m.in. chatboty i generatywne AI (np. tworzenie tekstów, grafik). W przypadku systemów o niskim (ograniczonym) ryzyku, dostawcy muszą zapewnić odpowiedni poziom przejrzystości – osoby korzystające z tych systemów muszą być świadome, że mają do czynienia ze sztuczną inteligencją.
- Minimalne ryzyko – obejmuje większość systemów AI, takich jak filtry antyspamowe czy gry komputerowe. Te systemy mogą być swobodnie wykorzystywane bez dodatkowych wymogów.
Wejście w życie AI Act
AI Act wszedł w życie 1 sierpnia 2024 roku, ale jego przepisy będą wprowadzane stopniowo, aby dać przedsiębiorstwom oraz państwom członkowskim czas na dostosowanie się do nowych regulacji. Kluczowe daty i etapy wprowadzania przepisów to:
- 1 sierpnia 2024 r. – AI Act wchodzi w życie, ale egzekwowanie przepisów nie rozpoczyna się tego dnia. Zamiast tego zachęca się do dobrowolnego dostosowania się do regulacji.
- 2 lutego 2025 r. – Zaczynają obowiązywać przepisy dotyczące zakresu przedmiotowego, definicji, zasad dotyczących edukacji na temat AI oraz zakazanych praktyk.
- 2 sierpnia 2025 r. – Wejdą w życie zasady dotyczące zgłoszeń, modeli GPAI, kwestii związanych z egzekwowaniem i karami finansowymi.
- 2 sierpnia 2026 r. – Kończy się okres przejściowy dla systemów AI wysokiego ryzyka, a główne przepisy AI Act zaczynają obowiązywać.
- 2 sierpnia 2027 r. – Przepisy dotyczące systemów wysokiego ryzyka objętych art. 6(1) AI Act zaczynają obowiązywać.
- 2 sierpnia 2030 r. – Kończy się okres przejściowy dla systemów AI wysokiego ryzyka przeznaczonych do użytku przez organy publiczne.
Przedsiębiorcy powinni już teraz rozpocząć przygotowania do nadchodzących regulacji AI Act. Kluczowe kroki obejmują klasyfikację systemów AI zgodnie z taksonomią UE oraz ocenę wpływu regulacji na obecne rozwiązania, co pozwoli na opracowanie odpowiednich strategii biznesowych i wdrożenie ram zarządzania AI.
Sankcje przewidziane w ramach AI Act
AI Act wprowadza surowe sankcje finansowe dla podmiotów, które nie przestrzegają nowych przepisów dotyczących sztucznej inteligencji. Struktura kar została zaprojektowana tak, aby była proporcjonalna do wielkości przedsiębiorstwa, jednocześnie mając charakter odstraszający i zapewniając skuteczne egzekwowanie regulacji.
Najważniejsze zasady dotyczące kar to:
- Naruszenie zakazanych praktyk AI: Przedsiębiorstwa stosujące technologie zakazane przez AI Act, takie jak manipulowanie zachowaniem użytkowników lub zdalna identyfikacja biometryczna w czasie rzeczywistym, mogą zostać ukarane grzywną do 35 milionów euro lub 7% rocznego globalnego obrotu firmy, w zależności od tego, która kwota jest wyższa.
- Naruszenie innych wymagań: Przedsiębiorstwa, które nie przestrzegają pozostałych wymogów AI Act, takich jak zasady dotyczące zarządzania ryzykiem czy dokumentacji technicznej, podlegają karze do 15 milionów euro lub 3% rocznego globalnego obrotu, w zależności od wyższej kwoty.
- Dostarczanie nieprawidłowych informacji: Przedsiębiorstwa, które przekażą jednostkom notyfikowanym lub organom krajowym nieprawidłowe, niekompletne lub wprowadzające w błąd informacje, mogą zostać ukarane grzywną do 7,5 miliona euro lub 1% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa.
Te sankcje mają na celu zapewnienie przestrzegania przepisów przez wszystkie podmioty, które stosują sztuczną inteligencję, a także ochronę praw użytkowników oraz interesów publicznych.
Podsumowanie
AI Act to pierwsza na świecie kompleksowa regulacja dotycząca sztucznej inteligencji, mająca na celu zapewnienie, że jej rozwój i wykorzystanie będą zgodne z zasadami etyki, bezpieczeństwa oraz ochrony praw człowieka. Wprowadzony w życie 1 sierpnia 2024 roku, AI Act obejmuje szerokie grono podmiotów – od dostawców technologii AI, po firmy wykorzystujące systemy sztucznej inteligencji w swojej działalności. Regulacje te nie tylko obowiązują w Unii Europejskiej, ale także mają zastosowanie do przedsiębiorstw spoza UE, jeżeli ich systemy AI wpływają na obywateli Unii.
AI Act ma na celu stworzenie zrównoważonego środowiska dla rozwoju innowacji, jednocześnie zapewniając, że sztuczna inteligencja będzie rozwijana w sposób odpowiedzialny, przejrzysty i bezpieczny dla społeczeństwa. Dla przedsiębiorstw oznacza to konieczność dokładnej analizy zgodności ich systemów z nowymi regulacjami i podjęcie działań, aby zapewnić pełną zgodność przed wejściem w życie wszystkich przepisów.
Z pełną treścią AI Act możesz zapoznać się na stronie: eur-lex.europa.eu
Jeśli mają Państwo pytania dotyczące opisanego tematu lub potrzebują Państwo dodatkowych informacji – zapraszamy do kontaktu:
DZIAŁ DS. RELACJI Z KLIENTAMI
ELŻBIETA NARON
Główny Konsultant
ds. relacji z klientami
Grupa getsix
***