Skip to main content

14 czerwca 2023 r. Parlament Europejski przegłosował swoje stanowisko w sprawie projektu Aktu w sprawie sztucznej inteligencji (AI Akt)[1].

Głosowanie rozpoczęło unijny proces trójstronny (tj. trójstronną dyskusję między Parlamentem Europejskim, Komisją i Radą). Prace nad projektem trwały wiele miesięcy, w ich wyniku wprowadzono wiele zmian w stosunku do dotychczasowej wersji projektu z grudnia 2022 r.

Najważniejsze zmiany dotyczą wprowadzenia nowych definicji, a także na zmianie klasyfikacji systemów AI, co bezpośrednio będzie wpływać na obowiązki dostawców i użytkowników, systemów AI. Kontrowersje wzbudzały propozycje zapisów dotyczących możliwości wykorzystywania systemów sztucznej inteligencji przez organy ścigania do identyfikacji osób, m.in. w celu zapobiegania atakom terrorystycznym, które mogłyby naruszać podstawowe zasady demokratycznego państwa. Nadrzędnymi celami ustawy o AI jest ochrona wartości demokratycznych oraz ograniczenie negatywnych skutków wykorzystania sztucznej inteligencji, dlatego wykorzystanie systemów sztucznej inteligencji do identyfikacji obywateli musi podlegać szczególnym obostrzeniom.

Klasyfikacja systemów AI według stopnia ryzyka

W trakcie prac nad projektem sklasyfikowano systemy sztucznej inteligencji pod kątem stopnia ryzyka. AI Act wprowadza podział systemów sztucznej inteligencji na 4 kategorie, które wiążą się z ryzykiem nieakceptowalnym, wysokim oraz minimalnym. Wprowadzono zapisy nakładające na dostawców modeli generatywnych systemów sztucznej inteligencji ogólnego przeznaczenia obowiązek zapewnienia solidnej ochrony praw podstawowych, zdrowia, bezpieczeństwa, środowiska, demokracji i praworządności. Dostawcy ci będą musieli oceniać i ograniczać ryzyko związane z ich modelami, przestrzegać określonych wymogów w zakresie projektowania, informacji i ochrony
środowiska oraz rejestrować takie modele w unijnej bazie danych. Generatywne modele sztucznej inteligencji (takie jak ChatGPT), które wykorzystują duże modele językowe do generowania dzieł sztuki, muzyki i innych treści, będą podlegały rygorystycznym obowiązkom w zakresie przejrzystości. Dostawcy takich modeli i treści generatywnych będą musieli ujawniać, że dane treści zostały wygenerowane przez sztuczną inteligencję, a nie przez ludzi, szkolić i projektować swoje modele w taki sposób, aby zapobiec generowaniu nielegalnych treści, a także publikować informacje na temat wykorzystywania danych treningowych chronionych prawem autorskim. Ponadto wszystkie modele generatywne powinny dostarczać wszelkich niezbędnych informacji dostawcom niższego szczebla, aby mogli oni wypełniać swoje obowiązki wynikające z aktu w sprawie sztucznej inteligencji.

Systemy zakazane w UE

Projekt aktu zawiera zaktualizowany wykaz systemów sztucznej inteligencji zakazanych w
UE, do którego należą:

  • systemy identyfikacji biometrycznej w UE zarówno w czasie rzeczywistym, jak i ex post (z wyjątkiem przypadków poważnej przestępczości i prejudycjalnego zezwolenia na wykorzystanie ex post),
  • systemy kategoryzacji biometrycznej wykorzystujących cechy wrażliwe (np. płeć, rasa, pochodzenie etniczne, status obywatelski, religia, orientacja polityczna), systemów prognozowania przestępczości (w oparciu o profilowanie, lokalizację lub
    wcześniejsze zachowania przestępcze), systemów rozpoznawania emocji (wykorzystywanych w egzekwowaniu prawa, zarządzaniu granicami, miejscu pracy i instytucjach edukacyjnych) oraz
  • systemy sztucznej inteligencji, które masowo pozyskują dane biometryczne z mediów społecznościowych lub z nagrań telewizji przemysłowej w celu stworzenia baz danych służących rozpoznawaniu twarzy.

Systemy wysokiego ryzyka

Dotychczasowy zakres klasyfikacji systemów wysokiego ryzyka został zmieniony i rozszerzony o systemy AI przeznaczone do:
● wnioskowania o cechach osobowych osób fizycznych na podstawie danych biometrycznych lub danych opartych na biometrii (w tym systemy rozpoznawania emocji);
● stosowania jako związane z bezpieczeństwem elementy procesów zarządzania i zaopatrzenia w wodę, gaz, ciepło, energię elektryczną i krytycznej infrastruktury cyfrowej;
● wykorzystania w celu wywierania wpływu na wynik wyborów lub referendum lub na zachowanie osób fizycznych podczas głosowania w wyborach lub referendach;
● wykorzystania przez platformy mediów społecznościowych (które zostały wyznaczone jako bardzo duże platformy internetowe w rozumieniu Aktu o usługach cyfrowych) w ich systemach rekomendacji w celu zalecania odbiorcy treści stworzonych przez
użytkownika usługi dostępnych na platformie.

Do kategorii systemów wysokiego ryzyka włączono bardzo duże platformy internetowe (Very Large Online Platforms- VLOP). Na mocy aktu o usługach cyfrowych (DSA) nałożono obowiązki na VLOPy, z których korzysta ponad 10 proc. ludności UE, w zakresie zapobiegania nadużywaniu ich systemów poprzez podejmowanie działań opartych na ocenie ryzyka oraz poprzez przeprowadzanie niezależnych kontroli ich systemów zarządzania ryzykiem. VLOPy są zobowiązane do sporządzenia oceny ryzyka systemowego (w tym rozważenia systemów rekomendujących), a także do wdrożenia środków ograniczających ryzyko po przeprowadzeniu takiego ryzyka oceny, a także podlegają wymogowi corocznego audytu zewnętrznego w celu oceny ich zgodności z obowiązkami w zakresie DSA. Oznacza to, że UE koncentruje się na sztucznej inteligencji i systemach algorytmicznych jako kluczowych zagrożeniach, którymi należy zarządzać. Holistyczne podejście do zarządzania ryzykiem sztucznej inteligencji i algorytmów oraz zrozumienie zakresu implikacji w rozwijającym się otoczeniu regulacyjnym jest kluczem do skutecznego ograniczania ryzyka, zapewniania zgodności i poruszania się po tym złożonym obszarze na przecięciu pojawiających się technologii i zmian legislacyjnych. Biorąc pod uwagę liczbę użytkowników platform mediów społecznościowych, korzystanie z nich może silnie wpłynąć na „bezpieczeństwo w Internecie, kształtowanie opinii publicznej i dyskursu, procesy wyborcze i demokratyczne oraz problemy społeczne”. W związku z tym włączono systemy rekomendacji AI używane przez platformy mediów społecznościowych (oznaczone jako VLOP (w ramach DSA) jako podlegające przepisom aktu o sztucznej inteligencji. Oznacza to, że takie VLOPy będą musiały spełniać obowiązki wynikające z ustawy o sztucznej inteligencji dotyczące wymagań technicznych dotyczących zarządzania danymi, dokumentacji technicznej i identyfikowalności, przejrzystości, nadzoru ludzkiego, dokładności i solidności. W tym celu skrócono termin na zgłaszanie krajowym organom nadzoru poważnych błędów związanych z działaniem systemów z 15 dni do 3 dni. Należy pamiętać, że zanim system zostanie uznany za „wysokiego ryzyka”, musi spełnić dodatkowe kryteria. Znalezienie się na liście w Załączniku 3 samo w sobie nie wystarczy. System musi również „stanowić znaczące ryzyko naruszenia zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych”. (art. 6 ust. 2 ustawy o AI). Jeżeli więc dostawca systemu AI kategoryzowanego w załączniku III uzna, że jego system nie stwarza znaczącego ryzyka, będzie musiał złożyć stosowne uzasadnienie do krajowego organu nadzoru. W przypadku VLOP i systemów rekomendujących AI (i ogólnie AI) wszystko to sprowadza się zatem do oceny ryzyka. Przewiduje się, że proces legislacyjny zmierzający do uchwalenia Aktu w sprawie sztucznej inteligencji zostanie zakończony prawdopodobnie pod koniec 2023 r. lub na początku 2024 r. Po przyjęciu ostatecznego brzmienia rozporządzenia i jego ogłoszeniu będzie miał miejsce okres przejściowy na przygotowanie państw członkowskich do wdrożenia nowych przepisów.

Zuzanna Łaganowska

Partner, radca prawny
E. zuzanna.laganowska@bakowski.net.pl

Zuzanna Łaganowska

Partner, radca prawny