Od 1 sierpnia 2024 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, znane powszechnie jako AI Act. Jest to pierwszy tak kompleksowy akt prawny regulujący zasady korzystania i wdrażania sztucznej inteligencji (AI), stanowiący kluczowy krok w kierunku ujednolicenia standardów jej wykorzystania na terenie Unii Europejskiej. AI Act ma na celu stworzenie ram prawnych dla bezpiecznego i etycznego stosowania sztucznej inteligencji, nakładając na państwa członkowskie obowiązek wprowadzenia przepisów zapewniających ochronę praw obywateli, transparentność działania systemów AI oraz odpowiedzialność za ich wdrożenie. Wprowadzenie tych regulacji wywołuje dyskusje na temat ich wpływu na rozwój technologii, gospodarkę oraz codzienne życie obywateli. Przepisy te mają ogromne znaczenie zarówno dla firm technologicznych, jak i dla wszystkich podmiotów, korzystających z rozwiązań AI w swojej codziennej działalności. W artykule przedstawiamy kluczowe informacje, nowe wymogi i obowiązki, wynikające z AI Act, a także związane z nimi wyzwania, zagrożenia oraz sankcje.
Kogo dotyczy AI Act?
AI Act obejmuje szerokie spektrum podmiotów, w tym dostawców, dystrybutorów, importerów oraz użytkowników technologii sztucznej inteligencji. Szczególną uwagę na nowe regulacje powinny zwrócić firmy z sektora cyfrowego, zwłaszcza małe i średnie przedsiębiorstwa (MŚP), które podlegają nieco łagodniejszym wymogom niż duże korporacje. Istotnym aspektem jest również to, że przepisy dotyczą wszystkich podmiotów, planujących korzystać z systemów AI na terenie Unii Europejskiej, niezależnie od lokalizacji ich siedziby. Oznacza to, że nawet przedsiębiorstwa spoza UE muszą dostosować swoje działania do nowych regulacji, jeśli ich technologie są wykorzystywane na terenie Unii.
Kluczowe regulacje
- System sztucznej inteligencji został zdefiniowany jako system oparty na technologii maszynowej, działający na różnych poziomach autonomii. Taki system, w oparciu o dostarczone dane wejściowe, może generować wyniki w postaci prognoz, zaleceń lub decyzji, wpływających na środowisko rzeczywiste lub wirtualne. Warto zaznaczyć, że definicja AI jest stosunkowo szeroka, co może prowadzić do trudności w jednoznacznym zdefiniowaniu sztucznej inteligencji.
- Organem odpowiedzialnym za nadzór nad wdrażaniem i egzekucją nowych regulacji został Europejski Urząd ds. Sztucznej Inteligencji. Funkcjonuje on w ramach Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii, co podkreśla jego kluczową rolę w zapewnieniu zgodności z nowymi regulacjami na obszarze całej Unii Europejskiej.
- AI Act wprowadza szereg wymogów dotyczących przejrzystości oraz praw autorskich na terenie Unii Europejskiej. Obejmują one m.in. obowiązek informowania, o tym, że dana treść została wygenerowana przez AI, a także zapewnienie, że modele AI nie będą generować treści niezgodnych z prawem. Dodatkowo, nałożono obowiązek publikowania treści materiałów wykorzystywanych do szkolenia systemów AI, które podlegają ochronie praw autorskich.
- Istotnym wymogiem jest obowiązek oznaczenia utworów stworzonych przez sztuczną inteligencję, w sposób, który jasno informuje odbiorców o ich pochodzeniu. Ma to na celu zapewnienie, że użytkownicy będą świadomi, że mają do czynienia z treściami generowanymi przez sztuczną inteligencję, co sprzyja większej transparentności oraz budowaniu zaufania do tych technologii.
Klasyfikacja systemów AI według ryzyka
AI Act klasyfikuje systemy AI według stwarzanego poziomu ryzyka, jakie stwarzają:
- Niskiego ryzyka – systemy te nie stanowią istotnego zagrożenia dla bezpieczeństwa ani praw osób fizycznych. Nie podlegają rygorystycznym przepisom, ale muszą spełniać podstawowe wymogi dotyczące transparentności, takie jak informowanie użytkowników, że mają do czynienia z AI. Zalecane jest również przestrzeganie ogólnych zasad, takich jak nadzór człowieka i niedyskryminacja.
- Średniego ryzyka – systemy te muszą zapewniać pełną transparentność, co oznacza, że użytkownicy muszą być informowani o interakcji z AI. Dotyczy to m.in. chatbotów czy systemów deepfake, które muszą być odpowiednio oznaczone jako sztuczna inteligencja, aby zapobiegać manipulacjom i oszustwom.
- Wysokiego ryzyka – systemy te mają istotny wpływ na prawa, zdrowie oraz bezpieczeństwo osób, zwłaszcza w przypadku awarii lub niewłaściwego wykorzystania. Aby mogły być dopuszczone do użytku w UE, muszą spełniać szereg rygorystycznych wymogów. Zaliczamy do nich systemy:
- biometryczne – umożliwiające identyfikację i kategoryzację osób na podstawie biometrii;
- infrastruktury krytycznej – używane do zarządzania, takimi jak ruch drogowy czy dostawy energii;
- kształcenia i szkolenia zawodowego – wykorzystywane do oceny uczniów i pracowników;
- zarządzania zatrudnieniem – stosowane w celach rekrutacjach, oceny wyników pracy lub podziału zadań;
- dostępu do usług i świadczeń – obejmuje to m.in. służby ratunkowe, systemy punktacji kredytowej;
- egzekucji prawa – wykorzystywane przy ocenie dowodów lub w analityce kryminalnej;
- zarządzania migracją i kontrolą graniczną – służące ocenie ryzyka bezpieczeństwa w związku z prowadzoną polityką migracyjną;
- administrowania wymiarem sprawiedliwości – wspierające interpretację prawa i prowadzenie kampanii politycznych.
- Niedopuszczalnego ryzyka – systemy, które w nadmierny, niedopuszczalny sposób ingerują w prawa i bezpieczeństwo użytkowników, przez co zostaną zakazane w Unii Europejskiej. Zakaz obejmie zastosowania AI związane z:
- manipulacją podprogową – mającą na celu zmianę zachowania osoby bez jej wiedzy, np. wpływając na jej preferencje wyborcze;
- wykorzystywaniem bezbronności osób – systemami, które mogą wykorzystywać słabości związane z wiekiem, sytuacją społeczną lub zdrowotną, np. takimi jak: asystent głosowy, który może nakłaniać starsze osoby do działań na ich niekorzyść;
- kategoryzacją biometryczną – obejmującą systemy kategoryzujące osób na podstawie ich cech wrażliwych, takich jak płeć, pochodzenie etniczne, religia czy orientacja seksualna;
- oceną osoby na podstawie ich cech osobistych i społecznych zachowań – polegającej na ocenie osób na podstawie ich zachowań, cech osobistych lub działań społecznych, np. zakupów online lub działań na portalach społecznościowych;
- identyfikacją biometryczną w czasie rzeczywistym – zakazaną, z wyjątkiem ściśle określonych sytuacji, takich jak przeciwdziałanie terroryzmowi;
- oceną stanu emocjonalnego osoby – zasadniczo zakazaną, chyba, że jest stosowana w celu zapewnienia bezpieczeństwa w miejscu pracy lub edukacji;
- przewidywaniem i zapobieganiem przestępstw –na podstawie cech osobowych;
- pozyskiwaniem wizerunków twarzy – z monitoringu lub Internetu do tworzenia baz danych do rozpoznawania twarzy.
Nowe obowiązki i wyzwania dla przedsiębiorców
Wprowadzenie AI Act oznacza dla przedsiębiorców konieczność dostosowania swoich procesów i systemów do nowych wymogów prawnych. Kluczowe obowiązki obejmują m.in.:
- przeprowadzanie analiz ryzyka – przedsiębiorcy muszą zidentyfikować ryzyka związane z wykorzystaniem AI i wdrożyć odpowiednie mechanizmy zarządzania tymi ryzykami;
- zapewnienie transparentności – użytkownicy muszą być informowani o korzystaniu z systemu AI, a firmy powinny zadbać o jasne i przejrzyste zasady działania swoich systemów;
- szkolenia personelu – przedsiębiorcy muszą zapewnić personelowi odpowiednie przygotowanie i uprawnienia niezbędne do wykonywania ich zadań;
- zarządzanie danymi – AI Act wymaga, aby dane używane do trenowania systemów AI były wysokiej jakości i wolne od uprzedzeń, które mogłyby doprowadzić do dyskryminacji lub naruszenia przepisów dotyczących ochrony danych osobowych,
- zarządzenie cyklem życia systemów AI – już od etapu projektowania po wdrożenie i utrzymanie, przedsiębiorcy muszą stosować zasady zgodności z regulacjami oraz monitorować efekty działania AI.
Wdrożenie tych wymogów może być skomplikowane i kosztowne, szczególnie dla małych i średnich przedsiębiorstw (MŚP), które z reguły nie dysponują odpowiednimi zasobami technicznymi i prawnymi. W związku z tym, konieczne może być skorzystanie z usług zewnętrznych doradców specjalizujących się w prawie AI, uwzględniającym nowe regulacje.
Sankcje za nieprzestrzeganie przepisów
AI Act przewiduje surowe sankcje za nieprzestrzeganie przepisów, które mogą wynosić nawet do 35 milionów euro lub 7% globalnego rocznego obrotu z poprzedniego roku rozliczeniowego, w zależności od tego, która z tych kwot jest wyższa. Wysokość kar zależy od rodzaju i skali naruszenia przepisów, co wywiera dodatkową presję na przedsiębiorcach, aby przestrzegali nowych regulacji.
Podsumowanie
AI Act to przełomowy krok w regulacji sztucznej inteligencji w Unii Europejskiej, wprowadzający surowe, lecz niezbędne zasady, mające na celu ochronę praw i bezpieczeństwa obywateli, jednocześnie wspierając innowacje. Przedsiębiorstwa muszą przygotować się na te zmiany, wdrażając nowe procedury i dostosowując swoje systemy do wymogów prawnych. Warto działać już teraz, aby uniknąć potencjalnych kar i utrzymać konkurencyjność na rynku.
Jeśli potrzebujesz wsparcia w zakresie wdrożenia AI Act w Twojej firmie, nasza kancelaria oferuje kompleksowe doradztwo prawne, które pomoże Ci dostosować się do nowych regulacji. Zapraszamy do kontaktu.
Kuba Kościuch
Radca prawny
Michał Dziuba
Prawnik