Akt AI traktuje systemy kategoryzacji biometrycznej z dużą uwagą, szczególnie rozróżniając między zakazanymi a wysokiego ryzyka aplikacjami.
Artykuł 3(40) definiuje system kategoryzacji biometrycznej jako system sztucznej inteligencji służący do przypisywania osób fizycznych do określonych kategorii, takich jak płeć, wiek, kolor włosów, kolor oczu, tatuaże, pochodzenie etniczne lub orientacja seksualna bądź polityczna, na podstawie ich danych biometrycznych.
Przegląd systemów kategoryzacji biometrycznej w ramach Aktu AI
Dane biometryczne, zgodnie z definicją w artykule 3(34), obejmują dane osobowe wynikające z przetwarzania dotyczącego cech fizycznych, fizjologicznych lub behawioralnych. Artykuł 3(35) rozszerza to na identyfikację biometryczną, obejmującą automatyczne rozpoznawanie tych cech w celu ustalenia tożsamości. Akt AI kładzie więc duży nacisk na wrażliwość i potencjalne nadużycia takich danych.
Artykuł 5(g) zabrania wprowadzania do obrotu, uruchamiania lub używania systemów kategoryzacji biometrycznej, które wnioskują lub dedukują wrażliwe atrybuty, takie jak rasa, poglądy polityczne czy orientacja seksualna. Zakaz ten jest specyficzny i bezwzględny, mając na celu zapobieganie systemom przed wnioskowaniem, które mogłoby prowadzić do dyskryminacji lub naruszenia prywatności. Recital 30 wspiera to, podkreślając, że podczas gdy kategoryzowanie zbiorów danych prawnie pozyskanych pod kątem atrybutów takich jak kolor włosów czy oczu może być dopuszczalne w egzekwowaniu prawa, dedukowanie wrażliwych atrybutów osobowych jest ściśle zabronione.
Z kolei systemy kategoryzacji biometrycznej wysokiego ryzyka, o których mowa w artykule 6(2) i szczegółowo opisane w załączniku III, podlegają ścisłej regulacji, a nie bezwzględnemu zakazowi. Systemy te, używane do celów takich jak identyfikowanie wrażliwych lub chronionych atrybutów, są uważane za wysokiego ryzyka ze względu na potencjalne znaczące szkody lub wpływ na wyniki podejmowanych decyzji. Recital 54 podkreśla klasyfikację wysokiego ryzyka, wskazując na potencjalną dyskryminację i techniczne niedokładności, które mogłyby wpłynąć na chronione cechy, takie jak wiek, pochodzenie etniczne czy rasa.
Operatorzy systemów kategoryzacji biometrycznej wysokiego ryzyka muszą przestrzegać określonych obowiązków zgodnie z artykułem 50(3), w tym obowiązku informowania osób narażonych na te systemy oraz przetwarzania danych zgodnie z RODO i innymi odpowiednimi przepisami UE. Odzwierciedla to intencję Aktu, aby zapewnić przejrzystość i ochronę praw jednostek, nawet w przypadku systemów wysokiego ryzyka.
Kluczowa różnica polega na naturze i wrażliwości kategoryzacji. Zakazane systemy dedukują lub wnioskują wrażliwe atrybuty z danych biometrycznych, podczas gdy systemy wysokiego ryzyka obejmują kategoryzowanie danych biometrycznych w sposób, który mógłby pośrednio wpłynąć na prawa i wyniki jednostek.
Różnica wydaje się polegać na tym, że kategoryzacja biometryczna będzie uważana za wysokiego ryzyka, jeśli wrażliwe atrybuty są łatwo widoczne, ale będzie zabroniona, jeśli takie atrybuty są wnioskowane lub dedukowane z innych danych.
Zakazane systemy są całkowicie zakazane ze względu na ich inherentne ryzyko poważnych nadużyć i dyskryminacji. Natomiast systemy wysokiego ryzyka są regulowane, aby zapewnić, że są używane odpowiedzialnie i z niezbędnymi zabezpieczeniami chroniącymi prawa jednostek.
To rozróżnienie może prowadzić do zamieszania, szczególnie tam, gdzie granica między wnioskowaniami dotyczącymi wrażliwych atrybutów a dopuszczalnymi kategoryzacjami jest niejasna. Na przykład, podczas gdy system kategoryzujący obrazy według koloru włosów lub oczu do celów egzekwowania prawa może być wysokiego ryzyka i regulowany, system wnioskujący poglądy polityczne osoby na podstawie danych rozpoznawania twarzy jest zabroniony. Nawigowanie po tych niuansach wymaga starannej interpretacji prawnej i zgodności zarówno z Aktem AI, jak i odpowiednimi przepisami krajowymi, aby zapewnić, że technologie biometryczne są wdrażane etycznie i zgodnie z prawem.
Ponadto, nakładanie się przepisów krajowych i postanowień Aktu AI dodaje kolejny poziom złożoności. Na przykład, specyficzne wyłączenia Irlandii zgodnie z Recitalem 40 wskazują, że niektóre użycia kategoryzacji biometrycznej w egzekwowaniu prawa mogą być dopuszczalne na mocy prawa krajowego, mimo szerszego zakazu w UE. Wymaga to szczegółowego zrozumienia zarówno przepisów Unii, jak i państw członkowskich, aby skutecznie nawigować w zgodności.
Oparcie się na kontekście i celu systemów kategoryzacji biometrycznej w ramach ram regulacyjnych oznacza, że interesariusze muszą być czujni w rozróżnianiu między dopuszczalnymi aplikacjami wysokiego ryzyka a absolutnie zakazanymi praktykami. Ta czujność jest kluczowa, aby uniknąć nieumyślnych naruszeń Aktu AI, biorąc pod uwagę poważne implikacje niewłaściwego użycia tych technologii.
Kluczowe daty:
12 lipca 2024: Akt AI opublikowany w Dzienniku Urzędowym.
1 sierpnia 2024: Akt AI staje się prawem.
2 lutego 2025: Zakaz systemów kategoryzacji biometrycznej zgodnie z artykułem 5.
2 sierpnia 2026: Wejście w życie zasad dotyczących systemów kategoryzacji biometrycznej wymienionych w Załączniku III.
Egzekwowanie i kary
Niezgodność z przepisami dotyczącymi zakazanych systemów AI będzie podlegać znacznym grzywnom administracyjnym do 35 000 000 EUR lub, w przypadku przedsiębiorstwa, do 7% całkowitego rocznego obrotu światowego, w zależności od tego, która kwota jest wyższa. Niezgodne systemy AI mogą również zostać usunięte z rynku UE.
Akt AI nakłada znaczne grzywny za niezgodność z jego postanowieniami, szczególnie w przypadku systemów AI wysokiego ryzyka. Niezgodność ze specyficznymi obowiązkami dotyczącymi operatorów lub jednostek notyfikowanych może skutkować grzywnami administracyjnymi do 15 milionów EUR lub, jeśli naruszenia dokona przedsiębiorstwo, do 3% całkowitego rocznego obrotu światowego za poprzedni rok finansowy, w zależności od tego, która kwota jest wyższa. Obejmuje to obowiązki dostawców (artykuł 16), autoryzowanych przedstawicieli (artykuł 22), importerów (artykuł 23), dystrybutorów (artykuł 24), operatorów (artykuł 26) oraz wymagania i obowiązki jednostek notyfikowanych (artykuł 31, artykuł 33(1), (3) i (4), lub artykuł 34), a także obowiązki dotyczące przejrzystości dla dostawców i operatorów (artykuł 50).
Dostarczanie nieprawdziwych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym lub krajowym organom kompetentnym w odpowiedzi na żądanie może skutkować grzywnami do 7 500 000 EUR lub, jeśli naruszenia dokona przedsiębiorstwo, do 1% całkowitego rocznego obrotu światowego za poprzedni rok finansowy, w zależności od tego, która kwota jest wyższa.
W przypadku małych i średnich przedsiębiorstw (MŚP), w tymstart-upów, każda kara jest ograniczona do niższej ze wskazanych procentowych wartości lub kwot.
Kroki do zgodności
Zrozumienie i kategoryzacja systemu biometrycznego
Zidentyfikuj rodzaj systemu:
Ustal, czy Twój system to system kategoryzacji biometrycznej czy system identyfikacji biometrycznej.
Oceń, czy Twój system dedukuje wrażliwe atrybuty (np. rasa, poglądy polityczne, orientacja seksualna) czy kategoryzuje niewrażliwe atrybuty (np. kolor włosów, kolor oczu).
Ocena wymagań prawnych
Zakazane systemy (artykuł 5(g)):
Zweryfikuj, czy Twój system dedukuje lub wnioskuje wrażliwe atrybuty.
Upewnij się, że takie systemy nie są wprowadzane do obrotu, uruchamiane ani używane.
Systemy wysokiego ryzyka (artykuł 6(2) i załącznik III):
Zidentyfikuj, czy Twój system należy do kategorii wysokiego ryzyka, zgodnie z definicją w załączniku III.
Zrozum wymagania regulacyjne dla systemów wysokiego ryzyka.
Wdrożenie niezbędnych zabezpieczeń dla systemów wysokiego ryzyka
Zgodność z RODO i przepisami UE:
Upewnij się, że wszystkie przetwarzane dane są zgodne z RODO i odpowiednimi przepisami UE.
Wprowadź solidne środki ochrony danych.
Przejrzystość i powiadomienie:
Poinformuj osoby narażone na systemy kategoryzacji biometrycznej wysokiego ryzyka.
Dostarcz jasne informacje o celach przetwarzania danych i prawach tych osób.
Przeprowadzenie oceny ryzyka i planu zarządzania ryzykiem
Analiza ryzyka:
Przeprowadź dokładną ocenę ryzyka, aby zidentyfikować potencjalne szkody i dyskryminacyjne skutki.
Strategie łagodzenia:
Opracuj i wdroż strategie łagodzenia zidentyfikowanych ryzyk.
Regularnie przeglądaj i aktualizuj środki łagodzenia.
Dokumentacja i prowadzenie rejestrów
Prowadzenie rejestrów:
Prowadź szczegółową dokumentację środków zgodności, ocen ryzyka i planów łagodzenia.
Dokumentuj proces podejmowania decyzji i wszelkie konsultacje z ekspertami prawnymi lub technicznymi.
Regularne monitorowanie i audyty
Ciągłe monitorowanie:
Regularnie monitoruj działanie systemów wysokiego ryzyka pod kątem zgodności.
Wprowadź mechanizm do bieżącej oceny i poprawy.
Niezależne audyty:
Przeprowadzaj niezależne audyty w celu zapewnienia zgodności z Aktem AI i pokrewnymi przepisami.
Szkolenia i świadomość
Szkolenie pracowników:
Szkol pracowników w zakresie wymagań zgodności, ochrony danych i etycznego użycia systemów biometrycznych.
Upewnij się, że wszyscy pracownicy rozumieją znaczenie przestrzegania norm prawnych i regulacyjnych.
Bądź na bieżąco ze zmianami prawnymi
Aktualizacje prawne:
Bądź na bieżąco ze zmianami i aktualizacjami w Akcie AI i odpowiednich przepisach krajowych.
Dostosuj strategie zgodności w odpowiedni sposób, aby zapewnić ciągłe przestrzeganie nowych regulacji.
Podsumowując, choć Akt AI zapewnia strukturalne podejście do regulacji systemów kategoryzacji biometrycznej, subtelna granica między zakazanymi a wysokiego ryzyka aplikacjami wymaga dogłębnego zrozumienia i starannego stosowania prawa. Potencjalne zamieszanie podkreśla potrzebę jasnych wytycznych i solidnych mechanizmów zgodności, aby zapewnić, że wdrażanie takich technologii jest zgodne zarówno z wymogami prawnymi, jak i standardami etycznymi.
Jeśli masz pytania lub chcesz dowiedzieć się więcej o obowiązkach dotyczących sztucznej inteligencji, skontaktuj się z nami już teraz na office@ipsolegal.pl lub bezpośrednio z Błażej Wągiel !