Unia Europejska wprowadziła swoje pierwsze przepisy dotyczące sztucznej inteligencji (Rozporządzenie UE nr 2024/1689 w sprawie sztucznej inteligencji) w dniu 1 sierpnia 2024 roku. Akt ten ma na celu znalezienie równowagi pomiędzy ograniczeniem ryzyk związanych z AI a promowaniem jej zastosowania, jednocześnie zapewniając, że UE pozostaje światowym liderem w innowacjach i inwestycjach w AI. Przedsiębiorstwa mają 3 lata na pełne dostosowanie się do przepisów, a wszystkie kluczowe obowiązki muszą zostać wdrożone w ciągu najbliższych 24 miesięcy.
Co reguluje AI Act?
Akt koncentruje się głównie na ochronie zdrowia, bezpieczeństwa oraz praw obywateli przed ryzykami związanymi ze sztuczną inteligencją. Kategoryzuje AI na podstawie ryzyka, dzieląc je na cztery kategorie ryzyka. To podejście oparte na ryzyku odzwierciedla kluczowy cel UE, jakim jest utrzymanie konkurencyjności i wprowadzenie proporcjonalnych regulacji dotyczących AI. Ma to na celu zapewnienie bezpiecznego stosowania AI oraz, aby obowiązki wynikające z legislacji nie stanowiły przeszkody dla bezpiecznego stosowania tej technologii.
Kogo dotyczy AI Act?
Akt dotyczy twórców, dystrybutorów i użytkowników systemów AI, którzy wdrażają AI w celach zawodowych na terenie UE, jak również dostawców z krajów trzecich (jeśli ich produkty związane z AI wpływają na UE).
Jakie kategorie ryzyka są uwzględnione w AI Act?
Ryzyko niedopuszczalne
AI zaklasyfikowane do kategorii ryzyka niedopuszczalnego są zabronione. Ta kategoria obejmuje systemy, które mogą stanowić zagrożenie dla bezpieczeństwa, źródeł utrzymania lub podstawowych praw obywateli. Przykłady podane w akcie obejmują:
– Publiczne lub prywatne systemy oceniania społecznego.
– AI, które manipuluje decyzjami użytkowników.
– Przewidywanie zachowań przestępczych wyłącznie na podstawie profilowania.
– Nietargetowane bazy danych rozpoznawania twarzy.
– Wnioskowanie emocji w miejscach pracy lub instytucjach edukacyjnych, z wyjątkiem powodów medycznych lub bezpieczeństwa.
Wysokie ryzyko
Większość przepisów aktu koncentruje się na systemach AI o wysokim ryzyku, które podlegają ścisłym regulacjom. Obejmują one AI stosowane w:
– Infrastrukturze krytycznej (np. zarządzanie i eksploatacja krytycznej infrastruktury cyfrowej).
– Biometria niezakazana (np. systemy rozpoznawania emocji).
– Edukacji i szkoleniach zawodowych (np. określanie dostępu do szkoleń).
– Zatrudnieniu (np. zarządzanie pracownikami i dostęp do samozatrudnienia).
– Niezbędnych usługach prywatnych i publicznych (np. ocena uprawnień do świadczeń i usług).
– Egzekwowaniu prawa (np. profilowanie podczas wykrywania, ścigania lub prowadzenia postępowań karnych).
– Kontroli granicznej (np. wykrywacze kłamstw).
– Ubezpieczeniach zdrowotnych lub na życie (np. oceny ryzyka i ustalanie cen).
– Administracji wymiaru sprawiedliwości i procesach demokratycznych (np. systemy wykorzystywane do badań i interpretacji faktów).
Ograniczone ryzyko
Ta kategoria jest mniejsza w porównaniu z pozostałymi trzema, a obowiązki są mniej restrykcyjne, skupiają się na przejrzystości. Zakłada, że deweloperzy i dostawcy muszą zapewnić, że końcowi użytkownicy są świadomi, że mają do czynienia z AI. Na przykład użytkownicy powinni wiedzieć, że mają do czynienia z AI podczas interakcji z chatbotem lub deep-fake.
Minimalne ryzyko
Systemy, które nie są objęte żadną z pozostałych trzech kategorii, są nieregulowane. Do tej kategorii należy większość aplikacji AI dostępnych obecnie na jednolitym rynku UE, takich jak gry wideo z AI czy filtry antyspamowe.
Obowiązki dostawców AI wysokiego ryzyka
AI o wysokim ryzyku podlega ścisłym regulacjom przed wprowadzeniem na rynek, w tym:
– Wdrożenie szczegółowego systemu zarządzania ryzykiem oraz testowanie przez cały cykl życia systemu AI;
– Zapewnienie wysokiej jakości zbiorów danych i zarządzania danymi w celu zapewnienia dokładności i wiarygodności danych wykorzystywanych przez AI;
– Utrzymywanie szczegółowej dokumentacji technicznej oraz prowadzenie rejestrów w celu ułatwienia audytów i identyfikowalności;
– Zapewnienie odpowiedniego nadzoru ludzkiego w celu minimalizacji ryzyka;
– Dostarczenie instrukcji użytkowania i zgodności dla dalszych użytkowników;
– Zapewnienie dokładności, odporności i cyberbezpieczeństwa.
Egzekwowanie i kary
Europejski Urząd ds. Sztucznej Inteligencji został ustanowiony przez Komisję Europejską do egzekwowania przepisów AI na poziomie UE. Na poziomie krajowym, państwa członkowskie UE muszą ustanowić swoje własne krajowe organy kompetencyjne do egzekwowania przepisów w swoich krajach przed przyszłym sierpniem. Firmy, które nie dostosują się do przepisów, mogą zostać ukarane grzywną w wysokości do 35 milionów euro lub 7% rocznego światowego obrotu.
Jeśli masz pytania lub chcesz dowiedzieć się więcej o obowiązkach dotyczących sztucznej inteligencji, skontaktuj się z nami już teraz na office@ipsolegal.pl lub bezpośrednio z Błażej Wągiel !