AI Act – rozporządzenie o sztucznej inteligencji. Jak klasyfikuje systemy AI?
Ustawa o sztucznej inteligencji budzi wiele pytań. Kiedy AI Act wchodzi w życie? Kogo obowiązuje AI Act? Co to właściwie są systemy sztucznej inteligencji w świetle nowych przepisów? Jak rozporządzenie klasyfikuje różne typy rozwiązań opartych na AI? Wyjaśniamy najważniejsze kwestie.
Czy ustawa o sztucznej inteligencji już weszła w życie?
Jeśli chodzi o AI Act i to, kiedy wchodzi w życie, trzeba zaznaczyć, że prace nad tym rozporządzeniem zbliżają się ku finałowi – możliwe, że w momencie, gdy czytają Państwo ten tekst, procedura legislacyjna będzie już zakończona. Zgodnie z projektowanymi regulacjami, systemem sztucznej inteligencji jest rozwiązanie maszynowe zaprojektowane do działania z pewnym poziomem autonomii, który może po wdrożeniu wykazywać zdolność adaptacji oraz wnioskujące z otrzymywanych danych, aby wytwarzać rezultaty w postaci prognoz, treści, rekomendacji czy decyzji wpływających na otoczenie rzeczywiste lub cyfrowe.
Taka definicja ma szeroki zakres zastosowania. W odróżnieniu od pierwotnego projektu Komisji Europejskiej, który katalog technik/rozwiązań, których wykorzystanie było jedną z przesłanek uznania oprogramowania za system AI, ostatecznie nie zdecydowano się na wskazywanie takiego katalogu. AI Act w Polsce, podobnie jak w całej Unii, nie skupia się na aspektach technicznych – istotne jest wyłącznie to, czy mamy do czynienia z rozwiązaniem wykorzystującym maszynę, wykazującym chociaż minimalny poziom autonomii i produkującym rezultaty w oparciu o wprowadzane dane.
Na czym polega AI Act?
AI Act po polsku, tak jak wiele innych unijnych aktów prawnych z ostatnich lat, jest oparty o zasadę ryzyka („risk based approach”). W praktyce oznacza to, że obciążenia regulacyjne są zróżnicowane w zależności od poziomu zagrożenia, jakie niesie dany rodzaj systemu. Punktem referencyjnym dla oceny ryzyka są: zdrowie, bezpieczeństwo oraz podstawowe prawa jednostek. Na podstawie kryterium ryzyka, rozporządzenie wyodrębnia kilka kategorii systemów AI.
AI Act – klasyfikacja systemów sztucznej inteligencji
Systemy zakazane
AI Act rozporządzenie przewiduje zakaz wprowadzania na rynek, udostępniania oraz używania na obszarze Unii Europejskiej określonych systemów AI uznanych za niemożliwe do pogodzenia z wartościami UE. Co zakazuje AI Act? Mowa o systemach wykorzystujących techniki podprogowe bądź manipulacyjne, które osłabiają zdolność do świadomego decydowania i prowadzą do istotnej szkody (faktycznej lub potencjalnej). Kolejną zakazaną kategorią są systemy wykorzystujące ludzkie słabości (związane z wiekiem, niepełnosprawnością czy sytuacją społeczno–ekonomiczną), które wywołują lub mogą wywołać poważne szkody.
Dodatkowo zabronione będzie stosowanie systemów scoringu społecznego (przez podmioty publiczne i prywatne), a także systemów służących do rozpoznawania emocji w miejscach pracy oraz placówkach edukacyjnych (z określonymi wyjątkami). Natomiast rozpoznawanie emocji w innych kontekstach społecznych nie będzie automatycznie zakazane.
Systemy wysokiego ryzyka
Rozporządzenie AI Act wyróżnia kategorię systemów wysokiego ryzyka – są to rozwiązania, które można wprowadzać do obrotu, oddawać do użytku i wykorzystywać w UE, lecz wyłącznie przy spełnieniu wymogów regulacyjnych określonych w AI Act. Ta kategoria stanowi sedno AI Act, ponieważ większość przepisów dotyczy właśnie takich systemów. Jeżeli dany system AI nie jest zakazany ani nie zalicza się do wysokiego ryzyka, wpływ AI Act na takie rozwiązanie będzie znacznie ograniczony (w przypadku „pozostałych systemów regulowanych” – opisanych dalej) lub w ogóle nie wystąpi, chyba że dostawca lub użytkownik dobrowolnie zdecyduje się zastosować określone mechanizmy.
Warto podkreślić, że ustalenie, czy konkretny system AI stanowi system wysokiego ryzyka, może być złożone, biorąc pod uwagę metodologię klasyfikacji przyjętą w AI Act. Systemami wysokiego ryzyka są przede wszystkim systemy odpowiedzialne za bezpieczeństwo produktów objętych unijnymi przepisami harmonizacyjnymi wymienionymi w załączniku I do rozporządzenia, lub same stanowiące takie produkty – jednak tylko wtedy, gdy przepisy harmonizacyjne wymagają oceny zgodności produktu przez niezależną stronę trzecią (zewnętrzną jednostkę certyfikującą). Przykładami takich produktów są zabawki, sprzęt medyczny czy dźwigi.
Przykład: system AI odpowiedzialny za bezpieczeństwo produktu objętego regulacjami AI Act, dla którego procedura oceny zgodności jest realizowana wewnętrznie przed producenta w ramach systemu kontroli wewnętrznej – nie jest to system wysokiego ryzyka.
Drugą grupę systemów wysokiego ryzyka stanowią inne systemy wskazane w załączniku III do AI Act. Należą do nich w szczególności: wybrane systemy zdalnej identyfikacji biometrycznej oraz kategoryzacji biometrycznej, systemy służące do rozpoznawania emocji (w zakresie, w jakim nie podlegają zakazowi), systemy używane przez pracodawców w procesach rekrutacji (np. publikowanie ukierunkowanych ogłoszeń o pracę, selekcja aplikacji, ewaluacja kandydatów) lub do decyzji dotyczących różnych wymiarów stosunku pracy (np. przydzielanie zadań zgodnie z cechami osobowości, kontrola efektywności), systemy używane do oceny zdolności kredytowej lub określania ryzyka ubezpieczeniowego.
W odniesieniu do drugiej grupy istnieje możliwość odstępstwa, o ile system AI nie dokonuje profilowania osób fizycznych (systemy profilujące nie mogą z tego wyłączenia korzystać). Mechanizm polega na tym, że system AI wymieniony w załączniku III nie zostanie zakwalifikowany jako system wysokiego ryzyka, gdy nie stwarza istotnego zagrożenia dla zdrowia, bezpieczeństwa lub podstawowych praw osób fizycznych. Ogólnie rzecz ujmując, takiego zagrożenia nie będzie, jeśli wpływ systemu na rezultat procesu decyzyjnego, w którym uczestniczy, nie jest znaczący – na przykład dlatego, że realizuje jedynie wąskie działania proceduralne lub czynności przygotowawcze albo ma za zadanie ulepszanie efektu wcześniej wykonanej działalności ludzkiej.
Pozostałe systemy regulowane
AI Act w Polsce nakłada szczególne obowiązki transparentności wobec systemów AI przeznaczonych do bezpośredniej interakcji z ludźmi, jak również generujących syntetyczne treści – dźwięki, obrazy, materiały wideo lub teksty, włącznie z deepfake’ami – lub służących do rozpoznawania emocji czy kategoryzacji biometrycznej (o ile takie systemy nie są zakazane przez AI Act). Uzasadnieniem jest szczególne ryzyko związane z tego rodzaju rozwiązaniami AI.
Wymogi transparentności dotyczące wymienionych systemów AI będą się nakładać na wymogi przewidziane dla systemów wysokiego ryzyka, jeśli konkretny system spełnia kryteria obu tych kategorii. Gdy dany system AI nie jest systemem wysokiego ryzyka, będzie musiał spełnić wyłącznie wymogi dotyczące przejrzystości.
Modele AI ogólnego przeznaczenia
AI Act reguluje także modele AI ogólnego przeznaczenia, które zostały wprowadzone na późniejszym etapie prac legislacyjnych. Są to modele wykazujące znaczną ogólność, zdolne do kompetentnego realizowania różnorodnych zadań (niezależnie od metody wprowadzenia modelu na rynek), które można integrować z rozmaitymi systemami lub aplikacjami niższego poziomu. Mowa tu więc o modelach podstawowych, na których można budować różnorodne systemy AI.
Modelem ogólnego przeznaczenia będą m.in. modele posiadające co najmniej miliard parametrów, trenowane przy użyciu dużych zbiorów danych. W obrębie tej kategorii wyróżnia się dodatkowo podkategorię modeli AI ogólnego przeznaczenia z ryzykiem systemowym, czyli takich, które mają zdolność wywierania dużego wpływu (uznaje się, że taki duży wpływ występuje, gdy do trenowania modeli wykorzystano łączną liczbę obliczeń przekraczającą 10^25 FLOP).
Modele AI ogólnego przeznaczenia nie są same w sobie systemami AI ze względu na brak niektórych komponentów, jak np. interfejs komunikacji z użytkownikiem. Mimo wszystko stanowią ważny element wielu takich systemów, dlatego też objęto je regulacją AI Act, przy czym modele z ryzykiem systemowym poddane są większym rygorom.
Systemy małego ryzyka
Systemy, które nie niosą wysokiego ryzyka ani nie wymagają szczególnej przejrzystości, dostawcy oraz użytkownicy AI będą mogli dobrowolnie przyjąć wszystkie lub wybrane mechanizmy, o których mowa w rozporządzeniu AI Act. Może to znaleźć wyraz szczególnie w różnych kodeksach dobrych praktyk.
Jakie kary przewiduje AI Act dla firm?
Rozporządzenie przewiduje dotkliwe kary finansowe za naruszenie przepisów, które mogą sięgać nawet kilkudziesięciu milionów euro lub stanowić określony procent globalnego rocznego obrotu firmy. Jeśli chodzi o AI Act, wejście w życie nowych regulacji ma nastąpić już niebawem, dlatego warto się odpowiednio przygotować już teraz. Jeśli Twoja firma potrzebuje wsparcia w zakresie zgodności z nowymi regulacjami unijnymi w zakresie IT i nowych technologii, Kancelaria Prawna GFP Legal oferuje profesjonalne doradztwo prawne w tym obszarze.
Materiał prasowy: radca prawny Piotr Grzelczak.
