22.08.2024 Własność intelektualna

AI Act wchodzi w życie


1 sierpnia wszedł w życie jeden z najbardziej oczekiwanych europejskich aktów prawnych – tzw. AI Act. Po blisko trzyletnich pracach Unia Europejska wreszcie doczekała się pierwszej na świecie kompleksowej regulacji prawnej dotyczącej sztucznej inteligencji. Akt ma formę rozporządzenia, a co za tym idzie, jego przepisy obowiązują bezpośrednio we wszystkich państwach członkowskich.

Nie ulega wątpliwości, że AI Act jest pierwszym na świecie tak kompleksowym aktem prawnym regulującym zagadnienia dotyczące systemów sztucznej inteligencji (artificial intelligence – AI). Nowe przepisy obejmują takie zagadnienia jak wprowadzanie do obrotu, czy korzystanie z systemów opartych na sztucznej inteligencji. Celem nowego rozporządzenia1 jest zapewnienie bezpiecznego otoczenia prawnego dla rozwoju i promocji sztucznej inteligencji i ograniczenie (minimalizacja) ryzyka ewentualnych nadużyć, jakie mogą mieć miejsce na etapie korzystania lub rozwoju AI.

Czym jest sztuczna inteligencja?

Zgodnie z definicją zawartą w rozporządzeniu systemem sztucznej inteligencji jest system maszynowy zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.

Jak można zauważyć definicja z AI Act zawiera liczne zwroty nieostre, które mogą potencjalnie powodować pewne trudności w określeniu, czy konkretne rozwiązanie należy uznać za AI, czy nie. Zwroty takie jak „różny poziom autonomii” „może wykazywać zdolność adaptacji” niosą za sobą pewne ryzyko (a może możliwość) szerszego stosowania rozporządzenia, niż mogłoby się wydawać w pierwszej chwili. Za system AI mógłby więc zostać teoretycznie uznany również system, który charakteryzuje się minimalnym stopniem autonomii, wymagający dużego wkładu lub udziału człowieka, pozbawiony cech „uczenia maszynowego”.

Jednakże, jak to często ma miejsce, faktyczny zakres tej definicji zostanie określony w drodze praktyki, poprzez orzecznictwo sądów europejskich i krajowych oraz poprzez decyzje odpowiednich organów.

Kogo powinien zainteresować AI Act

Z przepisów nowego rozporządzenia wynika, iż dotyczy ono dość szerokiego grona podmiotów, wśród których są dostawcy, importerzy, dystrybutorzy i użytkownicy systemów sztucznej inteligencji, przy czym w przypadku dostawców AI Act znajdzie zastosowanie także do podmiotów spoza UE w przypadku gdy wyniki wytworzone przez system sztucznej inteligencji są wykorzystywane w Unii.

W art. 2 ust. 3 znalazły się wyłączenia spod zastosowania rozporządzenia. I tak, AI Act nie będzie miał zastosowania np. do systemów AI wykorzystywanych wyłącznie do celów wojskowych, obronnych lub bezpieczeństwa narodowego, a także do systemów, które nie zostały wprowadzone do obrotu ani oddane do użytku w UE, a których wyniki są wykorzystywane w Unii wyłącznie do powyższych celów

Klasyfikacja ryzyka – główna oś rozporządzenia

Najważniejszą sferą regulowaną przez nowe rozporządzenie i niejako jego kręgosłupem jest klasyfikacja systemów sztucznej inteligencji ze względu na poziom ryzyka związanego z ich stosowaniem. Jest to o tyle istotne, że w zależności od klasy ryzyka, do której zakwalifikowany będzie dany system AI, różne będą obowiązki i odpowiedzialność przedsiębiorców. W uproszczeniu – im wyższy stopień ryzyka, tym więcej obowiązków przedsiębiorca będzie musiał spełnić by wprowadzić do obrotu system sztucznej inteligencji bądź go stosować.

AI Act wyróżnia cztery kategorie systemów sztucznej inteligencji oparte na ryzyku, jakie dane systemy mogą stwarzać wobec podstawowych praw i wolności. Są to:

  1. kategoria niskiego (minimalnego) ryzyka, w tym w szczególności gry wideo wykorzystujące AI oraz filtry antyspamowe;
  2. kategoria ograniczonego ryzyka – systemy AI, które wymagają od dostawców zapewnienia przejrzystości i informowania użytkowników o interakcji ze sztuczną inteligencją, np. chatboty oraz systemy manipulujące treściami audio/wideo (tzw. systemy „deepfake”);
  3. kategoria wysokiego ryzyka – systemy AI stosowane w kluczowych dla życia i zdrowia obszarach takich jak medycyna, transport, zatrudnienie mogące mieć niekorzystny wpływ na bezpieczeństwo i prawa podstawowe, np.: systemy identyfikacji biometrycznej, systemy związane z: zarządzaniem i funkcjonowaniem infrastruktury krytycznej, z edukacją i szkoleniem (systemy rekrutacyjne i oceniające), z zatrudnieniem i HR, z dostępem do usług (systemy oceny zdolności kredytowej), związane z egzekwowaniem prawa (systemy oceny ryzyka popełnienia przestępstwa przez daną osobę, oceny stanów emocjonalnych, wykrywania deep fake’ów, oceny wartości dowodów), przeznaczone do zarządzania migracją, etc.; systemy tej kategorii muszą spełniać ścisłe wymogi m.in. dotyczące przejrzystości i nadzoru;
  4. kategoria niedopuszczalnego ryzyka – systemy zakazane ze względu na potencjalnie niebezpieczne zastosowania; systemy o potencjale manipulowania ludźmi, oparte na technikach podprogowych działających na podświadomość lub wykorzystujące słabości pewnych grup, jak dzieci, czy osoby niepełnosprawne, systemy zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej do celów egzekwowania prawa, czy systemy tzw. scoringu społecznego.

Systemy wysokiego ryzyka

Nie dziwi fakt, że duża część przepisów nowego rozporządzenia poświęcona została systemom AI wysokiego ryzyka, które zostały szczegółowo sklasyfikowane w Załączniku III do rozporządzenia. Celem tak szczegółowej regulacji jest zapewnienie, że systemy AI wysokiego ryzyka będą mogły być rozwijane, wprowadzane do obrotu i wykorzystywane w sposób bezpieczny i odpowiedzialny.

Ze względu na potencjalne zagrożenie jakie tego typu systemy mogą powodować, rozporządzenie określa szereg wymogów, jakie muszą spełniać systemy AI sklasyfikowane w grupie wysokiego ryzyka, aby mogły zostać wprowadzone na rynek.

Systemy takie muszą przede wszystkim podlegać rygorystycznej procedurze oceny zgodności, która obejmuje zarówno testy techniczne, jak i audyt dotyczący zgodności z wymogami prawnymi i etycznymi. Zapewnione musi być również działanie takich systemów w sposób przejrzysty.

Po wprowadzeniu na rynek działanie systemów wysokiego ryzyka musi być w sposób ciągły monitorowane, aby możliwe było wykrywanie i minimalizowanie potencjalnych ryzyk. Natomiast wszelkie incydenty lub nieprawidłowości muszą być zgłaszane do organów nadzoru.

Warto wspomnieć, że w odniesieniu do systemów wysokiego ryzyka rozporządzenie wprowadziło obowiązek ich rejestracji w specjalnej bazie danych, sporządzenie deklaracji zgodności i uzyskanie oznaczenia CE.

Nowe obowiązki dla przedsiębiorców

Jak wspomniałem, nowe rozporządzenie adresowane jest w szczególności do przedsiębiorców uczestniczących w procesie rozwoju i wprowadzania na rynek oraz korzystania z systemów sztucznej inteligencji. Na poszczególne kategorie przedsiębiorców w łańcuchu dostaw AI Act nakłada szereg obowiązków.

Na dostawcach, którzy odgrywają kluczową rolę w procesie rozwoju systemów lub modeli AI, spoczywa odpowiedzialność za zapewnienie zgodności systemu z wymogami rozporządzenia. Dostawcy zostali zobowiązani do przeprowadzania ocen ryzyka, dostarczania odpowiedniej dokumentacji systemów i zapewnienia, że ich systemy są bezpieczne i przejrzyste. W przypadku systemów wysokiego ryzyka dostawcy będą również odpowiedzialni za regularne przeprowadzanie audytów zgodności oraz aktualizacji rozwijanych systemów.

Natomiast dystrybutorom i importerom powierzono obowiązek upewniania się, że systemy oparte na sztucznej inteligencji, które są wprowadzane na rynek spełniają wszystkie wymogi prawne. W przypadku naruszeń przedsiębiorcy ci mogą odpowiadać na podobnych zasadach co dostawcy.

Użytkownicy systemów AI zostali natomiast zobowiązani do monitorowania używanych systemów i zgłaszania problemów związanych z ich działaniem. Użytkownicy muszą również stosować się do wytycznych dostawców i zapewniać używanie systemów zgodnie z ich przeznaczeniem.

System zarządzania ryzykiem

Przepisy rozporządzenia przewidują ustanowienie i wdrożenie systemu zarządzania ryzykiem w odniesieniu do systemów AI wysokiego ryzyka. System ten jest rozumiany jako ciągły, iteracyjny (powtarzalny) proces realizowany przez cały cykl życia systemu obejmujący:

  • Identyfikację i analizę znanych i dających się przewidzieć zagrożeń,
  • Ocenę innego mogącego wystąpić ryzyka na podstawie analizy danych z systemu monitorowania po wprowadzeniu do obrotu,
  • Przyjęcie odpowiednich środków zarządzania ryzykiem.

Środki zarządzania ryzykiem mają przede wszystkim zapewnić eliminację lub ograniczenie ryzyk zidentyfikowanych i ocenionych poprzez odpowiedni projekt systemu AI i proces jego opracowywania lub wdrożenie odpowiednich środków ograniczających i kontrolujących ryzyko, którego nie da się wyeliminować.

Sankcje

Nowe rozporządzenie wprowadza surowe sankcje dla przedsiębiorców, którzy naruszają jego przepisy. Przewidziane przepisami AI Act kary finansowe za najpoważniejsze naruszenia, takie jak stosowanie zakazanych systemów sztucznej inteligencji, wynoszą 35.000.000 euro lub 7% rocznego globalnego obrotu przedsiębiorcy, w zależności która kwota jest wyższa.

Inne naruszenia (np. brak zabezpieczeń, niewłaściwe zarządzanie danymi) są zagrożone karami w kwocie 15.000.000 euro lub 3% rocznego globalnego obrotu. Natomiast za przekazywanie informacji nieprawdziwych lub wprowadzających w błąd grozi kara w wysokości 7.500.000 euro lub 1% całkowitego rocznego globalnego obrotu.

AI a rynek

Z lektury AI Act można wysnuć wniosek, że intencją UE nie jest nadmierne regulowanie sztucznej inteligencji oraz ingerencja w rozwój rynku systemów sztucznej inteligencji. Można odnieść wrażenie, że zakres regulacji proponowanych w projekcie rozporządzenia jest dosyć wąski w kwestiach dotyczących rynku.

Unia zdaje się promować odpowiedzialny rozwój sztucznej inteligencji wprowadzając zachęty dla innowatorów i startupów dając im m.in. dostęp do tzw. piaskownic regulacyjnych ustanawianych przez organy państw członkowskich. Mają one stanowić środowisko do opracowywania, trenowania, testowania i walidowania innowacyjnych systemów sztucznej inteligencji pod nadzorem organów krajowych i przy ich wsparciu. Piaskownice mają umożliwiać również testowanie systemów AI w warunkach rzeczywistych – oczywiście pod odpowiednim nadzorem.

Wejście w życie AI Act

Nowe rozporządzenie, za względu na rozległość regulacji będzie wprowadzane w życie etapami.

Jak już wspomniałem, 1 sierpnia 2024 roku nowa regulacja została oficjalnie obowiązywać. Natomiast większość jej przepisów zacznie być stosowana dopiero od sierpnia 2026 roku (24 miesiące od wejścia w życie). Jednakże od tej zasady AI Act przewiduje wyjątki. Wcześniej, bo już w lutym 2025 roku wejdą w życie przepisy ogólne oraz dotyczące praktyk zakazanych i niedopuszczalnych systemów AI. Natomiast od sierpnia 2025 roku obowiązywać będą przepisy rozdziałów III (sekcja 4), V, VII i XII, tj. przepisy dotyczące organów notyfikujących i jednostek notyfikowanych, modeli AI ogólnego przeznaczenia, Europejskiej Rady ds. Sztucznej Inteligencji oraz sankcji.

Najpóźniej, bo w sierpniu 2027 roku wejdzie w życie ostatnia grupa przepisów opartych na art. 6 ust. 1 rozporządzenia, czyli przepisów odnoszących się do systemów AI wysokiego ryzyka.

Takie wprowadzanie przepisów partiami ma na celu umożliwienie należytego przygotowania się do ich stosowania zarówno przez organy administracji, jak i przez przedsiębiorców zajmujących się systemami AI.

W czym możemy pomóc?

Nasza Kancelaria oferuje kompleksowe doradztwo prawne w zakresie dostosowania do AI Act oraz związane ogólnie ze sztuczną inteligencją.

Nasze usługi w tym zakresie obejmują:

  • Ocenę skutków AI Act dla przedsiębiorcy
  • Doradztwo dotyczące rozwiązań jakie przedsiębiorca powinien wprowadzić, by działać zgodnie z przepisami
  • Analizę ryzyk prawnych związanych z obecnie prowadzoną działalnością związaną z systemami AI
  • Przeprowadzanie szkoleń i warsztatów

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 roku w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji)


Piotr Dudek Dyrektor Działu Nowych Technologii, Defence & Aerospace, Adwokat
TGC Corporate Lawyers
Chcesz być na bieżąco?
Subskrybuj nasz newsletter!
Pełna treść zgody

TGC Corporate Lawyers

ul. Hrubieszowska 2
01-209 Warszawa
Polska

+48 22 295 33 00
contact@tgc.eu

NIP: 525-22-71-480, KRS: 0000167447,
REGON: 01551820200000. Sąd Rejonowy dla
m.st. Warszawy, XII Wydział Gospodarczy

Mapa