Jeszcze pod koniec 2023 roku można spodziewać się wejścia w życie długo wyczekiwanej regulacji, która może zapoczątkować przemiany na rynku technologii AI.
Czym jest Rozporządzenie AI Act?
W związku z rosnącą liczbą wątpliwości dotyczących bezpieczeństwa nowo powstających technologii opartych na AI, organy Unii Europejskiej podjęły działania w celu opracowania kompleksowej regulacji dotyczącej sztucznej inteligencji.
Głównym celem regulacji jest stworzenie środowiska prawnego, w którym zapewniona będzie możliwość bezpiecznego rozwoju w dziedzinie systemów AI, tak aby nie stwarzały one ryzyka naruszenia praw podstawowych (np. poprzez dyskryminację niektórych grup osób). Istotnym wyzwaniem jest skonstruowanie definicji sztucznej inteligencji, aby z jednej strony była ona zwarta i przejrzysta, ale jednocześnie obejmowała swoim zakresem wszystkie systemy, które tego wymagają.
W pierwszym projekcie Rozporządzenia AI Act, opublikowanym przez Komisję Europejską w październiku 2021 roku, zaproponowano podejście do systemów AI jako oprogramowania opartego na uczeniu maszynowym, logice lub wiedzy, bądź podejściu statystycznym. W niedawno ogłoszonych poprawkach, główny nacisk definicji postawiono na systemy wykorzystujące mechanizmy uczenia maszynowego, generujące dane, mające wpływ na środowisko fizyczne i wirtualne oraz działające na różnych poziomach autonomii.
Podział systemów ze względu na poziom ryzyka
Istotnym elementem obecnym w projekcie Rozporządzenia AI Act od 2021 roku jest podział systemów sztucznej inteligencji ze względu na potencjalny poziom ryzyka, jaki mogą one generować. Zgodnie z nim, wydzielono następujące rodzaje systemów AI:
Systemy stwarzające niedozwolone ryzyko
Należą do nich m.in. systemy: oparte na technikach podprogowych (np. mających na celu nakłonienie konsumenta do zakupu produktu lub usługi); wykorzystujące słabości określonej grupy społecznej (np. eliminujące osoby w starszym wieku); punktowej oceny społecznej (np. w ramach kwalifikacji do otrzymania pomocy socjalnej); wykorzystujące identyfikację biometryczną w czasie rzeczywistym w przestrzeni publicznej (np. w celu egzekwowania prawa). Systemy tego typu mają zostać zakazane.
Systemy wysokiego ryzyka
Jest to grupa systemów związanych z: identyfikacją biometryczną (wykorzystywaną np. w celu wnioskowania o cechach osoby fizycznej); zarządzaniem infrastrukturą krytyczną (np. lotniska, gazociągi); edukacją (np. ocenianie uczniów w szkołach); zatrudnieniem (np. zautomatyzowane systemy oceniające kandydatów do pracy); dostępem do usług (takich jak np. opieka zdrowotna, Internet); ściganiem przestępstw (np. do celów analizy przestępczości); zarządzaniem migracją ludności (służące m.in. do weryfikacji dokumentów); sprawowaniem wymiaru sprawiedliwości (np. wspomaganie organów w badaniu faktów i prawa). Odpowiedzialność nad ich właściwym funkcjonowaniem ciążyć ma w głównej mierze na dostawcach systemów.
Systemy ograniczonego ryzyka
Do ostatniej podkategorii zaliczyć należy wszystkie systemy nienależące do żadnej innej kategorii.
Obowiązki wynikające z Rozporządzenia AI Act to w dużej mierze wymogi nakładane na systemy wysokiego ryzyka. Dotyczą one sporządzenia odpowiedniej dokumentacji oraz zarządzania danymi w odpowiedni i bezpieczny sposób. Wprowadzono także obowiązek rejestracji tego typów systemów w unijnej bazie danych.
Powstała także propozycja wprowadzenia do Rozporządzenia AI Act ogólnych zasad, które obowiązywałyby niezależnie od klasyfikacji danego systemu. Należą do nich:
- nadzór nad systemami AI – rozwój i wykorzystywanie systemów powinno podlegać ludzkiej kontroli;
- niezawodność i bezpieczeństwo – minimalizowanie ryzyka wystąpienia nieoczekiwanych problemów w związku z wykorzystywaniem systemu AI;
- zarządzanie prywatnością i danymi – zgodność z zasadami ochrony prywatności i danych;
- przejrzystość – szczególny nacisk na możliwość śledzenia sposobu funkcjonowania systemu oraz odpowiedniego informowania użytkowników;
- różnorodność, niedyskryminacja i sprawiedliwość – opracowywanie systemów przy wykorzystaniu reprezentatywnych danych oraz unikanie dyskryminujących skutków;
- dobrostan społeczny i środowiskowy – zrównoważony i przyjazny dla środowiska rozwój.
Rozporządzenie AI Act zawiera także opis środków mających wspierać innowacyjność na rynku technologii AI. Należą do nich piaskownice regulacyjne w zakresie sztucznej inteligencji, wydarzenia informacyjne oraz ustanowienie Europejskiego Urzędu ds. Sztucznej Inteligencji. Nowy, niezależny organ, z siedzibą w Brukseli, ma za zadanie m.in. monitorowanie stosowania Rozporządzenia AI Act oraz koordynację działań państw członkowskich poprzez wspieranie współpracy i doradztwo.
Jak możemy pomóc?
Kancelaria KPMG Law oferuje m.in.:
- analizy pod kątem zastosowania Rozporządzenia AI Act do sytuacji faktycznej i prawnej konkretnych klientów;
- doradztwo w zakresie spełniania przez przedsiębiorców obowiązków wynikających z Rozporządzenia AI Act;
- wsparcie w dokonaniu klasyfikacji stosowanych systemów sztucznej inteligencji;
- opracowanie treści obowiązkowych informacji dla użytkowników systemów AI (w tym wymaganych na podstawie przepisów o ochronie danych osobowych);
- analizy co do skutków rozwiązań AI dla ochrony danych (Data Protection Impact Assessment) oraz dla praw podstawowych.
W przypadku pytań, zachęcamy do kontaktu.