Legal Alert: Rozporządzenie AI Act

W związku z rosnącą liczbą wątpliwości dotyczących bezpieczeństwa nowo powstających technologii opartych na AI, organy Unii Europejskiej podjęły działania w celu opracowania kompleksowej regulacji dotyczącej sztucznej inteligencji.

Głównym celem regulacji jest stworzenie środowiska prawnego, w którym zapewniona będzie możliwość bezpiecznego rozwoju w dziedzinie systemów AI, tak aby nie stwarzały one ryzyka naruszenia praw podstawowych (np. poprzez dyskryminację niektórych grup osób). Istotnym wyzwaniem jest skonstruowanie definicji sztucznej inteligencji, aby z jednej strony była ona zwarta i przejrzysta, ale jednocześnie obejmowała swoim zakresem wszystkie systemy, które tego wymagają.

W pierwszym projekcie Rozporządzenia AI Act, opublikowanym przez Komisję Europejską w październiku 2021 roku, zaproponowano podejście do systemów AI jako oprogramowania opartego na uczeniu maszynowym, logice lub wiedzy, bądź podejściu statystycznym. W niedawno ogłoszonych poprawkach, główny nacisk definicji postawiono na systemy wykorzystujące mechanizmy uczenia maszynowego, generujące dane, mające wpływ na środowisko fizyczne i wirtualne oraz działające na różnych poziomach autonomii.

Istotnym elementem obecnym w projekcie Rozporządzenia AI Act od 2021 roku jest podział systemów sztucznej inteligencji ze względu na potencjalny poziom ryzyka, jaki mogą one generować. Zgodnie z nim, wydzielono następujące rodzaje systemów AI:

Należą do nich m.in. systemy: oparte na technikach podprogowych (np. mających na celu nakłonienie konsumenta do zakupu produktu lub usługi); wykorzystujące słabości określonej grupy społecznej (np. eliminujące osoby w starszym wieku); punktowej oceny społecznej (np. w ramach kwalifikacji do otrzymania pomocy socjalnej); wykorzystujące identyfikację biometryczną w czasie rzeczywistym w przestrzeni publicznej (np. w celu egzekwowania prawa). Systemy tego typu mają zostać zakazane.

Jest to grupa systemów związanych z: identyfikacją biometryczną (wykorzystywaną np. w celu wnioskowania o cechach osoby fizycznej); zarządzaniem infrastrukturą krytyczną (np. lotniska, gazociągi); edukacją (np. ocenianie uczniów w szkołach); zatrudnieniem (np. zautomatyzowane systemy oceniające kandydatów do pracy); dostępem do usług (takich jak np. opieka zdrowotna, Internet); ściganiem przestępstw (np. do celów analizy przestępczości); zarządzaniem migracją ludności (służące m.in. do weryfikacji dokumentów); sprawowaniem wymiaru sprawiedliwości (np. wspomaganie organów w badaniu faktów i prawa). Odpowiedzialność nad ich właściwym funkcjonowaniem ciążyć ma w głównej mierze na dostawcach systemów.

Do ostatniej podkategorii zaliczyć należy wszystkie systemy nienależące do żadnej innej kategorii.

Obowiązki wynikające z Rozporządzenia AI Act to w dużej mierze wymogi nakładane na systemy wysokiego ryzyka. Dotyczą one sporządzenia odpowiedniej dokumentacji oraz zarządzania danymi w odpowiedni i bezpieczny sposób. Wprowadzono także obowiązek rejestracji tego typów systemów w unijnej bazie danych.

Powstała także propozycja wprowadzenia do Rozporządzenia AI Act ogólnych zasad, które obowiązywałyby niezależnie od klasyfikacji danego systemu. Należą do nich:

• nadzór nad systemami AI – rozwój i wykorzystywanie systemów powinno podlegać ludzkiej kontroli;
• niezawodność i bezpieczeństwo – minimalizowanie ryzyka wystąpienia nieoczekiwanych problemów w związku z wykorzystywaniem systemu AI;
• zarządzanie prywatnością i danymi – zgodność z zasadami ochrony prywatności i danych;
• przejrzystość – szczególny nacisk na możliwość śledzenia sposobu funkcjonowania systemu oraz odpowiedniego informowania użytkowników;
• różnorodność, niedyskryminacja i sprawiedliwość – opracowywanie systemów przy wykorzystaniu reprezentatywnych danych oraz unikanie dyskryminujących skutków;
• dobrostan społeczny i środowiskowy – zrównoważony i przyjazny dla środowiska rozwój.

Rozporządzenie AI Act zawiera także opis środków mających wspierać innowacyjność na rynku technologii AI. Należą do nich piaskownice regulacyjne w zakresie sztucznej inteligencji, wydarzenia informacyjne oraz ustanowienie Europejskiego Urzędu ds. Sztucznej Inteligencji. Nowy, niezależny organ, z siedzibą w Brukseli, ma za zadanie m.in. monitorowanie stosowania Rozporządzenia AI Act oraz koordynację działań państw członkowskich poprzez wspieranie współpracy i doradztwo. 

Kancelaria KPMG Law oferuje m.in.:

• analizy pod kątem zastosowania Rozporządzenia AI Act do sytuacji faktycznej i prawnej konkretnych klientów;
• doradztwo w zakresie spełniania przez przedsiębiorców obowiązków wynikających z Rozporządzenia AI Act;
• wsparcie w dokonaniu klasyfikacji stosowanych systemów sztucznej inteligencji;
• opracowanie treści obowiązkowych informacji dla użytkowników systemów AI (w tym wymaganych na podstawie przepisów o ochronie danych osobowych);
• analizy co do skutków rozwiązań AI dla ochrony danych (Data Protection Impact Assessment) oraz dla praw podstawowych.

W przypadku pytań, zachęcamy do kontaktu.