• 1000

Rozporządzenie AI Act zostanie w najbliższych dniach opublikowane w Dzienniku Urzędowym Unii Europejskiej i wejdzie w życie dwadzieścia dni po publikacji. AI Act zacznie obowiązywać dwa lata po wejściu w życie. W tym czasie uczestnicy rynku nowych technologii powinni podjąć intensywne działania w celu dostosowania swojej działalności do wymogów nowego aktu prawnego.

Czym jest Rozporządzenie AI Act?

W związku z narastającymi obawami dotyczącymi bezpieczeństwa nowych technologii opartych na AI, instytucje Unii Europejskiej już kilka lat temu rozpoczęły prace nad stworzeniem wszechstronnej regulacji, która jako pierwsza odnosiłaby się do kwestii zastosowania sztucznej inteligencji.

Głównym celem przyświecającym ustawodawcy unijnemu było stworzenie ram prawnych, które umożliwią bezpieczny rozwój systemów AI, minimalizując ryzyko naruszania praw podstawowych, takich jak prawo do równego dostępu do zatrudnienia, prawo do sprawiedliwego procesu czy prawo do prywatności. Jednym z wyzwań, którego podjął się ustawodawca unijny było stworzenie definicji sztucznej inteligencji, która byłaby zarówno jasna i zwięzła, ale także wyczerpująca. 

Definicja AI i podziały systemów sztucznej inteligencji

Zgodnie z Rozporządzeniem, „system AI” oznacza system oparty na maszynach, zaprojektowany do działania na różnych poziomach autonomii i który po wdrożeniu może wykazywać zdolność adaptacji oraz który dla celów jawnych lub ukrytych wnioskuje na podstawie otrzymywanych danych wejściowych, w jaki sposób wygenerować wyniki, takie jak prognozy, rekomendacje lub decyzje, które mogą mieć wpływ fizyczne lub wirtualne środowisko.

Istotnym elementem AI Act jest podział systemów sztucznej inteligencji ze względu na potencjalny poziom ryzyka, jaki mogą one generować. Zgodnie z tą klasyfikacją, wydzielono następujące rodzaje systemów AI:

Systemy zakazane

Rozporządzenie zawiera katalog systemów AI, których wykorzystanie w UE jest całkowicie zabronione. Wśród systemów zakazanych znalazły się m.in. systemy wykorzystujące techniki podprogowe wykraczające poza świadomość danej osoby lub techniki celowo manipulacyjne lub oszukańcze, których celem lub skutkiem jest istotne zniekształcenie zachowania osoby lub grupy osób, w zauważalny sposób ograniczając ich zdolność do podejmowania świadomej decyzji, powodując w ten sposób podjęcie przez nie decyzji których w przeciwnym razie nie podjęliby w sposób, który powoduje lub co do którego istnieje uzasadnione prawdopodobieństwo, że wyrządzi tej osobie, innej osobie lub grupie osób znaczną szkodę. Zakazem objęto także systemy sztucznej inteligencji tworzące lub rozszerzające bazy danych rozpoznawania twarzy poprzez pobieranie wizerunków twarzy z Internetu lub nagrań kamer. 

Systemy wysokiego ryzyka

Za systemy wysokiego ryzyka zostały uznane m. in. systemy wykorzystywane w obszarze biometrii (np. systemy zdalnej identyfikacji biometrycznej); systemy sztucznej inteligencji przeznaczone do rozpoznawania emocji; systemy sztucznej inteligencji przeznaczone do stosowania w celu ustalania dostępu lub przyjęcia lub przydzielania osób fizycznych jednostek dydaktycznych na wszystkich poziomach czy systemy sztucznej inteligencji przeznaczone do celów rekrutacji lub selekcji osób fizycznych, w szczególności do zamieszczania ogłoszeń o pracę, analizy i filtrowania aplikacji o pracę oraz oceny kandydatów.

Systemy ograniczonego ryzyka (general purpose AI models with systemic risk)

Pozostałe systemy AI, które nie zostały zakwalifikowane do powyższych kategorii, mogą zostać uznane za systemy ograniczonego ryzyka. W Rozporządzeniu przyjęto, że system AI należy do opisanej kategorii jeżeli spełnia jeden z warunków: (i)  posiada duże możliwości oddziaływania lub (ii) na podstawie decyzji Komisji uznano, że posiada możliwości lub wpływ równoważny tym określonym w pkt. (i), jednak przy uwzględnieniu dodatkowych czynników opisanych w załączniku do AI Act. Modele należące do tej kategorii są zazwyczaj szkolone na dużych ilościach danych z wykorzystaniem różnych metod  w szczególności generatywne modele sztucznej inteligencji (np. ChatGPT).

Systemy minimalnego ryzyka

Systemy minimalnego ryzyka, do których zalicza się wiele podstawowych aplikacji np. gier czy filtrów spamu, nie zostały wprost uregulowane w AI Act. Niemniej, nie oznacza to, że wskazane systemy nie są objęte żadnymi wymogami – wobec nich zastosowanie znajdą w szczególności przepisy dotyczące ochrony danych osobowych. 

Obowiązki wynikające z AI Act

AI Act wprowadza liczne obowiązki w szczególności w odniesieniu do systemów wysokiego ryzyka. Wśród nowych  należy wymienić w szczególności:

  • konieczność wdrożenia, udokumentowania i utrzymania systemu zarządzania ryzykiem,
  • opracowanie dokumentacji z zakresu zarządzania danymi (data governance),
  • zapewnienie przejrzystości systemu, w szczególności poprzez opracowanie dokumentacji dla użytkowników końcowych rozwiązania opartego na AI (w szczególności klauzul informacyjnych) czy
  • konieczność rejestracji systemów wysokiego ryzyka w unijnej bazie danych.

Sankcje

Nieprzestrzeganie zakazu stosowania systemów stwarzających niedozwolone ryzyko (tj. systemów zakazanych) podlega karom administracyjnym w wysokości do 35 000 000 EUR lub, a w przypadku przedsiębiorcy do 7 % jego całkowitego rocznego światowego obrotu za poprzedni roku budżetowego, w zależności od tego, która kwota jest wyższa. W przypadku innych naruszeń Rozporządzenie przewiduje m.in. karę do 15 000 000 EUR lub, jeżeli sprawcą jest przedsiębiorca, do 3% jego całkowitego rocznego światowego obrotu za poprzedni rok obrotowy, w zależności od tego, która kwota jest wyższa – sankcja będzie dotyczyła np. dostawców AI wysokiego ryzyka, którzy nie dopełnią obowiązków nałożonych na nich przez Rozporządzenie. 

Podsumowanie

AI Akt wprowadza szereg wymogów prawnych dotyczących stosowania technologii AI. Przedsiębiorstwa zobowiązane są zapewnić i skutecznie wykazać, że ich systemy AI są zgodne z nowymi przepisami, aby uniknąć sankcji. Właściwe zrozumienie Rozporządzenia, w szczególności zakresu jego obowiązywania, pozwoli na uniknięcie potencjalnych konsekwencji związanych z niewłaściwym wdrożeniem i korzystaniem z rozwiązań opartych na AI. Przestrzeganie regulacji związanych z AI pomoże także lepiej zarządzać ryzykiem i budować zaufanie klientów i partnerów biznesowych. 

Jak możemy pomóc w omawianym obszarze?

Kancelaria KPMG Law oferuje m.in.:

  • analizy pod kątem zastosowania Rozporządzenia AI Act do sytuacji faktycznej i prawnej konkretnych klientów;
  • doradztwo w zakresie spełniania przez przedsiębiorców obowiązków wynikających z Rozporządzenia AI Act;
  • wsparcie w dokonaniu klasyfikacji stosowanych systemów sztucznej inteligencji;
  • opracowanie treści obowiązkowych informacji dla użytkowników systemów AI (w tym wymaganych na podstawie przepisów o ochronie danych osobowych);
  • analizy co do skutków rozwiązań AI dla ochrony danych (Data Protection Impact Assessment) oraz dla praw podstawowych.

W przypadku pytań, zachęcamy do kontaktu.

Wyślij zapytanie ofertowe

Zobacz także