Wejście w życie AI Act

Dodano: 1 sierpnia 2024 r.

1 sierpnia 2024 r. wszedł w życie AI Act (Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji). W związku z tym branża IT powinna zacząć myśleć o dostosowaniu swoich procesów projektowych do tych przepisów i tak:

  1. od 2 lutego 2025 r. stosuje się przepisy dotyczące praktyk zakazanych z wykorzystaniem AI;
  2. do 2 sierpnia 2025 wdrożone mają być standardy dotyczące modeli ogólnego przeznaczenia, jak również zaczynają obowiązywać postanowienia dotyczące kar (nawet do 35 000 000 EUR za określone naruszenia);
  3. pozostałe przepisy stosuje się od 2 sierpnia 2026 r. - z wyłączeniem obowiązków związanych z klasyfikacją systemów AI „wysokiego ryzyka”, które stosuje się od 2 sierpnia 2027 r.

Celem AI Act jest ustanowienie ram prawnych w zakresie rozwoju, wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów sztucznej inteligencji.

Rozporządzenie stosuje się między innymi względem dostawców systemów AI w UE oraz użytkowników systemów AI z UE, a także importerów i dystrybutorów systemów AI, czy dostawców, którzy wraz ze swoim produktem wprowadzają do obrotu systemy AI (a więc również tych, którzy wykorzystują istniejące komponenty AI).

Co oznacza AI Act dla podmiotów z branży IT?

  1. projekty IT wykorzystujące systemy AI będą limitowane włączeniami i ograniczeniami płynącymi z rozporządzenia. Zakazane będzie wprowadzanie do obrotu, oddawanie do użytku lub wykorzystywanie szeregu możliwych zastosowań AI, np. wpływających na zachowanie osoby (manipulujących zachowaniem człowieka) np. w reklamie lub sprzedaży, albo stosujących niedozwolony „scoring” z wykorzystaniem AI.
  2. w przypadku projektów IT wykorzystujących systemy AI tzw. „wysokiego ryzyka” (np. niektóre systemy identyfikacji biometrycznej, systemy AI w edukacji, systemy AI w rekrutacji, zatrudnieniu), konieczność spełnienia szeregu wymogów i obowiązków „dostosowawczych” dotyczących zarządzania ryzykiem, jakości i istotności wykorzystywanych zbiorów danych, dokumentacji technicznej i rejestrowania zdarzeń, przejrzystości i przekazywania informacji podmiotom stosującym, nadzoru ze strony człowieka oraz solidności, dokładności i cyberbezpieczeństwa. Wśród obowiązków między innymi: konieczność projektowania i przeglądów systemów AI z uwzględnieniem skutków, jakie mogą mieć dla praw podstawowych, wdrożenie systemu zarządzania ryzykiem, wdrożenie środków bezpieczeństwa, zaopatrzenie w system automatycznego rejestrowania zdarzeń, wdrożenie standardów administrowania i zarządzania danymi, udostępnianie danych, dokumentowanie podjętych działań, poddanie się nadzorowi, sprawozdawczość, działania naprawcze i współpraca z właściwymi organami.
  3. systemy AI przeznaczone do wchodzenia w bezpośrednią interakcję z osobami fizycznymi muszą być projektowane i rozwijane tak, aby zainteresowane osoby były informowane o interakcji z systemem AI. Ponadto niektóre wyniki systemu AI muszą być oznakowane w formacie nadającym się do odczytu maszynowego, tak aby były wykrywalne jako sztucznie wygenerowane lub zmanipulowane. Podmioty stosujące systemy AI, które generują obrazy, treści audio lub wideo „deepfake” lub manipulujące takimi obrazami lub treściami muszą ujawnić, że treści te zostały sztucznie wygenerowane lub zmanipulowane.
  4. dostawcy modeli AI ogólnego przeznaczenia, tj. w szczególności modeli AI trenowanych dużą ilością danych, które mogą wykonywać szeroki zakres różnych zadań i które można zintegrować z różnymi systemami lub aplikacjami, muszą sporządzać i aktualizować dokumentację techniczną modelu, udostępniać dokumentację dostawcom systemów AI z którymi model ma być zintegrowany, wprowadzić politykę zgodności, podawać do publicznej wiadomości informacje o treściach wykorzystywanych do trenowania AI, a także spełnić inne obowiązki w zakresie oceny i identyfikacji ryzyk, rejestracji, sprawozdawczości i współpracy z właściwymi organami.

Dostawcy systemów IT będą musieli ostrożnie planować wykorzystanie systemów AI w swoich produktach. Nie będzie to łatwe, bo kategorie: „zwykłe ryzyko”, „wysokie ryzyko” i „praktyki zakazane” są dosyć pojemne, a ich granice często niejednoznaczne. Zakwalifikowanie systemu do określonej kategorii wiąże się natomiast z konkretnymi obowiązkami i ryzykami (kary). Próba uregulowania tej kwestii moim zdaniem chwalebna i konieczna, ale pewnie nie wpłynie na rozwój europejskiej odnogi tej branży (AI), a raczej skończy się kolejnymi formalizmami i ogólnym spowolnieniem tych procesów. Cóż z tego, że Europa wiąże sobie ręce w imię ochrony praw podstawowych, skoro reszta świata, albo przynajmniej spora jego część, tego nie robi.

Autorem informacji jest: radca prawny Wojciech Czarniecki, Partner Kancelarii.