Akt o sztucznej inteligencji – ochrona praw obywateli i nowe obowiązki dla przedsiębiorców.

W obliczu dynamicznego rozwoju technologii sztucznej inteligencji, Parlament Europejski po ponad 3 latach ciężkiej pracy, w dniu 13 marca 2024 r. przyjął Akt o Sztucznej Inteligencji, nazywany przez entuzjastów “kamieniem milowym w dążeniu do zrównoważonego rozwoju technologicznego”.

Kogo dotyczy Akt o sztucznej inteligencji?

Zgodnie z Aktem o AI „system sztucznej inteligencji” oznacza oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik i podejść wymienionych w załączniku I, 

->którymi są:

mechanizmy uczenia maszynowego, w tym uczenie nadzorowane, uczenie się maszyn bez nadzoru i uczenie przez wzmacnianie, z wykorzystaniem szerokiej gamy metod, w tym uczenia głębokiego;

metody oparte na logice i wiedzy, w tym reprezentacja wiedzy, indukcyjne programowanie (logiczne), bazy wiedzy, silniki inferencyjne i dedukcyjne, rozumowanie (symboliczne) i systemy ekspertowe;

podejścia statystyczne, estymacja bayesowska, metody wyszukiwania i optymalizacji.

które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję.

Przepisy Aktu o AI dotyczą przede wszystkim dostawców wprowadzających do obrotu lub oddających do użytku systemy AI, podmioty stosujące systemy AI, importerów, dystrybutorów, upoważnionych przedstawicieli dostawców spoza Unii oraz producentów, którzy wprowadzają do obrotu lub oddają do użytku system AI pod swoją marką lub znakiem towarowym. Przepisy będą miały zastosowanie również do podmiotów spoza UE, jeśli systemy AI będą wprowadzane do obrotu w Unii Europejskiej lub ich działanie będzie dotyczyło obszaru Unii (gdy działania systemu AI będą miały bezpośredni wpływ na obywateli UE lub ich działalność gospodarczą, np. systemy rekomendacji, które wpływają na decyzje zakupowe konsumentów z UE, lub narzędzia analityczne wykorzystywane do przetwarzania danych osobowych mieszkańców UE).

Tak szerokie ujęcie systemu AI, w połączeniu z równie szerokim gronem podmiotów których będą dotyczyć nowe przepisy, może doprowadzić do tego, że w praktyce rozporządzenie będzie dotyczyło większości przedsiębiorców (np. małych przedsiębiorstw używających narzędzi AI do optymalizacji swoich procesów biznesowych,  analizy danych klientów, czy też wykorzystujących chatboty obsługujące klienta). Każdy z tych podmiotów, korzystając z AI, będzie musiał zapewnić, że jego działanie jest zgodne z przepisami aktu, co obejmuje między innymi odpowiedzialność za decyzje podjęte z użyciem AI, transparentność wobec użytkowników i zabezpieczenie przed nieautoryzowanym dostępem do danych. 

Z uwagi na szerokie zastosowanie oraz na to, że tekst Aktu jest niestety sformułowany w sposób nieprzyjazny dla przeciętnego odbiorcy, wejście w życie nowych przepisów najprawdopodobniej wygeneruje popłoch podobny do tego, który miał miejsce przed wejściem w życie RODO.

Co się zmieni?

Jako pierwszy tego rodzaju akt prawny na świecie Akt o AI  wprowadzi do porządku prawnego szereg założeń, które mają na celu zapewnienie bezpiecznego rozwoju i implementacji technologii AI, z jednoczesnym poszanowaniem fundamentalnych praw obywateli UE. Kluczowymi elementami regulacji jest wprowadzenie klasyfikacji poziomu potencjalnego ryzyka, z różnymi wymogami regulacyjnymi dla poszczególnych kategorii. Biorąc pod uwagę stopień ryzyka, Akt zakazuje niektórych praktyk wykorzystywania AI, uznanych za nieakceptowalne z punktu widzenia praw człowieka i etyki, takich jak manipulacja ludzkim zachowaniem, nieautoryzowana identyfikacja biometryczna w przestrzeni publicznej czy systemy oceny społecznej. W celu zapewnienia należytej ochrony dodatkowo wprowadza on mechanizmy nadzoru nad rozwojem i wdrażaniem systemów AI, w tym obowiązek rejestracji wysokiego ryzyka systemów AI oraz regularne audyty zgodności. Systemy AI muszą być projektowane w sposób umożliwiający zrozumienie i przewidywanie ich działania. Użytkownicy mają również być informowani o interakcji z systemami AI.

Nowe obowiązki dla przedsiębiorców.

Kluczowym elementem Aktu są nowe obowiązki nałożone na twórców, dostawców i użytkowników systemów AI. Akt wprowadza wymóg klasyfikacji systemów AI według poziomu ryzyka, z surowymi regulacjami dotyczącymi systemów uznanych za „wysokie ryzyko”. Właściciele AI muszą zapewnić zgodność swoich systemów z wytycznymi dotyczącymi transparentności, bezpieczeństwa danych i nadzoru. Poniżej przedstawiam wybrane obowiązki, które zostaną nałożone na przedsiębiorców w związku z korzystaniem z systemów AI:

Klasyfikacja systemów AI według poziomu ryzyka.

Systemy AI są klasyfikowane na cztery główne kategorie ryzyka – niskie (minimalne), ograniczone, wysokie i nieakceptowalne. Każda z tych kategorii wiąże się z określonymi wymogami regulacyjnymi, przy czym systemy wysokiego i nieakceptowalnego ryzyka podlegają najbardziej rygorystycznym przepisom. Na przedsiębiorców (i inne podmioty korzystające z AI) nałożony został obowiązek dokonania klasyfikacji ryzyka zgodnie z załącznikiem I Aktu o Sztucznej Inteligencji. 

Stopnie ryzyka i związane z nimi obowiązki.

1. Niskie ryzyko

Systemy AI, które mają ograniczony wpływ na użytkowników i społeczeństwo (np. AI generujące automatyczne odpowiedzi e-mail, chatboty obsługujące klienta w sklepach internetowych, systemy typu inteligentny  asystent osobisty, rekomendacje produktów w sklepach online), klasyfikowane są jako niskiego ryzyka. Wymagają podstawowej transparentności działania jaką jest podstawowa informacja dla użytkowników o interakcji z AI, minimalne wymogi dotyczące dokumentacji.

2. Ograniczone ryzyko

Systemy, które mogą mieć większy wpływ na użytkowników (np. Filtry treści w mediach społecznościowych, AI wspomagające edukację przez dostosowywanie materiałów do potrzeb ucznia, systemy rekomendujące treści wideo, inteligentne systemy zarządzania ruchem drogowym), ale ryzyko jest nadal kontrolowane. W tym wypadku wymagana jest większa transparentność m.in. poprzez jasne oznaczenia wykorzystania AI oraz możliwość uzyskania przez użytkownika informacji o logice decyzji danego systemu.

3. Wysokie ryzyko

Systemy AI, które mogą mieć znaczący wpływ na prawa i wolności obywateli (np. systemy oceny kredytowej wykorzystujące AI, algorytmy wspomagające decyzje sądowe, AI w diagnostyce medycznej, systemy monitorowania biometrycznego w miejscach publicznych). Wymagają ścisłej zgodności z aktami prawnymi, audytów, certyfikacji, nadzoru ze strony człowieka i dokładnej dokumentacji procesów decyzyjnych oraz zapewnienia wysokich standardów bezpieczeństwa danych. Dodatkowym obowiązkiem będzie rejestracja systemów w odpowiedniej unijnej bazie danych. 

4. Nieakceptowalne ryzyko

Systemy AI, które są uznane za zagrożenie dla podstawowych praw obywatelskich i nie mogą być dopuszczone do użytku (np. systemy „social scoring”, oceniające obywateli na podstawie zachowań,  AI umożliwiające nieautoryzowaną inwigilację masową, manipulowanie zachowaniami ludzkimi za pomocą subliminalnych technik AI, wykorzystywanie rozpoznawania emocji w sposób naruszający prywatność (np. w pracy, edukacji)). Systemy należące do tej kategorii objęte zostaną całkowitym zakazem wdrażania i użytkowania.

Transparentność wobec użytkowników – obowiązek informowania o interakcji z AI.

Właściciele i dystrybutorzy systemów AI muszą w sposób jasny i zrozumiały informować użytkowników o działaniu systemu, jego ograniczeniach i sposobie interakcji z ludźmi, w szczególności powinni informować czy dana interakcja ma miejsce z systemem (np. firma oferująca chatbota obsługującego klienta musi teraz jasno zaznaczyć, że użytkownik komunikuje się z systemem AI).

Wprowadzenie dedykowanych, wysokich standardów bezpieczeństwa i ochrony danych.

Systemy AI muszą być projektowane i wdrażane z zachowaniem specyficznych wymogów dla systemów AI (szczególnie tych wysokiego ryzyka), w zakresie bezpieczeństwa danych.

Transparentność działania – obowiązek przedstawienia sposobu działania AI.

Właściciele, dostawcy oraz użytkownicy systemów AI są zobowiązani do zapewnienia, że działanie tych systemów jest zrozumiałe dla końcowych użytkowników. Wymaga to udostępnienia informacji na temat logicznych ram i procesów decyzyjnych leżących u podstaw działania systemu. W praktyce oznaczać to będzie obowiązek przedstawienia dokumentacji wyjaśniającej, jak system AI został zaprojektowany, w jaki sposób przetwarza dane i na jakiej zasadzie podejmuje decyzje. 

Wpływ wymogu na problem „black box”

Problem „black box”, czyli sytuacja, gdy działanie systemu AI jest nieprzejrzyste i trudne do zrozumienia nawet dla jego twórców, stanowi jedno z głównych wyzwań dla tej regulacji. 

Dla niektórych zaawansowanych technologii, takich jak głębokie sieci neuronowe, spełnienie tego wymogu może być nieosiągalne. W konsekwencji wymaganie pełnej transparentności działania może ograniczyć wykorzystanie niektórych metod AI, co wpłynie na konkurencyjność europejskich firm na globalnym rynku (zwłaszcza w porównaniu z krajami takimi jak Chiny czy Stany Zjednoczone, gdzie podejście do regulacji AI jest mniej  restrykcyjne). 

Działanie AI powinno być zgodne z zasadami etycznymi i prawnymi.

Systemy AI muszą być projektowane i wdrażane zgodnie z zasadami etycznymi i prawnymi, a ich działanie nie może prowadzić do negatywnych skutków społecznych tj. dyskryminacja czy naruszanie prywatności.

Od kiedy zaczną nas obowiązywać nowe przepisy?

Po przyjęciu przez Parlament Europejski, Akt o Sztucznej Inteligencji ma zostać formalnie zatwierdzony przez inne instytucje UE, a następnie opublikowany w Dzienniku Urzędowym Unii Europejskiej. Oczekuje się, że większość jego przepisów zacznie obowiązywać dopiero 24 miesiące po dacie wejścia w życie aktu (z paroma wyjątkami), w celu umożliwienia państwom członkowskim i przedsiębiorstwom dostosowania się do nowych wymogów. 

Biorąc pod uwagę tempo w jakim rozwija się sztuczna inteligencja i rynek z nią związany, tak długi okres vacatio legis, poprzedzający pełne wejście w życie aktu rodzi uzasadnione wątpliwości. W ciągu dwóch lat oczekiwania na pełne wdrożenie Aktu o Sztucznej Inteligencji, technologia AI może zmienić nasze życie do tego stopnia, że przepisy dotyczące np. obowiązku transparentności działania będą w praktyce nieegzekwowalne z uwagi na powszechne zastosowanie systemu AI działającego przy użyciu głębokich sieci neuronowych. Dodatkowo, w ciągu tak długiego okresu rozwój nowych algorytmów, metod uczenia maszynowego i zastosowań AI może postawić przed ustawodawcami nowe wyzwania, których nie uwzględniono w pierwotnych założeniach regulacji (np. potrzebę ochrony zdrowia psychicznego dzieci i młodzieży przed wpływem mediów społecznościowych). 

Można się spodziewać, że w czasie vacatio legis Aktu liczba podmiotów korzystających z rozwiązań z użyciem sztucznej inteligencji znacznie wzrośnie. Technologia AI jest skomplikowana i trudna do zrozumienia dla przeciętnego użytkownika, będąc jednocześnie niezwykle prostą w zastosowaniu. Rozsądnym więc byłoby spodziewać się sytuacji, w której rozwiązania AI wejdą do powszechnego użytku przed upływem 2 lat przewidzianych na wejście w życie Aktu o sztucznej inteligencji a ich użytkownicy często nawet nie będą zdawali sobie sprawy z tego, że korzystają z tej technologii.