Prace nad Rozporządzeniem w sprawie sztucznej inteligencji (Rozporządzenie AI) nabierają rozpędu.
Na początku stycznia kolejną propozycję zmian zaprezentowała Francja (link), która z początkiem roku przejęła prezydencję w Radzie UE. Zmiany obejmują tę część rozporządzenia, która nie była objęta projektem zaprezentowanym przez Radę pod koniec 2021 r. (link). O szczegółach pisaliśmy tutaj.
W nowym projekcie najistotniejsze są następujące propozycje dotyczące systemów AI wysokiego ryzyka:
Jak wynika z tego przeglądu, zmiany te są ważne zwłaszcza dla producentów systemów AI wysokiego ryzyka.
Propozycje przedstawione przez francuską prezydencję w Radzie są bezpośrednią kontynuacją prac podjętych przez Radę w 2021 r., których efekt został zaprezentowany pod koniec listopada ub.r. (link). W pierwszym dokumencie zaproponowano zmiany do najbardziej kontrowersyjnych przepisów, obejmujących m.in. definicję systemu AI.
Francuska prezydencja w Radzie UE podjęła prace nad dalszą częścią projektu Rozporządzenia AI. Dokument przedstawiony 13 stycznia br. zawiera zmiany do:
oraz do
Niniejszy artykuł przedstawia tylko najważniejsze z zaproponowanych zmian.
W dokumencie zaproponowano zmiany w art. 9, dotyczące obowiązku wprowadzenia systemu zarządzania ryzykiem.
Zgodnie z dotychczasowym projektem, w stosunku do systemów sztucznej inteligencji wysokiego ryzyka ma być wprowadzony obowiązek wdrożenia i utrzymywania systemu zarządzania ryzykiem, który powinien być aktualizowany przez cały cykl życia takiego systemu i który powinien identyfikować wszystkie znane i dające się przewidzieć ryzyka związane z każdym systemem AI wysokiego ryzyka.
Obecnie zaproponowano, aby identyfikacja i analiza ryzyka dotyczyła tylko takich ryzyk, które z dużym prawdopodobieństwem mogą wystąpić w odniesieniu do zdrowia, bezpieczeństwa i praw podstawowych, w świetle zamierzonego celu systemu AI wysokiego ryzyka.
Co więcej, ww. ryzyka obejmują tylko takie zagrożenia, które można w uzasadniony sposób ograniczyć lub wyeliminować poprzez rozwój, przeprojektowanie systemu AI lub dostarczenie odpowiednich informacji technicznych.
Ponadto zmianie uległ art. 9 ust. 3 projektu Rozporządzenia AI, który w pierwotnej wersji zaproponowanej przez Komisję, zobowiązywał dostawcę systemu AI do uwzględnienia w ramach systemu zarządzania ryzykiem skutków i możliwych interakcji, wynikających ze stosowania wymagań określonych w Rozdziale 2 Rozporządzenia AI, przy uwzględnieniu powszechnie uznawanego stanu techniki.
Ten bezwzględny obowiązek, zgodnie z propozycją przedstawioną przez Radę, miałby zostać złagodzony. Według zmienionego brzmienia tego przepisu, konieczne jest zachowanie równowagi między wdrażaniem wymogów a minimalizowaniem ryzyka.
Zmianę uzasadniono tym, że niektóre z wymagań wskazanych w Rozdziale 2 Rozporządzenia AI mogą być ze sobą sprzeczne, co oznacza konieczność poczynienia pewnych kompromisów w trakcie wdrażania takich wymagań. Przykłady takich sytuacji podane w uzasadnieniu nowego projektu. Są to: dokładność vs. odporność (robustness), prywatność (minimalizacja danych) vs. sprawiedliwość.
Zmiany wprowadzone w art. 10 mają z jednej strony na celu doprecyzowanie projektu Komisji, a z drugiej złagodzenie wysokich wymagań stawianych dostawcom systemów AI przez pierwotny tekst projektu Rozporządzenia AI.
Pierwotny tekst art. 10 ust. 3 zawierał następujące wymaganie: „Zbiory danych treningowych, walidacyjnych i testowych muszą być adekwatne, reprezentatywne, wolne od błędów i kompletne”. Zostało ono uznane przez wielu komentatorów za niemożliwe do spełnienia, zwłaszcza w zakresie braku jakichkolwiek błędów danych i ich kompletności.
Zgodnie z proponowanym nowym brzmieniem tego przepisu, zbiory danych treningowych, walidacyjnych i testowych muszą być adekwatne, reprezentatywne i w możliwie największym stopniu wolne od błędów i kompletne.
W uzasadnieniu tej zmiany przyznano, że zbiory danych testowych nigdy nie będą w pełni wolne od wad, jednak zadaniem dostawców systemów AI ma być zapewnienie, że są one wolne od błędów do takiego stopnia, do jakiego jest to możliwe.
Złagodzone zostało także wymaganie dotyczące występowania tzw. uprzedzeń (bias) w zbiorach danych wykorzystywanych do uczenia systemów AI wysokiego ryzyka. Obowiązek zbadania zbiorów danych pod kątem wszelkich ewentualnych uprzedzeń ma zostać zastąpiony obowiązkiem kontroli danych pod kątem takich ewentualnych uprzedzeń, które mogą mieć wpływ na zdrowie i bezpieczeństwo ludzi lub prowadzić do dyskryminacji zakazanej przez prawo unijne.
Ponadto całkowitej zmianie uległa redakcja art. 10 ust. 6, który w dotychczasowym brzmieniu był niejasny (nakazywał odpowiednie stosowanie ww. wymogów także do systemów AI, które nie wykorzystują zbiorów danych treningowych). Zgodnie z nową propozycją, w przypadku opracowywania systemów AI wysokiego ryzyka, w których nie wykorzystuje się technik obejmujących szkolenie modeli, wytyczne opisane w art. 10 ust. 2-5 stosuje się wyłącznie do zestawów danych testowych.
Wreszcie, w tekście prezentowanym przez francuską prezydencję, proponowane jest dodanie nowego ustępu 6a, zgodnie z którym zasada minimalizacji danych mająca swoje źródło w art. 5 ust. 1 lit. c RODO, powinna być stosowana z uwzględnieniem pełnego cyklu życia systemu AI.
Art. 11 zobowiązuje dostawców systemów AI wysokiego ryzyka do przygotowania dokumentacji technicznej takiego systemu przed zaoferowaniem go na rynku.
Zgodnie z ust. 1 tego przepisu, dokumentacja techniczna powinna zostać sporządzona w taki sposób, aby wykazać, że system AI wysokiego ryzyka spełnia wymogi oraz aby dostarczyć właściwym organom krajowym i jednostkom notyfikowanym wszystkich informacji niezbędnych do oceny zgodności systemu AI z tymi wymogami. Dokumentacja ta musi zawierać co najmniej elementy określone w Załączniku IV.
Propozycja francuskiej prezydencji zakłada złagodzenie tego obowiązku w stosunku do małych i średnich przedsiębiorców oraz start-up’ów.
Tacy przedsiębiorcy nie musieliby przygotowywać dokumentacji określonej w załączniku, a obowiązek ten byłby możliwy do wypełnienia z pomocą równoważnych dokumentów spełniających te same cele, pod warunkiem zatwierdzenia tych dokumentów przez właściwy organ.
Art. 14 Rozporządzenia AI ma zobowiązywać dostawców systemów AI wysokiego ryzyka do zapewnienia nadzoru ludzkiego nad systemem.
Zgodnie z modyfikacją art. 14 ust. 4, w celu wdrożenia wymagań dotyczących nadzoru ludzkiego (art. 14 ust. 1-3), system AI wysokiego ryzyka powinien być dostarczony użytkownikom w taki sposób, aby osoby fizyczne, którym przekazano nadzór, mogły wykonać określone w tym przepisie czynności, w sposób dostosowany do okoliczności.
Jak wskazano w uzasadnieniu do zmian, mają one na celu podkreślenie, że dostawca systemu AI wysokiego ryzyka ma obowiązek takiego dobrania środków nadzoru człowieka nad systemem, aby wymagania techniczne nie były zbyt wygórowane i dostosowane do okoliczności.
Zmiany proponowane w kolejnym projekcie Rozporządzenia AI mają w dużej mierze charakter redakcyjny i służą uproszczeniu lub doprecyzowaniu projektu Rozporządzenia. Jednak część z nich może wywrzeć istotny wpływ na stosowanie Rozporządzenia AI w przyszłości.
Do najważniejszych modyfikacji należy zaliczyć rezygnację z niektórych obowiązków, które mogłyby być związane z dużymi nakładami i kosztami dostawców systemów AI wysokiego ryzyka oraz zmniejszenie rygoryzmu szeregu przepisów.
Należy także zwrócić uwagę na wprowadzenie po raz pierwszy kontekstu ochrony zdrowia, bezpieczeństwa i praw podstawowych UE, jako podstawowego punktu odniesienia przy ocenie zagrożeń związanych z systemami AI wysokiego ryzyka.