Alert prawny: Projekt rozporządzenia w sprawie sztucznej inteligencji

Autorzy

tomasz zalewski module
Tomasz Zalewski

Partner
Polska

Pracuję jako partner w praktyce Commercial. Jestem ekspertem w zakresie prawa zamówień publicznych, nowych technologii i prawa własności intelektualnej.

kuba ruiz Module
Kuba Ruiz

Senior Counsel
Polska

Pracuję jako Senior Counsel w praktyce Commercial. Doradzam przy transakcjach komercyjnych i projektach technologicznych, rozwijając jednocześnie doświadczenie w sporach. Doradzam również w aspektach regulacyjnych na europejskim rynku FinTech.

21 kwietnia 2021 r. Komisja Europejska zaprezentowała projekt rozporządzenia w sprawie sztucznej inteligencji (Artificial Inteligence Act – prawo sztucznej inteligencji).

Jest to niezwykle ważny dokument, który będzie miał istotny wpływ na kształtowanie praktyki w zakresie wytwarzania i używania systemów sztucznej inteligencji (AI). Choć obecnie w Polsce zaledwie 4% przedsiębiorstw korzysta z takich systemów, zaś w skali całej Europy zaledwie 7%, to jednak w najbliższych latach skala wykorzystania systemów AI z całą pewnością się zwiększy, o czym świadczy przykład Irlandii, gdzie już teraz z AI korzysta 23% przedsiębiorstw.*

*Źródło: Raport Eurostat Artificial intelligence in EU enterprises 13 kwietnia 2021.

Cel regulacji i jej zakres

Projekt rozporządzenia został przygotowany z myślą o uczynieniu Unii Europejskiej liderem w zakresie rozwoju bezpiecznej i godnej zaufania sztucznej inteligencji. Nowe regulacje mają na celu z jednej strony budowanie zaufania do systemów sztucznej inteligencji, tak by ograniczyć związane z nimi ryzyko, a z drugiej strony wspieranie inwestycji w AI oraz dalszego rozwoju tej technologii.

Projektując nowe regulacje Komisja przyjęła podejście oparte na ryzyku. Zakres regulacji systemów sztucznej inteligencji opiera się na zasadzie: „im większe ryzyko związane z AI, tym surowsza regulacja”.

Dlatego też przedmiotem regulacji nie są systemy sztucznej inteligencji jako takie, lecz sposób, w jaki są one wykorzystywane. W rezultacie systemy SI zostały podzielone na cztery kategorie, zgodnie z poziomem ryzyka, jaki niesie konkretny sposób ich użycia (minimalne, ograniczone, wysokie, nieakceptowalne).

  • Ryzyko minimalne lub zerowe – systemy AI, których używanie nie wiąże się z ryzykiem lub ryzyko takie jest minimalne, nie będą objęte planowaną regulacją i będą mogły być rozwijane i wykorzystywane bez ograniczeń. Takie systemy obejmują większość wykorzystywanych obecnie rozwiązań sztucznej inteligencji, np. filtry antyspamowe, konwersja mowy na tekst czy automatyczne tłumaczenia tekstów.

  • Ryzyko niewielkie – systemy AI przeznaczone do interakcji z ludźmi będą podlegać jedynie obowiązkom informacyjnym i wymogom przejrzystości, tak, aby użytkownik wiedział, że wchodzi w interakcję z AI, a nie z człowiekiem. Przykładem takich systemów są np. chatboty.

  • Ryzyko wysokie – są to systemy, które mogą w znaczący sposób ingerować w życie człowieka. Systemy te będą podlegały szeregowi rygorystycznych zobowiązań skierowanych do producentów, dystrybutorów i użytkowników takich systemów. Przykładem systemów wysokiego ryzyka mogą być systemy zdalnej identyfikacji biometrycznej w czasie rzeczywistym, systemy stosowane do rekrutacji lub do oceny scoringu kredytowego, a także medyczne zastosowania AI.

  • Ryzyko nieakceptowalne – używanie systemów AI zaklasyfikowanych jako „nieakceptowalne”, z uwagi na ich sprzeczność z prawami podstawowymi UE, będzie zakazane. Są to np. systemy służące do oceny wiarygodności społecznej (social scoring) lub rozwiązania wykorzystujące manipulację podprogową w celu wpłynięcia na zachowanie ludzi.

Projekt rozporządzenia najwięcej miejsca poświęca systemom AI wysokiego ryzyka. Producenci takich systemów będą mieli szereg obowiązków mających na celu minimalizację ryzyka związanego z tymi rozwiązaniami. Będą oni m.in. zobowiązani do :

  • używania wysokiej jakości danych do treningu i testowania systemów AI,

  • przygotowania dokumentacji technicznej opisującej system AI i zawierającej informacje niezbędne do oceny zgodności systemu AI z wymaganiami rozporządzenia,

  • zapewnienia prowadzenia rejestru zdarzeń (logów) podczas działania systemu AI,

  • zapewnienia odpowiedniego stopnia przejrzystości systemu (tj. umożliwienia użytkownikom interpretacji wyników działania systemu i odpowiednie ich wykorzystanie),

  • przygotowania instrukcji dla użytkowników opisującej zarówno możliwości jak i ograniczenia systemu AI,

  • zapewnienia możliwości nadzoru człowieka nad działaniem systemu AI,

  • zapewnienia odpowiedniego poziomu odporności na błędy,

  • zapewnienia cyberbezpieczeństwa i odporności na błędy lub włamania.

Także importerzy, dystrybutorzy oraz użytkownicy systemów AI wysokiego ryzyka będą mieli szereg obowiązków – począwszy od sprawdzenia czy system został prawidłowo wprowadzony do obrotu, po monitorowanie jego pracy.

Dostawca systemu AI wysokiego ryzyka będzie zobowiązany do przeprowadzenia oceny systemu w celu wykazania, że jest on zgodny z przepisami rozporządzenia. Część dostawców systemów sztucznej inteligencji będzie mogła przeprowadzić taką ocenę samodzielnie. Potwierdzeniem jej przeprowadzenia będzie deklaracja zgodności. Systemy AI wysokiego ryzyka wykorzystywane do zdalnej identyfikacji biometrycznej oraz w publicznych sieciach infrastruktury podlegać będą natomiast ocenie przez podmiot trzeci. Zgodność systemu AI z przepisami będzie potwierdzana certyfikatem, wydawanym przez notyfikowane jednostki, który będzie ważny maksymalnie przez 5 lat. Systemy AI wysokiego ryzyka będę podlegać także obowiązkowi wpisu do specjalnej unijnej bazy danych.

Projekt rozporządzenia przewiduje powołanie nowego organu nadzorczego – Europejskiej Rady Sztucznej Inteligencji. W skład Rady będą wchodzić przewodniczący organów nadzorczych do spraw sztucznej inteligencji z poszczególnych państw członkowskich oraz Europejski Inspektor Ochrony Danych. Do zadań Rady będzie należeć m.in. gromadzenie wiedzy specjalistycznej i rozpowszechnianie wiedzy wśród państw członkowskich, a także wydawanie opinii i rekomendacji w sprawach związanych z implementacją rozporządzenia.

Przestrzeganie wyżej wskazanych przepisów ma zapewniać m.in. system kar.

Najwyższa kara w wysokości do 30 000 000 EUR lub do 6 % całkowitego rocznego światowego obrotu za poprzedni rok budżetowy ma dotyczyć nieprzestrzegania zakazu stosowania systemów „nieakceptowalnych” oraz niezgodności systemów AI wysokiego ryzyka z wymogami dotyczącymi używania wysokiej jakości danych do treningu i testowania systemów AI.

Nieprzestrzeganie przez system AI innych wymogów lub obowiązków ma podlegać karze w wysokości do 20 000 000 EUR lub do 4 % obrotu, zaś udzielanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji dotyczących systemów AI – karze w wysokości do 10 000 000 EUR lub do 2 % jej obrotu.

Uwagi praktyczne

Mimo, że jest to pierwszy projekt przyszłych przepisów, który będzie podlegał zmianom, można założyć, że podstawowe zasady takie jak podejście oparte na ocenie ryzyka, czy wytyczne skierowane do producentów i użytkowników systemów AI, zostaną zachowane.

Omawiane dokumenty mogą już teraz stanowić punkt wyjścia do własnych analiz związanych z wdrożeniem rozwiązań opartych na sztucznej inteligencji jeszcze w okresie przed wejściem w życie rozporządzenia unijnego. Zwłaszcza wymagania dotyczące systemów AI wysokiego ryzyka mogą posłużyć za rodzaj listy kontrolnej do wykorzystania w trakcie wyboru i wdrożenia dowolnego rozwiązania opartego na sztucznej inteligencji.

Sam fakt publikacji projektu przepisów sprawia, że z dużą ostrożnością powinno się podchodzić do wdrożeń rozwiązań, które mogą być zakazane przez przyszłe rozporządzenie. Uwagi wymagają także rozwiązania wysokiego ryzyka.

Omawiane przepisy zawierają bardzo szeroką definicję sztucznej inteligencji. W jej myśl sztuczna inteligencja to oprogramowanie, które może generować wyniki wpływające na środowiska, z którymi wchodzi w interakcje i które wykorzystuje techniki programowania wymienione w Załączniku I do rozporządzenia.

Wśród tych technik wymienione są zarówno techniki standardowo łączone z AI, takie jak uczenie maszynowe nadzorowane i nienadzorowane, jak i techniki oparte na logice i wiedzy, systemy eksperckie oraz metody statystyczne.

Tak szerokie ujęcie sprawia, że zakresem regulacji mogą być objęte zarówno systemy powszechnie uważane za sztuczną inteligencję, jak i systemy, które jedynie działają w sposób podobny do systemów AI.

Co dalej?

Pakiet przepisów dotyczących sztucznej inteligencji zaproponowany przez Komisję musi zostać zaakceptowany przez Parlament Europejski i państwa członkowskie w ramach Rady. Ta procedura może trwać co najmniej 18 miesięcy. W najbliższym czasie zainteresowane podmioty będą mogły wziąć udział w procesie konsultacji tych projektów.

Najnowsze

Więcej

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw w wersji dla podmiotów kluczowych i podmiotów ważnych z sektora bankowego i infrastruktury rynków finansowych

lis 22 2024

Więcej

Czy analiza sentymentu przy pomocy systemu AI to praktyka zakazana?

lis 08 2024

Więcej

Nowe uprawnienia konsumenckie w ustawie Prawo komunikacji elektronicznej

3 min lis 05 2024

Więcej