21 kwietnia 2021 r. Komisja Europejska zaprezentowała projekt rozporządzenia w sprawie sztucznej inteligencji (Artificial Inteligence Act – prawo sztucznej inteligencji).
Jest to niezwykle ważny dokument, który będzie miał istotny wpływ na kształtowanie praktyki w zakresie wytwarzania i używania systemów sztucznej inteligencji (AI). Choć obecnie w Polsce zaledwie 4% przedsiębiorstw korzysta z takich systemów, zaś w skali całej Europy zaledwie 7%, to jednak w najbliższych latach skala wykorzystania systemów AI z całą pewnością się zwiększy, o czym świadczy przykład Irlandii, gdzie już teraz z AI korzysta 23% przedsiębiorstw.*
*Źródło: Raport Eurostat Artificial intelligence in EU enterprises 13 kwietnia 2021.
Cel regulacji i jej zakres
Projekt rozporządzenia został przygotowany z myślą o uczynieniu Unii Europejskiej liderem w zakresie rozwoju bezpiecznej i godnej zaufania sztucznej inteligencji. Nowe regulacje mają na celu z jednej strony budowanie zaufania do systemów sztucznej inteligencji, tak by ograniczyć związane z nimi ryzyko, a z drugiej strony wspieranie inwestycji w AI oraz dalszego rozwoju tej technologii.
Projektując nowe regulacje Komisja przyjęła podejście oparte na ryzyku. Zakres regulacji systemów sztucznej inteligencji opiera się na zasadzie: „im większe ryzyko związane z AI, tym surowsza regulacja”.
Dlatego też przedmiotem regulacji nie są systemy sztucznej inteligencji jako takie, lecz sposób, w jaki są one wykorzystywane. W rezultacie systemy SI zostały podzielone na cztery kategorie, zgodnie z poziomem ryzyka, jaki niesie konkretny sposób ich użycia (minimalne, ograniczone, wysokie, nieakceptowalne).
Projekt rozporządzenia najwięcej miejsca poświęca systemom AI wysokiego ryzyka. Producenci takich systemów będą mieli szereg obowiązków mających na celu minimalizację ryzyka związanego z tymi rozwiązaniami. Będą oni m.in. zobowiązani do :
Także importerzy, dystrybutorzy oraz użytkownicy systemów AI wysokiego ryzyka będą mieli szereg obowiązków – począwszy od sprawdzenia czy system został prawidłowo wprowadzony do obrotu, po monitorowanie jego pracy.
Dostawca systemu AI wysokiego ryzyka będzie zobowiązany do przeprowadzenia oceny systemu w celu wykazania, że jest on zgodny z przepisami rozporządzenia. Część dostawców systemów sztucznej inteligencji będzie mogła przeprowadzić taką ocenę samodzielnie. Potwierdzeniem jej przeprowadzenia będzie deklaracja zgodności. Systemy AI wysokiego ryzyka wykorzystywane do zdalnej identyfikacji biometrycznej oraz w publicznych sieciach infrastruktury podlegać będą natomiast ocenie przez podmiot trzeci. Zgodność systemu AI z przepisami będzie potwierdzana certyfikatem, wydawanym przez notyfikowane jednostki, który będzie ważny maksymalnie przez 5 lat. Systemy AI wysokiego ryzyka będę podlegać także obowiązkowi wpisu do specjalnej unijnej bazy danych.
Projekt rozporządzenia przewiduje powołanie nowego organu nadzorczego – Europejskiej Rady Sztucznej Inteligencji. W skład Rady będą wchodzić przewodniczący organów nadzorczych do spraw sztucznej inteligencji z poszczególnych państw członkowskich oraz Europejski Inspektor Ochrony Danych. Do zadań Rady będzie należeć m.in. gromadzenie wiedzy specjalistycznej i rozpowszechnianie wiedzy wśród państw członkowskich, a także wydawanie opinii i rekomendacji w sprawach związanych z implementacją rozporządzenia.
Przestrzeganie wyżej wskazanych przepisów ma zapewniać m.in. system kar.
Najwyższa kara w wysokości do 30 000 000 EUR lub do 6 % całkowitego rocznego światowego obrotu za poprzedni rok budżetowy ma dotyczyć nieprzestrzegania zakazu stosowania systemów „nieakceptowalnych” oraz niezgodności systemów AI wysokiego ryzyka z wymogami dotyczącymi używania wysokiej jakości danych do treningu i testowania systemów AI.
Nieprzestrzeganie przez system AI innych wymogów lub obowiązków ma podlegać karze w wysokości do 20 000 000 EUR lub do 4 % obrotu, zaś udzielanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji dotyczących systemów AI – karze w wysokości do 10 000 000 EUR lub do 2 % jej obrotu.
Uwagi praktyczne
Mimo, że jest to pierwszy projekt przyszłych przepisów, który będzie podlegał zmianom, można założyć, że podstawowe zasady takie jak podejście oparte na ocenie ryzyka, czy wytyczne skierowane do producentów i użytkowników systemów AI, zostaną zachowane.
Omawiane dokumenty mogą już teraz stanowić punkt wyjścia do własnych analiz związanych z wdrożeniem rozwiązań opartych na sztucznej inteligencji jeszcze w okresie przed wejściem w życie rozporządzenia unijnego. Zwłaszcza wymagania dotyczące systemów AI wysokiego ryzyka mogą posłużyć za rodzaj listy kontrolnej do wykorzystania w trakcie wyboru i wdrożenia dowolnego rozwiązania opartego na sztucznej inteligencji.
Sam fakt publikacji projektu przepisów sprawia, że z dużą ostrożnością powinno się podchodzić do wdrożeń rozwiązań, które mogą być zakazane przez przyszłe rozporządzenie. Uwagi wymagają także rozwiązania wysokiego ryzyka.
Omawiane przepisy zawierają bardzo szeroką definicję sztucznej inteligencji. W jej myśl sztuczna inteligencja to oprogramowanie, które może generować wyniki wpływające na środowiska, z którymi wchodzi w interakcje i które wykorzystuje techniki programowania wymienione w Załączniku I do rozporządzenia.
Wśród tych technik wymienione są zarówno techniki standardowo łączone z AI, takie jak uczenie maszynowe nadzorowane i nienadzorowane, jak i techniki oparte na logice i wiedzy, systemy eksperckie oraz metody statystyczne.
Tak szerokie ujęcie sprawia, że zakresem regulacji mogą być objęte zarówno systemy powszechnie uważane za sztuczną inteligencję, jak i systemy, które jedynie działają w sposób podobny do systemów AI.
Co dalej?
Pakiet przepisów dotyczących sztucznej inteligencji zaproponowany przez Komisję musi zostać zaakceptowany przez Parlament Europejski i państwa członkowskie w ramach Rady. Ta procedura może trwać co najmniej 18 miesięcy. W najbliższym czasie zainteresowane podmioty będą mogły wziąć udział w procesie konsultacji tych projektów.