top of page
Szukaj
Zdjęcie autoraMichał Nosowski
7 lis

AI Act, czyli unijne regulacje dotyczące sztucznej inteligencji. Kogo dotyczą i jakie obowiązki z niego wynikają?


Rozwiązania oparte o AI to świat ogromnych możliwości. Ale niestety ten świat składa się nie tylko z pozytywnych aspektów - łączą się z nimi również wątpliwości i zagrożenia.


Aby zapewnić, że sztuczna inteligencja używana jest zgodnie z poszanowaniem praw ludzi, w Unii Europejskiej przyjęto Rozporządzenie 2024/1689, czyli tzw. „AI Act”.


To pierwsza na świecie kompleksowa regulacja dotycząca stosowania sztucznej inteligencji. Unia przoduje pod względem tworzenia prawa dotyczącego AI.

 

Ten wpis jest pierwszym z serii, która dotyczyć będzie AI Act, w tym konkretnych podziałów systemów sztucznej inteligencji i obowiązków, których należy przestrzegać. Tym razem opiszę ogólne o ogólnych założeniach Rozporządzenia oraz podstawowym podziale systemów AI, które ta regulacja przewiduje. 

 

AI Act - na jakim jesteśmy etapie?


Rozporządzenie zostało formalnie przyjęte i ogłoszone. Stanowi już obowiązujące we wszystkich krajach Unii Europejskiej prawo.


To ważne, bo w treści AI Actu już nic się nie zmieni - to nie jest projekt, który będzie dalej negocjowany albo modyfikowany. Te przepisy już są, a ich zmodyfikowanie w najbliższym czasie raczej nie będzie miało miejsca.


Na szczęście praktyczne zastosowanie konkretnych wymogów, które wynikają z AI Act jest rozłożone na kilka etapów. Innymi słowy, sam fakt, że AI Act już obowiązuje nie oznacza, że organizacje stosujące sztuczną inteligencję już muszą być zgodne z wymogami, które z niego wynikają. Na dostosowanie się do przepisów mają jeszcze (w zależności od tego co robią) od kilku do kilkudziesięciu miesięcy. Dzięki temu, producenci i dystrybutorzy systemów AI mają dość czasu aby dostosować swoje działania do nowych przepisów.


Szczegółowe informacje dotyczące tego kiedy wchodzą w życie konkretne wymogi AI Actu są na końcu tego wpisu.



Co reguluje AI Act?


AI Act dotyczy różnych aspektów funkcjonowania rozwiązań opartych o sztuczną inteligencji. Do najważniejszych z nich należy to:

  • czym jest sztuczna inteligencja w rozumieniu prawa,

  • do jakich rozwiązań stosujemy przepisy AI Actu i kto jest podmiotem odpowiedzialnym za jej działanie,

  • jakie wykorzystanie systemów sztucznej inteligencji jest niedozwolone (tzw. systemy niedozwolone),

  • w jakich przypadkach korzystanie z systemów sztucznej inteligencji łączy się z koniecznością spełniania szczegółowych wymogów (tzw. systemy wysokiego ryzyka),

  • w jaki sposób przebiega proces oceny zgodności (certyfikacji) systemów AI,

  • jakie obowiązki leżą na osobach, które tworzą niektóre systemy sztucznej inteligencji - np. czaty AI, generatory obrazów albo dźwięków,

  • jakie wymogi prawne dotyczą modeli AI ogólnego przeznaczenia - czyli takich, które nadają się do realizacji różnych zadań i zostały wyuczone z wykorzystaniem znacznej mocy obliczeniowej - np. ChatGPT jest takim systemem,

  • jakie są zasady tworzenia piaskownic regulacyjnych i wspierania innowacji w dziedzinie AI,

  • czym zajmował si będzie unijny urząd ds. AI (nowy) i Europejska Rada ds. Sztucznej Inteligencji (też nowa),

  • jakie środki egzekucji można zastosować do producentów i dostawców systemów AI, którzy nie działają zgodnie z wymogami AI Actu (kary).


A czego w AI Act nie ma?

  • tego jaką odpowiedzialność ponoszą twórcy systemów AI za nieprawidłowe działanie tych systemów (to jest w innej unijnej dyrektywie),

  • tego czy efekty pracy AI są chronione prawem autorskim albo czy można wykorzystywać utwory w procesie uczenia systemów AI (to regulują przepisy dot. prawa autorskiego).

 

Zacznijmy od początku, czyli czym jest "sztuczna inteligencja" w ramach AI Actu


AI Act ma swoją własną definicję „systemu AI”. Jest to:

  • system maszynowy (czyli wykorzystujący maszyny),

  • działający (po wdrożeniu) z różnym poziomem autonomii,

  • który może po wdrożeniu wykazywać zdolność adaptacji,

  • który, wnioskuje jak generować wyniki na podstawie danych wejściowych – przykładami takich wyników są przewidywania, zalecenia lub decyzje.


Wszystkie przesłanki muszą być spełnione łącznie.


Parafrazując samą definicję, objęte przepisami będzie rozwiązanie, które otrzymuje jakieś dane, przetwarza je oraz przedstawia wyniki, działając z jakimś poziomem samodzielności. Dodatkowo, system ten może mieć możliwość dostosowywania się do przyjmowanego materiału.


Aby lepiej zrozumieć tę definicję, z pomocą przychodzi nam motyw 12 AI Act, który wskazuje, że:

  • definicja AI powinna być neutralna technologicznie - dlatego w definicji zabrakło odwołań do konkretnych technologii, sposobów uczenia systemów IT itp.,

  • definicja nie obejmuje systemów opartych na zasadach określonych wyłącznie przez osoby fizyczne w celu automatycznego wykonywania operacji (czyli jak ktoś napisze "z palca" jakiś algorytm, który coś robi, to nie będzie to system AI),

  • system AI powinien mieć możliwość samodzielnego wnioskowania i tworzenia na tej podstawie wyników swojej pracy,

  • techniki wykorzystywane w procesie tworzenia systemów AI to np. uczenie maszynowe,

  • systemy AI mogą działać zarówno w ramach celów, które są wyraźnie określone przez człowieka, jak i takich, które są dorozumiane (np. jeśli samochód autonomiczny ma gdzieś dojechać, to dorozumianym celem będzie unikanie po drodze wypadków i jazda zgodnie z przepisami).


Czy dało się tę definicję napisać lepiej? Być może - w trakcie prac nad AI Actem propozycja definicji systemu AI zmieniała się kilkukrotnie. Niektóre z projektów były bardziej konkretne - natomiast pracodawcy bali się tego, że dokładne, techniczne opisy pojęć mogłyby szybko stracić aktualność. W konsekwencji stworzono bardzo szeroką, "neutralną technologicznie" definicję.

 

Kogo dotyczy AI Act?


AI Act nakłada obowiązki na kilka grup podmiotów, które stosują rozwiązania oparte o sztuczną inteligencję.

 

AI Act nakłada obowiązki na następujące grupy:

  • dostawców, którzy wprowadzają rozwiązania oparte o AI do obrotu lub użytku,

  • importerów i dystrybutorów systemów AI,

  • podmioty stosujące systemy AI na własne potrzeby.


Co ważne, dostawcy nie muszą być zarejestrowani w Unii - wystarczy, że oferują rozwiązania oparte o AI na terenie UE albo wyniki działania tych systemów są wykorzystywane na terenie UE.


Dodatkowo, AI Act oczywiście przyznaje cały szereg praw osobom, które znajdują się w Unii i dane rozwiązanie AI ma na nich wpływ.


Co nie jest objęte regulacjami AI Actu?

 

Są również takie obszary wykorzystania sztucznej inteligencji, do których AI Actu nie będziemy stosować:

  • w kwestiach wojskowych, obronnych lub bezpieczeństwa narodowego, - innymi słowy, stworzenie Terminatora, albo chociaż autonomicznych dronów bojowych, w żaden sposób nie zostanie zablokowane przez AI Act,

  • wyłącznie do celów badań naukowych i rozwojowych,

  • w zakresie działalności badawczej, testowej lub rozwojowej dotyczącej systemów AI lub modeli AI przed wprowadzeniem ich do obrotu lub oddaniem ich do użytku,

  • przez osoby fizyczne w ramach ich czysto osobistej działalności pozazawodowej.



Podział systemów Sztucznej Inteligencji


AI Act kategoryzuje systemy sztucznej inteligencji zgodnie z poziomem ryzyka, które może wystąpić w związku z ich używaniem.


Samo pojęcie „ryzyka” też zostało zdefiniowane w przepisach – jest to połączenie prawdopodobieństwa wystąpienia szkody oraz jej dotkliwości. Innymi słowy, aby prawidłowo oszacować ryzyko, częstotliwość wystąpienia negatywnych skutków (np. podawania błędnych wyników) będzie musiała być zestawiona ze skutkami (np. w sytuacji gdy nieprawidłowe efekty działania AI są mało istotne, ryzyko oczywiście też będzie odpowiednio mniejsze).


Rozporządzenie narzuca nam podział systemów AI zgodnie z poziomami ryzyka związanego z ich wykorzystaniem.

 

Prezentuje się on następująco:


  1. Zakazane systemy – to są systemy, których wykorzystanie na terenie UE jest niedozwolone z uwagi na ich dużą szkodliwość, i sprzeczność z wartościami Unii Europejskiej. Zakazane systemy obejmują np.:

    • Systemy AI wykorzystujące techniki podprogowe po to aby manipulować ludźmi,

    • systemy scoringu społecznego, dokonujące oceny ludzi na podstawie szerokiego zestawu informacji w taki sposób, że skutkuje pokrzywdzeniem to określonych kategorii ludzi w nieproporcjonalny sposób (zastrzegam tu, że nie wszystkie systemy scoringu społecznego są niedozwolone),

    • systemy profilujące ludzi pod kątem prawdopodobieństwa popełnienia przez nich przestępstwa,

    • systemy masowo zbierające dane z wizerunkami osób, np. z mediów społecznościowych albo kamer przemysłowych, po to aby następnie tworzyć AI do rozpoznawania twarzy,

    • systemy analizujące emocje osób w miejscach pracy,

    • systemy kategoryzacji biometrycznej, mające na celu wnioskowanie informacji dotyczących wrażliwych informacji o osobie - np. o jej rasie, przekonaniach religijnych, orientacji seksualnej, poglądach albo przynależności do związków zawodowych,

    • systemy służące do rozpoznawania tożsamości osób w czasie rzeczywistym, bazujące na kamerach monitoringu w przestrzeni publicznej - chodzi tu o systemy, które na bieżąco analizują twarze osób, które są nagrane przez kamery CCTV, np. po to aby wykryć jakiegoś przestępcę. Od tego są wyjątki - np. konieczność zapobiegania przestępstwom terrorystycznym, poszukiwanie osób porwanych itp. - w takich przypadkach można korzystać z takich systemów AI.


Uwaga - od tych ogólnych zakazów AI Act przewiduje też kilka wyjątków - przykładowo, w niektórych, specyficznych sytuacjach profilowanie osób pod kątem popełnienia przestępstwa będzie dopuszczalne.


  1. Systemy wysokiego ryzyka – to systemy AI, których stosowanie jest generalnie dozwolone. Natomiast ich twórcy muszą spełnić różne dodatkowe wymogi, mające na celu zagwarantowanie, że system będzie bezpieczny i nie wyrządzi krzywdy ludziom. Systemów wysokiego ryzyka jest dość sporo, do najważniejszych z nich zaliczamy:

    1. systemy identyfikacji biometrycznej (czyli identyfikowania człowieka na podstawie indywidualnych cech, takich jak odcisk palca, rysy twarzy, tęczówka oka itp), które działają zdalnie, służą do kategoryzacji osób albo rozpoznawania emocji,

    2. systemy AI odpowiedzialne za działanie i bezpieczeństwo infrastruktury krytycznej (np. sterowanie ruchem drogowym, dostarczanie prądu, wody lub gazu),

    3. systemy AI wykorzystywane w edukacji - np. odpowiedzialne za przyjmowanie na studia albo ocenianie efektów nauczania konkretnych uczniów,

    4. systemy AI wykorzystywane w rekrutacji do pracy,

    5. systemy AI służące do oceny czy osobom przysługują świadczenia socjalne, usługi publiczne itp.,

    6. systemy wykorzystywane do ścigania przestępców - np. oceniające prawdopodobieństwo powrotu do przestępstwa przez osobę, która została skazana,

    7. systemy służące do zarządzania migracją, azylami i kontrolą graniczną,

    8. systemy służące do sprawowania wymiaru sprawiedliwości.


Systemami wysokiego ryzyka nie będą jednak te rozwiązania, które nie stwarzają zagrożenia dla zdrowia, bezpieczeństwa albo podstsawowych praw ludzi, zwłaszcza jeśli ich wpływ na proces decyzyjny jest nieznaczny - nawet jeśli kwalifikują się do jednej z powyżej wskazanych kategorii.

Dodatkowo, systemami wysokiego ryzyka będzie cały szereg rozwiązań opartych o AI, które mają wpływ na bezpieczeństwo różnych produktów, co do których istnieje konieczność spełnienia szczególnych wymogów bezpieczeństwa. Takie produkty to np. samoloty, samochody (w tym oczywiście autonomiczne), statki albo urządzenia medyczne.


Aby zapewnić zgodność systemu wysokiego ryzyka z AI Actem, twórca takiego systemu powinien np.:

  • wdrożyć system zarządzania ryzykiem w odniesieniu do systemu AI,

  • dbać o poprawność, reprezentatywność i kompletność danych, za pomocą których będzie uczony system AI,

  • stworzyć dokumentację techniczną systemu,

  • zbierać logi (rejestr zdarzeń) działania takiego systemu,

  • zapewnić możliwość nadzoru działania systemu AI ze strony człowieka.


3)    Modele AI ogólnego przeznaczenia (Generale Purpose AI Models – GPAIM) – AI Act wyróżnia również odrębną kategorię modeli AI, które:

  • wykazują znaczną ogólność i są w stanie kompetentnie wykonywać szeroki zakres różnych zadań, niezależnie od sposobu, w jaki model ten jest wprowadzany do obrotu,

  • można zintegrować z różnymi systemami lub aplikacjami niższego szczebla.


Elementem definicji jest również wzmianka, że mogą być to modele AI trenowane dużą ilością danych z wykorzystaniem nadzoru własnego na dużą skalę.


Jakie obowiązki łączą się z tworzeniem modeli AI ogólnego przeznaczenia?

  • konieczność sporządzenia dokumentacji technicznej modelu, w tym opisującej proces jego trenowania i testowania,

  • obowiązek stworzenia dokumentacji dotyczącej integrowania modeli AI z innymi systemami AI, tak aby osoby tworzące te integracje były zaznajomione z możliwościami i ograniczeniami modelu,

  • wprowadzenie polityki dot. ochrony praw autorskich twórców - chodzi tu o możliwość wyrażenia sprzeciwu wobec wykorzystania publicznie dostępnych utworów,

  • opublikowanie informacji o tym na jakich danych/publikacjach/zbiorach został wytrenowany dany model.


Te wymogi nie dotyczą modeli udostępnianych na licencjach open source.

Dodatkowo, AI Act tworzy dodatkową kategorię GPAIM „z ryzykiem systemowym” – to dotyczy modeli, które mają "dużą zdolność oddziaływania". AI Act wskazuje, że taka zdolność jest domniemana, jeśli łączna liczba obliczeń wykorzystywanych do trenowania modelu, mierzona w operacjach zmiennoprzecinkowych (FLOPS) jest większa niż 10(25) - zgodnie z tym artykułem, oznacza to koszt trenowania modelu wynoszący od 6 do 10 milionów dolarów


Niezależnie od tego, Komisja Europejska może sama zadecydować, że jakiś model ogólnego przeznaczenia jest "z ryzykiem systemowym" - czyli uznać, że model jest na tyle istotny i powszechnie wykorzystywany, że powinien podlegać przepisom AI Actu dotyczącym modeli AI ogólnego przeznaczenia z ryzykiem systemowym.


W procesie takiej oceny bierze się pod uwagę takie rzeczy jak liczbę użytkowników modelu (powszechność zastosowania) lub zestaw (ilość) danych, wykorzystanych do jego wytrenowania.



W przypadku modeli AI z ryzykiem systemowym twórcy powinni dokonać dodatkowych ocen modelu, przeanalizować ryzyko korzystania z modelu, zapewnić odpowiedni poziom bezpieczeństwa cybernetycznego oraz rejestrować ewentualne poważne incydenty związane z korzystaniem z modelu.



Dodatkowe obowiązki dotyczące niektórych systemów AI


AI Act przewiduje też istnienie kilku dodatkowych obowiązków, które dotyczą systemów AI, które posiadają konkretne funkcje. Chodzi tutaj o:


  • Systemy AI, które wchodzą w bezpośrednią interakcję z osobami fizycznymi – (np. czatboty na stronie internetowej) - system te powinny być projektowane i rozwijane w sposób, który zapewnia odpowiednie poinformowanie użytkowników, że mają styczność z systemem AI (a nie np. człowiekiem),

  • Systemy, które generują syntetyczne dźwięki, obrazy, wideo lub teksty (w szczególności chodzi tu o deepfake, czyli modyfikowane komputerowo wizerunki osób, np. sprawiające wrażenie, że ktoś wypowiada dane słowa) – takie treści musza być oznakowane i wykrywalne jako sztucznie wygenerowanie lub zmanipulowane. Jeżeli tego rodzaju treść jest elementem pracy lub programu o wyraźnie artystycznym, twórczym, satyrycznym lub fikcyjny, wystarczy się ograniczyć do informowania, że takie treści są fragmentem danego materiału,

  • Jeżeli ktoś stosuje system do rozpoznawania emocji lub system do kategoryzacji biometrycznej (czyli służący do przyporządkowywania osób do określonych kategorii na podstawie danych biometrycznych tych osób) to musi odpowiednio informować o tym te osoby. W takim przypadku zwykle też dojdzie do przetwarzania danych osobowych szczególnej kategorii - to oczywiście trzeba robić zgodnie z przepisami RODO,

  • Teksty generowane przez AI, które informują społeczeństwo o sprawach w interesie publicznym (lub też takim tekstem manipulują) muszą być oznaczone jako sztuczne, chyba że treści te były weryfikowane przez człowieka lub poddane kontroli redakcyjnej i odpowiedzialność za nie ponosi dany osoba fizyczna lub prawna. 


Kary za naruszenie przepisów AI Actu


AI Act przewiduje również kary za naruszenie obowiązków, które z niego wynikają. Są one następujące:


W przypadku wprowadzania do obrotu, oddawania do użytku lub wykorzystywania systemu AI, który jest niedozwolony, grozi następująca kara:

  • do 35 000 000 EUR lub

  • do 7% całkowitego rocznego obrotu światowego - w zależności, która z tych kwot jest wyższa.


W przypadku naruszenia innych przepisów AI Actu (np. dotyczących systemów wysokiego ryzyka albo modeli ogólnego przeznaczenia) grozi kara:

  • do 15 000 000 EUR lub

  • do 3% całkowitego rocznego obrotu światowego - w zależności, która z tych kwot jest wyższa.


Natomiast w przypadku przekazywania nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji na rzecz organów, które zajmują się egzekwowaniem przepisów AI Actu podlega następującym karom:

  • do 7 500 000 EUR lub

  • do 1% całkowitego rocznego obrotu światowego - w zależności, która z tych kwot jest wyższa.


Kiedy to wszystko wchodzi w życie?


Wejście w życie AI Actu jest podzielone na kilka etapów:

  • 1 sierpnia 2024 r. AI Act stał się obowiązującym prawem w UE,

  • 2 lutego 2025 r. wchodzą w życie przepisy dot. systemów zakazanych,

  • 2 sierpnia 2025 r. w życie wejdą przepisy dotyczące organów notyfikujących, modeli ogólnego przeznaczenia, kar oraz utworzenia krajowych organów ds. AI,

  • 2 sierpnia 2026 r. w życie wejdą pozostałe przepisy AI Actu,

  • niezależnie od tego, przepisy dot. wysokiego ryzyka wejdą w życie dopiero 2 sierpnia 2027 r.


Podsumowanie


AI Act to rozbudowany akt prawny, który ma dostosowywać się do zmieniającego się środowiska technologicznego. Na szczęście, obowiązki, które z niego wynikają, w przeważającej części dotyczą systemów wysokiego ryzyka albo po prostu systemów, których stosować nie wolno. Twórcy innych systemów AI zostali na szczęście potraktowani dużo łagodniej.


Jeżeli masz dodatkowe pytania lub wątpliwości dot. AI Actu, zachęcam do kontaktu ze mną. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.


Comments

Image by Scott Rodgerson

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

michał nosowski

O Autorze:

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

O czym piszę najczęściej?  RODO | Umowy IT | Prawo autorskie | Prawo nowych technologii.

Zachęcam do obserwowania moich profili w mediach społecznościowych:

  • Facebook
  • LinkedIn
  • YouTube
Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page