W zeszłym tygodniu, dnia 13 marca 2024 r. Parlament Europejski uchwalił Rozporządzenie o sztucznej inteligencji (tzw. AI ACT), które w istotnym zakresie reguluje tworzenie i wykorzystywanie sztucznej inteligencji. AI ACT jest jedną z pierwszych tego rodzaju regulacji na świecie. Technologia sztucznej inteligencji nie jest już tylko wymysłem literatury i kinematografii spod znaku since fiction, ale stała się rzeczywistością i z każdym dniem będzie odgrywała w naszym życiu coraz większą rolę. W wielu przypadkach nie będziemy nawet zdawać sobie z tego sprawy.
Unia Europejska zawczasu dostrzegła problem związany z tym, że sztuczna inteligencja to nie tylko szanse, ale również poważne zagrożenia. Chcąc ukierunkować rozwój rynku sztucznej inteligencji unijny prawodawca powołał do życia AI ACT. Kogo dotyczy? Co zmieni? Czy te regulacje to krok w dobrą stronę? W krótkiej serii artykułów o AI ACT, przedstawiając najważniejsze w naszej ocenie założenia, które legły u podstaw AI ACT postaramy się odnaleźć odpowiedzi na powyższe pytania.
Spis treści:
1) Wartości – fundament AI ACT
2) Zasada eksterytorialności – czyli AI ACT obowiązuje na całym świecie (przynajmniej w teorii)
3) Kto musi stosować AI ACT?
4) Rodzaje systemów sztucznej inteligencji
5) Zakazane praktyki
6) Kary
7) Piaskownice regulacyjne
8) Wejście w życie AI ACT
9) Podsumowanie
Wartości – fundament AI ACT
Czytają AI ACT należy dojść do wniosku, że fundamentem i punktem wyjścia dla prac nad systemami sztucznej inteligencji mają być wartości stanowiące dla państw UE wspólny deontologiczny mianownik. W poszczególnych motywach AI ACT wskazano następujące wartości: przeciwdziałanie dyskryminacji, równość, sprawiedliwość, prawo do godności człowieka, poszanowanie życia prywatnego i rodzinnego, ochrona danych osobowych, wolność wypowiedzi i informacji, wolność zgromadzania się i stowarzyszania się oraz niedyskryminacja, ochrona konsumentów, prawa pracownicze, prawa osób niepełnosprawnych, prawo do skutecznego środka prawnego i dostępu do bezstronnego sądu, prawo do obrony i domniemania niewinności, prawo do dobrej administracji, ochrona procesów demokratycznych, ochrona praw dziecka.
Podmioty tworzące systemy sztucznej inteligencji w swych pracach nad technologią AI będą musiały uwzględniać powyższe wartości, co pośrednio wymuszają konkretne przepisy AI ACT. W założeniu ma to zapobiegać zagrożeniom i naruszaniu przez systemy sztucznej inteligencji podstawowych zdobyczy cywilizacyjnych w zakresie praw i wolności charakterystycznego dla liberalnych demokracji.
Zasada eksterytorialności – czyli AI ACT obowiązuje na całym świecie (przynajmniej w teorii)
W zamyśle unijnego prawodawcy AI ACT ma obowiązywać na zasadzie eksterytorialności co oznacza, że jego przepisy będą miały zastosowanie również do użytkowników oraz dostawców znajdujących się poza terytorium UE, a precyzyjnie rzecz biorąc AI będzie miał zastosowanie do:
1. dostawców wprowadzających do obrotu lub oddających do użytku systemy sztucznej inteligencji w UE, niezależnie od tego, czy dostawcy ci mają siedzibę w UE czy w państwie trzecim;
2. użytkowników systemów sztucznej inteligencji, którzy znajdują się w Unii;
3. dostawców i użytkowników systemów sztucznej inteligencji, którzy znajdują się w państwie trzecim, jeżeli wyniki działania systemu są wykorzystywane w Unii;
4. importerzy i dystrybutorzy systemów AI;
5. producenci produktów, którzy wprowadzają do obrotu lub oddają do użytku system sztucznej inteligencji wraz ze swoim produktem i pod własną nazwą lub znakiem towarowym;
6. upoważnieni przedstawiciele dostawców, którzy nie mają siedziby w Unii;
7. inne zainteresowane osoby, które mają siedzibę w Unii.
Nauczeni doświadczeniem zdobytym przy okazji stosowania zasady eksterytorialności na tle RODO pozostajemy sceptyczni co do skuteczności tej zasady. W wielu przypadkach zasada eksterytorialnego obowiązywania AI ACT będzie przykładem martwej litery prawa,
a przynajmniej do momentu, gdy nie będzie realnej możliwości wyegzekwowania kar pieniężnych za naruszenie AI ACT od podmiotów spoza UE, np. od chińskich producentów systemów sztucznej inteligencji.
Kto musi stosować AI ACT?
Nie wdając się w wyjaśniania meandrów poszczególnych przepisów można pokusić się o ogólne uproszczenie, że AI ACT zobowiązani będą stosować przede wszystkim importerzy, dystrybutorzy oraz dostawcy systemów sztucznej inteligencji.
Istotne jest to czym w rozumieniu AI ACT są systemy sztucznej inteligencji. Zgodnie z definicją zawartą w AI ACT system sztucznej inteligencji oznacza system maszynowy zaprojektowany do działania na różnych poziomach autonomii, który może wykazywać zdolność adaptacji i który, w celach jawnych lub ukrytych, wnioskuje na podstawie otrzymywanych danych wejściowych, w jaki sposób generować dane wyjściowe, takie jak prognozy, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne. Z powyższego wynika, że definicja systemu sztucznej inteligencji jest definicją szeroką i niedookreśloną, co sprawia, że ujęcie jej w taki sposób pozwala na zaliczenie do niej wielu systemów czy produktów. Wobec powyższego, w naszej ocenie obowiązywanie definicji w takiej formie spotka się z wieloma problemami na gruncie stosowania AI ACT, a dookreślenie nastąpi zapewne dopiero wraz ze wzrastającym doświadczeniem wszystkich specjalistów.
Rodzaje systemów sztucznej inteligencji
Z punktu widzenia AI ACT najistotniejsze będzie ustalenie grupy poziomu ryzyka wynikającego ze stosowanego systemu sztucznej inteligencji. Spełnienie przesłanek należących do danej grupy, a co za tym idzie – otrzymanie przymiotu danej grupy ryzyka, będzie nakładało na właściwy podmiot konkretne obowiązki, różne w zależności od grupy.
Ryzyko dzieli się na cztery poziomy, przy czym im wyższy poziom ryzyka, tym więcej obowiązków związanych ze stosowaniem systemu sztucznej inteligencji. Wobec tego, te ryzyka najlepiej wyobrazić sobie jako odwrócony trójkąt, który rozpoczyna się od „braku ryzyka i minimalnego ryzyka”, do którego będzie zaliczać się z pewnością najwięcej systemów, a kończy się na grupie „nieakceptowanego ryzyka”, które z kilkoma enumeratywnymi wyjątkami będą całkowicie zakazane do stosowania na terenie UE.
Co do zasady na grupę „braku ryzyka i ryzyka minimalnego” nie zostaną nałożone nowe obowiązki wynikające z AI ACT oraz stosowanie systemów należących do tej grupy nie będzie w żaden sposób ograniczone. Druga w kolejności grupa to „ryzyko ograniczone”, z którym wiązać się będzie przede wszystkim spełnienie obowiązku przejrzystości, czyli poinformowanie użytkowników systemu o korzystaniu z pomocy AI. Obowiązek ten w pewnym zakresie przypomina obowiązek informacyjny z art. 13 RODO.
Systemy należące do grupy „ryzyka wysokiego” pojawiają się jako trzecie, a tym samym ostatnie w pełni dozwolone na terenie UE. Aby je wprowadzić na rynek europejski, konieczne będzie uprzednie spełnienie wielu wymogów, dostosowanie się pod unijne kryteria oraz wywiązanie się z obowiązków nałożonych przez AI ACT. Pod wymogi będą zaliczać się m.in. analiza i ocena przewidywanych zagrożeń czy przyjęcie odpowiednich i ukierunkowanych środków zarządzania ryzykiem. W naszej ocenie, jako osób zajmujących się na co dzień ochroną danych osobowych w ramach RODO, łatwo znaleźć dużą analogię pomiędzy obowiązkami nałożonymi w związku z grupą „wysokiego ryzyka” a niektórymi obowiązkami nałożonymi na administratorów danych osobowych.
Zakazane praktyki
Ostatnią z grup określoną przez AI ACT jest grupa „ryzyka nieakceptowalnego”, określana także mianem tzw. zakazanych praktyk. Jak wspomniano powyżej, stosowanie systemów sztucznej inteligencji, które wiążą się z tym ryzykiem będzie co do zasady zabronione na terenie całej UE. Do tej grupy zalicza się w szczególności: systemy wykorzystujące techniki podprogowe, które mają na celu manipulację lub wprowadzenie w błąd; systemy wykorzystujące słabości osób ze względu na ich niepełnosprawność, wiek czy czynniki społeczne; systemy wprowadzające kategoryzację biometryczną z uwagi na rasę, przekonania religijne czy życie seksualne; stosowanie biometrycznych systemów identyfikacji w czasie realnym.
Wyjątkiem od wyżej wskazanych zakazów jest możliwość stosowania biometrycznych systemów identyfikacji w czasie realnym przez organy władzy państwowej w celu egzekwowania prawa. Jednakże w każdym wypadku, natura sytuacji musi być bardzo poważna i jednocześnie konsekwencje naruszenia praw i wolności innych osób muszą być niższej rangi niż skorzystanie z takiego systemu. AI ACT jako przykłady sytuacji, których powaga zezwala na skorzystanie z biometrycznej identyfikacji podaje w szczególności wykrywanie przestępstw i ich sprawców w zakresie: terroryzmu, handlu ludźmi, przestępstwa narkotykowych, handlu bronią, morderstw, przestępstw seksualnych czy przestępstw wyrządzonych na szkodę środowiska.
Kary
Nikogo nie powinien dziwić fakt, że za naruszenie wybranych przepisów AI ACT przewidziano surowe kary pieniężne. Jest to zrozumiałe w kontekście egzekwowania przestrzegania przepisów, w szczególności w stosunku do firm z grupy Big Tech.
AI ACT ustanawia ogólne ramy i wytyczne odnośnie nakładania kar, m.in. ich maksymalną wysokość, aczkolwiek to na państwach członkowskich spoczywa obowiązek ustanowienia przepisów krajowych, które uregulują to zagadnienie bardziej szczegółowo. Bardzo prawdopodobne jest, że polski ustawodawca zdecyduje się uchwalić odrębną ustawę implementującą AI ACT.
Za najpoważniejsze naruszenia AI ACT przewidziano maksymalną karę pieniężną w wysokości do 35 000 000 EUR lub – jeżeli naruszenia dopuszcza się przedsiębiorstwo – w wysokości do 7 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Piaskownice regulacyjne
Ciekawym rozwiązaniem przyjętym w AI ACT (rzadko stosowanym w Polsce) jest tzw. piaskownica regulacyjna. Jest to konstrukcja prawna, która umożliwia tworzenie bezpiecznego otoczenia prawnego, w ramach którego przedsiębiorcy mogą tworzyć swoje innowacyjne rozwiązania licząc jednocześnie na łagodniejsze traktowanie ze strony państwa. AI ACT przewiduje, że organ z co najmniej jednego państwa członkowskiego wprowadzi u siebie piaskownicę regulacyjną, która zapewni kontrolowane środowisko ułatwiające opracowywanie, testowanie i walidację innowacyjnych systemów sztucznej inteligencji przez ograniczony czas przed ich wprowadzeniem do obrotu lub oddaniem ich do użytku zgodnie z określonym planem. Tego rodzaju działalność będzie musiała przebiegać pod bezpośrednim nadzorem właściwych organów i zgodnie z ich wytycznymi, aby zapewnić zgodność z prawem.
Sprawne wprowadzenie przez Polskę właściwych przepisów dotyczących piaskownicy regulacyjnej mogłoby stanowić bodziec do przyspieszenia rozwoju systemów sztucznej inteligencji, a także przyciągnąć zagraniczne firmy, które chciałyby testować i rozwijać swoje innowacyjne technologie w naszym kraju.
Wejście w życie AI ACT
AI ACT ma wejść w życie w pełnym zakresie w terminie 24 miesięcy od dnia publikacji w Dzienniku Urzędowym UE, za wyjątkiem kilku rozdziałów, które wejdą w życie w innych terminach, a będą to:
1. przepisy z zakresu „zakazanych praktyk” – w terminie 6 miesięcy od dnia wejścia w życie AI ACT,
2. przepisy z zakresu obowiązku przejrzystości dla grup „wysokiego ryzyka”, przepisy dotyczące Rady Europejskiej ds. sztucznej inteligencji, przepisy dotyczące generalnych celów (tzw. GPAI) oraz przepisy o karach – w terminie 12 miesięcy od dnia wejścia w życie AI ACT,
3. niektóre przepisy dotyczące zakazu kwalifikacji do grupy „wysokiego ryzyka” – w terminie 36 miesięcy od dnia wejścia w życia AI ACT.
Na ten moment, dokładna data wejścia w życie nie jest znana, bowiem AI ACT nie został jeszcze opublikowany w oficjalnym dzienniku.
Podsumowanie
Idea uregulowania i ucywilizowania unijnego rynku systemów sztucznej inteligencji,
to niewątpliwie krok w dobrą stronę. Niemniej jednak nasuwają się wątpliwości czy regulacje AI ACT nie są nazbyt restrykcyjne, a w konsekwencji czy zamiast wesprzeć rozwój sztucznej inteligencji AI ACT niepotrzebnie będzie go hamował i ograniczał.
Dokładny termin wejścia w życie AI ACT nie jest jeszcze znany, jednak z pewnością w ciągu najbliższych dwóch lat dostawcy systemów sztucznej inteligencji muszą odpowiednio przygotować się do jego wdrożenia. W następnej publikacji przedstawiamy jakie konkretnie obowiązki będą musieli spełniać dostawcy poszczególnych rodzajów systemów sztucznej inteligencji.
Autorzy:
Radca prawny Marcin Siemienkiewicz
Aplikantka adwokacka Dominika Naykowska