• PORADNIK: PRAWO I PODATKI W FIRMIE

AI Act na ostatniej prostej. Regulacja przyszłości dla innowacyjnej Europy

2024-03-11

Państwa członkowskie Unii Europejskiej zaakceptowały treść przepisów regulujących AI, co stanowi istotny krok w kierunku wprowadzenia wszechstronnego aktu prawnego, którego celem jest uregulowanie obszaru funkcjonowania sztucznej inteligencji w UE. Warto więc się zastanowić, czy proponowane regulacje UE nie sprawią, że Europa straci na innowacyjności i stanie na przegranej pozycji w wyścigu technologicznym.

W sektorze biznesowym AI przyczynia się do zwiększenia wydajności, automatyzacji szeregu procesów, poprawy obsługi klienta oraz innowacji produktów. Ze względu na widmo możliwości i korzyści wygranymi są tu nie tylko przedsiębiorcy, ale i konsumenci. Przyszłość Europy to siła jej innowacji, a AI Act ma być podstawą do regulowania AI w całej UE, nic więc dziwnego, że dyskusje nad nim są tak intensywne.

Celem AI Act jest harmonizacja przepisów dotyczących AI, tj. stworzenie solidnej ramy prawnej, balansującej między innowacją a ochroną praw obywateli UE wynikającą ze stosowania sztucznej inteligencji. AI Act wprowadza więc zasady dotyczące etycznego i bezpiecznego wykorzystania sztucznej inteligencji, ale jednocześnie zapewnia, że AI będzie służyć dobru publicznemu (tj. ma chronić przed potencjalnymi negatywnymi skutkami jej stosowania, niezależnie od tego, czy dostawcy systemów AI są ustanowieni wewnątrz Unii, czy też poza jej obszarem). Co istotne, AI Act ma zapewniać szacunek dla wolności nauki i nie podważać działalności badawczo-rozwojowej. Balans, o którym mowa powyżej, ma być zachowany poprzez wprowadzenie proporcjonalnego i skutecznego zestawu wiążących zasad opartych na ryzyku, jego intensywności i zakresie. Wiąże się to niestety z nałożeniem szeregu obowiązków na operatorów i dostawców systemów AI.

Systemy wysokiego ryzyka

Wypracowana treść AI Act uwzględnia możliwe zagrożenia ze strony sztucznej inteligencji, dzieląc zastosowania AI na cztery kategorie i w zależności od klasyfikacji nakłada określone obowiązki. Istotne regulacje dotyczą systemów klasyfikowanych jako wysokiego ryzyka, które będą dopuszczone do stosowania pod ścisłą kontrolą. Do systemów takich należeć będą przede wszystkim:

•  systemy zdalnej identyfikacji biometrycznej, systemy do kategoryzacji biometrycznej wg wrażliwych lub chronionych cech oraz systemy do rozpoznawania emocji;
•  systemy AI używane jako elementy bezpieczeństwa w zarządzaniu i eksploatacji krytycznej infrastruktury cyfrowej;
•  systemy AI wykorzystywane do decydowania o dostępie lub przyjęciu osób do instytucji edukacyjnych i szkoleniowych na wszystkich poziomach, ocena wyników uczenia się oraz monitorowanie i wykrywanie zabronionego zachowania studentów podczas testów;
•  systemy AI używane do rekrutacji lub selekcji osób naturalnych, podejmowania decyzji wpływających na warunki pracy, promocji i zakończenia umów o pracę, alokacji zadań i monitorowania wydajności;
• – systemy AI używane przez władze publiczne do oceny kwalifikowalności osób do otrzymania istotnych świadczeń publicznych, oceny ryzyka stania się ofiarą przestępstw, użycia jako narzędzia podobnego do poligrafa, oceny wiarygodności dowodów w śledztwie i oskarżeniu, oceny ryzyka popełnienia przestępstwa przez osobę lub oceny cech osobowości i zachowań przestępczych.
•  zarządzanie migracją, azylem i kontrolą granic.

Obowiązki dotyczące systemów wysokiego ryzyka

AI Act nakłada na dostawców i wdrażających systemy wysokiego ryzyka szereg obowiązków, dotyczących zarówno samej konstrukcji systemu, jego stosowania, jak i jego monitorowania. Dostawcy systemów wysokiego ryzyka muszą m.in. przejść odpowiednią procedurę oceny zgodności systemu AI przed oddaniem go do użytku. Ponadto, dostawcy AI będą musieli wprowadzić system zarządzania jakością zapewniający zgodność z regulacjami AI Act, udokumentowany w sposób systematyczny i uporządkowany w formie pisemnych polityk, procedur i instrukcji. System powinien być jednakże proporcjonalny do wielkości organizacji dostawcy i uwzględniać m.in. strategię dla zgodności regulacyjnej, techniki i procedury stosowane w projektowaniu, rozwoju, kontroli jakości i zapewnieniu jakości systemu AI wysokiego ryzyka, a także zarządzanie ryzykiem, monitoring po wprowadzeniu na rynek, procedury zgłaszania poważnych incydentów i zarządzanie danymi.

Bariera dla systemów GPAI?

Szczególnymi regulacjami objęte są także modele GPAI (modele AI generalnego przeznaczenia, czyt. ChatGPT, Bard itp.), ze względu na wykazywanie lub potencjalny zakres możliwych zastosowań, zarówno zamierzonych, jak i tych niezamierzonych. To właśnie regulacje dotyczące GPAI rodzą wiele obaw środowisk biznesowych (potencjalne zahamowanie rozwoju AI na rynku europejskim). Nic więc dziwnego, że w kuluarach negocjacyjnych prowadzone były burzliwe dyskusje dotyczące wprowadzenia mniej rygorystycznych regulacji, uzasadniając to chęcią dalszego rozwoju europejskich innowacji. Wymagane informacje dotyczące GPAI to m.in. ogólny opis modelu, zadania, jakie ma wykonywać, typ i charakter systemów, w których może być zintegrowany, polityka dopuszczalnego użytkowania, interakcje z oprogramowaniem lub sprzętem itp. Kluczowym aspektem ma być tu transparentność oraz udostępnienie technicznej dokumentacji odbiorcom.

Warto jednak zdawać sobie sprawę, że definicja sztucznej inteligencji w uzgodnionej wersji AI Act dalej pozostawia wiele niejasności, wątpliwości, jak również obaw co do potencjalnie możliwego obchodzenia prawa ze względu na zakres rozumienia AI. Według AI Act system AI to system oparty na maszynach, zaprojektowany do działania z różnymi poziomami autonomii, który może wykazać zdolność adaptacji po wdrożeniu. System ten, dla jasno określonych lub domniemanych celów, wnioskuje na podstawie otrzymywanych danych wejściowych, jak generować takie wyniki jak prognozy, rekomendacje treści czy decyzje, które mogą wpłynąć na fizyczne lub wirtualne środowiska, sama zaś zdolność systemu AI do wnioskowania wykracza poza podstawowe przetwarzanie danych, umożliwiając uczenie się, rozumowanie lub modelowanie.

Czy tak proponowana definicja jest na tyle „szczelna”, by zapewnić owe tak dumnie propagowane zasady etycznego i bezpiecznego wykorzystania sztucznej inteligencji i zapewnienia, że AI będzie służyć dobru publicznemu? W tak dynamicznie zmieniającej się rzeczywistości, w szczególności rozwoju technologicznym dotyczącym AI, warto rozważyć, czy lepszym rozwiązaniem nie byłoby przyjęcie definicji AI poprzez wykładnię wykluczającą niż prowadzenie dywagacji, czym owo wnioskowanie jest.

Widmo nadchodzącej AGI (artificial general intelligence) tworzącej nowe modele matematyczne to kierunek rozwoju AI, tj. rozwoju AI zdolnej do wykonywania szerokiego zakresu zadań intelektualnych, podobnie jak to robi ludzki mózg.

Obecnym modelom brakuje wielu umiejętności, które uważamy za kluczowe dla ludzkiej inteligencji, takich jak np. mniej lub bardziej rozsądne rozumowanie. AGI może już wkrótce być w stanie wykonywać dowolne zadania intelektualne na poziomie lub przewyższającym ludzkie zdolności (patrz np. Q*, który w świetle doniesień medialnych jest w stanie obecnie rozwiązywać pewne problemy matematyczne). AI Act nie blokuje systemów i modeli AI rozwijanych wyłącznie na potrzeby badawczo-rozwojowe. Warto też sobie zdawać sprawę, że AGI to rozwój modeli, których zadaniem jest nie tylko ulepszać nasze zrozumienie matematyki, ale także zmieniać podejście do biznesu i nauki, a efekty tych prac z dużą dozą prawdopodobieństwa będą mogły być adoptowane do innych obszarów naszego życia.

Wyłączenia stosowane przez organy ścigania

Kolejnym z obszarów, który od samego początku budzi wielkie emocje jest zakaz stosowania zdalnych systemów identyfikacji biometrycznej „w czasie rzeczywistym” w publicznie dostępnych przestrzeniach, do celów egzekwowania prawa z zastrzeżeniem uzyskania wymaganej wcześniej zgody sądu. AI Act wprowadza jednak pewne wyjątki dla organów ścigania. Wyjątki do ogólnych zasad są dopuszczone w szczególnie uzasadnionych sytuacjach nagłych, gdzie potrzeba użycia tych systemów jest na tyle duża, że obiektywnie i efektywnie niemożliwe jest uzyskanie autoryzacji przed rozpoczęciem ich eksploatacji. Użycie biometrycznych systemów identyfikacji w czasie rzeczywistym byłoby ograniczone w czasie i miejscu, do celów poszukiwań ofiar, zapobiegania konkretnemu i obecnemu zagrożeniu terrorystycznemu, lokalizacji lub identyfikacji osoby podejrzanej o popełnienie jednego z konkretnych przestępstw wymienionych w rozporządzeniu (m.in. terroryzm, handel ludźmi, nielegalny handel narkotykami, substancjami psychotropowymi, ludzkimi organami i tkankami, bronią, amunicją i materiałami wybuchowymi, uzbrojony napad, sabotaż i inne, a także uczestnictwo w organizacji przestępczej zajmującej się jednym lub większą liczbą wyżej wymienionych przestępstw).

Sankcje i wsparcie innowacji

W ramach AI Act państwa członkowskie UE będą miały obowiązek ustalić zasady dotyczące kar i innych środków egzekwowania za naruszenia AI Act. Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające, a także brać pod uwagę interesy MŚP, w tym start-upów, uwzględniając ich zdolność ekonomiczną. Przedsiębiorcy nie powinni więc bezczynnie czekać na ustawowy vacatio legis wprowadzający AI Act w życie. Naruszenie zakazów dotyczących praktyk związanych z AI, o których mowa w AI Act, może podlegać administracyjnym karom finansowym dochodzącym nawet do 35 000 000 EUR w przypadku przedsiębiorstw lub do 7 proc. jego całkowitego rocznego obrotu za poprzedni rok finansowy (w zależności od tego, która z tych wartości jest wyższa).

Unijne regulacje budzą obawy co do potencjalnego zahamowania rozwoju AI, zwłaszcza w kontekście rygorystycznych wymagań dotyczących stabilności technicznej i odpowiedzialności za ewentualne szkody dostawców AI. Wprowadzenie struktur wspierających innowacyjność i regulacje mają jednakże stanowić fundament stosowalności AI w EU, a AI Act ma zapewnić zachowanie bezpieczeństwa i stabilności, przy jednoczesnym umożliwieniu rozwoju innowacji i sztucznej inteligencji. Wszyscy powinni zdawać sobie jednak sprawę, że nasza przyszłość w coraz większym stopniu będzie nierozerwalnie związana z tym, co AI ma do zaoferowania. Podejmowanie kroków w kierunku zrozumienia i odpowiedzialności technologii może być kluczem do ucywilizowania AI, a to, czy AI Act okaże się w tym skuteczny i pomocny, okaże się już w najbliższym czasie.