Close Menu
czwartek, 20 marca
AI Act
Prawo

AI Act – zakazy i nakazy UE dotyczące sztucznej inteligencji

Aktualizacja:7 minut czytania

Co to jest AI Act?

AI Act to zwyczajowa nazwa Rozporządzenia Unii Europejskiej 📃 (UE) 2024/1689, które określa normy oraz obowiązki dla dostawców, dystrybutorów, operatorów i innych podmiotów odpowiedzialnych za tworzenie lub dostarczanie systemów AI. Dzięki temu możliwy będzie dalszy rozwój innowacji i wykorzystanie sztucznej inteligencji, przy jednoczesnym minimalizowaniu potencjalnych zagrożeń związanych z tymi technologiami.

Dokument wszedł w życie 1 sierpnia 2024, ale ze względu na kilka etapów legislacyjnych, poszczególne zasady będą obowiązywały w ciągu kolejno 6, 12 i 36 miesięcy.

Kategorie ryzyka oraz zakazane praktyki AI

AI Act wprowadza podejście oparte na ocenie ryzyka, które ma na celu skuteczne zarządzanie zagrożeniami związanymi z rozwojem sztucznej inteligencji. Zgodnie z tym podejściem im wyższe ryzyko, tym surowsze wymagania. Takie rozwiązanie pozwala na elastyczność regulacyjną, uwzględniając różnorodność zastosowań.

Rodzaje ryzyka:

  1. Niedopuszczalne ryzyko
  2. Wysokie ryzyko
  3. Ryzyko systemowe
  4. Szczególne ryzyko w zakresie przejrzystości
  5. Minimalne ryzyko

1) Niedopuszczalne ryzyko, czyli co jest zabronione

Komisja Europejska ustanowiła jasne zakazy dotyczące wykorzystania sztucznej inteligencji, aby chronić prawa człowieka i zapobiegać nadużyciom. Szczegółowe informacje dotyczące zakazanych praktyk określa Artykuł 5, ust. 1 (UE) 2024/1689 i przepisy te obowiązują od 2 lutego 2025r. Poniżej przedstawiamy uogólniony wykaz systemów, które są niedozwolone:

  1. Stosujące techniki podprogowe, czyli będące poza świadomością odbiorcy.
  2. Wykorzystujące słabości osób ze względu na ich wiek, niepełnosprawność lub szczególną sytuację społeczną lub ekonomiczną.
  3. Wykorzystujące oceny i klasyfikacje na podstawie zachowania społecznego lub cech osobowości (tzw. scoring społeczny), które prowadzą do krzywdzącego lub niekorzystnego traktowania.
  4. Przeprowadzające oceny ryzyka osób w celu przewidzenia prawdopodobieńsytwa popełnienia przestępstwa na podstawie profilowania lub oceny jej cech osobowości i cech charakterystycznych.
  5. Wykorzystujące bazy danych służące rozpoznawaniu twarzy poprzez nieukierunkowane pozyskiwanie (ang.untargeted scraping) wizerunków z internetu lub wideo z kamer przemysłowych.
  6. Wyciągające wnioski na temat emocji ludzi w miejscu pracy lub instytucjach edukacyjnych (wyjątkiem są przypadki, w których system wdrażany jest ze względów medycznych lub bezpieczeństwa).
  7. Wykorzystujące kategoryzacje biometryczne osób w oparciu o ich dane biometryczne, wnioskujące na temat ich rasy, poglądów politycznych, przynależności do związków zawodowych, przekonań religijnych lub światopoglądowych, seksualności lub orientacji seksualnej.
  8. Wykorzystujące zdalną identyfikację biometryczną w czasie rzeczywistym w przestrzeni publicznej do celów ścigania przestępstw. Od tej zasady jest wiele wyjątków np. poszukiwania konkretnych ofiar uprowadzeń, osób zaginionych lub poszukiwania w przypadku 16 ściśle określonych rodzajów przestępstw.

2) Systemy wysokie ryzyka

Systemy uznawane za wysokiego ryzyka to takie, które nie są zakazane, ale mogą wpłynąć na bezpieczeństwo osób lub naruszyć ich podstawowe prawa, chronione na mocy Karty praw podstawowych Unii Europejskiej.

Przykłady systemów wysokiego ryzyka:

  • oprogramowanie sterujące robotami, bezzałogowymi statkami powietrznymi (dronami) czy urządzeniami medycznymi
  • programy oceniające np. czy dana osoba kwalifikuje się do określonego sposobu leczenia, danego rodzaju stanowiska pracy lub kredytu hipotecznego

3) Ryzyko systemowe

W dokumencie AI Act wyróżniono również inny typ ryzyka, określany jako ryzyko systemowe. Odnosi się ono do zagrożeń związanych z modelami AI ogólnego przeznaczenia, które charakteryzują się dużym potencjałem oddziaływania i znaczącym wpływem na rynek Unii Europejskiej. Ryzyko to wynika z szerokiego zasięgu tych modeli stanowiąc zagrożenia dla zdrowia publicznego, porządku i bezpieczeństwa publicznego, praw podstawowych czy całego społeczeństwa, które mogą rozprzestrzeniać się na dużą skalę.

4) Szczególne ryzyko w zakresie przejrzystości

AI Act wprowadza szczegółowe wymagania dotyczące przejrzystości w odniesieniu do wybranych zastosowań sztucznej inteligencji, zwłaszcza gdy istnieje ryzyko manipulacji, jak ma to miejsce w przypadku chatbotów czy deepfake’ów. Użytkownicy powinni być wyraźnie informowani o tym, że mają do czynienia z wytworem AI, aby zapewnić pełną świadomość interakcji z technologią.

5) Systemy minimalnego ryzyka

W przypadku tych systemów AI można rozwijać i wykorzystywać zgodnie z obowiązującymi przepisami, bez konieczności wprowadzania dodatkowych wymagań. Dostawcy tych technologii mają możliwość dobrowolnego stosowania zasad dotyczących wiarygodnej sztucznej inteligencji oraz przestrzegania dobrowolnych kodeksów postępowania.

Etapy wdrażania Rozporządzenia AI Act

AI Act - etapy wdrożenia
AI Act - etapy wdrożenia

Wybrane obowiązki dotyczące systemów sztucznej inteligencji

Opisane poniżej wymagania wchodzą w życie od 2 sierpnia 2026r.

Identyfikacja treści AI

Dostawcy systemów generujących sztuczne dźwięki, obrazy, filmy czy teksty, są zobowiązani do oznaczania swoich treści w sposób umożliwiający ich łatwe zautomatyzowane rozpoznanie jako sztucznie wygenerowane lub zmodyfikowane.

Nie chodzi tutaj o firmowe znaki wodne czy podobne oznaczenia, ale o zastosowanie np. ukrytych metadanych, które mogą być masowo odczytywane przez systemy komputerowe. Technologie te muszą być skuteczne, niezawodne, kompatybilne z innymi systemami i dostosowane do różnych rodzajów treści.

Z pewnością można to przyrównać na przykład do obecnego systemu wykrywania utworów muzycznych na YouTube w celu ochrony praw autorskich. W podobny sposób działać ma automatyczne wykrywanie treści AI.

Manipulowanie publikacjami i artykułami

Systemy AI do generowania tekstów publikowanych w celu informowania o sprawach leżących w interesie publicznym, muszą wyraźnie zaznaczać, że tekst został wygenerowany lub zmieniony przez sztuczną inteligencję. Obowiązek nie dotyczy przypadków, gdy treść została zweryfikowana przez człowieka lub przeszła kontrolę redakcyjną, a odpowiedzialność za jej publikację ponosi konkretna osoba lub firma.

Deepfake

W dokumencie AI Act zawarto zasady stosowania tak zwanej techniki deepfake. Zgodnie z oficjalną wykładnią technologia deepfake polega na generowaniu przez AI obrazów, treści dźwiękowych lub wideo, które przypominają istniejące osoby, przedmioty, miejsca, podmioty lub zdarzenia np. wizerunek znanego polityka. Zgodnie z art. 50 ust. 4 Rozporządzenia (UE) 2024/1689 materiały takie będą musiały być w widoczny sposób oznaczone jako treści sztucznie wygenerowane lub zmanipulowane.

W jaki techniczny sposób treści typu deepfake oraz inne materiały stworzone przez AI muszą być oznaczone?
Takie standardy nie zostały jeszcze opublikowane. Europejski Urząd ds. Sztucznej Inteligencji cały czas opracuje szczegółowe wytyczne dla systemów AI dotyczące wymagań technicznych. Regulacje te wejdą w życie dwa lata po rozpoczęciu obowiązywania AI Act, czyli od 2 sierpnia 2026 roku.

Modele ogólnego przeznaczenia

Modele ogólnego przeznaczenia to takie, które są trenowane na ogromnych zbiorach danych, wyróżniają się ogólnością zastosowań i zdolnością do realizacji szerokiego zakresu zadań. Dzięki swojej uniwersalności mogą być zintegrowane z wieloma innymi systemami AI.

Przykładem takiego modelu ogólnego przeznaczenia może być z pewnością ChatGPT, który dzięki treningowi na dużej liczbie danych, cechuje się wysoką elastycznością i znajduje zastosowanie w odrębnych aplikacjach, programach oraz innych systemach opartych na sztucznej inteligencji.

Kluczowe jest, aby każdy, kto wykorzystuje model AI ogólnego przeznaczenia w swoich systemach, miał dostęp do wszystkich niezbędnych i istotnych informacji na jego temat. W związku z tym na dostawców takich modeli nałożono obowiązek przekazywania określonych danych podmiotom je wykorzystującym. Taka praktyka zwiększa przejrzystość i upewnienie się, że system jest bezpieczny i zgodny z prawem.

Przykład: Twórca aplikacji AI przeznaczonej do obsługi klientów w sklepach internetowych, wykorzystuje w swoim systemie model ChatGPT. Powinien mieć on pewność, że ChatGPT działa zgodnie z obowiązującymi przepisami, co pozwoli zagwarantować, że również jego aplikacja do obsługi klientów będzie zgodna z regulacjami AI Act.

Na dostawców modeli ogólnego przeznaczenia nakłada się wiele wymagań i obowiązków np. przestrzeganie prawa autorskiego czy podawania do wiadomości publicznej informacji co do treści wykorzystanych do trenowania danego modelu.

Kary za nieprzestrzeganie zasad

Kraje członkowskie będą zobowiązane do wprowadzenia kar, które będą skuteczne, proporcjonalne i na tyle surowe, aby odstraszać od naruszania przepisów związanych z systemami sztucznej inteligencji. W AI Act określono maksymalne wartości sankcji:

Rodzaj wykroczeniaWymiar kary
Stosowanie zakazanych praktyk lub nieprzestrzeganie zasad dotyczących przetwarzania danychdo 35 mln euro lub 7% całkowitego rocznego światowego obrotu w poprzednim roku obrotowym
Przekazywanie niepełnych, nieprawdziwych lub wprowadzających w błąd informacji właściwym organom lub jednostkom notyfikowanymdo 7,5 mln euro lub 1,5% całkowitego rocznego światowego obrotu w poprzednim roku obrotowym
Pozostałe naruszenia opisane w Rozporządzeniu AI Actdo 15 mln euro lub 3% całkowitego rocznego światowego obrotu w poprzednim roku obrotowym

Jak sprawdzić zgodność swojego systemu z AI Act?

Unijna regulacja dotycząca sztucznej inteligencji nakłada obowiązki zarówno na dostawców, wdrażających, dystrybutorów, importerów czy producentów. Serwis EU Artificial Intelligence Act opracował nieoficjalne narzędzie pomagające sprawdzić czy dany system AI będzie objęty wymaganiami prawnymi. Wynik należy traktować wyłącznie jako wsparcie, które nie zastępuje profesjonalnej porady prawnej. Kliknij tutaj, aby rozwiązać test.