Rada UE przyjęła wspólne stanowisko w sprawie rozporządzenia regulującego działanie AI. Korzystające z niej firmy muszą się liczyć z dodatkowymi kosztami i obowiązkami
Rozporządzenie zwane AI Act (The Artificial Intelligence Act) ma zgodnie z preambułą „poprawić funkcjonowanie rynku wewnętrznego poprzez ustanowienie jednolitych ram prawnych”, ale też zapewnić „wysoki poziom ochrony zdrowia, bezpieczeństwa i praw podstawowych” w obliczu rosnących możliwości systemów opartych na sztucznej inteligencji (AI).
- Ta regulacja jest rzeczywiście potrzebna, bo odpowiada na ryzyko kolizji działania systemów sztucznej inteligencji z prawami podstawowymi osób poddanych działaniu tych systemów. Mowa np. o prawie do prywatności, swobodzie wypowiedzi czy prawie do udziału w życiu publicznym. Do zmierzenia się z tymi wyzwaniami regulacje, które mamy obecnie, jak RODO czy przepisy o produktach niebezpiecznych, nie są wystarczające - mówi dr Aleksandra Auleytner, partnerka w kancelarii Domański Zakrzewski Palinka.
Po wielomiesięcznych negocjacjach unijni ministrowie w ubiegłym tygodniu zaakceptowali ostateczny wariant rozporządzenia. Ta wersja będzie bazą do finalnych ustaleń podczas negocjacji z Parlamentem Europejskim, gdzie prace nad projektem i setkami zgłoszonych poprawek wciąż trwają. Głosowanie w PE jest wstępnie planowane na okolice marca przyszłego roku.
Mimo zapewnień o dążeniu do ochrony praw podstawowych mieszkańców Unii projekt wzbudził wiele uwag ze strony europejskich organizacji pozarządowych. Jeszcze w zeszłym roku koalicja ponad 100 organizacji apelowała m.in. o rozszerzenie listy zakazanych zastosowań AI i zapewnienie, że kryteria uznawania systemów za stwarzające ryzyko będą mogły być odpowiednio szybko aktualizowane w odpowiedzi na rozwój technologii.
- To rozporządzenie zasadniczo ogranicza się do regulacji bezpieczeństwa produktów „zawierających AI”. W zamyśle Komisji Europejskiej to bardziej narzędzie certyfikacji dla wybranych obszarów, w których - zdaniem Komisji - AI wiąże się z wyższym ryzykiem. I nic więcej. Praw ludzi w tym projekcie w zasadzie nie ma - mówi Katarzyna Szymielewicz, prezeska Fundacji Panoptykon.
Dziurawe zakazy dotyczące sztucznej inteligencji
Zasadniczym założeniem projektu jest podejście oparte na ryzyku. Komisja stwierdziła, że w zależności od ryzyka, niektórych systemów AI trzeba zakazać, inne poddać wymogom dotyczącym ich rozwijania i nadzoru nad działaniem, a reszcie pozostawić swobodę.
- Podejście oparte na ocenie ryzyka jest pragmatyczne i w pewnym stopniu odpowiada temu, co unijny ustawodawca zastosował już w np. w odniesieniu do RODO czy przepisów o cyberbezpieczeństwie. Przedsiębiorcy są więc już w jakimś zakresie zaznajomieni z takim punktem widzenia - komentuje dr Auleytner.
Według wersji przyjętej przez Radę UE zakazane mają być techniki wpływania na ludzkie zachowanie podświadomie lub z wykorzystaniem słabości ze względu na wiek, niepełnosprawność albo szczególną sytuację społeczną lub ekonomiczną, a także systemy oceny obywateli podobne do rozwiązania znanego z Chin. Częściowy zakaz ma też objąć identyfikację biometryczną „w czasie rzeczywistym”. Tutaj jednak projekt przewiduje szeroko zakrojone wyjątki dla organów ścigania.
- Rozwiązaniem lepszym od kazuistycznych zakazów byłby obowiązek przeprowadzania analizy ryzyka, uwzględniającej prawa człowieka, dla wszystkich systemów, które mogą oddziaływać na ludzi. Taka analiza, jeśli tylko byłaby rzetelnie prowadzona i kontrolowana przez niezależny organ, mogłaby wyłapać wszystkie systemy, które w konkretnym kontekście naruszają prawa ludzi i dlatego nie powinny być wdrażane. Sztywne ramy zakazów mają tę wadę, że łatwo je ominąć. I szybko się starzeją, szczególnie w tak dynamicznym sektorze - uważa Katarzyna Szymielewicz.
- Zakazy zaprojektowane przez KE przypominają ser szwajcarski: jest w nich więcej dziur niż norm prawnych. Do tego stopnia, że poza dwoma przykładami, które powracają w debacie publicznej - tj. obowiązkowym systemem scoringu społecznego na wzór chiński i rozpoznawaniem twarzy w czasie rzeczywistym - trudno wyobrazić sobie system, który byłby tymi zakazami objęty. Co gorsza, nie wiem, jak UE zamierza tych zakazów pilnować, skoro użytkownicy systemów AI (nawet policja czy ZUS) nie muszą publicznie informować o tym, co wdrażają i jakie ryzyka się z tym wiążą - ostrzega Szymielewicz.
Koszty i obowiązki tworzących sztuczną inteligencję
Tak zwane systemy wysokiego ryzyka będą dopuszczalne, ale pod warunkiem spełniania określonych wymogów. Chodzi m.in. o odpowiednią jakość danych używanych do trenowania AI, testy przed wypuszczeniem oprogramowania na rynek, obowiązek zapisywania działań podejmowanych przez system i konieczność zapewnienia ludzkiego nadzoru nad jego funkcjonowaniem. Dostawcy takich systemów będą musieli sami przeprowadzać ocenę zgodności swoich produktów z przepisami albo, w określonych przypadkach, poddać się kontroli zewnętrznej.
- Te przepisy przyniosą bardzo wiele obowiązków związanych z dostosowaniem się do nich, wymagając działania z dużym wyprzedzeniem - szacuję, że cały okres przygotowań może zająć firmom od 8 do 12 miesięcy. Konieczne będzie przygotowanie odpowiedniej dokumentacji technicznej i przechowywania rejestrów zdarzeń, stworzenie systemów zarządzania ryzykiem i jakością czy zaplanowanie ewentualnych działań naprawczych w razie niespełniania przez system nowych wymogów. Do tego dojdą obowiązki rejestracyjne i informacyjne - wylicza dr Aleksandra Auleytner.
Systemy wysokiego ryzyka określa szczegółowo załącznik do rozporządzenia (patrz: info grafika). Jak mówi dr Auleytner, KE wskazywała we wstępnych szacunkach z 2021 r., że koszt podjęcia koniecznych działań dla małych i średnich przedsiębiorców może sięgnąć ok. 21 tys.euro, niezależne raporty określały tę kwotę dużo wyżej - niektóre nawet na 400 tys. dol.
- Projekt już w tej chwili jest dyskutowany poza Unią, szczególnie w Stanach Zjednoczonych, bo niesie za sobą ogromne koszty dla biznesu związane z jego wdrożeniem. Prace nad rozporządzeniem powodują więc pewien niepokój dotyczący tego, jak dostosowywać się do tych wymogów, żeby móc prowadzić działalność na terenie UE - zaznacza dr Aleksandra Auleytner.
Niepewny nadzór nad sztuczną inteligencją
Wątpliwości specjalistów wzbudzają planowane mechanizmy kontroli przez krajowe organy. Wiele wątpliwości dotyczy obszaru egzekwowania przepisów rozporządzenia. Budzą je np. kwestie praktyczne związane z mechanizmem wyznaczania stałych przedstawicieli dostawców spoza UE na terenie Unii. To właśnie ci przedstawiciele mieliby być odpowiedzialni za ocenę zgodności, monitorowanie systemu po wprowadzeniu do obrotu czy podejmowanie w razie potrzeby działań naprawczych.
Katarzyna Szymielewicz wskazuje natomiast na to, czego brakowało w projekcie Komisji, ale w wersji Rady już się pojawiło.
- Projekt KE nie dawał ludziom ani organizacjom społecznym prawa do tego, żeby poskarżyć się organowi nadzorującemu rynek na naruszenie przepisów rozporządzenia. Obawiam się, że bez tego typu mechanizmów umożliwiających sygnalizowanie problemów organy nadzoru pozostałyby ślepe i głuche na to, co się dzieje blisko ludzi - komentuje prezeska Panoptykonu.
Rozporządzenie ma zacząć być stosowane trzy lata po ogłoszeniu w unijnym dzienniku urzędowym.©℗
/>
