Prace nad unijnym rozporządzeniem o sztucznej inteligencji (AI Act) są na ostatniej prostej i w 2023 r. możemy się spodziewać publikacji tego aktu prawnego. AI Act będzie rewolucją w sposobie regulowania technologii przez prawo.
- Wejście w życie odłożone
- Zróżnicowane systemy
- AI Act jak RODO
- Przestrzegaj albo płać. Wysokie kary za nieprzestrzeganie przepisów
- Compliance albo odszkodowania
rozwiń ›
Tomasz Zalewski, radca prawny, partner w Bird & Bird Szepietowski i wspólnicy
Dotychczas przepisy nie ingerowały bezpośrednio w sposób tworzenia programów komputerowych, nie regulowały też kwestii dotyczących odpowiedzialności za ich działanie. Przyjmowano milczące założenie, że za skutki korzystania z technologii odpowiada jego użytkownik. Konsekwencją tego założenia było powszechne wyłączanie odpowiedzialności producentów programów w licencjach przez użycie słynnego zwrotu „The Software Is Provided «As Is»”.
Dopiero rozpowszechnienie oprogramowania wykorzystującego techniki sztucznej inteligencji uświadomiło nam, że sposób projektowania programów komputerowych może odzwierciedlać różne założenia, które nie są obojętne z punktu widzenia wartości chronionych przez prawo i wartości etycznych.
Dotychczas skutki implementowania różnych założeń w systemach komputerowych były zwykle niezauważalne lub dotyczyły niewielkiej grupy osób. Tak było np. w przypadku systemu e-KRS wymagającego od osoby składającej wniosek posiadania numeru PESEL, co spowodowało, że spółki z cudzoziemcami w zarządach zostały ograniczone w swoich prawach. Tego typu konsekwencje zaprojektowania technologii w określony sposób są jednak niczym w porównaniu z konsekwencjami stosowania technologii wykorzystujących AI. Powszechnie znane są przypadki, gdy systemy AI używane do rekrutacji dyskryminowały różne grupy społeczne lub odzwierciedlały ukryte stereotypy o niższej wartości rynkowej określonych osób.
Na AI Act trzeba patrzeć zatem nie tylko jak na pierwszy akt prawny regulujący korzystanie z systemów AI. Będzie to także pierwszy akt prawny, który ureguluje sposób tworzenia programów komputerowych w ogóle. Równolegle z AI Act planowana jest dyrektywa o odpowiedzialności za działanie AI, która ma wprowadzić przepisy o roszczeniach odszkodowawczych za działanie takich systemów. Jakie są zatem kluczowe informacje na temat rozporządzenia o AI?
Wejście w życie odłożone
UE planuje przyjąć rozporządzenie o AI w 2023 r. Wejdzie ono w życie jednak dopiero trzy lata później, czyli najwcześniej w 2026 r. Da to czas na dostosowanie się do nowych przepisów.
Zróżnicowane systemy
AI Act wyróżnia cztery rodzaje systemów sztucznej inteligencji:
■ zakazane, np. do biometrycznej identyfikacji w czasie rzeczywistym;
■ wysokiego ryzyka, np. niektóre systemy używane w rekrutacji lub edukacji;
■ ogólnego przeznaczenia, np. do rozpoznawania mowy lub obrazów, które mogą mieć różne zastosowania;
■ inne systemy AI, np. filtry antyspamowe. Te systemy nie są regulowane, chyba że wchodzą w interakcję z człowiekiem, ale wtedy wystarczy poinformować użytkownika o tym, że korzysta z AI.
Przedmiotem regulacji są przede wszystkim systemy wysokiego ryzyka – to im poświęca się najwięcej uwagi w przepisach. Uregulowane zostało ich wytwarzanie, dystrybucja oraz korzystanie z nich. Wśród wymogów znajduje się m.in. obowiązek ustanowienia systemu zarządzania ryzykiem związanym z systemami AI wysokiego ryzyka oraz przeprowadzenia oceny ich zgodności z przepisami.
AI Act jak RODO
AI Act można określić jako odpowiednik RODO dla systemów AI. Wśród podobieństw można wymienić bardzo wysokie kary za nieprzestrzeganie przepisów, eksterytorialny zakres stosowania oraz wprowadzenie wielu obowiązków dla tych, którzy wytwarzają systemy AI, dystrybuują je oraz z nich korzystają.
Podobieństw można szukać także w kosztach wdrożenia nowych regulacji. Z publikowanych szacunków opartych na danych z Europy Zachodniej wynika, że koszt wdrożenia AI Act w firmie produkującej systemy AI wysokiego ryzyka będzie wynosił od 200 tys. euro do 330 tys. euro.
Przestrzegaj albo płać. Wysokie kary za nieprzestrzeganie przepisów
AI Act przewiduje wysokie kary za nieprzestrzeganie przepisów. Są one wzorowane na RODO, czyli oparte na rocznym światowym obrocie przedsiębiorcy. Będą trzy kategorie takich kar:
■ do 30 mln euro (lub do 6 proc. globalnego obrotu rocznego w przypadku przedsiębiorców) – za naruszenie zakazu stosowania określonych systemów AI,
■ do 20 mln euro (do 4 proc. globalnego obrotu rocznego) – za naruszenie innych przepisów,
■ do 10 mln euro (do 2 proc. globalnego obrotu rocznego) – za przekazywanie nieprawidłowych informacji organom nadzorczym.
Compliance albo odszkodowania
Równolegle z AI Act Unia Europejska pracuje nad dyrektywą o odpowiedzialności za sztuczną inteligencję. AI Act ma na celu zapobieganie szkodom wyrządzanym przez sztuczną inteligencję, a dyrektywa ma zapewnić, że w przypadku wystąpienia szkody poszkodowani otrzymają odszkodowanie.
Jednym z czynników, który pozwoli na zmniejszenie ryzyka odpowiedzialności, jest przestrzeganie przepisów AI Act, co wymaga wdrożenia wewnętrznego systemu zapewnienia zgodności z tymi przepisami.
Co jest, a co nie jest systemem AI
Choć prace nad AI Act trwają już ponad rok, wciąż toczy się dyskusja nad definicją systemów AI. Obecna określa AI jako system, który został zaprojektowany do działania z elementami autonomii i może wpływać na środowisko, w którym działa, przez generowane dane, takie jak treści i zalecenia. Nie są jednak wciąż jasne granice tej definicji. Na początku obejmowała ona nawet klasyczne oprogramowanie, teraz doprecyzowano, że system AI nie może jedynie wykonywać instrukcji zawartych w kodzie – musi działać na podstawie samodzielnie przetwarzanych danych.
Co dalej
Wejście w życie AI Act – choć jeszcze odległe w czasie – jest nieuniknione, a przygotowanie się do zgodności z jego przepisami zajmie sporo czasu i będzie wymagało wprowadzenia zmian zarówno w wewnętrznych procedurach, jak i w kulturze danej organizacji. Przedsiębiorstwa, które choćby tylko korzystają z systemów AI – zwłaszcza tych, które będą uznane za systemy wysokiego ryzyka – powinny już teraz planować swoje działania. Zwłaszcza że w roku 2026 przedsiębiorstw, które nie korzystają z takich systemów, może nie być wcale.©℗