Nadchodzi unijny AI Act – regulacja UE mająca unormować, jak tworzona jest i wykorzystywana sztuczna inteligencja. Jakie nowe obowiązki nałoży on na firmy korzystające z AI, jakie na dostawców takich rozwiązań. I kto na tym zyska (spoiler alert: jak zwykle prawnicy)?
Tekst projektu regulacji został zatwierdzony przez Coreper, czyli komitet stałych reprezentantów państw Unii. Teoretycznie może on jeszcze zostać zmieniony w dalszym procesie legislacyjnym – przez Parlament Europejski lub Radę Europejską. Ze względu na fakt, iż odzwierciedla on kompromis między krajami Unii, nie należy oczekiwać, iż późniejsze zmiany będą znaczące. Świadczyć może o tym choćby zatwierdzenie dokumentu przez komisje Parlamentu Europejskiego większością głosów 71 za do 8 przeciw.
Sama regulacja wejdzie w życie dwa lata po ogłoszeniu, to jest prawdopodobnie w drugim kwartale 2026 roku, ale przepisy zakazujące pewnych typów AI zaczną być stosowane już po 6 miesiącach, czyli choćby już pod koniec 2024 roku. Po roku (II kwartał 2025 roku) – te dotyczące modeli sztucznej inteligencji ogólnego przeznaczenia (GPAI – General-purpose AI, nie mylić z AGI – Artificial General Intelligence).
Czym jest AGI? Wyjaśnia prof. Jakub Growiec: Kiedy sztuczna inteligencja osiągnie poziom człowieka? I co to będzie dla nas oznaczać?
Niestety, jak odnotowuje Marcin Regorowicz, radca prawny z kancelarii Traple Konarski Podrecki & Wspólnicy, unijny AI Act w trakcie kolejnych negocjacji został solidnie „rozcieńczony” i w ten sposób podatny na interpretacje. Część ciężaru regulacyjnego zostanie przeniesiona na Komisję Europejską i niedawno powołane Biuro ds. AI, co prawdopodobnie zwiększy niepewność regulacyjną.
Unijny AI Act: Na pierwszym miejscu obywatel
Regulacja unijna nie jest pierwszą próbą prawnego unormowania sztucznej inteligencji. Takie przepisy istnieją już w Chinach. Jednak to z całą pewnością jest pierwsza regulacja mająca na celu ochronę praw mieszkańców UE.
Władzom Wspólnoty i krajom członkowskim chodziło przede wszystkim o ochronę obywateli przed negatywnymi skutkami stosowania AI. Dlatego też klasyfikacja systemów sztucznej inteligencji jest oparta na tym, jakie ryzyko generują one dla mieszkańców UE. Podzielono je na cztery grupy ryzyka.
Systemy nieakceptowalnego ryzyka
Systemy nieakceptowalnego ryzyka będą zakazane, ale z pewnymi wyjątkami dla organów ścigania. Kategoria ta obejmuje: systemy automatycznej identyfikacji biometrycznej, działające w czasie rzeczywistym, systemy opartego na AI scoringu społecznego czy systemy wykrywania emocji w miejscu pracy.
W rozmowie z HomoDigital Estera Haas-Abgarowicz, Head of Product Management Team w pionie Business Intelligence Asseco Poland zauważyła, iż zgodę na wykorzystanie niektórych zakazanych systemów będą mogły uzyskać w wybranych sytuacjach organy ścigania, ale ich użycie będzie ściśle ograniczone.
Systemy wysokiego ryzyka
Systemy wysokiego ryzyka, a więc te, którą mogą mieć istotny wpływ na obywateli, na przykład związane z infrastrukturą, rekrutacją czy ochroną zdrowia. Tego typu rozwiązania będą musiały mieć podsystemy ograniczania ryzyka. Powinny być także budowane na zbiorach danych wysokiej jakości, mieć stały ludzki nadzór i spełniać wymagania dotyczące cyberbezpieczeństwa.
Systemy ograniczonego ryzyka
Systemy ograniczonego ryzyka takie jak chatboty – tutaj podstawowym obowiązkiem jest informowanie użytkownika, iż ma do czynienia ze sztuczną inteligencją. Chodzi o to, by człowiek mógł wybrać, czy kontynuować taką interakcję czy też się z niej wycofać.
Systemy o minimalnym lub zerowym ryzyku
Systemy o minimalnym lub zerowym ryzyku, takie jak filtry antyspamowe czy silniki rekomendacji będą w całości wyłączone z regulacji.
Nieco osobną kategorią są systemy AI ogólnego przeznaczenia (GPAI), takie jak duże modele językowe. Unijny AI Act uznaje, iż najpotężniejsze z takich modeli mogą stanowić ryzyko systemowe i zostaną na nie nałożone zobowiązania dotyczące zarządzania ryzykiem, monitorowania poważnych incydentów czy przeprowadzanie całościowej oceny modelu.
Firmy-użytkownicy AI muszą… działać zgodnie z dokumentacją
Firmy, które korzystają z systemów opartych na sztucznej inteligencji, mogą raczej spać spokojnie – odpowiedzialność jest po stronie dostawcy tego systemu.
– W interpretacjach AI Act specjaliści podkreślają, iż odpowiedzialność jest po stronie dostawcy, bo to dostawca buduje system, wykorzystując do trenowania modelu wyselekcjonowane dane i źródła danych, żeby nauczyć go, w jaki sposób kategoryzować osoby, rozpoznawać emocje, czy rekomendować decyzje – powiedziała HomoDigital Estera Haas-Abgarowicz z Asseco Poland.
– AI Act nie mówi wprost o odpowiedzialności instytucji, która korzysta z systemu wspieranego AI, tylko nakłada na nią odpowiedzialność za korzystanie z systemu zgodnie z jego dokumentacją – dodała.
Obowiązki po stronie dostawców rozwiązań AI
O wiele większy ból głowy czeka firmy technologiczne, które oferują rozwiązania AI swoim klientom. To na nich będzie spoczywał ciężar dostosowania systemów do nowych wymagań. Zwłaszcza jeżeli chodzi o systemy wysokiego ryzyka. Twórcy sztucznej inteligencji będą też musieli zastąpić technologie zakazane – tymi dozwolonymi.
– Zgodnie z AI Act to dostawca jest odpowiedzialny za system i jego zgodność z regulacjami – powiedziała Hass-Abgarowicz.
Nowe regulacje wpłyną również na projekty rozwojowe firm – tam, gdzie planowano wprowadzenie rozwiązań, które zostaną zakazane albo staną się kłopotliwe, będą potrzebne zmiany. Jak odnotowuje ekspertka z Asseco, w jej firmie prawdopodobnie żaden projekt nie zostanie zaniechany ze względu na nowe regulacje, chociaż będzie to można stwierdzić po poznaniu ostatecznej wersji AI Act.
Jako przykład game-changera dla firm tworzących rozwiązania oparte o sztuczną inteligencję, Hass-Abgarowicz wymieniła systemy AI do „social scoringu”. Czyli takie, które przeczesują strony internetowe w celu tworzenia oceny osoby, na podstawie której może być podjęta decyzja np. o udzieleniu kredytu lub idąc dalej – o aresztowaniu danej osoby.
Nie mogą również być tworzone systemy wykorzystujące słabość człowieka, w celu oferowania mu różnorakich dóbr lub usług. Przez unijny AI Act zostały zabronione także systemy dyskryminujące określone grupy społeczne, między innymi w procesie rekrutacji, czy kategoryzujące ludzi na podstawie takich danych.
To nie znaczy, iż zabroniona zostanie ocena osoby na podstawie tego, co o zostawiła ona po sobie internecie. Nie mogą być wykorzystywane systemy masowo gromadzące takie dane i wyręczające człowieka w podejmowaniu decyzji. Rekruterzy przez cały czas będą mogli przeglądać i oceniać aktywność kandydatów w sieci. Muszą to jednak robić manualnie. Przynajmniej w tym zakresie sztuczna inteligencja nie odbierze ludziom pracy…
Przeczytaj, żeby dowiedzieć się, jak kontrolować swój cyfrowy odcisk palca!
Startupy będą miały mocno pod górkę
Duże firmy informatyczne w rodzaju Asseco Poland czy Comarchu, ze swoimi zasobami ludzkimi i głębokimi kieszeniami, poradzą sobie z nowymi regulacjami bez istotnych problemów. Startupy będą miały jednak bardzo pod górkę. Zwłaszcza te, które nie zapewniły sobie jeszcze istotnego finansowania i dysponują ograniczonymi zasobami na usługi doradcze czy prawnicze.
– Startupy nie zostały wyłączone z regulacji – powiedział HomoDigital Tomasz Snażyk, CEO Startup Poland, fundacji reprezentującej polskie startupy. I dodaje, iż od momentu powstania muszą stosować się do regulacji.
– Dla startupów będzie to zamieszanie jak przy RODO – przewiduje.
Co więcej, jeżeli startup dopiero buduje produkt, to i tak musi już dostosować się do AI Act, żeby produkt spełniał wymogi regulacji, gdy wejdzie na rynek.
Z już dojrzalszych startupów, sporo pracy z dostosowywaniem się do nowych regulacji będą miały te firmy, których systemy kwalifikują się do obszaru wysokiego ryzyka. Dotyczy to na przykład Docplannera i Booksy (obie firmy działają w obszarze ochrony zdrowia) oraz grupy firm oferujących rozwiązania HR.
Mimo tych nowych obowiązków Snażyk zachowuje optymizm, jeżeli chodzi o rozwój startupów w UE po wprowadzeniu nowej regulacji.
– Mówiąc po ludzku, nie będzie to istotny hamulec – ocenił. – Czy Chińczycy nas przez to prześcigną? Chyba nie.
O zagrożeniach dla innowacyjności UE ze strony AI Act pisaliśmy w grudniu, gdy ogólny kształt regulacji został uzgodniony między Parlamentem Europejskim, Komisją Europejską i Radą Europejską.
Unijny AI Act jak RODO, czyli… eldorado dla prawników
Firmy technologiczne czeka przede wszystkim ból głowy związany z nowymi przepisami. Jest jednak jeden sektor, dla którego nowa regulacja prawdopodobnie będzie żyłą złota. To firmy konsultingowe i prawnicze.
– Dużo do powiedzenia na pewno będą miały firmy konsultingowe, kancelarie prawnicze, które będą doradzać, jak budować rozwiązania w zgodzie z AI Act. Po pierwsze nie znamy jego ostatecznego kształtu ani wykładni, która powstanie dopiero z czasem, tak jak w przypadku RODO – przewiduje Haas-Abgarowicz z Asseco.
Opinię tę podziela Tomasz Snażyk. – To będzie eldorado dla doradców prawnych – stwierdza.
Porównanie z RODO, oprócz skali zamieszania, ma jeszcze jedno uzasadnienie. Jak podaje w swojej grudniowej prezentacji firma konsultingowa KPMG, obie regulacje się uzupełniają. Dodatkowo wcześniejsze dostosowanie do RODO lepiej przygotowuje firmy do implementacji AI Act.
Co niekoniecznie oznacza, iż prawnicy będą mieli bardzo łatwo. Jednym z powodów, dla których będą potrzebni, jest rozmiar regulacji. W wersji zaakceptowanej przez Coreper dokument ma ona przeszło 270 stron.
Źródło grafiki: Sztuczna inteligencja, model Dall-E 3
