Parlament Europejski przyjął w środę Akt o sztucznej inteligencji (tzw. AI Act). Nowe regulacje mają uporządkować korzystanie ze sztucznej inteligencji na terenie Unii Europejskiej. Mają też ograniczyć najbardziej ryzykowne dla pojedynczych obywateli i dla społeczeństw użycie narzędzi AI. W założeniu AI Act ma też zachęcać do innowacji w zakresie badań i rozwoju AI.
Głosowanie pokazało niemal pełną zgodność europarlamentu w tej sprawie. Europosłowie przyjęli AI Act zdecydowaną większością głosów (523 za, 46 przeciw, 49 wstrzymujących się). Tym samym Unia Europejska jest coraz bliżej nowego prawa. Co z niego wynika i czy AI Act obroni nas przed zagrożeniami i da szansę na niezbędny rozwój?
Wydarzenia w świecie nowych technologii toczą się szybko, stosunkowo gwałtownie musiał więc powstać wspólny i spójny europejski akt regulacyjny. Stało się to w półtora roku po debiucie najpopularniejszego narzędzia sztucznej inteligencji ChatGPT. Także – w trzy lata od zaproponowania regulacji AI Act przez Komisję Europejską i cztery miesiące od uzgodnienia treści zapisów przez wszystkie państwa.
O sukcesie mówił w Strasburgu w środę unijny komisarz ds. rynku wewnętrznego Thierry Breton: „Europa jest teraz globalnym punktem odniesienia w zakresie sztucznej inteligencji”.
Niezbędne regulacje bezpieczeństwa, startupy pod ochroną?
Regulacje mają z jednej strony powstrzymywać nieuprawnione albo ryzykowne wykorzystanie sztucznej inteligencji tam, gdzie może ona zagrozić prywatności, danym, bezpieczeństwu finansowemu czy stabilności społecznej. Z drugiej strony mają stać się zachętą do innowacji w tej najszybciej w tej chwili rozwijającej się dziedzinie technologicznej. Czy ten drugi warunek może być spełniony, jeżeli AI Act to głównie zakazy?
Europejskim marzeniem jest stać się (prawie) porównywalnym z Doliną Krzemową ośrodkiem badań i wdrażania AI Trudno uwierzyć? Niektóre europejskie startupy radzą sobie choćby nieźle z innowacjami.
Prawo UE tworzy m.in. „piaskownice regulacyjne”. Każde państwo członkowskie stworzy przestrzeń, w której firmy będą mogły pracować nad rozwojem technologii. W piaskownicy nie będzie trzeba przestrzegać wszystkich przepisów. To ma być jeden ze sposobów, aby zbyt restrykcyjne regulacje nie zabiły innowacyjności. A taże, żeby europejskie startupy mogły konkurować z tymi zza Oceanu i z Chin.
Czy jednak AI Act nie zaszkodzi europejskim, w tym – polskim startupom? Spada im bowiem na głowę nowy problem, poza kłopotami z finansowaniem. Więcej o tym przeczytasz w artyukule: Nadchodzą unijne regulacje AI. Czy nie zabiją startupów, zmieniając Europę w technologiczny skansen?
Co ma być zakazane w AI Act? Co wyłączone z zakazów?
Zakazane będą takie sposoby korzystania z narzędzi AI, które uderzają w europejskie prawa podstawowe. Np. niektóre technologie pozwalające na różnego typu manipulacje głosem, obrazem, tekstem, emocjami. Zgodnie z rozporządzeniem, systemy sztucznej inteligencji muszą zachowywać odpowiedni poziom cyberbezpieczeństwa. Twórcy modeli i systemów opartych na AI będą musieli zadbać o to, aby zawsze możliwa była interwencja człowieka. Chodzi o to, żeby uniknąć nadużyć spowodowanych automatyzacją.
Nowe przepisy zakazują np. systemów kategoryzacji biometrycznej w oparciu o wrażliwe cechy ludzi i wykorzystania wizerunków twarzy z internetu w celu tworzenia baz danych dotyczących rozpoznawania tożsamości. Zakazane będzie także rozpoznawanie emocji w miejscu pracy i szkołach, scoring społeczny, działania policji, jeżeli miałyby opierać się tylko na AI. Nie można będzie wykorzystywać sztucznej inteligencji do manipulacji ludzkim zachowaniem.
Są też wyjątki, związane z – niezbędnymi – działaniami organów ścigania. Stosowanie systemów identyfikacji biometrycznej jest co do zasady zabronione. Jednak z wyjątkiem „szczegółowo wymienionych i wąsko zdefiniowanych sytuacji w czasie rzeczywistym. I tylko wtedy, gdy zostaną spełnione rygorystyczne zabezpieczenia”. Ich użycie musi być „ograniczone w czasie i zakresie geograficznym. Musi też podlegać specjalnemu, wcześniejszemu zezwoleniu sądowemu lub administracyjnemu”.
Takie zastosowania mogą obejmować na przykład ukierunkowane poszukiwanie osoby zaginionej lub zapobieganie atakowi terrorystycznemu. Korzystanie z systemów identyfikacji biometrycznej post factum jest traktowane w AI Act za „przypadek użycia wysokiego ryzyka”. I będzie zawsze wymagać „powiązania zezwolenia sądowego z przestępstwem”.
Obowiązki dla systemów wysokiego ryzyka
Przejrzyste prawo ma obowiązywać systemy sztucznej inteligencji wysokiego ryzyka (ze względu na ich „znaczną potencjalną szkodliwość dla zdrowia, bezpieczeństwa, praw podstawowych, środowiska, demokracji i praworządności”).
O co chodzi? O infrastrukturę krytyczną, edukację, szkolenia, rynek pracy, najważniejsze usługi prywatne i publiczne (np. opiekę zdrowotną, bankowość). Następnie – o egzekwowanie prawa, zarządzanie migracjami i granicami, wymiar sprawiedliwości i procesy demokratyczne (np. wpływanie na wybory).
Systemy takie muszą „oceniać i ograniczać ryzyko, prowadzić dzienniki użytkowania, być przejrzyste i dokładne oraz zapewniać nadzór człowieka”. Obywatele będą mieli prawo do składania skarg dotyczących systemów sztucznej inteligencji. Będą mogli otrzymywać wyjaśnienia w sprawie decyzji opartych na systemach AI wysokiego ryzyka, które mają wpływ na ich prawa.
Wymogi przejrzystości AI Act
Systemy AI ogólnego przeznaczenia (GPAI) oraz modele GPAI, na których są oparte, muszą spełniać określone wymogi w zakresie przejrzystości. Muszą zapewniać przede wszystkim zgodność z unijnym prawem autorskim. Kolejnym wymogiem są zasady wykorzystania treści w szkoleniach modeli.
Potężniejsze modele GPAI, które mogą stwarzać ryzyko systemowe, staną przed dodatkowymi wymogami. W tym – dotyczącymi przeprowadzania ocen modeli, oceny i łagodzenia ryzyka systemowego oraz raportowania incydentów.
Ponadto sztuczne lub zmanipulowane obrazy, treści audio lub wideo („deepfakes”) muszą być wyraźnie oznaczone.
Następne kroki legislacyjne
Parlament Europejski podaje na swojej stronie, iż nowe uchwalone rozporządzenie będzie jeszcze przedmiotem ostatecznej kontroli prawników i lingwistów. Ostatecznie Akt będzie przyjęty jeszcze przed końcem kadencji europarlamentu (ostateczna procedura unijna dla aktów prawnych). Regulacja musi także zostać formalnie zatwierdzona przez Radę UE. Wejdzie w życie dwadzieścia dni po opublikowaniu w oficjalnym Dzienniku Ustaw.
Regulacje będą w pełni stosowane 24 miesiące po wejściu w życie, z wyjątkiem następujących przepisów. Zakazów niedozwolonych praktyk, które będą obowiązywać po sześciu miesiącach od dnia wejścia w życie. Kodeksów postępowania (dziewięć miesięcy po wejściu w życie). Przepisów dotyczących sztucznej inteligencji ogólnego przeznaczenia (12 miesięcy od wejścia w życie). Obowiązków dotyczących systemów wysokiego ryzyka (36 miesięcy).
Czytaj też: Regulacje AI w USA? Tak, ale na razie tylko lokalnie
Źródło zdjęcia:Jonathan Marchal/Unsplash
