Każda firma sprzedająca produkty lub usługi w Unii Europejskiej (UE) korzystająca z sztuczna inteligencja (AI) musi spełniać Ustawa UE o sztucznej inteligencjiniezależnie od tego, gdzie się znajdują.
Pierwsza faza ustawy wejdzie w życie w przyszłym miesiącu. Jest to art. 5 dotyczący zabronionych praktyk związanych ze sztuczną inteligencją i niedopuszczalnego wykorzystania sztucznej inteligencji. Tekst art. 5 ukończono 12 lipca 2024 r. i zacznie obowiązywać sześć miesięcy później, co oznacza, iż od lutego organizacje tworzące systemy sztucznej inteligencji lub wykorzystujące sztuczną inteligencję jako część swoich unijnych produktów i usług będą musiały udowodnić, iż ich systemy są zgodne z art. 5.
Gotowi na artykuł 5
Do zastosowań sztucznej inteligencji zakazanych na mocy art. 5 należą systemy sztucznej inteligencji wykorzystujące techniki podprogowe wykraczające poza świadomość danej osoby lub techniki celowo manipulacyjne lub oszukańcze. Artykuł 5 zakazuje również stosowania systemów sztucznej inteligencji, które wykorzystują podatność na zagrożenia danej osoby lub określonej grupy osób ze względu na jej wiek, niepełnosprawność lub szczególną sytuację społeczną lub ekonomiczną. Systemy analizujące zachowania społeczne, a następnie wykorzystujące te informacje w szkodliwy sposób są również zabronione na mocy art. 5, o ile ich wykorzystanie wykracza poza pierwotny cel gromadzenia danych.
Inne obszary objęte art. 5 obejmują wykorzystanie systemów sztucznej inteligencji w egzekwowaniu prawa i dane biometryczne. Obserwatorzy branżowi opisują tę ustawę jako „oparte na ryzyku” podejście do regulacji sztucznej inteligencji.
Chociaż art. 5 ma zacząć obowiązywać od lutego, kolejnym etapem wdrażania ustawy o sztucznej inteligencji będzie zastosowanie kodeksów postępowania w odniesieniu do systemów sztucznej inteligencji ogólnego przeznaczenia. Są to systemy, które radzą sobie z zadaniami, do których nie zostały specjalnie przeszkolone. Takie systemy obejmują podstawową sztuczną inteligencję, taką jak duże modele językowe (LLM). Kolejny etap unijnego aktu prawnego dotyczącego sztucznej inteligencji wejdzie w życie w maju 2025 r.
Firmy sprzedające sztuczną inteligencję lub ją wykorzystujące w UE muszą przestrzegać ustawy o sztucznej inteligencji niezależnie od tego, gdzie mają siedzibę. Według Deloitte zasięg ustawy stwarza międzynarodowym firmom trzy potencjalne możliwości: mogą opracowywać systemy sztucznej inteligencji specjalnie na rynek UE, przyjąć ustawę o sztucznej inteligencji jako światowy standard lub ograniczyć swoją ofertę wysokiego ryzyka w UE.
Krajobraz regulacyjny
Bart Willemsen, wiceprezes analityk w firmie Gartner, twierdzi, iż prowadzi setki rozmów na temat unijnej ustawy o sztucznej inteligencji i jej znaczenia dla liderów IT i dyrektorów ds. bezpieczeństwa informacji. Przed dołączeniem do firmy analitycznej Willemsen piastował stanowiska dyrektora ds. prywatności i bezpieczeństwa w wielu organizacjach. Z jego doświadczenia i wniosków płynących z rozmów z klientami firmy Gartner wynika, że: Ustawa UE o sztucznej inteligencji opiera się na Ogólne rozporządzenie o ochronie danych (RODO).
Zgodnie z RODO dane muszą być zbierane w konkretnym i prawnie uzasadnionym celu oraz przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty. W szczególności gromadzenie danych powinno ograniczać się do tego, co jest ściśle konieczne, i należy zachować dokładność danych. Niedawno, wraz z wprowadzeniem Standardu i Kryteriów Certyfikacji RODO BC 5701:2024, organizacje mogą teraz wykazać, iż spełniają poziom kompetencji w zakresie przetwarzania informacji umożliwiających identyfikację osób.
Istnieje wiele lekcji, które mogą być dowiedziałem się z RODO które należy zastosować do unijnej ustawy o sztucznej inteligencji. Chociaż tekst RODO został ukończony w 2016 r., wszedł on w życie dopiero w 2018 r.
„Prawodawcy wyciągnęli trochę wniosków z doświadczeń związanych z RODO” – mówi Willemsen. „Dwa lata od okresu karencji w maju 2018 r. wszyscy zaczęli do mnie dzwonić i pytać, od czego zacząć”. Innymi słowy, organizacje spędziły dwa lata w okresie karencji, nie robiąc nic w związku z RODO.
Ale nie chodzi tylko o RODO. „Jedną z rzeczy, które muszę wyjaśniać organizacjom, jest spojrzenie na ustawę o sztucznej inteligencji w kontekście ram prawnych” – mówi Willemsen. Ustawa o usługach cyfrowych, Ustawa o rynkach cyfrowychustawa o zarządzaniu danymi, a choćby Dyrektywa w sprawie raportowania zrównoważonego rozwoju korporacyjnego (CSRD).”
Przewiduje się, iż rozwój sztucznej inteligencji, wraz ze zwiększonym wykorzystaniem chmury i rosnącymi ilościami danych w tradycyjnych aplikacjach, doprowadzi do znacznie wyższych emisji gazów cieplarnianych z branży IT w różnych branżach
Na przykład, chociaż wiele organizacji ma pewność, iż może raportować emisję gazów cieplarnianych zgodnie z unijną dyrektywą CSDR, firma konsultingowa w zakresie zarządzania Bain & Company prognozuje, iż do 2030 r. rozwój sztucznej inteligencji, wraz ze zwiększonym wykorzystaniem chmury i rosnącymi wolumenami danych w tradycyjnych aplikacjach, doprowadzą do znacznie wyższych emisji gazów cieplarnianych z IT w różnych branżach.
Organizacje działające w UE będą musiały wziąć pod uwagę CSDR. Biorąc pod uwagę energochłonny charakter uczenia maszynowego i wnioskowania opartego na sztucznej inteligencji, takie regulacje mogą w przyszłości wpływać na zakres wykorzystania sztucznej inteligencji.
Chociaż opiera się na istniejących przepisach, jak zauważają Mélanie Gornet i Winston Maxwell w Artykuł Hal Open Science Europejskie podejście do regulowania sztucznej inteligencji poprzez standardy techniczneustawa o sztucznej inteligencji podąża inną drogą niż te. Z ich obserwacji wynika, iż unijna ustawa o sztucznej inteligencji czerpie inspirację z europejskich przepisów dotyczących bezpieczeństwa produktów.
Jak wyjaśniają Gornet i Maxwell: „Systemy sztucznej inteligencji będą wymagały oceny zgodności opartej na normach zharmonizowanych, tj. specyfikacjach technicznych opracowanych przez europejskie organizacje normalizacyjne (ESO)”.
Autorzy zwracają uwagę, iż posiadają one różne adekwatności prawne, m.in. powstawanie domniemania zgodności z przepisami prawa. Wynikiem tej oceny zgodności jest oznakowanie zgodności europejskiej (CE) produktu AI w celu wykazania zgodności z przepisami UE. W odróżnieniu od innych przepisów dotyczących bezpieczeństwa produktów Gornet i Maxwell zauważają, iż ustawa o sztucznej inteligencji ma na celu nie tylko ochronę przed zagrożeniami dla bezpieczeństwa, ale także przed niekorzystnym wpływem na prawa podstawowe.
Standardy i najlepsze praktyki
„To, co zaobserwowaliśmy w ostatniej dekadzie, ma znaczenie teraz, gdy przygotowujemy się do ustawy o sztucznej inteligencji” – mówi Willemsen zapytany, jakie kroki powinny podjąć organizacje, aby zapewnić zgodność z ustawą. Nalega, aby organizacje wdrażające strategię sztucznej inteligencji nie lekceważyły znaczenia tych wymagań prawnych.
Na blogu poświęconym znaczeniu unijnej ustawy o sztucznej inteligencji Martin Gill, wiceprezes dyrektora ds. badań w Forresteraopisuje to ustawodawstwo jako „minimalny standard, a nie najlepszą praktykę”.
Mówi: „Budowanie zaufania wśród konsumentów i użytkowników będzie kluczem do rozwoju doświadczeń związanych ze sztuczną inteligencją. W przypadku firm działających w UE, a choćby tych poza nią, przestrzeganie zaleceń dotyczących kategoryzacji ryzyka i zarządzania określonych w unijnej ustawie o sztucznej inteligencji stanowi solidne podejście zorientowane na ryzyko, które co najmniej pomoże stworzyć bezpieczne, godne zaufania i skoncentrowane na człowieku Doświadczenia związane ze sztuczną inteligencją, które nie powodują żadnych szkód, pozwalają uniknąć kosztownych lub zawstydzających błędów, a w idealnym przypadku zwiększają wydajność i zróżnicowanie”.
Wzięcie odpowiedzialności za sztuczną inteligencję
Willemsen nie uważa, iż organizacje muszą tworzyć stanowisko dyrektora ds. sztucznej inteligencji. „To nie jest inna dyscyplina, jak bezpieczeństwo czy prywatność. W większości przypadków sztuczną inteligencję uważa się za nowy rodzaj technologii” – mówi.
Niemniej jednak przy rozważaniu sposobu wdrożenia technologii sztucznej inteligencji wymagane są środki w zakresie prywatności i bezpieczeństwa. Dlatego Willemsen uważa, iż RODO jest jednym z przepisów, które organizacje muszą stosować, aby opracować swoją strategię sztucznej inteligencji.
Wzywa organizacje do wdrożenia środków strategicznych, taktycznych i operacyjnych podczas wdrażania systemów sztucznej inteligencji. Wymaga to wielodyscyplinarnego zespołu AI, składającego się z wielu interesariuszy, który według Willemsena musi się rozwijać wraz z rozwojem projektów, budując wiedzę i doświadczenie. „W tym zespole będziesz widzieć interesariuszy zajmujących się bezpieczeństwem, prywatnością, prawem, zgodnością i biznesem” – dodaje.
Choć liderzy biznesowi mogą uważać, iż ich własna strategia w zakresie sztucznej inteligencji jest zgodna z unijną ustawą o sztucznej inteligencji, to samo nie dotyczy dostawców i systemów korporacyjnych obsługujących sztuczną inteligencję. W artykule Gartnera pt. Przygotowania do unijnej ustawy o sztucznej inteligencji, faza 3firma analityczna zaleca, aby liderzy działów IT i biznesu uwzględnili ustawę o sztucznej inteligencji we wszelkich ocenach ryzyka przeprowadzanych przez strony trzecie. Zdaniem Gartnera powinno to obejmować przeglądy umów i naciski na zmianę istniejących umów dzięki nowego języka, aby wzmocnić pojawiające się wymogi regulacyjne.
Jak zauważa Gartner, istnieje duże prawdopodobieństwo, iż największe ryzyko związane ze sztuczną inteligencją organizacji może nie mieć nic wspólnego z sztuczną inteligencją, którą sama rozwija. Zamiast tego może przez cały czas ryzykować niezgodność z unijną ustawą o sztucznej inteligencji, jeżeli jej dostawcy i dostawcy IT wykorzystują dane organizacji do szkolenia swoich modeli.
„Większość organizacji twierdzi, iż umowy z dostawcami nie pozwalają dostawcom na wykorzystywanie ich danych, ale większość umów z dostawcami zawiera klauzulę dotyczącą udoskonalania produktu” – ostrzega Gartner. Klauzulę taką można interpretować jako przyznającą dostawcy prawo do wykorzystania danych organizacji w celu udoskonalenia jej własnych produktów.
Jasne jest, iż niezależnie od tego, czy organizacja ma biura w UE, czy dostarcza produkty i usługi obywatelom UE, niezbędna jest ocena wpływu ustawy o sztucznej inteligencji. Niezastosowanie się do wymagań ustawy może kosztować firmy do 15 mln euro lub 3% światowego obrotu. Naruszenie artykułu 5 – dotyczącego zakazanego wykorzystania sztucznej inteligencji – może skutkować karami finansowymi w wysokości do 35 milionów euro lub 7% światowego obrotu.
