1 miesiąc temu
Rozporządzenie w sprawie sztucznej inteligencji (AI Act) weszło w życie 1.8.2024 r. Ale podobnie jak było np. z RODO, moment rozpoczęcia stosowania tych przepisów został przesunięty w czasie. Ogólną zasadą jest, iż regulacje będą stosowane od 2.8.2026 r., a zatem po dwóch latach. Tak będzie np. z wymogiem transparentności, tj. obowiązkiem informowania użytkownika, iż wchodzi w interakcję z modelem sztucznej inteligencji.
Obowiązek ten związany jest głównie z tzw. generatywną AI i powoduje konieczność oznaczenia, iż tekst, obraz czy film został stworzony przez sztuczną inteligencję. Ale ma też zastosowanie np. do chatbotów.
Zakazy i kary
AI Act przewiduje jednak liczne wyjątki od dwuletniego terminu. Przede wszystkim, już po sześciu miesiącach (a zatem od 2.2.2025 r.) stosowane będą przepisy dotyczące tzw. praktyk zakazanych.
Chodzi więc o takie zastosowania sztucznej inteligencji, które unijny ustawodawca uznał za niedopuszczalne. To np. techniki podprogowe wpływające na decyzję odbiorcy poza jego świadomością, wykorzystujące słabość danej grupy odbiorców. A także klasyfikowanie z wykorzystaniem AI osób na potrzeby tzw. scoringu społecznego, nieukierunkowane pozyskiwanie baz twarzy z internetu czy kamer przemysłowych, analiza emocji w miejscu pracy czy edukacji oraz identyfikacja twarzy w czasie rzeczywistym na potrzeby ścigania przestępstw (choć wyjątkowo będzie to dozwolone).
– W przypadku zakazanych praktyk AI sytuacja jest dość prosta. Z dniem 2.2.2025 r. staną się one nielegalne i nie będzie tu żadnych wyjątków – mówi dr Maria Dymitruk, radca prawny z kancelarii Olesiński i Wspólnicy.
– Ten stosunkowo krótki termin uzasadniony jest doniosłością tych przepisów. Można jednak mieć nadzieję, iż przypadki niedopuszczalnego wykorzystania AI są w Unii Europejskiej rzadkie – dodaje.
Po 12 miesiącach zaczną zaś być stosowane przepisy o organach nadzorujących przestrzeganie AI Actu, zarówno na poziomie unijnym, jak i krajowym. A także o karach za łamanie tych przepisów.
W przypadku praktyk zakazanych wyniosą one do 35 mln euro, lub w przypadku przedsiębiorstw – do 7 proc. rocznego światowego obrotu, za naruszenie pozostałych przepisów – „tylko” do 15 mln euro lub 3 proc. obrotu.
– Państwa członkowskie muszą mieć czas, by przyjąć przepisy implementujące, zorganizować instytucjonalnie te organy. Akt o sztucznej inteligencji zostawia też pole do tego, by oprócz sankcji finansowych, na poziomie krajowym wprowadzić inne kary za nieprzestrzeganie jego wymagań – wskazuje dr Maria Dymitruk.
Nie dotyczy to jednak kar dla dostawców modeli AI tzw. ogólnego przeznaczenia, za ich nakładanie bowiem odpowiedzialna będzie Komisja Europejska. Chodzi tu o modele mające szeroki zakres zastosowania, które mogą być wykorzystane przez różnego rodzaju systemy i aplikacje.
Najbardziej znanym przykładem są tu modele, na których opiera się ChatGPT. AI Act nakłada na dostawców taki modeli nowe obowiązki i przepisy te wejdą w życie 2.8.2025 r. Chodzi głównie o wymogi związane z prowadzeniem dokumentacji odnośnie do trenowania i testowania tych modeli, które muszą być przekazane organom unijnym i krajowym. A także dokumentacji pozwalającej podmiotom chcącym zintegrować swoje systemy z takim modelem na zrozumienie jego możliwości i ograniczeń.
Jednocześnie dla już istniejących modeli przewiduje się kolejne dwa lata na dostosowanie się do wymagań rozporządzenia (czyli do 2.8.2027 r.).
Wysokie ryzyko
Jeszcze inaczej ma się sprawa z systemami wysokiego ryzyka. Chodzi tu o takie zastosowania AI, które nie zostały zakazane, ale dotyczą sfer objętych unijną harmonizacją przepisów lub np. służą do procesów rekrutacyjnych, określania, czy ktoś spełnia wymogi do świadczeń państwowych albo uzyskania kredytu czy zarządzania infrastrukturą krytyczną. Obowiązki związane z tymi systemami, np. gwarantowanie nadzoru człowieka czy zapewnianie dokładności i cyberbezpieczeństwa AI, zaczną być stosowane w pełni dopiero za trzy lata.
Co więcej, wymogi te nie znajdą zastosowania do systemów wysokiego ryzyka wprowadzonych przed 2.8.2026 r. Chyba iż po tej dacie wprowadzone w nich będą „istotne zmiany”. Jednak jeżeli mają one być stosowane przez podmioty publiczne, zgodność z rozporządzeniem nie zależy od daty wprowadzenia na rynek lub oddania do użytku i należy ją zapewnić w stosunku do wszystkich systemów AI do 2.8.2030 r.
– Możliwe jest więc, iż pojawi się trend, by przed tą datą wprowadzić jak najwięcej systemów potencjalnie tworzących wysokie ryzyko dla praw obywateli – wskazuje dr Maria Dymitruk. – Liczę jednak na odpowiedzialne podejście biznesu i nieopóźnianie procesów zapewniania zgodności z nowym rozporządzeniem.
dr Michał Nowakowski, partner AI & CyberSec w ZP Zackiewicz & Partners
Skoro przepisy o praktykach zakazanych stosuje się od lutego 2025, a przepisy o karach i organach dopiero od sierpnia 2025 r., to będziemy mieć półroczny okres, gdy praktyki będą zakazane, ale bez żadnej sankcji. Nie oznacza to jednak braku realnych konsekwencji, np. w kontekście odpowiedzialności względem klientów czy ryzyka utraty reputacji. Potencjalnie problematyczne z perspektywy ochrony, ale i biznesowej, może być też to, iż systemy wysokiego ryzyka, które zostaną wprowadzone przez najbliższe dwa lata, wejdą w reżim AI Aktu, tylko jeżeli później zostaną w nich wprowadzone „istotne zmiany”. To pewna furtka, ale myśląc przyszłościowo, nie należy zwlekać z dostosowaniem się do wymagań z rozporządzenia, bo to nie tylko kwestia potencjalnej odpowiedzialności administracyjnej, ale i odpowiedzialności względem człowieka.
