Już 1 sierpnia 2024 r. w życie wejdą przepisy unijnego Aktu w sprawie sztucznej inteligencji (AI Act) – kamienia milowego dla rozwoju AI w Europie. O pracach legislacyjnych nad AI Actem w organach unijnych dyskutowano od dawna. Jednak dopiero teraz poznaliśmy dokładne terminy rozpoczęcia stosowania nowych obowiązków.
Poniżej przedstawiamy najważniejsze nowości wprowadzane przez rozporządzenie razem z datami, od których brak zgodności z nową regulacją poskutkuje karami finansowymi. Te będą sięgać choćby 35 mln EUR lub 7% całkowitego rocznego światowego obrotu firmy (w zależności od tego, która z tych kwot jest wyższa).
Kogo dotyczy Akt w sprawie sztucznej inteligencji?
Wbrew powszechnej opinii AI Act nie jest skierowany jedynie do branży IT/AI. Głównym adresatem nowych obowiązków pozostają dostawcy sztucznej inteligencji, czyli zarówno developerzy systemu AI, jak i wszyscy inni przedsiębiorcy, którzy samodzielnie opracowują systemy AI lub zlecają ich budowę.
Akt w sprawie sztucznej inteligencji nakłada szeroki katalog obowiązków również na podmioty wykorzystujące systemy AI. Mowa tu o przedsiębiorcach, którzy nie tworzą własnych rozwiązań AI, a po prostu wdrażają narzędzia dostępne na rynku. Jeżeli pracownicy korzystają ze sztucznej inteligencji w ramach obowiązków zawodowych (pod kontrolą pracodawcy), to AI Act uznaje firmę za podmiot stosujący AI i przewiduje surowe ramy regulacyjne.
Rozporządzenie nie obowiązuje tylko w przypadku używania AI do osobistej działalności pozazawodowej (w wolnym czasie).
Kluczowe wymogi AI Actu
AI Act zawiera zapisy związane z różnymi kwestiami użytkowania sztucznej inteligencji. Najważniejsze kwestie rozporządzenia obejmują, m.in. tematy zakazanych praktyk AI, systemów AI wysokiego ryzyka, przejrzystości czy sztucznej inteligencji ogólnego przeznaczenia. Poniżej omawiamy te i inne najważniejsze wymogi Aktu w sprawie sztucznej inteligencji.
Zakazane praktyki AI
Akt w sprawie sztucznej inteligencji zakazuje stosowania AI w określonych zakresach (m.in. do analizy emocji osób w miejscu pracy lub instytucjach edukacyjnych czy w celu stosowania technik podprogowych, manipulacyjnych i wprowadzających w błąd).
Ustawodawca unijny ocenił te zastosowania jako tworzące nieakceptowalne ryzyko dla zdrowia, bezpieczeństwa lub praw podstawowych obywateli Unii. Przepisy AI Actu dotyczące zakazanych praktyk zaczną być stosowane jako pierwsze – już od 2 lutego 2025 r.
Sztuczna inteligencja ogólnego przeznaczenia
Akt w sprawie sztucznej inteligencji przewiduje również legislacyjną odpowiedź na generatywną AI. W toku prac legislacyjnych nad AI Actem największe dyskusje budziła regulacja modeli i systemów AI ogólnego przeznaczenia (takich jak ChatGPT, Gemini, Stability AI czy Midjourney).
W wyniku osiągniętego porozumienia rozporządzenie przewiduje zarówno wymogi wobec dostawców takich modeli (w tym podwyższony standard w przypadku modeli tworzących ryzyka systemowe), jak i nowe obowiązki względem przedsiębiorców, którzy chcą wdrażać te modele w praktyce, integrować z własnymi rozwiązaniami lub po prostu korzystać z nich w ramach swojej działalności. Odpowiedzialna za to część przepisów AI Actu zacznie być stosowana od 2 sierpnia 2025 r.
Przejrzystość
Ważną regulacją AI Actu, która dotyka prawie wszystkich przedsiębiorców używających generatywnej AI, są wymogi przejrzystości. Dotyczą one:
- informowania osób fizycznych o wchodzeniu w interakcję z systemem AI (np. aby klient wiedział, czy rozmawia z konsultantem, czy chat- lub voicebotem);
- znakowania treści generowanych przez AI (w formacie nadającym się do odczytu maszynowego i umożliwiającym wykrycie, iż treści te były sztucznie wytworzone lub zmodyfikowane).
Te wymogi staną się obowiązkowe 2 sierpnia 2026 r. Skuteczne wykonywanie wspomnianych obowiązków mają ułatwiać kodeksy praktyk, które mają powstać wcześniej – przed 2 maja 2025 r.
Ramy instytucjonalne oraz kary
Nowa regulacja nie miałaby prawa zadziałać bez przemyślanego systemu kontroli i ocen. Infrastruktura związana z zarządzaniem AI oraz systemem oceny zgodności powinna być gotowa przed 2 sierpnia 2025 r. Nowe obowiązki musi ktoś egzekwować, tym bardziej iż rozporządzenie przewiduje surowy system kar finansowych.
Od 2 sierpnia 2025 r. zaczną być stosowane przepisy o sankcjach finansowych i dlatego przed tą datą ustanowiony zostanie organ nadzoru rynku AI w Polsce. Przed wspomnianym terminem przedsiębiorcy otrzymają również opracowane przez Komisję Europejską wskazówki na temat zgłaszania poważnych incydentów AI.
Systemy AI wysokiego ryzyka
Kluczową regulacją Aktu w sprawie sztucznej inteligencji są nowe obowiązki dostawców i podmiotów stosujących sztuczną inteligencję w zakresie systemów AI wysokiego ryzyka. Mowa tu o rozwiązaniach, które rodzą niebezpieczeństwo dla zdrowia, bezpieczeństwa i praw podstawowych obywateli UE.
Najdalej odroczone w czasie będą obowiązki dotyczące:
- wprowadzenia systemu zarządzania ryzykiem;
- dbałości o dane treningowe;
- prowadzenia dokumentacji technicznej;
- rejestrowania zdarzeń w cyklu życia systemu AI;’
- gwarantowania nadzoru człowieka;
- zapewniania dokładności i cyberbezpieczeństwa AI.
Dostawcy AI i podmioty stosujące sztuczną inteligencję będą musiały zapewnić zgodność z tymi przepisami najpóźniej do 2 sierpnia 2027 r. Działania compliance’owe warto jednak zacząć dużo wcześniej, tym bardziej iż do 2 lutego 2026 r. Komisja Europejska przedstawi praktyczne wytyczne dotyczące zasad klasyfikacji systemów AI wysokiego ryzyka (wraz z kompleksowym wykazem przykładów takich systemów).
Jak przygotować się do zmian, które wprowadza AI Act?
Podstawowym obowiązkiem każdej organizacji jest sprawdzenie, czy wykorzystywane lub tworzone przez nią rozwiązania sztucznej inteligencji znajdują się w spisie zakazanych praktyk AI bądź katalogu zastosowań wysokiego ryzyka. Weryfikacji należy poddać również wewnętrzne plany wdrożeniowe – przyszłe rozwiązania AI też muszą być zgodne z nowymi wymogami.
W przypadku zidentyfikowania systemów AI, które podlegają regulacji, wskazane jest rozpoczęcie procesu zapewniania zgodności. Działania compliance’owe warto rozłożyć w czasie i skoordynować z opracowaniem lub aktualizacją polityk wewnętrznych.
W razie pytań z zakresu nowych przepisów zachęcamy do kontaktu. Nasi eksperci z działu AI & Data są do Państwa dyspozycji.