Nowe wyzwania dla Przedsiębiorców: AI Act
W ostatnich latach sztuczna inteligencja (AI – Artificial Intelligence) zyskała ogromne znaczenie w wielu sektorach gospodarki, oferując liczne korzyści. Aby zapewnić spójny poziom ochrony zarówno dla przedsiębiorców, jak i konsumentów oraz poprawić funkcjonowanie rynku wewnętrznego, Parlament Europejski przyjął rozporządzenie* AI Act. To pierwsza tego typu regulacja w Unii Europejskiej. Rozporządzenie wejdzie w życie w polskim prawie najpóźniej w 2026 roku, choć niektóre jej przepisy zaczną obowiązywać wcześniej.
Pełna nazwa rozporządzenia AI Act to: Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (AI Act) oraz zmieniające niektóre akty ustawodawcze Unii Europejskiej.
Rozporządzenie zostało przyjęte przez Radę UE i jeszcze nie zostało opublikowane w Dzienniku Urzędowym UE.
Rozporządzenie odnosi się do całego cyklu życia AI; reguluje sytuację prawną użytkowników, jak również dostawców, importerów i dystrybutorów. Jego zakres regulacji różni się w zależności od podmiotu i kategorii AI. AI Act dzieli sztuczną inteligencję na tą o „wysokim ryzyku” i na tą „ogólnego przeznaczenia”.
Co to jest AI?
Zgodnie z rozporządzeniem, „system AI” to system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.
Lista praktyk zakazanych w AI Act
AI Act określa listę praktyk zakazanych w zakresie stosowania sztucznej inteligencji. W ten sposób zakazuje się wprowadzania do obrotu, oddawania do użytku lub wykorzystywania systemów AI:
- stosującego techniki podprogowe będące poza świadomością danej osoby, manipulacyjne lub wprowadzające w błąd,
- wykorzystującego słabości osoby fizycznej lub określonej grupy osób ze względu na ich wiek, niepełnosprawność lub szczególną sytuację społeczną lub ekonomiczną,
- tworzących lub rozbudowujących bazy danych służące do rozpoznawania twarzy poprzez nieukierunkowane pozyskiwanie wizerunków twarzy z internetu lub nagrań z telewizji przemysłowej,
- do wyciągania wniosków na temat emocji osoby fizycznej w miejscu pracy lub instytucjach edukacyjnych (wyjątkiem są względy medyczne lub bezpieczeństwa),
- będących systemami kategoryzacji biometrycznej, które indywidualnie kategoryzują osoby fizyczne i wywnioskowują tym samym informacje na temat np. rasy, poglądów politycznych, przekonań religijnych lub światopoglądowych, orientacji seksualnej,
- będących systemami zdalnej identyfikacji biometrycznej w czasie rzeczywistym wykorzystywanymi w przestrzeni publicznej do celów ścigania przestępstw, chyba że takie wykorzystanie jest bezwzględnie konieczne.
AI wysokiego ryzyka
AI Act wyróżnia różne podkategorie AI. Regulacja prawna dotycząca sztucznej inteligencji „wysokiego ryzyka” jest bardziej rygorystycznie niż inne rodzaje AI. System AI jest systemem wysokiego ryzyka, jeżeli wykorzystuje się go w zakresie:
- biometrii,
- infrastruktury krytycznej,
- edukacji i szkoleń zawodowych,
- zatrudnienia, zarządzania pracownikami i dostępu do samozatrudnienia, m.in w procesie rekrutacji, czy podejmowania decyzji wpływających na warunki stosunków pracy,
- dostępu do podstawowych usług prywatnych, podstawowych usług i świadczeń publicznych oraz korzystania z nich,
- stosowania nań przez organy ścigania,
- zarządzania migracją, kwestiami azylu i kontrolą graniczną,
- administracji wymiarem sprawiedliwości i procesami demokratycznymi.
Obowiązki dostawców systemów AI „wysokiego ryzyka”
- Ustanowienie systemu zarządzania ryzykiem przez cały cykl życia danego systemu.
- Zarządzanie danymi treningowymi, walidacyjnymi i testowymi przy jednoczesnym zapewnieniu, że zestawy danych są adekwatne, wystarczająco reprezentatywne oraz w jak największym stopniu wolne od błędów i kompletne z punktu widzenia przeznaczenia.
- Sporządzanie dokumentacji technicznej w celu wykazania zgodności systemu z wymogami rozporządzenia i dostarczenie dokumentacji właściwym organom krajowym w jasnej i kompleksowej formie.
- Zaprojektowanie systemu AI wysokiego ryzyka w taki sposób, by dysponował on technicznymi możliwościami automatycznego rejestrowania zdarzeń w całym cyklu życia danego systemu.
- Zaprojektowanie systemu AI wysokiego ryzyka w taki sposób, aby zapewnić wystarczającą przejrzystość jego działania, umożliwiającą podmiotom stosującym interpretację wyników systemu i ich właściwe wykorzystywanie.
- Zaprojektowanie systemu AI wysokiego ryzyka w taki sposób, aby umożliwić wdrożenie nadzoru ludzkiego.
- Zaprojektowanie systemu AI wysokiego ryzyka w taki sposób, aby osiągał on odpowiedni poziom dokładności, solidności i cyberbezpieczeństwa oraz by działał konsekwentnie pod tymi względami w całym cyklu życia.
Modele AI ogólnego przeznaczenia (GPAI) w AI Act
Model AI ogólnego przeznaczenia (GPAI) to model AI, w tym model AI trenowany dużą ilością danych z wykorzystaniem nadzoru własnego na dużą skalę, który wykazuje znaczną ogólność i jest w stanie kompetentnie wykonywać szeroki zakres różnych zadań, niezależnie od sposobu, w jaki model ten jest wprowadzany do obrotu, i który można zintegrować z różnymi systemami lub aplikacjami niższego szczebla – z wyłączeniem modeli AI, które są wykorzystywane na potrzeby działań w zakresie badań, rozwoju i tworzenia prototypów przed wprowadzeniem ich do obrotu.
Z kolei „system AI ogólnego przeznaczenia” to system AI oparty na modelu AI ogólnego przeznaczenia, który to system może służyć różnym celom, nadający się zarówno do bezpośredniego wykorzystania, jak i do integracji z innymi systemami AI.
Obowiązki dostawców modelu GPAI
Dostawcy modelu GPAI będą musieli spełnić konkretne obowiązki, takie jak:
- sporządzanie i aktualizowanie dokumentacji technicznej modelu, w tym proces jego trenowania i testowania oraz wyniki jego oceny,
- sporządzanie, aktualizowanie i udostępnianie informacji i dokumentacji dostawcom systemów AI, którzy zamierzają zintegrować model AI ogólnego przeznaczenia ze swoimi systemami AI.
Modele AI ogólnego przeznaczenie z ryzykiem systemowym
Na wyróżnienie zasługuje także podkategoria GPAI określona jako „modele AI ogólnego przeznaczenie z ryzykiem systemowym”. GPAI klasyfikowany jest jako obarczony ryzykiem systemowym, jeżeli spełnia którykolwiek z następujących warunków:
- ma zdolności dużego oddziaływania ocenione w oparciu o odpowiednie narzędzia i metodologie techniczne, w tym wskaźniki i poziomy odniesienia,
- w oparciu o decyzję Komisji – z urzędu lub w następstwie ostrzeżenia kwalifikowanego wydanego przez panel naukowy – ma zdolności lub oddziaływanie równoważne z tymi, które określono powyżej, przy uwzględnieniu kryteriów określonych w załączniku XIII (chodzi o złożoność modelu, jakość i rozmiar użytych danych, moc obliczeniową potrzebna do trenowania modelu, rodzaj danych wejściowych i wyjściowych używanych przez model, wydajność modelu w różnych zadaniach, poziom niezależności i skalowaności oraz wpływ na rynek).
Dostawcy takich modelów:
- dokonują oceny modelu zgodnie ze znormalizowanymi protokołami i narzędziami odzwierciedlającymi najaktualniejszy stan wiedzy technicznej, w tym przeprowadzają i dokumentują kontradyktoryjne testy modelu z myślą o zidentyfikowaniu ryzyka systemowego i jego ograniczenia,
- oceniają i ograniczają ewentualne ryzyko systemowe na poziomie Unii, w tym jego źródła, które może wynikać rozwoju, wprowadzania do obrotu lub wykorzystywania modeli AI ogólnego przeznaczenia z ryzykiem systemowym,
- rejestrują, dokumentują i niezwłocznie zgłaszają Urzędowi ds. AI oraz, w stosownych przypadkach, właściwym organom krajowym odpowiednie informacje dotyczące poważnych incydentów i ewentualnych środków naprawczych służących zaradzeniu im,
- zapewniają odpowiedni poziom cyberochrony modelu AI ogólnego przeznaczenia z ryzykiem systemowym oraz infrastruktury fizycznej tego modelu.
Przedsiębiorco, pamiętaj także o wdrożeniu Dyrektywy EAA do 28 kwietnia 2025 r.
Więcej w artykule: Dyrektywa EAA – nowe wymagania dla eCommerce już za rok
Deepfake
Akt o AI normuje również pojęcie „deepfake”. Chodzi o wygenerowane przez AI lub zmanipulowane przez AI obrazy, treści dźwiękowe lub treści wideo, które przypominają istniejące osoby, przedmioty, miejsca, podmioty lub zdarzenia, które odbiorca mógłby niesłusznie uznać za prawdziwe. Od tej pory treści prezentujące „deepfake” mają być odpowiednio oznakowane. Ujawnione ma również pozostać, że zostały one sztucznie wygenerowane lub zmanipulowane.
Obowiązek zachowania przejrzystości nie będzie miał jednak zastosowania w przypadku, gdy wykorzystywanie jest dozwolone na mocy prawa w celu wykrywania przestępstw, zapobiegania im, prowadzenia postępowań przygotowawczych w ich sprawie lub ścigania ich sprawców.
Co istotne, obowiązek ujawnienia sztucznego wygenerowania lub zmanipulowania tekstu, nałożony zostaje na podmioty stosujące system AI generujący tekst publikowany w celu informowania społeczeństwa o sprawach leżących w interesie publicznym lub manipulujące takim tekstem. Wyjątkiem będzie sytuacja, gdy treści wygenerowane przez AI zostały poddane weryfikacji przez człowieka lub kontroli redakcyjnej i gdy za publikację treści odpowiedzialność redakcyjną ponosi osoba fizyczna lub prawna.
Kary administracyjne
AI Act przewiduje surowe kary pieniężne. Za najpoważniejsze naruszenia przepisów przewidziano karę w wysokości sięgającej aż 35.000.000 €. Przedsiębiorstwo może natomiast otrzymać karę w wysokości do 7% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Skontaktuj się z nami, aby uzyskać fachową pomoc i wsparcie w procesie wdrażania tych zmian. Sprawdź, jak możemy pomóc Twojej firmie dostosować się do nowych przepisów.
Umów się z nami na e-spotkanie (klik) lub skorzystaj z formularza kontaktowego: