AI ACT – unijne rozporządzenie w sprawie tzw. sztucznej inteligencji

Nowe wyzwania dla Przedsiębiorców: AI Act

W ostatnich latach sztuczna inteligencja (AI – Artificial Intelligence) zyskała ogromne znaczenie w wielu sektorach gospodarki, oferując liczne korzyści. Aby zapewnić spójny poziom ochrony zarówno dla przedsiębiorców, jak i konsumentów oraz poprawić funkcjonowanie rynku wewnętrznego, Parlament Europejski przyjął rozporządzenie* AI Act. To pierwsza tego typu regulacja w Unii Europejskiej. Rozporządzenie wejdzie w życie w polskim prawie najpóźniej w 2026 roku, choć niektóre jej przepisy zaczną obowiązywać wcześniej.

Pełna nazwa rozporządzenia AI Act to: Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji (AI Act) oraz zmieniające niektóre akty ustawodawcze Unii Europejskiej.

Rozporządzenie zostało przyjęte przez Radę UE i jeszcze nie zostało opublikowane w Dzienniku Urzędowym UE.

Rozporządzenie odnosi się do całego cyklu życia AI; reguluje sytuację prawną użytkowników, jak również dostawców, importerów i dystrybutorów. Jego zakres regulacji różni się w zależności od podmiotu i kategorii AI. AI Act dzieli sztuczną inteligencję na tą o  „wysokim ryzyku” i na tą „ogólnego przeznaczenia”.

Co to jest AI?

Zgodnie z rozporządzeniem, „system AI” to system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby  wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.

Lista praktyk zakazanych  w AI Act

AI Act określa listę praktyk zakazanych w zakresie stosowania sztucznej inteligencji. W  ten sposób zakazuje się wprowadzania do obrotu, oddawania do użytku lub  wykorzystywania systemów AI: 

  • stosującego techniki podprogowe będące poza świadomością danej osoby,  manipulacyjne lub wprowadzające w błąd,
  • wykorzystującego słabości osoby fizycznej lub określonej grupy osób ze względu na  ich wiek, niepełnosprawność lub szczególną sytuację społeczną lub ekonomiczną,
  • tworzących lub rozbudowujących bazy danych służące do rozpoznawania twarzy  poprzez nieukierunkowane pozyskiwanie wizerunków twarzy z internetu lub nagrań z  telewizji przemysłowej,
  • do wyciągania wniosków na temat emocji osoby fizycznej w miejscu pracy lub  instytucjach edukacyjnych (wyjątkiem są względy medyczne lub bezpieczeństwa),
  • będących systemami kategoryzacji biometrycznej, które indywidualnie kategoryzują osoby fizyczne i wywnioskowują tym samym informacje na temat np. rasy, poglądów  politycznych, przekonań religijnych lub światopoglądowych, orientacji seksualnej,
  • będących systemami zdalnej identyfikacji biometrycznej w czasie rzeczywistym  wykorzystywanymi w przestrzeni publicznej do celów ścigania przestępstw, chyba że  takie wykorzystanie jest bezwzględnie konieczne.

AI wysokiego ryzyka  

AI Act wyróżnia różne podkategorie AI. Regulacja prawna dotycząca sztucznej inteligencji „wysokiego ryzyka” jest bardziej rygorystycznie niż inne rodzaje AI. System AI jest systemem wysokiego ryzyka, jeżeli wykorzystuje się go w zakresie: 

  • biometrii,
  • infrastruktury krytycznej,
  • edukacji i szkoleń zawodowych,
  • zatrudnienia, zarządzania pracownikami i dostępu do samozatrudnienia, m.in w  procesie rekrutacji, czy podejmowania decyzji wpływających na warunki stosunków  pracy,
  • dostępu do podstawowych usług prywatnych, podstawowych usług i świadczeń publicznych oraz korzystania z nich, 
  • stosowania nań przez organy ścigania, 
  • zarządzania migracją, kwestiami azylu i kontrolą graniczną,
  • administracji wymiarem sprawiedliwości i procesami demokratycznymi.

Obowiązki dostawców systemów AI „wysokiego ryzyka”  

  1. Ustanowienie systemu zarządzania ryzykiem przez cały cykl życia danego systemu.
  2. Zarządzanie danymi treningowymi, walidacyjnymi i testowymi przy jednoczesnym  zapewnieniu, że zestawy danych są adekwatne, wystarczająco reprezentatywne oraz w  jak największym stopniu wolne od błędów i kompletne z punktu widzenia  przeznaczenia.
  3. Sporządzanie dokumentacji technicznej w celu wykazania zgodności systemu z  wymogami rozporządzenia i dostarczenie dokumentacji właściwym organom krajowym  w jasnej i kompleksowej formie.
  4. Zaprojektowanie systemu AI wysokiego ryzyka w taki sposób, by dysponował on  technicznymi możliwościami automatycznego rejestrowania zdarzeń w całym cyklu  życia danego systemu.
  5. Zaprojektowanie systemu AI wysokiego ryzyka w taki sposób, aby zapewnić wystarczającą przejrzystość jego działania, umożliwiającą podmiotom stosującym  interpretację wyników systemu i ich właściwe wykorzystywanie.
  6. Zaprojektowanie systemu AI wysokiego ryzyka w taki sposób, aby umożliwić wdrożenie nadzoru ludzkiego.
  7. Zaprojektowanie systemu AI wysokiego ryzyka w taki sposób, aby osiągał on  odpowiedni poziom dokładności, solidności i cyberbezpieczeństwa oraz by działał konsekwentnie pod tymi względami w całym cyklu życia.

Modele AI ogólnego przeznaczenia (GPAI) w AI Act

Model AI ogólnego przeznaczenia (GPAI) to model AI, w tym model AI trenowany dużą ilością danych z wykorzystaniem nadzoru własnego na dużą skalę, który wykazuje znaczną ogólność i jest w stanie kompetentnie wykonywać szeroki zakres różnych zadań, niezależnie od sposobu, w jaki model ten jest wprowadzany do obrotu, i który można zintegrować z różnymi systemami lub aplikacjami niższego szczebla – z wyłączeniem modeli AI, które są wykorzystywane na potrzeby działań w zakresie badań, rozwoju i tworzenia prototypów przed wprowadzeniem ich do obrotu.

Z kolei „system AI ogólnego przeznaczenia” to system AI oparty na modelu AI ogólnego przeznaczenia, który to system może służyć różnym celom, nadający się zarówno do bezpośredniego wykorzystania, jak i do integracji z innymi systemami AI.

Obowiązki dostawców modelu GPAI

Dostawcy modelu GPAI będą musieli spełnić konkretne obowiązki, takie jak:

  • sporządzanie i aktualizowanie dokumentacji technicznej modelu, w tym proces jego  trenowania i testowania oraz wyniki jego oceny,
  • sporządzanie, aktualizowanie i udostępnianie informacji i dokumentacji dostawcom  systemów AI, którzy zamierzają zintegrować model AI ogólnego przeznaczenia ze  swoimi systemami AI.

Modele AI ogólnego  przeznaczenie z ryzykiem systemowym

Na wyróżnienie zasługuje także podkategoria GPAI określona jako „modele AI ogólnego  przeznaczenie z ryzykiem systemowym”. GPAI klasyfikowany jest jako obarczony  ryzykiem systemowym, jeżeli spełnia którykolwiek z następujących warunków:

  • ma zdolności dużego oddziaływania ocenione w oparciu o odpowiednie narzędzia i  metodologie techniczne, w tym wskaźniki i poziomy odniesienia,
  • w oparciu o decyzję Komisji – z urzędu lub w następstwie ostrzeżenia kwalifikowanego  wydanego przez panel naukowy – ma zdolności lub oddziaływanie równoważne z tymi,  które określono powyżej, przy uwzględnieniu kryteriów określonych w załączniku XIII  (chodzi o złożoność modelu, jakość i rozmiar użytych danych, moc obliczeniową potrzebna do trenowania modelu, rodzaj danych wejściowych i wyjściowych  używanych przez model, wydajność modelu w różnych zadaniach, poziom  niezależności i skalowaności oraz wpływ na rynek).

Dostawcy takich modelów: 

  • dokonują oceny modelu zgodnie ze znormalizowanymi protokołami i narzędziami  odzwierciedlającymi najaktualniejszy stan wiedzy technicznej, w tym przeprowadzają i  dokumentują kontradyktoryjne testy modelu z myślą o zidentyfikowaniu ryzyka  systemowego i jego ograniczenia,
  • oceniają i ograniczają ewentualne ryzyko systemowe na poziomie Unii, w tym jego  źródła, które może wynikać rozwoju, wprowadzania do obrotu lub wykorzystywania  modeli AI ogólnego przeznaczenia z ryzykiem systemowym, 
  • rejestrują, dokumentują i niezwłocznie zgłaszają Urzędowi ds. AI oraz, w stosownych  przypadkach, właściwym organom krajowym odpowiednie informacje dotyczące  poważnych incydentów i ewentualnych środków naprawczych służących zaradzeniu im,
  • zapewniają odpowiedni poziom cyberochrony modelu AI ogólnego przeznaczenia z  ryzykiem systemowym oraz infrastruktury fizycznej tego modelu. 

Przedsiębiorco, pamiętaj także o wdrożeniu Dyrektywy EAA do 28 kwietnia 2025 r.
Więcej w artykule: Dyrektywa EAA – nowe wymagania dla eCommerce już za rok

Deepfake  

Akt o AI normuje również pojęcie „deepfake”. Chodzi o wygenerowane przez AI lub  zmanipulowane przez AI obrazy, treści dźwiękowe lub treści wideo, które przypominają istniejące osoby, przedmioty, miejsca, podmioty lub zdarzenia, które odbiorca mógłby  niesłusznie uznać za prawdziwe. Od tej pory treści prezentujące „deepfake” mają być odpowiednio oznakowane. Ujawnione ma również pozostać, że zostały one sztucznie  wygenerowane lub zmanipulowane. 

Obowiązek zachowania przejrzystości nie będzie miał jednak zastosowania w przypadku,  gdy wykorzystywanie jest dozwolone na mocy prawa w celu wykrywania przestępstw,  zapobiegania im, prowadzenia postępowań przygotowawczych w ich sprawie lub  ścigania ich sprawców. 

Co istotne, obowiązek ujawnienia sztucznego wygenerowania lub zmanipulowania tekstu, nałożony zostaje na podmioty stosujące system AI generujący tekst publikowany w celu  informowania społeczeństwa o sprawach leżących w interesie publicznym lub  manipulujące takim tekstem. Wyjątkiem będzie sytuacja, gdy treści wygenerowane przez  AI zostały poddane weryfikacji przez człowieka lub kontroli redakcyjnej i gdy za publikację treści odpowiedzialność redakcyjną ponosi osoba fizyczna lub prawna. 

Kary administracyjne  

AI Act przewiduje surowe kary pieniężne. Za najpoważniejsze naruszenia przepisów  przewidziano karę w wysokości sięgającej aż 35.000.000 €. Przedsiębiorstwo może natomiast otrzymać karę w wysokości do 7% jego całkowitego  rocznego światowego obrotu z poprzedniego roku obrotowego. 

Skontaktuj się z nami, aby uzyskać fachową pomoc i wsparcie w procesie wdrażania tych zmian. Sprawdź, jak możemy pomóc Twojej firmie dostosować się do nowych przepisów.

Umów się z nami na e-spotkanie (klik) lub skorzystaj z formularza kontaktowego:

Scroll to Top