Aigest.
Poradnik

Czym jest AI Act (regulacje AI w Unii Europejskiej)?

AI Act to przełomowe rozporządzenie UE regulujące sztuczną inteligencję, klasyfikujące systemy AI według ryzyka i nakładające obowiązki na dostawców i użytkowników.

RA

Zaktualizowano · 6 min czytania

Udostępnij
Czym jest AI Act (regulacje AI w Unii Europejskiej)?
Fot. Unsplash

AI Act to rozporządzenie Unii Europejskiej, które stanowi kompleksowe ramy prawne dla sztucznej inteligencji. Jego głównym celem jest zapewnienie, że systemy AI wprowadzane na rynek i używane w UE są bezpieczne, zgodne z prawami podstawowymi i wartościami demokratycznymi, a także sprzyjają innowacjom. Akt ten klasyfikuje systemy AI na podstawie poziomu ryzyka, nakładając proporcjonalne obowiązki na dostawców i użytkowników.

AI Act jest pierwszym tego typu aktem prawnym na świecie, ustanawiającym globalny standard dla regulacji sztucznej inteligencji. Ma on kluczowe znaczenie dla budowania zaufania do technologii AI oraz dla ochrony obywateli przed potencjalnymi zagrożeniami, jednocześnie wspierając rozwój odpowiedzialnej sztucznej inteligencji w Europie.

Kategorie ryzyka w AI Act

Centralnym elementem AI Act jest podejście oparte na ryzyku. Rozporządzenie wyróżnia cztery główne kategorie systemów AI, z których każda wiąże się z innym poziomem regulacji i obowiązków.

Systemy AI o niedopuszczalnym ryzyku

Są to systemy AI, które stanowią wyraźne zagrożenie dla bezpieczeństwa, praw podstawowych i wartości demokratycznych, a ich stosowanie jest całkowicie zakazane. Przykłady obejmują:

  • Manipulacja behawioralna: Systemy wykorzystujące techniki podprogowe lub celowo manipulujące zachowaniem ludzi w sposób, który może wyrządzić szkodę fizyczną lub psychiczną.
  • Systemy oceny społecznej (social scoring): Systemy oceniające lub klasyfikujące wiarygodność osób fizycznych na podstawie ich zachowań społecznych lub cech osobowości, prowadzące do nieuzasadnionego lub nieproporcjonalnego traktowania.
  • Biometryczna identyfikacja w czasie rzeczywistym w miejscach publicznych: Z wyjątkiem ściśle określonych i uzasadnionych przypadków (np. poszukiwanie ofiar przestępstw, zapobieganie terroryzmowi, za zgodą sądu).
  • Systemy rozpoznawania emocji w miejscu pracy i placówkach edukacyjnych: Z wyjątkiem celów medycznych lub bezpieczeństwa.

Systemy AI wysokiego ryzyka

To systemy, które mogą mieć znaczący negatywny wpływ na bezpieczeństwo lub prawa podstawowe osób fizycznych. Wymagają one rygorystycznych obowiązków przed wprowadzeniem na rynek i w trakcie ich użytkowania. Kategoria ta jest podzielona na dwie główne grupy:

  1. Systemy AI przeznaczone do użytku jako komponenty bezpieczeństwa produktów: Dotyczy to produktów objętych istniejącym prawodawstwem unijnym, które wymagają oceny zgodności przez stronę trzecią (np. zabawki, urządzenia medyczne, samochody).
  2. Systemy AI stosowane w konkretnych obszarach: Są to obszary, w których ryzyko dla praw podstawowych jest szczególnie wysokie. Przykłady obejmują:
    • Biometryczna identyfikacja i kategoryzacja osób fizycznych: Z wyjątkiem systemów o niedopuszczalnym ryzyku.
    • Zarządzanie i eksploatacja infrastruktury krytycznej: Np. zarządzanie ruchem drogowym, dostawy wody, gazu, energii elektrycznej.
    • Edukacja i szkolenia zawodowe: Np. ocena studentów, dostęp do edukacji.
    • Zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia: Np. rekrutacja, monitorowanie pracowników, ocena wydajności.
    • Dostęp do podstawowych usług prywatnych i publicznych oraz korzystanie z nich: Np. ocena zdolności kredytowej, dostęp do ubezpieczeń, świadczeń publicznych.
    • Egzekwowanie prawa: Np. ocena ryzyka recydywy, wykrywanie przestępstw.
    • Migracja, azyl i kontrola granic: Np. ocena wniosków wizowych, wykrywanie fałszywych dokumentów.
    • Wymiar sprawiedliwości i procesy demokratyczne: Np. wspomaganie sędziów w podejmowaniu decyzji.

Systemy AI o ograniczonym ryzyku

Systemy te nie stwarzają wysokiego ryzyka, ale wymagają pewnych obowiązków w zakresie przejrzystości, aby użytkownicy byli świadomi, że wchodzą w interakcję z AI. Przykłady to:

  • Systemy interakcji z człowiekiem: Chatboty, które muszą informować użytkownika, że rozmawiają z AI.
  • Systemy rozpoznawania emocji lub biometrycznej kategoryzacji: Muszą informować o swoim działaniu.
  • Systemy generujące deepfake: Muszą jasno oznaczać, że treści zostały sztucznie wygenerowane lub zmodyfikowane.

Systemy AI o minimalnym ryzyku

Większość systemów AI (np. filtry spamowe, gry AI, systemy rekomendacji) zalicza się do tej kategorii. AI Act nie nakłada na nie żadnych obowiązkowych wymagań, ale zachęca do dobrowolnego przestrzegania kodeksów postępowania, które promują odpowiedzialne praktyki.

Kogo dotyczy AI Act?

AI Act ma szeroki zakres zastosowania i dotyczy wielu podmiotów, zarówno tych zlokalizowanych w Unii Europejskiej, jak i poza nią, o ile ich systemy AI mają wpływ na osoby w UE.

Główne podmioty objęte regulacją to:

  • Dostawcy systemów AI: Osoby fizyczne lub prawne, organy publiczne, agencje lub inne podmioty, które opracowują system AI lub zlecają jego opracowanie w celu wprowadzenia go na rynek lub oddania do użytku pod własną nazwą lub znakiem towarowym.
  • Producenci produktów: W przypadku, gdy system AI jest komponentem bezpieczeństwa produktu objętego istniejącym prawodawstwem harmonizacyjnym UE.
  • Importerzy i dystrybutorzy systemów AI: Podmioty wprowadzające systemy AI z krajów trzecich na rynek UE lub udostępniające je na rynku UE.
  • Użytkownicy systemów AI: Osoby fizyczne lub prawne, organy publiczne, agencje lub inne podmioty, które używają systemu AI pod swoją kontrolą, z wyjątkiem użycia w ramach osobistej, nieprofesjonalnej działalności.
  • Podmioty zlokalizowane poza UE: Jeśli ich systemy AI są wprowadzane na rynek UE, oddawane do użytku w UE lub jeśli ich zastosowanie wpływa na osoby fizyczne znajdujące się w Unii.

Główne obowiązki wynikające z AI Act

Obowiązki nakładane przez AI Act są proporcjonalne do poziomu ryzyka generowanego przez system AI. Im wyższe ryzyko, tym bardziej rygorystyczne wymagania.

Obowiązki dla systemów AI wysokiego ryzyka

To najbardziej rozbudowana kategoria obowiązków, obejmująca m.in.:

  • System zarządzania ryzykiem: Ustanowienie, wdrożenie, udokumentowanie i utrzymywanie systemu zarządzania ryzykiem przez cały cykl życia systemu AI.
  • Jakość danych: Zapewnienie wysokiej jakości zbiorów danych używanych do szkolenia, walidacji i testowania systemów AI, aby minimalizować ryzyko błędów i dyskryminacji.
  • Dokumentacja techniczna: Sporządzenie szczegółowej dokumentacji technicznej, która wykazuje zgodność systemu AI z wymaganiami AI Act.
  • Prowadzenie rejestrów (logów): Systemy AI muszą być zaprojektowane tak, aby umożliwiały rejestrowanie zdarzeń przez cały okres ich działania, co jest kluczowe dla monitorowania i audytu.
  • Przejrzystość i dostarczanie informacji: Zapewnienie, że systemy AI są wystarczająco przejrzyste, aby użytkownicy mogli interpretować ich wyniki i być świadomi ich działania. Należy dostarczać jasnych instrukcji użytkowania.
  • Nadzór ludzki: Projektowanie systemów AI w sposób umożliwiający skuteczny nadzór ludzki, w tym możliwość interwencji, modyfikacji lub wyłączenia systemu.
  • Dokładność, solidność i cyberbezpieczeństwo: Zapewnienie, że systemy AI są dokładne, odporne na błędy i ataki, oraz bezpieczne pod względem cybernetycznym.
  • Ocena zgodności: Przed wprowadzeniem na rynek lub oddaniem do użytku, systemy wysokiego ryzyka muszą przejść ocenę zgodności, często z udziałem jednostki notyfikowanej (niezależnego organu oceniającego).
  • Rejestracja w bazie danych UE: Niektóre systemy AI wysokiego ryzyka będą musiały być zarejestrowane w publicznej bazie danych UE.
  • System zarządzania jakością: Wdrożenie i utrzymywanie systemu zarządzania jakością, który obejmuje wszystkie aspekty projektowania, rozwoju i użytkowania systemu AI.
  • Obowiązki po wprowadzeniu na rynek: Monitorowanie działania systemu AI po jego wprowadzeniu na rynek, zgłaszanie incydentów i podejmowanie działań naprawczych.

Obowiązki dla systemów AI o ograniczonym ryzyku

Te systemy wymagają przede wszystkim spełnienia wymogów w zakresie przejrzystości, takich jak:

  • Informowanie użytkowników: Obowiązek informowania użytkowników, że wchodzą w interakcję z systemem AI (np. chatbot), lub że treści są generowane przez AI (deepfake).

Obowiązki dla dostawców modeli AI ogólnego przeznaczenia (GPAI)

AI Act wprowadza również specjalne obowiązki dla dostawców tzw. modeli AI ogólnego przeznaczenia, czyli zaawansowanych modeli, które mogą być wykorzystywane do szerokiego zakresu zadań (np. duże modele językowe). Obowiązki te obejmują m.in. zarządzanie ryzykiem, jakość danych, dokumentację techniczną, a dla modeli systemowo ryzykownych – dodatkowe audyty i oceny.

Wpływ AI Act na biznes i innowacje

AI Act, choć nakłada szereg obowiązków, ma na celu stworzenie przewidywalnego i bezpiecznego środowiska dla rozwoju AI w Europie. Firmy, które przestrzegają tych regulacji, mogą zyskać przewagę konkurencyjną, budując zaufanie klientów i partnerów. Zgodność z AI Act może być również postrzegana jako znak jakości, otwierający drzwi do nowych rynków i możliwości inwestycyjnych. Rozporządzenie ma zachęcać do innowacji w ramach etycznych i bezpiecznych ram, promując odpowiedzialne podejście do technologii AI.

Podsumowanie

AI Act to ambitne i przełomowe rozporządzenie, które ma fundamentalne znaczenie dla przyszłości sztucznej inteligencji w Unii Europejskiej i na świecie. Poprzez klasyfikację ryzyka i nałożenie proporcjonalnych obowiązków, UE dąży do stworzenia ekosystemu AI, który jest zarówno innowacyjny, jak i godny zaufania. Zrozumienie i przestrzeganie jego przepisów będzie kluczowe dla wszystkich podmiotów rozwijających, wdrażających lub wykorzystujących systemy AI w Europie.

Najczęstsze pytania

Kiedy AI Act wejdzie w życie?

AI Act został przyjęty, a jego przepisy będą wchodzić w życie stopniowo. Niektóre zakazy i obowiązki zaczną obowiązywać wcześniej, inne później, dając czas na dostosowanie się. Pełne wdrożenie nastąpi po upływie okresów przejściowych od daty jego wejścia w życie.

Czym różni się AI Act od RODO?

AI Act reguluje systemy sztucznej inteligencji, skupiając się na ich bezpieczeństwie, etyce i prawach podstawowych w kontekście ich działania. RODO (GDPR) natomiast dotyczy ochrony danych osobowych, niezależnie od technologii, która je przetwarza. Oba akty prawne są komplementarne i często będą stosowane równolegle.

Czy AI Act dotyczy tylko firm z UE?

Nie, AI Act ma tzw. eksterytorialny zasięg. Dotyczy firm spoza UE, jeśli ich systemy AI są wprowadzane na rynek Unii, oddawane do użytku w UE lub jeśli ich zastosowanie wpływa na osoby fizyczne znajdujące się na terytorium Unii Europejskiej.

Jakie są kary za nieprzestrzeganie AI Act?

Kary za naruszenie AI Act są wysokie i zależą od rodzaju naruszenia. Mogą sięgać nawet do 35 milionów euro lub 7% globalnego rocznego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa, szczególnie w przypadku zakazanych praktyk AI.

Czy AI Act hamuje innowacje?

Celem AI Act nie jest hamowanie innowacji, lecz zapewnienie, że rozwój i wdrażanie AI odbywa się w sposób odpowiedzialny i bezpieczny. Ustanawiając jasne ramy prawne, ma on budować zaufanie do AI, co w dłuższej perspektywie może sprzyjać stabilnym i etycznym innowacjom.

Więcej poradników

Bądź na bieżąco ze światem AI

Najważniejsze newsy, recenzje i poradniki — raz w tygodniu, prosto na maila. Bez spamu.