AI Act – czym jest i kogo dotyczy ustawa o sztucznej inteligencji? Najważniejsze informacje
Unia Europejska przygotowała ustawę o sztucznej inteligencji, który jest znana jako AI Act. Ma ona zapewnić rozwój i wykorzystywanie sztucznej inteligencji w sposób bezpieczny, niezawodny i przejrzysty. Co reguluje i kogo obejmie? W tym artykule zawarliśmy najważniejsze informacje.
W momencie pisania tego artykułu (początek lutego 2024 roku) wciąż brak precyzyjnych informacji, kiedy Parlament Europejski oficjalnie zatwierdzi AI Act, czyli unijny akt o sztucznej inteligencji. Bez względu na to, kiedy to nastąpi, jedno jest pewne – Polska już powinna pracować nad nowymi regulacjami, a przedsiębiorstwa nad ich wdrożeniem. Zwłaszcza że porozumienie w sprawie nowych przepisów dotyczących AI zostało już zawarte i wiemy, kogo i czego one dotyczą.
Unijny akt o sztucznej inteligencji, czyli czym jest AI Act
Unijna ustawa o sztucznej inteligencji (ang. Artificial Intelligence Act) zaproponowana w kwietniu 2021 roku przez Komisję Europejską to pierwsza i tak kompleksowa rama prawna, która ma unormować wykorzystanie systemów sztucznej inteligencji. Dlaczego to ważne? Ponieważ ich stosowanie wiąże się z różnymi zagrożeniami, które już dziś zostały zidentyfikowane, a których lista zostanie na pewno poszerzona w przyszłości, w ramach rozwoju narzędzi AI.
Co reguluje AI Act?
Nowe rozporządzenie klasyfikuje systemy sztucznej inteligencji według związanego z nimi ryzyka. Chociaż wiele z nich stwarza minimalne ryzyko, należy je odpowiednio ocenić. W tym celu zastosowano podejście oparte na analizie ryzyka, prowadzące do regulacji horyzontalnych, czyli takich mających zastosowanie we wszystkich sektorach.
W zależności od klasyfikacji ryzyka przyjmuje się trzy rozwiązania. Mianowicie system może zostać zabroniony; mogą zostać nałożone dodatkowe wymagania do spełnienia lub też użytkownicy wchodzący w interakcję z AI muszą zostać powiadomieni o tej interakcji. Warto odnotować, że Unia dopuszcza pewne wyjątki dla wysokiego ryzyka jak na przykład dopuszczenie systemu do celów egzekwowania prawa.
Kogo dotyczy AI Act?
Ustawa ma istotne konsekwencje dla organizacji, które opracowują lub wykorzystują systemy sztucznej inteligencji. Co więcej, obejmuje ich niezależnie od miejsca ich siedziby – ważny jest sam fakt, że dane narzędzie jest dostępne/wykorzystywane na terenie UE.
Ustawa o sztucznej inteligencji dotyczy każdego systemu, który jest:
- sprzedawany lub oferowany na rynku UE;
- wprowadzany do użytku lub wykorzystywany w ramach granic UE.
Warto zaznaczyć, że nie ma ograniczenia co do wielkości przedsiębiorstwa. Ustawa dotyczy zarówno globalnych gigantów technologicznych, jak i lokalnych deweloperów sprzedających oprogramowanie AI. Wszystkie przedsięwzięcia związane z wykorzystaniem i oferowaniem sztucznej inteligencji mają spełniać te same standardy: bezpieczeństwa, niezawodności i przejrzystości.
Strategia UE zakłada zapewnienie wiarygodności sztucznej inteligencji i transparentności na wszystkich etapach jej rozwoju. To z kolei pozwoli na łatwiejsze przestrzeganie przepisów, a także pomoże skupić wszystkie osoby zaangażowane w rozwój AI na tym samym poziomie. Ma to też ułatwić inwestycje i innowacje w tej dziedzinie.
Jakie są korzyści z przyjęcia AI Act?
Każde działanie mające zabezpieczyć interes i prywatność ludzi jest na wagę złota, zwłaszcza w kontekście niepokojących doniesień o wykorzystywaniu AI do ataków hakerskich. Szerzej o tym napisaliśmy w artykule: Sztuczna inteligencja w cyberbezpieczeństwie .
Unijna ustawa ma chronić przed wszelkimi negatywnymi konsekwencjami sztucznej inteligencji. Dlatego też w pewien sposób wymusza na organizacjach korzystających z takich systemów zapewnienie, że nie dyskryminują ludzi, nie wprowadzają ich w błąd oraz że ich aplikacje nie są wykorzystywane w sposób nieetyczny lub nawet niezgodny z prawem. Użytkownicy powinni być świadomi, że wchodzą w interakcję ze sztuczną inteligencją, bez względu na rodzaj systemu – czy jest to aplikacja generująca obrazy, są to treści audio lub wideo czy manipulacje przy pomocy deep fake.
Wyzwania stojące przed przedsiębiorcami
Przedsiębiorcy mogą odczuwać niepokój związany z koniecznością wdrożenia wymagań AI Act. Nic dziwnego. Skutki tej ustawy mogą być dla niektórych drastyczne i kosztowne. Zwłaszcza jeśli mówimy o przedsiębiorstwach, które wytwarzają i dostarczają oprogramowanie zaklasyfikowane do wysokiego ryzyka – będą mogły być je nadal rozwijać, o ile zostaną spełnione konkretne wymagania. Dotyczy to głównie zastosowań w obszarach wrażliwych, takich jak edukacja, zasoby ludzkie, infrastruktura krytyczna i egzekwowanie prawa.
Jak sprawdzana jest zgodność z unijnymi przepisami:
- Audyt sprawdzający zgodność opracowanego systemu sztucznej inteligencji z unijną ustawą (ocenę należy powtórzyć w przypadku dużych modyfikacji systemu).
- Sprawdzenie, jak monitorowane jest ryzyko, obejmujące dokumentację techniczną, prowadzone rejestry, nadzór ludzki i zarządzanie.
- Ocenę wpływu systemu na prawa podstawowe.
- Ocenę przejrzystości dotyczącej wyników i modelu.
- Ocenę bezpieczeństwa oraz tego, jak dokładne i solidne są stosowane modele.
Czy za brak spełnienia wymogów grożą jakieś kary? Tak. W zależności od naruszenia i wielkości firmy kary będą wynosić od 35 mln euro lub 7% globalnego obrotu. Niedostarczenie prawidłowych informacji będzie skutkować karą w wysokości do 7,5 miliona euro lub 1,5% globalnych rocznych przychodów organizacji.
Jak się przygotować na AI Act?
Akt AI jest dopiero w fazie procedowania, nie jest jeszcze znana jego finalna wersja oraz data obowiązywania. Niemniej jednak prace warto rozpocząć już teraz. Dzięki temu organizacja będzie przygotowana kompleksowo, a sam proces wdrożenia przejdzie łagodnie, bez naruszenia ciągłości działania. Co więcej, przejdzie je terminowo, co pomoże uniknąć kar finansowych.
Najlepiej powierzyć to zadanie doświadczonej firmie konsultingowej, która specjalizuje się w tego typu wdrożeniach. Przykładem jest PBSG. Przeprowadzimy niezbędne oceny zgodności i analizę ryzyka; sprawdzimy też system pod kątem cyberbezpieczeństwa.