Akt w sprawie sztucznej inteligencji (AI Act)

Rozporządzenie Parlamentu Europejskiego i Rady ustanawiające zharmonizowane przepisy dotyczące sztucznej inteligencji

Rozporządzenie w sposób kompleksowy reguluje materię sztucznej inteligencji na poziomie europejskim. Wprowadza na grunt prawodawstwa takie pojęcia jak system AI czy model AI ogólnego przeznaczenia, a także nakłada na podmioty zaangażowane w działalność w zakresie systemów AI (w tym na podmioty stosujące AI) konkretne obowiązki.

Porządek czasowy

21 kwietnia 2021 – publikacja projektu rozporządzenia

13 marca 2024 – przyjęcie AI Act przez Parlament

21 maja 2024 – przyjęcie AI Act przez Radę

12 lipca 2024 – publikacja AI Act w Dzienniku Urzędowym Unii Europejskiej

1 sierpnia 2024 – wejście w życie AI Act

2 luty 2025 – rozpoczęcie stosowania przepisów ogólnych (rozdział I) i przepisów o zakazanych praktykach w zakresie AI

2 sierpnia 2025 – rozpoczęcie stosowania przepisów m.in. o organach i jednostkach notyfikujących, modelach AI ogólnego przeznaczenia i karach

2 sierpnia 2026 – rozpoczęcie stosowania większości przepisów AI Act

2 sierpnia 2027 – rozpoczęcie stosowania przepisu art. 6 ust. AI Act i odpowiadających mu obowiązków

System AI i inne kluczowe definicje

System AI

Stosowanie AI Act jest zasadniczo uzależnione od kwalifikacji systemu jako systemu AI w rozumieniu przewidzianej na gruncie rozporządzenia definicji. System AI został w AI Act zdefiniowany jako system maszynowy, zaprojektowany do działania z różnym poziomem autonomii, który może po wdrożeniu wykazywać zdolność adaptacji i który – do wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne. Definicja ta jest spójna z definicją systemu sztucznej inteligencji przyjętą przez Organizację Współpracy Gospodarczej i Rozwoju (OECD). Prawodawca europejski w motywach do AI Act potwierdza, że jego intencją było, aby definicja systemu AI w AI Act była ściśle powiązana z pracami organizacji międzynarodowych zajmujących się AI, aby zapewnić pewność prawa, ułatwiać międzynarodową konwergencję i szeroką akceptację, przy jednoczesnym zapewnieniu elastyczności umożliwiającej dostosowanie się do szybkiego rozwoju technologicznego w tej dziedzinie.

Definicja systemu AI uległa znaczącej modyfikacji w stosunku do pierwotnego projektu AI Act z 21 kwietnia 2021 r. System sztucznej inteligencji tam zdefiniowany jako oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik i podejść wymienionych w załączniku I, które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję. Załącznik I, do którego odsyła definicja zawierał następujące techniki i podejścia z zakresu sztucznej inteligencji:

  • mechanizmy uczenia maszynowego, w tym uczenie nadzorowane, uczenie się maszyn bez nadzoru i uczenie przez wzmacnianie, z wykorzystaniem szerokiej gamy metod, w tym uczenia głębokiego
  • metody oparte na logice i wiedzy, w tym reprezentacja wiedzy, indukcyjne programowanie (logiczne), bazy wiedzy, silniki inferencyjne i dedukcyjne, rozumowanie (symboliczne) i systemy ekspertowe
  • podejścia statystyczne, estymacja bayesowska, metody wyszukiwania i optymalizacji

Inne definicje

Poza systemem AI, AI Act wprowadza również inne istotne definicje m.in.:

  • dostawca – osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który opracowuje system AI lub model AI ogólnego przeznaczenia lub zlecają ich opracowanie i który wprowadza go do obrotu lub oddaje system AI do użytku pod własną nazwą handlową lub własnym znakiem towarowym – odpłatnie lub nieodpłatnie
  • podmiot stosujący AI – osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który korzystaj z systemu AI i sprawuje nad nim kontrolę, z wyjątkiem sytuacji, gdy system AI jest wykorzystywany w ramach osobistej działalności pozazawodowej
  • deepfake – wygenerowane lub zmanipulowane obrazy, treści dźwiękowe lub treści wideo, które przypominają istniejące osoby, przedmioty, miejsca lub inne podmioty lub zdarzenia i które odbiorca mogłyby niesłusznie uznać za autentyczne lub prawdziwe
  • model AI ogólnego przeznaczenia – model AI, w tym model AI trenowany dużą ilością danych z wykorzystaniem nadzoru własnego na dużą skalę, który wykazuje znaczną ogólność i jest w stanie kompetentnie wykonywać szeroki zakres różnych zadań, niezależnie od sposobu, w jaki model jest wprowadzany do obrotu, i który można zintegrować z różnymi systemami lub aplikacjami niższego szczebla – z wyłączeniem modeli AI, które są wykorzystywane na potrzeby działań w zakresie badań, rozwoju i tworzenia prototypów przed wprowadzeniem ich do obrotu
  • system AI ogólnego przeznaczenia – system AI oparty na modelu AI ogólnego przeznaczenia, który może służyć różnym celom, nadający się zarówno do bezpośredniego wykorzystania, jak i do integracji z innymi systemami AI
  • operacja zmiennoprzecinkowa (FLOP) – każda operacja matematyczna lub zadanie z wykorzystaniem liczb zmiennoprzecinkowych, które stanowi podzbiór liczb rzeczywistych zwykle przedstawianych na komputerach przez liczbę całkowitą o stałej dokładności przeskalowaną przez całkowity wykładnik stałej podstawy systemu liczbowego

Zakres zastosowania

Podmioty objęte

Katalog podmiotów objętych zakresem zastosowania AI Act jest szeroki. AI Act znajdzie zastosowanie do:

  • dostawców wprowadzających do obrotu lub oddających do użytku systemy AI lub wprowadzających do obrotu modele AI ogólnego przeznaczenia w Unii, niezależnie od miejsca siedziby dostawcy
  • podmiotów stosujących systemy AI z UE
  • dostawców systemów AI i podmiotów stosujących systemy AI, z państwa trzeciego, w przypadku gdy wyniki działania systemu AI są wykorzystywane w Unii
  • importerów i dystrybutorów systemów AI
  • producentów, którzy wraz ze swoim produktem wprowadzają do obrotu lub oddają do użytku system AI opatrzony ich nazwą handlową lub znakiem towarowym
  • upoważnionych przedstawicieli dostawców niemających siedziby w Unii
  • osób, na które AI ma wpływ i które znajdują się w Unii

Wyłączenia

AI Act nie będzie stosowany jednak m.in. do:

  • systemów AI z których korzysta się wyłącznie do celów wojskowych, obronnych lub bezpieczeństwa narodowego
  • systemów AI lub modeli AI, w tym ich wyników, opracowanych i oddanych do użytku wyłącznie do celów badań naukowych i działalności rozwojowej
  • działalności badawczej, testowej ani rozwojowej dotyczącej systemów lub modeli AI przed wprowadzeniem ich do obrotu lub oddaniem do użytku
  • obowiązków podmiotów stosujących AI będących osobami fizycznymi, które korzystają z systemów AI w ramach czysto osobistej działalności pozazawodowej
  • systemów AI udostępnianych na licencjach bezpłatnych i typu open source, chyba że są one wprowadzane do obrotu lub oddawane do użytku jako systemy AI wysokiego ryzyka lub jako systemy AI objęte art. 5 lub 50

Zakazane praktyki w zakresie AI

Ratio legis

Prawodawca europejski dostrzega i podkreśla na gruncie motywów AI Act, że pomimo wielu korzystnych zastosowań, technologia sztucznej inteligencji może być również używana niewłaściwie i może dostarczać nowych narzędzi do praktyk manipulacji, wykorzystywania i kontroli społecznej. Z uwagi na możliwość takiego niewłaściwego wykorzystywania technologii AI, na gruncie AI Act przesądzono, że niektóre praktyki w zakresie AI powinny być zakazane jako sprzeczne z unijnymi wartościami poszanowania godności ludzkiej, wolności, równości, demokracji i praworządności oraz z prawami podstawowymi zapisanymi w Karcie praw podstawowych Unii Europejskiej, w tym z prawem do niedyskryminacji, ochrony danych i prywatności oraz z prawami dziecka.

Katalog praktyk zakazanych

Zakazane są następujące praktyki (wprowadzanie do obrotu, oddawanie do użytku lub wykorzystywanie systemu AI) w zakresie AI:

  • systemy AI stosujące techniki podprogowe będące poza świadomością danej osoby, celowe techniki manipulacyjne lub wprowadzające w błąd
  • systemy AI wykorzystujące dowolne słabości danej osoby lub określonej grupy osób ze względu na ich wiek, niepełnosprawność, szczególną sytuację społeczną lub ekonomiczną
  • systemy AI służące przeprowadzeniu oceny ryzyka w odniesieniu do osób fizycznych, by ocenić lub przewidzieć prawdopodobieństwo popełnienia przestępstwa przez osobę fizyczną, wyłącznie na podstawie profilowania osoby fizycznej lub oceny jej cech osobowości i cech charakterystycznych (zakaz ten nie ma zastosowania do systemów AI wykorzystywanych do wspierania dokonywanej przez człowieka oceny zaangażowania danej osoby w działalność przestępczą, która to ocena opiera się już na obiektywnych i weryfikowalnych faktach bezpośrednio związanych z działalnością przestępczą)
  • systemy AI tworzące lub rozbudowujące bazy danych służące rozpoznawaniu twarzy poprzez pozyskiwanie w ramach scrapingu wizerunków twarzy z Internetu lub z telewizji
  • systemy AI wykorzystywane do wyciągania wniosków na temat emocji osoby w miejscu pracy lub instytucjach edukacyjnych (chyba, że system AI jest wdrażany lub wprowadzany do obrotu ze względów medycznych lub bezpieczeństwa)
  • systemy AI, które w oparciu o dane biometryczne kategoryzują osoby fizyczne, aby wywnioskować informacje na temat ich rasy, poglądów politycznych, przynależności do związków zawodowych, przekonań religijnych lub filozoficznych, życia seksualnego lub orientacji (zakaz nie dotyczy systemów AI wykorzystywanych w obszarze ścigania przestępstw jeżeli jest to absolutnie niezbędnę do osiągnięcia celów określonych na gruncie rozporządzenia)
  • systemy AI wykorzystywane do zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej do celów ścigania przestępstw (z wyjątkami)

Kara za naruszenia

Nieprzestrzeganie wymogów dot. zakazanych praktyk w zakresie AI podlega administracyjnej karze pieniężnej w wysokości do 35 000 000 EUR lub – jeżeli naruszenia dokonuje przedsiębiorstwo – w wysokości do 7 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa.

Systemy AI wysokiego ryzyka (HRAI)

HRAI na gruncie AI Act

Systemom AI wysokiego ryzyka (HRAI) poświęcono znaczną część AI Act. Są to systemy, które z uwagi na ich sposób wykorzystywania mają szkodliwy wpływ na zdrowie, bezpieczeństwo i prawa podstawowe. Za systemy AI wysokiego ryzyka na gruncie AI Act uznano systemy AI przeznaczone do stosowania jako związany z bezpieczeństwem element produktu objętego unijnym prawodawstwem harmonizacyjnym wymienionym w załączniku I lub same w sobie będące takim produktem oraz takie systemy AI, które na podstawie tego ustawodawstwa podlegają ocenie zgodności przez stronę trzecią w związku z wprowadzeniem tego produktu do obrotu lub oddania go do użytku.

Dodatkowo, katalog systemów AI, które uznaje się za systemy AI wysokiego ryzyka został zawarty w załączniku III. W myśl tego załącznika, za systemy takie uznaje się systemy wymienione w m.in. poniższych obszarach:

  • biometria – systemy zdalnej identyfikacji biometrycznej, systemy AI przeznaczone do kategoryzacji biometrycznej według wrażliwych lub chronionych atrybutów, systemy AI przeznaczone do rozpoznawania emocji
  • infrastruktura krytyczna – systemy AI związane z bezpieczeństwem procesów zarządzania infrastrukturą krytyczną, ruchem drogowym lub zaopatrzenia w wodę, gaz, ciepło lub energię elektryczną
  • kształcenie i szkolenie zawodowe – systemy AI przeznaczone do stosowania do celów podejmowania decyzji o dostępie lub przyjęciu do instytucji edukacyjnych i instytucji szkolenia zawodowego, systemy AI przeznaczone do stosowania do celów oceny efektów uczenia się, systemy AI przeznaczone do stosowania do celów oceny odpowiedniego poziomu wykształcenia, systemy AI przeznaczone do stosowania do celów monitorowania i wykrywania niedozwolonego zachowania uczniów podczas testów
  • zatrudnienie, zarządzanie pracownikami – systemy AI przeznaczone do stosowania do celów rekrutacji lub wyboru osób fizycznych, systemy AI przeznaczone do stosowania do celów podejmowania decyzji wpływających na warunki stosunków pracy, decyzji o awansie i rozwiązaniu stosunku pracy, przydzielania zadań w oparciu o indywidualne zachowanie lub cechy osobowości lub charakter oraz do monitorowania lub oceny wydajności i zachowania osób pozostających w takich stosunkach
  • dostęp do podstawowych usług prywatnych – systemy AI przeznaczone do stosowania do celów oceny zdolności kredytowej osób fizycznych lub ustalenia ich punktowej oceny kredytowej, z wyjątkiem systemów AI wykorzystywanych w celu wykrywania oszustw finansowych, systemy AI przeznaczone do stosowania przy ocenie ryzyka i ustalaniu cen w odniesieniu do osób fizycznych w przypadku ubezpieczenia na życie i ubezpieczenia zdrowotnego

Odstępstwa od kwalifikacji systemu AI jako HRAI

AI Act przewiduje również sytuacje, w których system, który w normalnych warunkach, jako że jest wymieniony w załączniku III, zostałby uznany za system AI wysokiego ryzyka, ze względu na jego specyficzną charakterystykę nie będzie systemem AI wysokiego ryzyka. Nie uznaje się za systemy AI wysokiego ryzyka systemów, które nie stwarzają znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych (w tym poprzez brak znaczącego wpływu na wynik procesu decyzyjnego). Ma to miejsce w przypadku, gdy spełniony jest co najmniej jeden z poniższych warunków:

  • system AI jest przeznaczony do wykonywania wąskiego zadania proceduralnego
  • system AI jest przeznaczony do poprawienia wyniku zakończonej uprzednio czynności wykonywanej przez człowieka
  • system AI jest przeznaczony do wykrywania wzorców podejmowania decyzji lub odstępstw od wzorców podjętych uprzednio decyzji i nie ma na celu zastąpienia ani wywarcia wpływu na ukończoną ocenę dokonaną przez człowieka – bez odpowiedniej weryfikacji przez człowieka
  • system AI jest przeznaczony do wykonywania zadań przygotowawczych w kontekście oceny istotnej z punktu widzenia przypadków użycia wymienionych w załączniku

Nie ma to zastosowania gdy system AI jest używany do profilowania osób fizycznych (zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się).

W przypadku, gdy dostawca zamierza skorzystać z odstępstwa od kwalifikacji systemu AI jako systemu AI wysokiego ryzyka przed wprowadzeniem takiego systemu do obrotu lub oddaniem go do użytku dokumentuje swoją ocenę oraz podlega obowiązkowi rejestracji w unijnej bazie systemów AI wysokiego ryzyka.

Ocena ta może zostać zakwestionowana przez organ nadzoru, który w przypadku powzięcia wątpliwości w zakresie prawidłowej kwalifikacji może przeprowadzić jego ocenę. W przypadku stwierdzenia, że system AI jest systemem AI wysokiego ryzyka, organ zobowiązuje dostawcę do spełnienia wymagań przewidzianych dla takich systemów na gruncie AI Act w wyznaczonym terminie. Brak zapewnienia zgodności z wymogami AI Act w tym terminie może skutkować nałożeniem na dostawcę kary pieniężnej.

Wymogi

Systemy AI wysokiego ryzyka muszą spełniać wymogi ustanowione na gruncie AI Act przy uwzględnieniu ich przeznaczenia oraz powszechnie uznanego stanu wiedzy technicznej w dziedzinie sztucznej inteligencji oraz powiązanych technologii. Wśród tych wymogów wymienić można m.in. obowiązek:

  • wdrożenia systemu zarządzania ryzykiem AI – ciągły, iteracyjny proces, planowany i realizowany przez cały cykl życia systemu AI wysokiego ryzyka, wymagający regularnego systematycznego przeglądu i aktualizacji, który obejmuje m.in. identyfikację i analiza dającego się racjonalnie przewidzieć ryzyka i przyjęcie odpowiednich i ukierunkowanych środków zarzadzania tym ryzykiem
  • testowania systemu AI – celem określenia najodpowiedniejszych i ukierunkowanych środków zarządzania ryzykiem
  • zarządzania danymi przy systemach AI, które wykorzystują techniki obejmujące trenowanie modeli z wykorzystaniem danych – zbiór danych treningowych, walidacyjnych i testowych musi być adekwatny, wystarczająco reprezentatywny oraz w jak największym stopniu wolne od błędów i kompletne z punktu widzenia przeznaczenia, a także uwzględniać cechy lub elementy, które są specyficzne dla określonego otoczenia geograficznego, kontekstualnego, behawioralnego lub funkcjonalnego, w którym ma być stosowany system AI wysokiego ryzyka
  • sporządzenia dokumentacji technicznej dla systemu AI – celem wykazania spełnienia obowiązków regulacyjnych AI Act oraz dostarczenia organom i jednostkom notyfikowanym formie informacji niezbędnych do oceny zgodności systemu z wymogami AI Act w jasnej i kompleksowej formie
  • automatycznego rejestrowania zdarzeń – celem identyfikacji sytuacji, w których system AI stwarza ryzyko dot. zdrowia, bezpieczeństwa lub praw podstawowych obywateli, ułatwienia monitorowania po wprowadzeniu do obrotu oraz monitorowania działań systemu AI stosowanego przez podmioty finansowe podlegającym wymogom na gruncie unijnych przepisów dot. usług finansowych

Systemy AI wysokiego ryzyka mają być projektowane w taki sposób, aby:

  • umożliwić interpretację wyników działania systemu i ich właściwe wykorzystanie – w tym celu konieczne jest dołączenie instrukcji obsługi zawierającej zwięzłe, kompletne, poprawne i jasne informacje, które są istotne, dostępne i zrozumiałe dla podmiotów stosujących AI
  • zapewnić nadzór ze strony człowieka – system AI ma umożliwiać osobom fizycznym m.in. podjęcie decyzji o niekorzystaniu z systemu AI wysokiego ryzyka lub w inny sposób zignorowanie, unieważnienie lub odwrócenie wyniku działania systemu AI oraz ingerowanie w działanie systemu AI wysokiego ryzyka lub przerwanie działania systemu za pomocą przycisku „stop” lub podobnej procedury
  • osiągały odpowiedni poziom dokładności, solidności i cyberbezpieczeństwa – systemy AI muszą być możliwie jak najodporniejsze na błędy, usterki lub niespójności, , a także mają być odporne na próby nieupoważnionych osób trzecich mające na celu zmianę ich zastosowania, wyników lub skuteczności działania poprzez wykorzystanie słabych punktów

Obowiązki dostawców

Katalog obowiązków nałożonych na gruncie AI Act na dostawców systemów sztucznej inteligencji wysokiego ryzyka jest szeroki i zasadniczo jest związany z przedstawionymi powyżej wymogami dot. takich systemów. Wśród najważniejszych obowiązków nałożonych na dostawców wymienić można:

  • zapewnienie zgodności systemów AI z wymaganiami AI Act
  • podanie w systemie AI swojej nazwy handlowej
  • posiadanie systemu zarządzania jakością
  • prowadzenie dokumentacji technicznej systemu AI
  • przechowywanie rejestrów zdarzeń
  • podejmowanie działań naprawczych w przypadku podejrzenia niezgodności systemu AI z wymogami wynikającymi z AI Act
  • poddanie systemu odpowiedniej procedurze oceny zgodności
  • sporządzenie deklaracji zgodności UE
  • wypełnienie obowiązków rejestracyjnych
  • zapewnienie, że system AI spełnia wymogi dostępności

Modele AI ogólnego przeznaczenia (GPAI)

GPAI a system AI

Regulacja na gruncie AI Act dotyczy także tzw. modeli AI ogólnego przeznaczenia (general-purpose AI, GPAI). GPAI został zdefiniowany jako model AI, w tym model AI trenowany dużą ilością danych z wykorzystaniem nadzoru własnego na dużą skalę, który wykazuje znaczną ogólność i jest w stanie kompetentnie wykonywać szeroki zakres różnych zadań, niezależnie od sposobu, w jaki model jest wprowadzany do obrotu, i który można zintegrować z różnymi systemami lub aplikacjami niższego szczebla – z wyłączeniem modeli AI, które są wykorzystywane na potrzeby działań w zakresie badań, rozwoju i tworzenia prototypów przed wprowadzeniem ich do obrotu. W motywach do AI Act prawodawca europejski wskazał, że chociaż modele te są zasadniczymi elementami systemów AI, to nie stanowią same w sobie systemów AI. Aby model AI mógł stać się systemem AI należy dodać do niego dodatkowe elementy, takie jak na przykład interfejs użytkownika.

GPAI z ryzykiem systemowym

AI Act klasyfikacja niektóre GPAI jako GPAI z ryzykiem systemowym. Są to GPAI, które mają zdolności dużego oddziaływania ocenione w oparciu o odpowiednie narzędzia i metodologie techniczne, w tym wskaźniki i poziomy odniesienia. GPAI uznaje się za mający zdolności dużego oddziaływania, jeśli łączna liczba obliczeń wykorzystywanych do jego trenowania mierzona we FLOP jest większa niż 10^25. Za GPAI z ryzykiem systemowym na podstawie decyzji Komisji może zostać uznany także GPAI, który nie spełnia tego kryterium, ale ma równoważne oddziaływanie lub zdolności do takich GPAI. Obowiązek poinformowania Komisji o tym, że GPAI spełnia kryterium kwalifikacji jako GPAI z ryzykiem systemowym spoczywa na dostawcy. W zgłoszeniu dostawca może argumentować, że pomimo spełnienia kryterium, dany GPAI nie powinien zostać uznany za GPAI z ryzykiem systemowym.

Obowiązki dostawców GPAI

Na dostawcach GPAI spoczywają następujące obowiązki:

  • sporządzenie i aktualizowanie dokumentacji technicznej GPAI, w tym procesu jego trenowania i testowania (na życzenie przekazywane Urzędowi ds. AI i organom krajowym)
  • sporządzanie, aktualizowanie i udostępnianie dokumentacji technicznej dostawcom systemów AI, którzy zamierzają zintegrować dany model AI ogólnego przeznaczenia ze swoimi systemami AI
  • wprowadzenie polityki służącej zapewnieniu zgodności z unijnym prawem autorskim
  • opublikowanie szczegółowego streszczenie na temat treści wykorzystanych do trenowania GPAI

Obowiązki te nie dotyczą dostawców systemów, które są udostępniane na podstawie bezpłatnej i otwartej licencji umożliwiającej dostęp, wykorzystanie, modyfikację i dystrybucję modelu i których parametry, w tym wagi, informacje o architekturze modelu oraz informacje o wykorzystaniu modelu są podawane do wiadomości publicznej, chyba że są GPAI z ryzykiem systemowym.

Obowiązki dostawców GPAI z ryzykiem systemowym

Dodatkowe obowiązki zostały nałożone na dostawców GPAI z ryzykiem systemowym. Na gruncie AI Act są oni zobowiązani do:

  • dokonania oceny modelu zgodnie ze znormalizowanymi protokołami i narzędziami odzwierciedlającymi najaktualniejszy stan wiedzy technicznej, w tym przeprowadzania testów modelu z myślą o zidentyfikowaniu ryzyka systemowego i jego ograniczenia
  • oceny i ograniczania ewentualnych ryzyk systemowych na poziomie Unii
  • rejestrowania, dokumentowania i zgłaszania Urzędowi ds. AI (w stosownych przypadkach także organom krajowym) informacji dot. poważnych incydentów
  • zapewnienia odpowiedniego poziomu cyberbezpieczeństwa GPAI oraz infrastruktury fizycznej modelu

Nadzór nad dostawcami GPAI

Nadzór nad dostawcami GPAI został przekazany Komisji, która powierzyła realizację tych zadań Urzędowi ds. AI. Komisja ma prawo m.in. do zwrócenia się o dostęp do GPAI za pośrednictwem API lub innych odpowiednich środków i narzędzi technicznych, w tym do kodu źródłowego oraz – w miarę konieczności i stosownych przypadkach – zwrócenia się do dostawcy GPAI o ograniczenie udostępniania modelu na rynku lub wycofanie modelu z obrotu.

Nadzór i egzekwowanie

Organ nadzoru rynku

AI Act zobowiązuje każde państwo członkowskie do ustanowienia co najmniej jednego organu notyfikującego i co najmniej jednego organu nadzoru rynku jako właściwych organów krajowych. W zakresie usług finansowych, na gruncie AI Act przesądzono, że w przypadku systemów AI wysokiego ryzyka wprowadzanych do obrotu, oddawanych do użytku lub wykorzystywanych przez instytucje finansowe podlegające unijnym przepisom dotyczącym usług finansowych organem nadzoru rynku do celów AI Act jest organ krajowy odpowiedzialny za nadzór finansowy nad tymi instytucjami. Oznacza to, że w zakresie takich systemów AI, które są bezpośrednio związane ze świadczeniem usług finansowych przez licencjonowane podmioty finansowe, właściwym organem będzie Komisja Nadzoru Finansowego. Prawodawca unijny daje jednak państwom członkowskim możliwość, aby w odpowiednich okolicznościach i pod warunkiem zapewnienia koordynacji, wyznaczyło do celów nadzoru w zakresie systemów AI inny organ nadzorczy.

Organ nadzoru będzie m.in.:

  • pełnił rolę pojedynczego puntu kontaktowego dla obywateli oraz partnerów na szczeblu państw członkowskich i na szczeblu unijnym
  • przyjmował zgłoszenia o poważnych incydentach od dostawców systemów AI wysokiego ryzyka wprowadzonych od obrotu na rynku unijnym wydawał zezwolenia na wprowadzenie do obrotu oddanie do użytku konkretnych systemów AI wysokiego ryzyka

Organ nadzoru rynku w Polsce

Podczas przeprowadzonych przez Ministerstwo Cyfryzacji prekonsultacji wdrożenia AI Act zdecydowana większość uczestników opowiedziała się za powołaniem nowego organu nadzoru rynku, aniżeli przekazaniu kompetencji przysługujących organowi nadzoru na gruncie AI Act do istniejących organów (np. Prezesowi Urzędu Ochrony Danych Osobowych). W odpowiedzi na głosy rynku, Ministerstwo Cyfryzacji zadeklarowało powstanie nowego organu – Komisji Nadzoru nad AI.

Urząd ds. AI

Na gruncie AI Act wprowadza się także wspominany już wcześniej tzw. Urząd ds. AI. Rozporządzenie definiuje Urząd ds. AI jako zadanie polegające na przyczynianiu się do wdrażania, monitorowania i nadzorowania systemów AI i zarządzania AI, które wykonuje Europejski Urząd ds. Sztucznej Inteligencji ustanowiony decyzją Komisji z dnia 24 stycznia 2024 r. Urząd ds. AI m.in.:

  • ma możliwość prowadzenia wszelkich niezbędnych działań w celu monitorowania skutecznego wdrażania AI Act w odniesieniu do GPAI
  • może opracować i zalecać wzory dobrowolnych postanowień umownych wykorzystywanych w umowach zawieranych między dostawcami systemów AI wysokiego ryzyka a podmiotami dostarczającymi narzędzia, usługi, komponenty lub procesy wykorzystywane w tych systemach
  • opracowuje wzór kwestionariuszu, aby ułatwić podmiotom stosującym AI wypełnienie obowiązków w zakresie oceny skutków AI wysokiego ryzyka dla przestrzegania praw podstawowych
  • wspiera i ułatwia opracowywanie kodeksów praktyk, aby ułatwić wykonywanie obowiązków w zakresie wykrywania i oznaczania treści sztucznie wygenerowanych lub poddanych manipulacji
  • zachęca do sporządzania kodeksów praktyk i ułatwia ich sporządzenie w celu przyczynienia się do właściwego stosowania AI Act
  • publikuje i aktualizuje wykaz planowanych i istniejących piaskownic regulacyjnych w zakresie AI

Urząd ds. AI ma być w swoich zadaniach wspierany przez panel naukowy – panelu nienależnych ekspertów wybranych przez Komisję na podstawie aktualnej wiedzy naukowej lub technicznej w dziedzinie AI.

Środki ochrony

AI Act zgodnie z zakresem przedmiotowym znajduje także zastosowanie do osób, na które AI ma wpływ i które znajdują się w Unii. W konsekwencji, AI Act wprowadza środki ochrony prawnej przysługujące osobom fizycznym i prawnym w związku ze stosowaniem rozporządzenia.

Skarga do organu nadzoru rynku

Pierwszym z nich jest skarga do organu nadzoru rynku. Skarga może zostać wniesiona przez każdą osobę fizyczną lub prawną mającą podstawy, by uznać, że zostały naruszone przepisy AI Act. Skargi takie rozpoznawane są przez organ nadzoru rynku.

Prawo do wyjaśnienia indywidualnego procesu podejmowania decyzji

Drugi przewidziany na gruncie AI Act środek ochrony to prawo do wyjaśnienia indywidualnego procesu podejmowania decyzji. Każda osoba będąca przedmiotem decyzji podjętej przez podmiot stosujący AI na podstawie wyników działania systemu AI wysokiego ryzyka wymienionego w załączniku III (z wyjątkiem systemów wykorzystywanych w obszarze infrastruktury krytycznej), , która to decyzja oddziałuje na tę osobę na tyle znacząco, że uważa ona, iż ma to niepożądany wpływ na jej zdrowie, bezpieczeństwo lub prawa podstawowe, ma prawo uzyskania od podmiotu stosującego AI merytorycznego wyjaśnienia roli tego systemu AI w procedurze podejmowania decyzji oraz głównych elementów podjętej decyzji. Uprawnienie to nie ma zastosowania m.in. wtedy, kiedy prawo do wyjaśnienia procesu podejmowania decyzji zostało przewidziane już na podstawie prawa Unii.

Kary

W AI Act znajdują się również przepisy, które nakładają na państwa członkowskie obowiązek ustanowienia przepisów dot. kar i innych środków egzekwowania prawa, które państwa powinny wdrożyć do swoich krajowych porządków prawnych. Nieprzestrzeganie zakazu niestosowania tzw. zakazanych praktyk w zakresie AI podlega administracyjnej karze pieniężnej w wysokości do 35 000 000 EUR lub 7% rocznego światowego obrotu z poprzedniego roku (granicę wyznacza wyższa kwota). Administracyjną karą pieniężną w wysokości do 15 000 000 EUR lub 3% całkowitego rocznego światowego obrotu (granicę wyznacza wyższa kwota) ma być można nałożyć również za naruszenie:

  • obowiązków dostawców systemów AI wysokiego ryzyka • obowiązków uprawnionych przedstawicieli
  • obowiązków importerów
  • obowiązków dystrybutorów
  • obowiązków podmiotów stosujących AI
  • wymogów i obowiązków jednostek notyfikowanych
  • obowiązków dostawców i użytkowników w zakresie przejrzystości

Przy podejmowaniu decyzji o nałożeniu kary oraz jej wysokości, uwzględnić należy szereg okoliczności m.in. wielkość operatora dopuszczającego się naruszenia, jego roczny obrót i udział w rynku, a także stopień odpowiedzialności operatora, z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych czy umyślny lub wynikający z zaniedbania charakter naruszenia.

Zagadnienia wybrane

Obowiązki w zakresie niektórych systemów AI

AI Act ustanawia szczególne wymogi dot. niektórych systemów AI. Wymienić można m.in.:

  • systemy AI przeznaczone do wchodzenia w bezpośrednią interakcję z osobami fizycznymi – mają być one projektowane w taki sposób, aby zapewnić informowanie o tym, że wchodzi się w interakcję z systemem AI (chyba, że jest to oczywiste)
  • systemy AI generujące treści – dostawcy zapewniają, że wygenerowane treści mają być oznakowane w formacie nadającym się do odczytu maszynowego i były wykrywalne jako sztucznie wygenerowane lub zmanipulowane
  • systemy rozpoznawania emocji lub systemy kategoryzacji biometrycznej – obowiązek informowania osób fizycznych, wobec których stosowane są system AI o tym fakcie
  • systemy AI generujące treści stanowiące deepfake – podmioty stosujące takie systemy AI mają ujawniać, że treści te zostały sztucznie wygenerowane lub poddane manipulacji

Weryfikacja i identyfikacja biometryczna

AI Act wprowadza rozróżnienie pomiędzy pojęciami identyfikacji biometrycznej, a weryfikacji biometrycznej:

  • identyfikacja biometryczna – automatyczne rozpoznawanie fizycznych, fizjologicznych, behawioralnych lub psychologicznych cech ludzkich w celu ustalenia tożsamości osoby fizycznej przez porównanie danych biometrycznych tej osoby z danymi biometrycznymi osób przechowywanymi w bazie danych
  • weryfikacja biometryczna – zautomatyzowana weryfikacja typu jeden-do-jednego tożsamości osób fizycznych przez porównanie ich danych biometrycznych z wcześniej przekazanymi danymi biometrycznymi, w tym uwierzytelnianie

Jednocześnie AI Act wskazuje, że systemami AI wysokiego ryzyka będą działające w obszarze biometrii, systemy AI zdalnej identyfikacji biometrycznej, przy czym nie obejmuje to systemów AI przeznaczonych do stosowania przy weryfikacji biometrycznej, której jedynym celem jest potwierdzenie, że określona osoba fizyczna jest osobą, za którą się podaje. Oznacza to, że powszechnie stosowane na rynku finansowym systemy identyfikacji biometrycznej (gdyby wyposażyć je w komponent AI) polegające na porównaniu wzorca biometrycznego użytkownika posługującego się w danym momencie urządzeniem/narzędziem umożliwiającym dostęp do usługi dostarczanej przez podmiot z wzorcem biometrycznym przypisanym do tego użytkownika, który był tworzony w ramach poprzednich interakcji tego użytkownika z urządzeniem/narzędziem umożliwiającym dostęp do usługi pomiotu, nie będą systemami AI wysokiego ryzyka w rozumieniu AI Act.

Open source

Kwestia stosowania AI Act do systemów AI udostępnianych na licencjach open source ważyła się do samego końca prac legislacyjnych nad aktem. W wersji projektu AI Act z dnia 21 kwietnia 2021 r. wątek takich systemów nie został w ogóle na gruncie przepisów poruszony. Systemy takie nie zostały wyłączone z zakresu zastosowania rozporządzenia, co w konsekwencji oznaczało, że na gruncie projektu AI Act, przepisami rozporządzenia objęte były także takie systemy. Podejście w tym zakresie uległo zmianie w toku prac nad rozporządzeniem. Pomimo tego, że w wersji przyjętej przez Parlament Europejski w pierwszym czytaniu w dniu 13 marca 2024 r. literalnie AI Act zasadniczo obejmowało swoim zastosowaniem systemy AI udostępniane na podstawie bezpłatnych i otwartych licencji, to przyjęta wówczas wersja  nie odzwierciedlała osiągniętego przez organy unijne kompromisu w zakresie ostatecznej treści AI Act. Wobec tego, miesiąc po przyjęciu AI Act Parlament Europejski przyjął corrigendum do swojego wcześniejszego stanowiska dot. AI Act i zasadniczo wyłączył z zakresu zastosowania rozporządzenia systemy AI open source. Obecny art. 2 ust. 12 stanowi, że AI Act nie ma zastosowania do systemów AI udostępnianych na podstawie bezpłatnych i otwartych licencji, chyba że systemy te są wprowadzane do obrotu lub oddawane do użytku jako systemy AI wysokiego ryzyka lub system AI objęty art. 5 (zakazane praktyki w zakresie AI) lub art. 50 (m.in. systemy AI przeznaczone do wchodzenia w bezpośrednią interakcję z osobami fizycznymi oraz systemy AI generujące treści). Z części obowiązków dot. modeli AI ogólnego przeznaczenia zwolnieni są także dostawcy takich modeli, jeżeli modele te są udostępniane na podstawie bezpłatnej licencji otwartego oprogramowania umożliwiającej dostęp, wykorzystanie, zmianę i dystrybucję modelu i których parametry, w tym wagi, informacje o architekturze modelu oraz informacje o wykorzystaniu modelu są podawane do wiadomości publicznej, chyba że jest to model AI ogólnego przeznaczenia z ryzykiem systemowym.

Piaskownice regulacyjne

AI Act zobowiązuje państwa członkowskie do ustanowienia na poziomie krajowym co najmniej jedną piaskownicę regulacyjną w zakresie AI (AI regulatory sandbox), która ma być uruchomiona w terminie 24 miesięcy od daty wejścia w życie AI Act. Państwa członkowskie mogą również zapewnić piaskownicę regulacyjną poprzez uczestnictwo w innej istniejącej piaskownicy lub stworzeniu piaskownicy wspólnie z innym państwem członkowskim. Piaskownice regulacyjne mają zapewnić kontrolowane środowisko sprzyjające innowacjom oraz ułatwiające rozwój, trenowanie, testowanie i walidację innowacyjnych systemów AI przez ograniczony czas przed ich wprowadzeniem do obrotu lub oddaniem ich do użytku zgodnie z określonym planem działania piaskownicy uzgodnionym między dostawcami lub potencjalnymi dostawcami a właściwym organem. AI Act przewiduje, że ustanowienie piaskownic regulacyjnych przyczyni się do osiągnięcia poniższych celów:

  • zwiększenie pewności prawa z myślą o osiągnięciu zgodności regulacyjnej z AI Act
  • wspieranie wymiany najlepszych praktyk poprzez współpracę z organami uczestniczącymi w piaskownicy
  • wzmacnianie innowacyjności i konkurencyjności oraz ułatwianie rozwoju ekosystemu AI
  • wniesienie wkładu w oparte na dowodach uczenie się działań regulacyjnych
  • ułatwianie i przyspieszanie dostępu do rynku Unii dla systemów AI, w szczególności gdy są one dostarczane przez MŚP, w tym przedsiębiorstwa typu start-up

Zgodnie z AI Act właściwe organy będą miały obowiązek zapewnienia dostawcom i potencjalnym dostawcom uczestniczącym w piaskownicy regulacyjnej wskazówek dotyczących oczekiwań regulacyjnych oraz sposobów spełnienia wymogów i obowiązków ustanowionych w rozporządzeniu.

AI Act - co dostarczamy?

DLK oferuje kompleksową obsługę zarówno dostawców jak i podmiotów stosujących systemy AI oraz modele AI ogólnego przeznaczenia w tym:

  • sporzadzenie opinii prawnej dot. kwalifikacji rozwiązania ICT jako systemu AI
  • audyt oraz przygotowanie wzorcowej dokumentacji w zakresie wymaganym przez AI Act dla konkretnych systemów oraz modeli AI
  • wsparcie prawne w bieżącej działalności

Informacje DLK

Jeśli chcesz być na bieżąco ze sprawami regulacyjnymi (w tym dot. AI Act), zarejestruj się i otrzymuj informacje o ważnych wydarzeniach regulacyjnych i branżowych, oraz aktywnościach DLK Legal – rejestracja do powiadomień.

Industry 4.0

Zobacz sektor

Industry 4.0

IT & Outsourcing

Zobacz sektor

IT & Outsourcing

Zobacz również

#Bankowość&Fintech #Industry 4.0

Projekt ustawy o kryptoaktywach

Projekt ustawy o kryptoaktywach (projekt z dnia...

Projekt ustawy o kryptoaktywach

#Bankowość&Fintech #Industry 4.0

Rozporządzenie o rynkach kryptoaktywów (MiCA)

Rozporządzenie Parlamentu Europejskiego i Rady ...

Rozporządzenie o rynkach kryptoaktywów (MiCA)

#Bankowość&Fintech #IT & Outsourcing #Online & eCommerce #Retail

Cyfrowe Euro 2023

Unia Europejska planuje wprowadzenie cyfrowego ...

Cyfrowe Euro 2023

Skontaktuj się

Biuro Warszawa

Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa

mapa > +48 22 652 26 18

Biuro Kraków

ul. Jana Kilińskiego 2
30-308 Kraków

mapa > +48 12 31 51 841