Tech in the Know 1/2024

Witamy w pierwszym wydaniu Tech in the Know, cyklu krótkich artykułów przygotowywanych przez warszawski zespół TMT/IP.

W ramach naszego cyklu będziemy regularnie dostarczać Państwu informacje o najważniejszych zmianach prawnych w zakresie nowych technologii, ochrony danych osobowych i prywatności, sztucznej inteligencji i cyberbezpieczeństwa.

Zapraszamy do lektury!

 

AI Act wchodzi w życie – co to oznacza dla Państwa organizacji?

Unijne rozporządzenie ws. sztucznej inteligencji („AI Act”) zostało opublikowane w Dzienniku Urzędowym UE w piątek 12 lipca 2024 r. i wejdzie w życie już 1 sierpnia 2024 r. AI Act jest pierwszym europejskim aktem prawnym regulującym kompleksowo obszar sztucznej inteligencji. AI Act będzie mieć ogromne praktyczne znaczenie dla większości organizacji ze względu na swój szeroki zakres zastosowania. O najważniejszych założeniach wynikających z AI Act informowaliśmy w ostatnich wydaniach naszego newslettera ze stycznia i kwietnia 2024 oraz na naszym blogu DigiLinks. Poniżej przedstawiamy podsumowanie głównych założeń rozporządzenia oraz wynikające z niego konsekwencje dla przedsiębiorców.

Definicja systemu AI

AI Act zawiera definicję legalną systemu AI, który zdefiniowano jako „system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne”. Na początku prac nad AI Act zakładano, że w załączniku do rozporządzenia określane będą konkretne techniki uznawane za sztuczną inteligencję, ostatecznie jednak przyjęto podejście bardziej neutralne technologicznie. W praktyce kwalifikacja danego systemu jako systemu AI może rodzić wiele problemów.

Zakres zastosowania

Zakres zastosowania przepisów AI Act określony został bardzo szeroko. Rozporządzenie nakłada obowiązki nie tylko na dostawców wprowadzających w UE systemy AI oraz na unijne podmioty stosujące takie systemy. AI Act znajdzie zastosowanie także eksterytorialnie do dostawców oraz podmiotów stosujących systemy AI spoza UE, o ile wyniki działania sztucznej inteligencji będą wykorzystywane w UE. Rozporządzenie określa także prawa i obowiązki innych podmiotów, np. importerów czy dystrybutorów systemów AI. AI Act dotyczy wszystkich branż i sektorów. Rozporządzenie nie znajdzie jednak zastosowania do systemów wykorzystywanych wyłącznie do celów wojskowych lub badań naukowych i rozwojowych, a także do wyłącznie prywatnego użytku przez osoby fizyczne.

Podejście oparte na ryzyku

AI Act oparty jest na ocenie ryzyka i uzależnia obowiązek spełnienia surowych wymogów regulacyjnych od stopnia ryzyka jakie może generować zastosowanie systemów AI. Rozporządzenie określa katalog zakazanych praktyk w zakresie sztucznej inteligencji. Duża część obowiązków nakładanych przez rozporządzenie wiąże się z systemami zakwalifikowanymi jako systemy AI wysokiego ryzyka. Mniej rygorystyczne wymagania obowiązywać będą systemy AI, które nie zostaną zakwalifikowane ani jako zakazane praktyki, ani jako systemy AI wysokiego ryzyka.

Zakazane praktyki

Rozporządzenie zawiera listę zakazanych praktyk w zakresie sztucznej inteligencji. Znalazły się na niej m.in. techniki podprogowe, wykorzystywanie słabości osób fizycznych, skutkująca niekorzystnym traktowaniem ocena na podstawie zachowań lub cech osobowości (social scoring), masowe pozyskiwanie wizerunków twarzy z Internetu, wyciąganie wniosków na temat emocji osoby fizycznej w miejscu pracy lub instytucjach edukacyjnych, indywidualna kategoryzacja osób w oparciu o ich dane biometryczne, by wydedukować informacje na temat ich rasy, poglądów politycznych, przynależności do związków zawodowych, przekonań religijnych lub światopoglądowych, seksualności lub orientacji seksualnej oraz zdalna identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej do celów ścigania przestępstw (z licznymi wyjątkami).

Systemy AI wysokiego ryzyka

W załączniku III do rozporządzenia określono obszary zastosowań, w których wykorzystanie systemu AI będzie co do zasady kwalifikować je jako system wysokiego ryzyka. Katalog obejmuje m.in. wykorzystanie systemów AI:

  • w rekrutacji i ocenie pracowników,
  • w ocenie zdolności kredytowej oraz w ocenie ryzyka i ustalaniu cen w przypadku ubezpieczenia na życie i ubezpieczenia zdrowotnego,
  • w biometrii, w tym w systemach zdalnej identyfikacji biometrycznej i przy rozpoznawaniu emocji.
Sankcje za naruszenie przepisów

AI Act przewiduje surowe sankcje za naruszenie przepisów rozporządzenia. Stosowanie określonych w rozporządzeniu zakazanych praktyk sztucznej inteligencji może doprowadzić do nałożenia administracyjnej kary pieniężnej w wysokości do 35 000 000 EUR lub do 7% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Naruszenie większości pozostałych przepisów będzie zagrożone karą pieniężną do 15 000 000 EUR lub do 3% całkowitego rocznego światowego obrotu. Dostarczanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym lub właściwym organom krajowym w odpowiedzi na ich wniosek będzie zaś podlegać administracyjnej karze pieniężnej w wysokości do 7 500 000 EUR lub 1% całkowitego rocznego światowego obrotu.

Wejście w życie AI Act

AI Act wchodzi w życie dwudziestego dnia po jego opublikowaniu, czyli 1 sierpnia 2024 r. Większość obowiązków, zwłaszcza w odniesieniu do systemów AI wysokiego ryzyka, będzie miała zastosowanie dopiero po upływie 24-miesięcznego okresu przejściowego, tj. od 2 sierpnia 2026 r. Systemy sztucznej inteligencji obarczone niedopuszczalnym ryzykiem muszą jednak zostać wycofane z rynku najpóźniej do 2 lutego 2025 r., a przepisy dotyczące modeli sztucznej inteligencji ogólnego przeznaczenia wejdą w życie po dwunastu miesiącach, od 2 sierpnia 2025 r.

AI Act a inne przepisy prawa

Przepisy AI Act zasadniczo pozostają bez uszczerbku dla obowiązującego prawa Unii, w szczególności w zakresie ochrony danych osobowych, prawa własności intelektualnej, ochrony konsumentów, praw podstawowych, zatrudnienia i ochrony pracowników oraz bezpieczeństwa produktów, wobec którego to prawa AI Act ma charakter uzupełniający. Warto o tym pamiętać tworząc swój program AI governance w organizacji.

Jakie kroki należy podjąć już teraz?

Ze względu na bardzo szeroki zakres zastosowania, Państwa organizacja najprawdopodobniej zostanie dotknięta przez przepisy AI Act. Rekomendujemy, aby już teraz rozpocząć przygotowania do nowych wymagań prawnych. Choć nakład pracy potrzebnej do wdrożenia wymogów AI Act różnić się będzie w zależności od organizacji i zakresu wykorzystania rozwiązań opartych o sztuczną inteligencję, zwykle wymagane będzie podjęcie następujących kroków:

  1. Inwentaryzacja: Zidentyfikowanie, które z produktów używanych lub tworzonych przez Państwa firmę wykorzystują systemy AI, a następnie określenie roli Państwa organizacji w odniesieniu do każdego z tych systemów AI (dostawca, importer, dystrybutor, podmiot stosujący systemy AI itp.).
  2. Analiza ryzyka: Określenie kategorii ryzyka dla każdego z systemów AI i ustalenie wynikającego z tej analizy katalogu obowiązków. Należy przy tym zwrócić uwagę, że katalog obowiązków może znacznie różnić się w zależności od roli.
  3. Analiza luki: Zidentyfikowanie ewentualnych braków w odniesieniu do wymagań AI Act.
  4. Implementacja: Wdrożenie wymogów AI Act poprzez wprowadzenie zmian do funkcjonujących w organizacji procesów, określenie odpowiednich ról i odpowiedzialności, dostosowanie dokumentacji do wymagań AI Act.

W razie jakichkolwiek pytań dotyczących obszaru regulacji prawnych sztucznej inteligencji, zapraszamy do kontaktu.


Zapraszamy także do odsłuchania naszej serii podcastów dostępnej na portalu oraz w popularnych serwisach streamingowych:

Prawo sztucznej inteligencji