Rada Unii Europejskiej 21 maja tego roku ostatecznie przyjęła Akt o sztucznej inteligencji. Coraz więcej mówi się o obowiązkach, jakie to rozporządzenie nałoży na podmioty wdrażające i korzystające z rozwiązań opartych na sztucznej inteligencji. Czy polscy przedsiębiorcy mają się czego obawiać? W jaki sposób już teraz można przygotować się na nowe przepisy?
Akt o sztucznej inteligencji[1] (dalej: „AI ACT”) ma na celu stworzenie jednolitych przepisów dotyczących stosowania i wdrażania sztucznej inteligencji na terytorium Unii Europejskiej. Od samego początku prac nad AI ACT podejście unijnego ustawodawcy do systemów sztucznej inteligencji opiera się na ryzyku, czyli na tym, jakie ryzyko dany system tworzy dla społeczeństwa, a konkretnie ludzkiego zdrowia, życia bezpieczeństwa, praw podstawowych. W związku z tym w AI ACT zakazano niektórych systemów AI uznając, że ich stosowanie kreowałoby nieakceptowalne ryzyka. Są to chociażby systemy oparte na wykorzystywaniu technik podprogowych czy scoringu społecznego. Najwięcej uwagi w rozporządzeniu poświęcono natomiast systemom AI wysokiego ryzyka i to z nimi wiąże się najwięcej obowiązków. Takimi systemami są przykładowo systemy AI wykorzystywane w infrastrukturze krytycznej, procesach rekrutacyjnych, dotyczących ubiegania się o kredyt, czy np. podstawowych świadczeń publicznych. Oprócz tego wyodrębniono także modele AI ogólnego przeznaczenia, które to – uogólniając – trenowane dużą ilością danych, są następnie w stanie wykonywać szeroki zakres różnych zadań. Takie modele, jeżeli będą tworzyć ryzyko systemowe, będą musiały sprostać dodatkowym wymaganiom. Aktualnie modelami AI ogólnego przeznaczenia z takim ryzykiem systemowym byłyby tylko największe modele AI na świecie. Poza tymi kategoriami znajdują się również inne systemy AI, które nie kwalifikują się jako żadne z powyższych ryzyk. Niemniej jednak w stosunku do nich obowiązywać będą podstawowe zasady dotyczące przejrzystości.
AI ACT tak naprawdę będzie odnosił się do wszelkich systemów AI, które generalnie są wprowadzane do obrotu lub wykorzystywane na terytorium Unii Europejskiej. Siedziba podmiotu, który wprowadza do obrotu lub stosuje dany system AI nie będzie miała znaczenia i AI Act nadal będzie miał zastosowanie, o ile wyniki działania takiego systemu AI są wykorzystywane w Unii Europejskiej. Co istotne, poza regulacją są systemy dotyczące bezpieczeństwa narodowego, badań naukowych i rozwojowych. AI ACT nie będzie stosowany również wobec osób fizycznych, które korzystają z systemów AI w ramach „czysto osobistej działalności pozazawodowej”[2].
Akt o sztucznej inteligencji wkrótce zostanie opublikowany w Dzienniku Urzędowym UE, a wejdzie w życie 20 dni po ww. publikacji. Jego przepisy będziemy stosować natomiast co do zasady po 2 latach od wejścia w życie rozporządzenia, czyli najpewniej w połowie 2026 r. Trochę wcześniej zacznie być stosowana regulacja dotycząca zakazanych praktyk w zakresie AI, bowiem przepisy te będą stosowane już po upływie 6 miesięcy od publikacji AI ACT. W pełni rozporządzenie będzie natomiast stosowane po 36 miesiącach od jego publikacji.
Warto więc, by w ciągu tych 2 lat przedsiębiorcy przeanalizowali wszelkie wykorzystywane lub developowane przez nich narzędzia i oprogramowania, a także te, które dopiero mają zamiar wdrożyć do firmy. Może się bowiem okazać, że któreś z tych narzędzi stanowić będzie system AI. Następnie należałoby zastanowić się, do której kategorii ryzyka zaliczyć taki system AI oraz przeanalizować, które z obowiązków będą miały zastosowanie. Najwięcej od przedsiębiorców będą wymagać bowiem systemy AI wysokiego ryzyka, zarówno jeżeli dany przedsiębiorca będzie je tylko stosował wewnątrz organizacji, jak również, gdy będzie takie rozwiązania projektował i wprowadzał do obrotu. Największe wyzwanie stanie przed przedsiębiorstwami, których obszar działalności w jakiś sposób dotyka nowych technologii, tworzenia oprogramowań, IoT, wdrażania automatyki. Temat będzie jednak także istotny dla tych, które chociażby korzystają z AI jedynie w procesach rekrutacyjnych. Warto również zastanowić się każdorazowo, czy w świetle przepisów dany przedsiębiorca będzie użytkownikiem czy dostawcą systemu AI.
Co istotne, AI ACT nakłada obowiązki dotyczące szkolenia personelu, aby zapewnić mu odpowiedni poziom kompetencji w zakresie AI, z uwzględnieniem wiedzy technicznej, doświadczenia, czy kontekstu wykorzystania AI[3]. Już teraz przedsiębiorcy powinni więc powoli szkolić swoich pracowników z zakresu korzystania z narzędzi AI, czy tworzyć wewnętrzne regulaminy w tym zakresie.
Jeżeli natomiast okaże się, że systemy AI, z których korzysta przedsiębiorca nie należą do kategorii wysokiego ryzyka, ale branża, w której działa przedsiębiorca wymaga od niego kreowania różnego rodzaju treści, np. branża reklamowa, czy marketingowa, a taki przedsiębiorca korzysta głównie z rozwiązań tzw. generatywnej AI jak Midjourney czy ChatGPT, wówczas należy pamiętać o przepisach dotyczących oznaczania treści typu deepfake. Obowiązek ten będzie polegał na ujawnieniu, że treść została sztucznie wygenerowana lub poddana manipulacji. Deepfake zdefiniowano jako wygenerowany lub zmanipulowany obraz, treści dźwiękowe lub treści wideo, które przypominają istniejące osoby, przedmioty, miejsca lub inne podmioty lub zdarzenia i które odbiorca mogłyby niesłusznie uznać za autentyczne lub prawdziwe[4]. Jeżeli taka wygenerowana treść będzie częścią pracy o wyraźnie artystycznym, twórczym, satyryczny, fikcyjnym lub analogicznym charakterze, wówczas obowiązek oznaczania ogranicza się do ujawnienia istnienia takich wygenerowanych treści w sposób, który nie utrudnia wyświetlania ani korzystania z utworu.
Podobnym obowiązkiem jest projektowanie systemów AI, które wchodzą w bezpośrednią interakcję z osobami fizycznymi, w taki sposób, by były one informowane o tym, że prowadzą interakcję z systemem AI, chyba że będzie to oczywiste w oparciu o kontekst i okoliczności korzystania z takiego systemu AI[5].
[1] https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138-FNL-COR01_PL.pdf
[2] Art. 2 ust. 10 AI ACT.
[3] Art. 4 AI ACT.
[4] Art. 3 pkt. 60 AI ACT.
[5] Art. 50 ust. 1 AI ACT.