Akt w sprawie sztucznej inteligencji z dnia 13 czerwca 2024 r. (potocznie „AI Act”) ustanawia zasady wprowadzania do obrotu i stosowania sztucznej inteligencji na terytorium Unii Europejskiej. Rozporządzenie to klasyfikuje systemy AI według poziomów ryzyka, nakłada obowiązki na ich operatorów oraz reguluje sankcje za ich nieprzestrzeganie. Wszystko to służy zapewnieniu przewodniej roli człowieka, ochronie praw podstawowych i uczynieniu z AI narzędzia godnego zaufania. AI Act nie reguluje jednak wszystkich aspektów związanych ze sztuczną inteligencją. W rozporządzeniu próżno szukać np. zasad odpowiedzialności za szkody, które może wyrządzić AI, czy też regulacji określających kwestię praw autorskich do efektów działań algorytmów AI.

Podstawowym obowiązkiem każdego podmiotu zaangażowanego w działanie sztucznej inteligencji jest ustalenie które przepisy AI Act są do niego adresowane. W tym celu należy ustalić w pierwszej kolejności czy dysponujemy systemem AI, o jakim mowa w rozporządzeniu. Następnie identyfikujemy rodzaj ryzyka przypisanego do naszego systemu AI, wreszcie ustalamy naszą rolę w łańcuchu dostaw (dostawca, importer, dystrybutor, użytkownik). Dopiero wówczas będziemy wiedzieli jakie obowiązki AI Act na nas nakłada.

Tak. AI Act znajduje zastosowanie również wobec podmiotów mających siedzibę poza UE, jeżeli podmioty te oferują lub udostępniają systemy AI użytkownikom na rynku unijnym. Oznacza to, że obowiązki przewidziane rozporządzeniem mogą dotyczyć także przedsiębiorstw z USA, Wielkiej Brytanii, Azji i innych regionów świata, jeśli tworzone lub stosowane przez nich systemy sztucznej inteligencji oddziaływać będą na obywateli Unii Europejskiej.

System AI to system maszynowy obdarzony pewnym poziomem autonomii zdolny do generowania (bez udziału człowieka) wyników takich jak predykcje, treści, zalecenia lub decyzje (tzw. output) na podstawie otrzymanych danych wejściowych (input). Zweryfikowanie posiadanego przez nas narzędzia AI jest pierwszorzędnym obowiązkiem rzutującym na naszą przygodę z AI Act. Musimy bowiem wiedzieć czy nasz produkt AI odpowiada definicji systemu AI podanej w rozporządzeniu. Więcej o elementach konstrukcyjnych definicji systemu AI dowiesz się tutaj.

Nie. AI Act przyjmuje podejście oparte na ryzyku (risk-based approach), klasyfikując systemy AI według następujących rodzajów: systemy zakazane – z ryzykiem niedozwolonym, systemy wysokiego ryzyka, systemy ograniczonego ryzyka oraz systemy wolne od ryzyka w rozumieniu rozporządzenia. Najwięcej obowiązków spoczywać będzie na operatorach systemów wysokiego ryzyka (zwłaszcza na dostawcach systemu). Mniejszy zakres obowiązków dotyczyć będzie operatorów systemów z ryzykiem ograniczonym. Jedynie w minimalnym stopniu rozporządzeniu będą podlegać operatorzy systemów AI wolnych od ryzyka opisanego w AI Act.

AI Act zakazuje m.in. wykorzystywania systemów AI stosujących techniki manipulacyjne zmierzające lub skutkujące podjęciem przez ludzi szkodzących im (choćby potencjalnie) decyzji, jak również systemów stosujących scoring społeczny lub służących wyciąganiu wniosków na temat emocji ludzkich w miejscu pracy lub instytucjach edukacyjnych bądź indywidualnej kategoryzacji w oparciu o wrażliwe dane osobowe. Zakazane jest również stosowanie AI do tworzenia lub rozbudowania baz danych służących rozpoznawaniu twarzy poprzez nieukierunkowane pozyskiwanie (ang. untargeted scraping) czy wykorzystywanie systemów AI do zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej. Więcej o praktykach zakazanych przez AI Act dowiesz się tutaj.

System AI zostanie uznany za system wysokiego ryzyka, gdy będzie powiązany z produktami objętymi unijnym prawodawstwem harmonizacyjnym wymienionymi w załączniku I do AI Act (np. maszyny rolnicze, zabawki, urządzenia radiowe) bądź obszarami wskazanymi w załączniku III do rozporządzenia (np. zatrudnienie, zarządzanie pracownikami, kształcenie i szkolenie zawodowe, biometria, infrastruktura krytyczna, sprawowanie wymiaru sprawiedliwości). Ocena ryzyka systemu AI rzutuje na zakres obowiązków określonych w AI Act. Przykładowo, dostawca systemu AI wysokiego ryzyka będzie musiał sprostać ogromowi wymogów, a na dostawcy systemu wolnego od ryzyka w rozumieniu AI Act nie będą ciążyły praktycznie żadne obowiązki wynikające z tego rozporządzenia (nie licząc w zasadzie tych wskazanych w art. 4 i 5 AI Act).

Na dostawcach systemów AI wysokiego ryzyka bez wątpienia spoczywa zdecydowanie najwięcej obowiązków określonych przez AI Act. Wśród najważniejszych należy wymienić zapewnienie zgodności systemu AI z wymogami rozporządzenia (w tym posiadanie deklaracji zgodności i oznakowania CE), posiadanie systemu zarządzania jakością (w tym systemu zarządzania ryzykiem) oraz sporządzenie dokumentacji technicznej (w tym instrukcji obsługi systemu). Ponadto dostawcy winni zapewnić nadzór systemu ze strony człowieka, posiadać system monitorujący występowanie incydentów, przechowywać rejestry zdarzeń oraz zarejestrować system AI w centralnej bazie UE. Więcej o obowiązkach dostawców systemów AI piszemytutaj.

Tak. Użytkownik systemu AI wysokiego ryzyka ma obowiązek korzystania z systemu w sposób zgodny z instrukcją oraz zapewnienia nadzoru nad systemem przez osoby przeszkolone, z niezbędnymi kompetencjami. Dodatkowo, użytkownicy winni monitorować działanie systemu AI oraz zgłaszać ewentualne awarie lub incydenty dostawcy i organowi nadzorczemu. Ponadto, użytkownicy muszą zapewnić reprezentatywność danych wejściowych wprowadzanych do systemu, o ile sprawują nad nimi kontrolę. Więcej o obowiązkach użytkowników systemów AI piszemy tutaj.

Tak. Modele generatywne są zaliczane do modeli AI ogólnego przeznaczenia, a więc mających bardzo szerokie zastosowanie i mogących się łączyć z wieloma różnymi systemami AI. AI Act nakłada na dostawców tych modeli szereg obowiązków, takich jak np. sporządzenie dokumentacji technicznej, przekazywanie odpowiednich informacji dostawcom systemów AI niższego szczebla czy przestrzeganie (europejskich) zasad ochrony własności intelektualnej. Ponadto dostawcy ci powinni ocenić czy ich model nie wykazuje ryzyka systemowego. W razie jego stwierdzenia dojdą dodatkowe obowiązki, jak np. zapewnienie odpowiedniego poziomu cyberochrony.

Rejestracja systemu AI w centralnej bazie Unii Europejskiej jest jednym z obowiązków spoczywających na dostawcach systemu AI. Obowiązek rejestracji dotyczy jednak tylko systemów AI wysokiego ryzyka. Taki system musi zostać zarejestrowany w unijnej bazie przed jego wprowadzeniem do obrotu. Co istotne, zwrócić należy uwagę również na obowiązek przewidziany w art. 6 ust. 4 i art. 49 ust. 2 AI Act, zgodnie z którymi zarejestrowany musi zostać także system AI, co do którego dostawca nie stwierdził występowania wysokiego ryzyka, ale który domyślnie kwalifikowany jest jako taki zgodnie z załącznikiem III do AI Act.

Nie każda. Jednak każda organizacja, która tworzy, udostępnia lub korzysta z systemów AI powinna przeprowadzić choćby uproszczony audyt, w wyniku którego ustali czy w ogóle podlega przepisom AI Act, a jeśli tak, to w jakim zakresie. Dopiero po ustaleniu roli i zakresu obowiązków określonych rozporządzeniem, będzie możliwa ocena zgodności z jego wymogami. Co jednak ważne, nawet niepodleganie przepisom AI Act wymaga odpowiedniego „zaopiekowania” korzystania ze sztucznej inteligencji – choćby pod kątem zgodności z zasadami przetwarzania danych osobowych, należytego zabezpieczenia informacji poufnych oraz praw autorskich do outputu generowanego przez AI.

AI Act wszedł w życie 1 sierpnia 2024 r., ale obowiązywanie jego przepisów zostało podzielone na 4 etapy. Od 2 lutego 2025 r. stosujemy normy ogólne i przepisy o praktykach zakazanych. Od 2 sierpnia 2025 r. obowiązują normy instytucjonalne oraz przepisy o karach i modelach AI ogólnego przeznaczenia. Od 2 sierpnia 2026 r. obowiązywać zaczyna większość przepisów AI Act (to data ogólna rozpoczęcia stosowania rozporządzenia), natomiast od 2 sierpnia 2027 r. zaczną obowiązywać przepisy o systemach wysokiego ryzyka powiązanych z produktami objętymi unijnym prawodawstwem harmonizacyjnym.

W świetle projektu polskiej ustawy o systemach sztucznej inteligencji organem egzekwującym przepisy AI Act w Polsce będzie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, a na jej czele stać będzie Przewodniczący Komisji. Jest to organ nadzoru rynku uprawniony do nakładania administracyjnych kar pieniężnych. Organem notyfikującym (wyznaczającym i monitorującym jednostki oceniające zgodność z AI Act) będzie natomiast minister ds. informatyzacji. Prace nad ustawą wciąż trwają, nie możemy więc wykluczyć zmian w jej wersji finalnej.

AI Act, podobnie jak GDPR, przewiduje administracyjne kary pieniężne za nieprzestrzeganie przepisów rozporządzenia. Kary w AI Act są jednak wyższe niż w GDPR. Za stosowanie praktyk zakazanych w zakresie AI kara wynosić może aż do 35 mln euro lub do 7 % całkowitego rocznego światowego obrotu przedsiębiorstwa, za naruszenie większości pozostałych przepisów (z wyjątkiem przewidzianym w art. 99 ust. 5 AI Act) – do 15 mln euro lub do 3 % rocznego obrotu przedsiębiorstwa. Co do zasady, górnym progiem jest wyższa z kwot, a w wypadku sektora MŚP decyduje kwota niższa.