Site Search Site Search

Loading Results

Trójstronne negocjacje aktu w sprawie sztucznej inteligencji dobiegły końca

15/12/23

Po dwóch latach prac nad tekstem, zwieńczonych ponad 30 godzinnym maratonem finalnych rozmów w ramach trójstronnych negocjacji trwających od czerwca, przedstawiciele Parlamentu, Komisji Europejskiej i Rady Unii Europejskiej 8 grudnia wypracowali konsensus w sprawie rozporządzenia o sztucznej inteligencji (AI). Spotkało się to z dużym rozgłosem i entuzjazmem, jednak przed nami wciąż etap wypracowania szczegółowej wersji tekstu i jego formalnej akceptacji – to prace, które mogą potrwać wiele tygodni, a nawet miesięcy. Jako że finalna treść rozporządzenia nie jest jeszcze dostępna, poniżej przedstawiamy nasze wstępne obserwacje, oparte na informacjach prasowych oraz nieoficjalnych fragmentach projektu.

  • Przedmiot: Rozporządzenie AI to akt mający regulować wykorzystanie sztucznej inteligencji. Rozporządzenie ma na celu zapewnienie aby wartości takie jak zdrowie, bezpieczeństwo, prawa podstawowe, demokracja, praworządność czy środowisko były chronione przed zagrożeniami jakie może spowodować sztuczna inteligencja, jednocześnie pobudzając innowacje i czyniąc Europę liderem w tej dziedzinie. Przepisy ustanawiają obowiązki dotyczące sztucznej inteligencji w oparciu o potencjalne ryzyko.
  • Eksterytorialne zastosowanie: Przepisy będą miały zastosowanie zarówno do podmiotów publicznych jak i prywatnych, dostawców oraz podmiotów wdrażających systemy sztucznej inteligencji, które są wykorzystywane w UE lub wywołują skutki w UE, niezależnie od miejsca ich siedziby. Oznacza to, że np. dostawcy lub podmioty wdrażające systemy sztucznej inteligencji w państwach trzecich, będą musiały przestrzegać przepisów Rozporządzenia AI, jeśli dane wyjściowe systemu są wykorzystywane w UE.
  • Wyłączenia: Rozporządzenie AI nie będzie miało zastosowania do systemów wykorzystywanych wyłącznie do celów wojskowych lub obronnych, systemów wykorzystywanych wyłącznie w celach badawczych i innowacyjnych oraz względem osób korzystających z AI w celach nieprofesjonalnych. Ponadto z niektórych obowiązków będą zwolnieni dostawcy modeli darmowych i open source.
  • Definicja AI: Rozporządzenie przyjmuje definicję sztucznej inteligencji zaproponowaną przez OECD (Organizacji Współpracy Gospodarczej i Rozwoju): "System sztucznej inteligencji to system maszynowy, który dla bezpośrednich lub pośrednich celów, na podstawie otrzymanych danych wejściowych wnioskuje, w jaki sposób generować dane wyjściowe, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne. Różne systemy sztucznej inteligencji różnią się poziomem autonomii i zdolności adaptacyjnych po wdrożeniu”.
  • Podejście oparte na ryzyku: Rozporządzenie zakłada regulację sztucznej inteligencji w oparciu o jej zdolność do wyrządzania szkód, zgodnie z podejściem opartym na ryzyku: im wyższe ryzyko, tym bardziej rygorystyczne są przepisy.
  • Termin wejścia w życie: Rozporządzenie o sztucznej inteligencji zacznie obowiązywać dwa lata po wejściu w życie, a w przypadku zakazanych systemów AI okres ten zostanie skrócony do sześciu miesięcy. Niektóre wymogi m.in. dotyczące sztucznej inteligencji ogólnego przeznaczenia i sprawowania kontroli mają zacząć obowiązywać po roku.
  • Kary: Wysokość kar za nieprzestrzeganie przepisów wynosi od 7,5 mln euro lub 1,5% obrotów do 35 mln euro lub 7% globalnych obrotów

Zakazane AI

W przypadku niektórych zastosowań sztucznej inteligencji ryzyko uznaje się za niedopuszczalne i takie rozwiązania zostaną zakazane w UE. Zgodnie z porozumieniem, utrzymał się szeroki katalog praktyk niedozwolonych - zakazane będzie stosowanie technik manipulacyjnych, kategoryzacja biometryczna w celu wnioskowania o wrażliwych danych, takich jak orientacja seksualna lub przekonania religijne, pozyskiwanie wizerunków w nieukierunkowany sposób z internetu lub monitoringu, rozpoznawanie emocji w miejscu pracy i instytucjach edukacyjnych, scoring społeczny, a także niektóre przypadki predykcyjnego nadzoru policyjnego nad osobami fizycznymi.

Systemy wysokiego ryzyka

Rozporządzenie, przyjmując podejście oparte na ryzyku, w najszerszym stopniu reguluje systemy AI wysokiego ryzyka – jako dozwolone, ale podlegające szeregowi wymogów do spełnienia przed wprowadzeniem na rynek unijny. W ramach kompromisu wymogi te zostały doprecyzowane i dostosowane tak, aby ułatwić ich spełnienie pod względem technicznym i operacyjnym, na przykład w odniesieniu do jakości danych lub dokumentacji technicznej, która powinna zostać sporządzona przez MŚP. Do wrażliwych obszarów zaliczono edukację, zatrudnienie, infrastrukturę krytyczną, usługi publiczne, egzekwowanie prawa, kontrolę graniczną i wymiar sprawiedliwości. Uzgodniono, że reżimem systemów wysokiego ryzyka objęte będą również takie przypadki użycia jak systemy sztucznej inteligencji stosowane do celów wywierania wpływu na wyniki wyborów i zachowania wyborców oraz systemy przewidujące trendy migracyjne i służące do monitorowania granic.

Ponadto wprowadzono obowiązkową ocenę wpływu systemu na prawa podstawowe przed jego wdrożeniem oraz przyznano prawo do składania skarg na systemy AI i otrzymywania wyjaśnień dotyczących decyzji opartych na systemach AI wysokiego ryzyka, które mają wpływ na ich prawa.

Sztuczna inteligencja ogólnego przeznaczenia

Uwzględniając szerokie zastosowanie sztucznej inteligencji oraz szybki rozwój tej technologii, mimo początkowego sprzeciwu Niemiec, Włoch i Francji, finalnie uzgodniono, że systemy sztucznej inteligencji ogólnego przeznaczenia (GPAI - np. ChatGPT) będą musiały spełniać minimalne standardy. Wymogi te mają na celu zapewnienie przejrzystości i obejmują m. in. konieczność sporządzania dokumentacji technicznej, przestrzegania prawa autorskiego i udostępniania szczegółowych streszczeń treści wykorzystywanych w procesie szkolenia modeli.

W przypadku modeli GPAI obarczonych ryzykiem systemowym, wynegocjowano bardziej rygorystyczne wymogi. Względem modeli spełniających określone kryteria, konieczne będzie przeprowadzanie analiz modeli, ocena i ograniczanie ryzyka systemowego, przeprowadzanie testów kontradyktoryjności, zgłaszanie Komisji poważnych incydentów, zapewnienie cyberbezpieczeństwa i raportowanie w zakresie efektywności energetycznej.

Kluczowe uzgodnienia objęte kompromisem

  • Ochrona praw podstawowych. Wymóg przeprowadzenia oceny wpływu na prawa podstawowe przez organy publiczne i podmioty prywatne świadczące podstawowe usługi publiczne, takie jak szpitale, szkoły, banki i firmy ubezpieczeniowe wdrażające systemy wysokiego ryzyka.
  • Prawo do skargi i wyjaśnień. Uwzględnienie prawa do skargi na krzywdzące lub dyskryminujące działanie AI, wraz z prawem do wyjaśnień. 
  • Minimalne standardy dla GPAI. Objęcie minimalnymi standardami wszystkich modeli podstawowych. Wymogi te dotyczą zapewnienia przejrzystości, w tym stosowania znaków wodnych i przestrzegania przepisów dotyczących praw autorskich, co ma kluczowe znaczenie dla zapewnienia rozliczalności.
  • Ograniczenie zastosowania systemów identyfikacji biometrycznej. Możliwość publicznego stosowania systemów identyfikacji biometrycznej w czasie rzeczywistym została zawężona do celów egzekwowania prawa, z zastrzeżeniem uprzedniej zgody sądu i ściśle określonych list przestępstw, wyłącznie w przypadku ukierunkowanego poszukiwania osoby skazanej lub podejrzanej o popełnienie poważnego przestępstwa, w tym w celu poszukiwań ofiar zapobiegania konkretnemu i obecnemu zagrożeniu terrorystycznemu.
  • Ochrona praw autorskich. Zapewnienie zgodności z unijnymi przepisami regulującymi prawo autorskie oraz zapewnienie transparentności poprzez udostępnianie zestawień treści wykorzystywanych do szkoleń tak aby umożliwić weryfikację naruszeń.
  • Brak wymogu moderacji treści. Z opublikowanych informacji wynika, że w ramach kompromisu pominięte zostały niektóre proponowane przez Parlament Europejski wymogi względem modeli podstawowych, które mogą mieć kluczowe znaczenie dla zapewnienia rozliczalności – np. zasady dotyczące moderowania treści czy bezpieczeństwa AI.
  • Trudności w praktycznym stosowaniu wymogu transparentności. Dotychczasowa propozycja postanowień określających obowiązek udostępniania informacji na temat treści wykorzystywanych do szkoleń modeli AI nie była precyzyjna, w szczególności nie był jasny wymagany poziom szczegółowości takich zestawień.

Bądź na bieżąco

Zapisz się na newsletter: Prawo

Subskrybuj

Contact us

Paulina Komorowska-Mrozik

Paulina Komorowska-Mrozik

Counsel, Radca Prawny, PwC Poland

Linkedin Follow Email
Natalia Dulkowska

Natalia Dulkowska

Senior Associate w zespole IP / IT, Danych Osobowych, Konsumentów i Konkurencji, PwC Legal, PwC Poland

Tel: +48 571 778 282

Linkedin Follow Email
Obserwuj nas