Přišla budoucnost? Přehled návrhu nařízení EU o umělé inteligenci

Dne 21. dubna 2021 zveřejnila Komise EU návrh nařízení o umělé inteligenci (návrh nařízení o umělé inteligenci, navrhované nařízení)^[1], které je součástí "evropské strategie pro data"^[2] a má stanovit zlatý standard pro regulaci umělé inteligence v Unii.[^3] V současné době se sice o navrhovaném nařízení diskutuje a existuje několik tisíc pozměňovacích návrhů, očekává se však, že bude přijato na podzim roku 2022^[4]. jakmile bude přijato, vstoupí nařízení o UI v platnost dvacet dní po jeho zveřejnění a všem organizacím, které v rámci EU poskytují nebo používají systémy UI, bude ponecháno 24měsíční přechodné období na zavedení příslušných opatření a povinností.

Tento článek poskytuje přehled návrhu nařízení o UI a jeho důsledků pro organizace na celém světě.

Oblast působnosti

Návrh nařízení o UI bude mít extrateritoriální působnost ve stylu GDPR a vztahuje se na (čl. 2):

• Poskytovatelé, kteří uvádějí na trh v EU nebo uvádějí do provozu systémy UI v EU;
• uživatele systémů UI v EU a
• poskytovatele a uživatele systémů UI, jejichž výstupy se používají v EU.

Návrh nařízení o UI definuje pojem "poskytovatel" jako osobu, která vyvíjí systém UI nebo která nechává vyvíjet systém UI s cílem uvést jej na trh nebo do provozu pod svým jménem nebo ochrannou známkou (čl. 3). Je třeba poznamenat, že za poskytovatele bude považován jakýkoli distributor, dovozce, uživatel nebo jiná třetí strana, pokud se jedná o poskytovatele (čl. 28):

1. uvede systém UI na trh pod svým vlastním jménem nebo ochrannou známkou;
2. změní zamýšlený účel stávajícího systému UI nebo
3. provede podstatné úpravy systému UI.

Pojem "uživatel" je definován jako osoba, která používá systém UI na základě svého pověření, s výjimkou případů, kdy je systém UI používán v rámci osobní neprofesionální činnosti (čl. 3).

Pozoruhodné je, že návrh nařízení o UI stanoví horizontální regulační rámec^[5] Stávající předpisy, zákony, standardy, normy atd. technologií se ve většině případů vztahují na konkrétní odvětví a neřeší implementaci těchto technologií prostřednictvím hardwarových a softwarových systémů. Navrhované nařízení se pokusí regulovat UI horizontálně, a tedy nezávisle na případech použití^[6].

Definice UI

Navrhované nařízení nestanoví definici UI. Místo toho uvádí definici systémů UI (článek 3):

"[S]ystémem umělé inteligence (systémem UI) se rozumí software, který je vyvinut pomocí jedné nebo více technik a přístupů uvedených v příloze I a může pro daný soubor cílů definovaných člověkem generovat výstupy, jako je obsah, předpovědi, doporučení nebo rozhodnutí ovlivňující prostředí, s nímž interaguje.".

Seznam technik a přístupů v příloze I zahrnuje přístupy strojového učení, logické a znalostní přístupy, jakož i statistické přístupy.

Příliš široká definice systémů umělé inteligence v návrhu nařízení o umělé inteligenci si vysloužila kritiku různých zúčastněných stran. Ačkoli se teprve uvidí, jak bude vypadat konečná verze návrhu nařízení o UI, některé státy navrhly užší definici umělé inteligence se dvěma dodatečnými požadavky: že systém je schopen "učení, uvažování nebo modelování realizovaného pomocí technik a přístupů" a že je také "generativním systémem", který přímo ovlivňuje své okolí^[7].

Typy systémů umělé inteligence a příslušné požadavky na shodu

Návrh nařízení o UI rozděluje systémy UI do čtyř kategorií: systémy UI s nepřijatelným rizikem, systémy UI s vysokým rizikem, systémy UI s povinností transparentnosti a systémy UI s minimálním rizikem.

Systémy UI s nepřijatelným rizikem (článek 5): Za systémy s nepřijatelným rizikem se považují například postupy UI, které jsou v rozporu s hodnotami EU a představují zjevnou hrozbu pro bezpečnost, živobytí a základní práva lidí. Takové systémy nejsou podle návrhu nařízení o UI povoleny.

Systémy UI s vysokým rizikem (článek 6): Do této kategorie spadají následující kategorie systémů UI:

1. Systémy biometrické identifikace;
2. kritické infrastruktury, které by mohly ohrozit život a zdraví občanů;
3. Vzdělávání nebo odborná příprava, které mohou rozhodovat o přístupu ke vzdělání a profesním směřování člověka;
4. bezpečnostní komponenty výrobků;
5. Zaměstnávání, řízení pracovníků a přístup k samostatné výdělečné činnosti;
6. Základní soukromé a veřejné služby;
7. vymáhání práva, výkon spravedlnosti a demokratické procesy;
8. Migrace, azyl a řízení hraničních kontrol.

Na poskytovatele vysoce rizikových systémů UI se vztahují následující věcné povinnosti:

1. Vytvořit a zavést odpovídající systém řízení a zmírňování rizik (článek 9);
2. Pečlivě spravovat data a správu dat, včetně školení a testování vysoce rizikových systémů UI využívajících data (čl. 10);
3. Vytvořit a poskytnout uživatelům technickou dokumentaci (čl. 11);
4. Zajistit podrobné vedení záznamů pro orgány (čl. 12, 20);
5. Poskytovat uživatelům jasné a přiměřené informace (čl. 13);
6. Zajistit odpovídající úroveň lidského dohledu (čl. 14);
7. dbát na přesnost, robustnost a kybernetickou bezpečnost (čl. 15);
8. Zavést řádný systém řízení kvality (článek 17);
9. Provádět monitorování výkonnosti vysoce rizikových systémů UI po jejich uvedení na trh (článek 61).

Poskytovatelé vysoce rizikových systémů UI jsou rovněž povinni dodržovat následující procesní povinnosti:

1. Poskytovatelé by měli zajistit, aby jejich vysoce rizikové systémy UI předtím, než budou nabízeny na trhu nebo uvedeny do provozu, absolvovaly tzv. posouzení shody (článek 19). Posouzení shody biometrických identifikačních systémů má provádět příslušný "oznámený subjekt" (příloha VII). U všech ostatních typů vysoce rizikových systémů UI mohou poskytovatelé provádět posouzení sami (příloha VI);
2. Jakmile vysoce rizikový systém UI projde posouzením shody, měli by poskytovatelé vypracovat písemné prohlášení o shodě (článek 48), připojit k dokumentaci vysoce rizikového systému UI označení shody CE (článek 49) a zaregistrovat vysoce rizikový systém UI v databázi EU (článek 51);
3. Poskytovatelé by měli do 15 dnů ohlásit příslušnému orgánu "závažnou událost" nebo "nesprávnou funkci" systému vysoce rizikové UI (čl. 62).

Na rozdíl od poskytovatelů se na uživatele vysoce rizikových systémů UI vztahují omezené požadavky. V rámci rozšíření musí zajistit, aby používali vysoce rizikové systémy UI v souladu s pokyny pro jejich používání a monitorovali provoz vysoce rizikových systémů UI a vedli záznamy o protokolech generovaných vysoce rizikovými systémy UI (článek 29).

Systémy UI s povinností transparentnosti (čl. 52): Do této kategorie spadají chatboti nebo imitující boti. Poskytovatelé těchto systémů musí zajistit, aby byly navrženy a vyvinuty tak, aby fyzické osoby byly informovány o tom, že komunikují se systémem UI.

Systémy UI s minimálním rizikem (článek 69): Do této kategorie spadají videohry s umělou inteligencí nebo filtry nevyžádané pošty. Pro tyto systémy UI neexistují žádné požadavky na dodržování předpisů. Převážnou většinu systémů UI, které se v současné době používají v EU, lze definovat jako systémy UI s minimálním rizikem.

Sankce

Porušení povinností podle návrhu nařízení o UI má za následek pokuty vyčíslené podle typu porušení (článek 71).

Porušiteli (poskytovateli a/nebo případně uživateli) budou uloženy správní pokuty až do výše 30 000 000 EUR nebo, je-li porušitelem podnik, až do výše 6 % jeho celkového celosvětového ročního obratu za předchozí finanční rok, podle toho, která částka je vyšší, a to za následující dva typy porušení:

• uvedení na trh, uvedení do provozu nebo používání nepřijatelných rizikových postupů v oblasti UI (článek 5);
• nedodržení požadavků na správu údajů v systému vysoce rizikových UI (článek 10.4).

Za nedodržení jiných než uvedených požadavků a povinností hrozí porušiteli správní pokuta až do výše 20 000 000 EUR nebo, je-li porušitelem podnik, až do výše 4 % jeho celkového celosvětového ročního obratu za předchozí účetní období, podle toho, která částka je vyšší.

Návrh nařízení o UI rovněž stanoví sankce za neposkytnutí správných, úplných nebo přesných informací oznámeným subjektům a příslušným vnitrostátním orgánům v reakci na jakoukoli žádost. V takovém případě se porušitelům ukládají správní pokuty až do výše 10 000 000 EUR nebo, je-li porušitelem podnik, až do výše 2 % jeho celkového celosvětového ročního obratu za předchozí účetní rok, podle toho, která částka je vyšší.

Důsledky pro podniky

Návrh nařízení o umělé inteligenci nastavuje vysokou laťku pro povinnosti průmyslových odvětví v oblasti umělé inteligence dodržovat předpisy ve všech hospodářských odvětvích. Z celosvětového průzkumu provedeného společností McKinsey vyplývá, že mnoho organizací je v plnění potenciálních požadavků na dodržování předpisů vyplývajících z připravovaného nařízení značně pozadu, neboť pouze 38 % z nich aktivně řeší rizika související s dodržováním předpisů v oblasti UI^[8]. v tomto ohledu by se dotčené organizace měly připravit na nařízení, která budou jistě následovat, a přijmout strategický program dodržování předpisů pro své systémy UI. To bude vyžadovat potřebné dovednosti a zdroje, což povede k posílení role odborníků na dodržování předpisů. Lze očekávat, že společnosti rozšíří své týmy pro dodržování předpisů a přijmou více odborníků s tímto specifickým vzděláním. Zvýší se také potřeba externích právních poradců.