Czy przyszłość już nadeszła? Przegląd projektu rozporządzenia UE w sprawie sztucznej inteligencji

W dniu 21 kwietnia 2021 r. Komisja Europejska opublikowała wniosek dotyczący rozporządzenia w sprawie sztucznej inteligencji (projekt rozporządzenia w sprawie sztucznej inteligencji, proponowane rozporządzenie)^[1]. Będąc częścią "europejskiej strategii w zakresie danych"^[2], projekt rozporządzenia w sprawie sztucznej inteligencji ma na celu ustanowienie złotego standardu regulacji sztucznej inteligencji w Unii[3^].[Chociaż obecnie proponowane rozporządzenie jest przedmiotem debaty i istnieje kilka tysięcy propozycji zmian, oczekuje się, że zostanie ono przyjęte jesienią 2022 r.^[4] Po przyjęciu rozporządzenie w sprawie sztucznej inteligencji wejdzie w życie dwadzieścia dni po jego opublikowaniu i pozostawi 24-miesięczny okres przejściowy dla wszystkich organizacji, które dostarczają lub wykorzystują systemy sztucznej inteligencji w UE, na wdrożenie odpowiednich środków i obowiązków.

Niniejszy artykuł zawiera przegląd projektu rozporządzenia w sprawie AI i jego implikacji dla organizacji na całym świecie.

Zakres zastosowania

Projekt rozporządzenia w sprawie sztucznej inteligencji będzie miał zasięg eksterytorialny podobny do RODO i ma zastosowanie do (art. 2):

• dostawców, którzy wprowadzają do obrotu w UE lub oddają do użytku systemy AI w UE;
• użytkowników systemów AI w UE; oraz
• dostawców i użytkowników systemów AI, których wyniki są wykorzystywane w UE.

Projekt rozporządzenia AI definiuje termin "dostawca" jako osobę, która opracowuje system AI lub która zleca opracowanie systemu AI w celu wprowadzenia go do obrotu lub oddania do użytku pod własną nazwą lub znakiem towarowym (art. 3). Należy zauważyć, że każdy dystrybutor, importer, użytkownik lub inna osoba trzecia zostanie uznana za dostawcę, jeżeli (art. 28):

1. wprowadza system SI do obrotu pod własną nazwą lub znakiem towarowym;
2. modyfikuje przeznaczenie istniejącego systemu AI; lub
3. dokonuje istotnych modyfikacji systemu AI.

Termin "użytkownik" jest definiowany jako osoba korzystająca z systemu AI pod jego nadzorem, z wyjątkiem sytuacji, gdy system AI jest wykorzystywany w ramach osobistej działalności nieprofesjonalnej (art. 3).

Warto zauważyć, że projekt rozporządzenia w sprawie AI przewiduje horyzontalne ramy regulacyjne^[5]. Istniejące regulacje, przepisy, standardy, normy itp. technologii w większości przypadków mają zastosowanie do konkretnych branż i nie odnoszą się do wdrażania tych technologii za pośrednictwem systemów sprzętowych i oprogramowania. Proponowane rozporządzenie będzie próbą horyzontalnego uregulowania AI, a zatem niezależnie od przypadków użycia^[6].

Definicja AI

Proponowane rozporządzenie nie określa definicji sztucznej inteligencji. Zamiast tego zawiera definicję systemów AI (art. 3):

"System sztucznej inteligencji" (system AI) oznacza oprogramowanie, które zostało opracowane przy użyciu co najmniej jednej z technik i podejść wymienionych w załączniku I i może, dla danego zestawu celów zdefiniowanych przez człowieka, generować dane wyjściowe, takie jak treści, prognozy, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzą w interakcje."

Lista technik i podejść w załączniku I obejmuje podejścia oparte na uczeniu maszynowym, logice i wiedzy, a także podejścia statystyczne.

Zbyt szeroka definicja systemów AI w projekcie rozporządzenia w sprawie AI spotkała się z krytyką ze strony różnych interesariuszy. Choć dopiero okaże się, jak będzie wyglądać ostateczna wersja projektu rozporządzenia w sprawie sztucznej inteligencji, niektóre państwa zaproponowały węższą definicję sztucznej inteligencji, z dwoma dodatkowymi wymogami: że system jest zdolny do "uczenia się, rozumowania lub modelowania zaimplementowanego za pomocą technik i podejść" oraz że jest również "systemem generatywnym", bezpośrednio wpływającym na swoje środowisko^[7].

Rodzaje systemów AI i odpowiednie wymogi zgodności

Projekt rozporządzenia w sprawie AI dzieli systemy AI na cztery kategorie: systemy AI o niedopuszczalnym ryzyku, systemy AI o wysokim ryzyku, systemy AI z obowiązkiem przejrzystości oraz systemy AI o minimalnym ryzyku.

Systemy AI o niedopuszczalnym ryzyku (art. 5): Na przykład praktyki AI, które naruszają wartości UE i stanowią wyraźne zagrożenie dla bezpieczeństwa ludzi, źródeł utrzymania i praw podstawowych, są uważane za systemy o niedopuszczalnym ryzyku. Takie systemy nie są dozwolone na mocy projektu rozporządzenia w sprawie AI.

Systemy AI wysokiego ryzyka (art. 6): Następujące kategorie systemów AI należą do tej kategorii:

1. Systemy identyfikacji biometrycznej;
2. Infrastruktura krytyczna, która może zagrażać życiu i zdrowiu obywateli;
3. Szkolenia edukacyjne lub zawodowe, które mogą decydować o dostępie do edukacji i przebiegu kariery zawodowej;
4. elementy bezpieczeństwa produktów;
5. Zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia;
6. Podstawowe usługi prywatne i publiczne;
7. Egzekwowanie prawa, wymiar sprawiedliwości i procesy demokratyczne;
8. zarządzanie migracją, azylem i kontrolą graniczną.

Dostawcy systemów sztucznej inteligencji wysokiego ryzyka podlegają następującym istotnym obowiązkom:

1. Stworzenie i wdrożenie odpowiedniego systemu zarządzania ryzykiem i ograniczania ryzyka (art. 9);
2. starannie zarządzać danymi i zarządzaniem danymi, w tym szkolić i testować systemy sztucznej inteligencji wysokiego ryzyka wykorzystujące dane (art. 10)
3. Tworzyć i udostępniać użytkownikom dokumentację techniczną (art. 11);
4. zapewnienie organom szczegółowej dokumentacji (art. 12, 20);
5. Dostarczanie użytkownikom jasnych i adekwatnych informacji (art. 13);
6. Zapewnienie odpowiedniego poziomu nadzoru ludzkiego (art. 14);
7. Dbać o dokładność, solidność i cyberbezpieczeństwo (art. 15);
8. Wdrożenie odpowiedniego systemu zarządzania jakością (art. 17);
9. prowadzić monitorowanie działania systemów sztucznej inteligencji wysokiego ryzyka po ich wprowadzeniu do obrotu (art. 61).

Dostawcy systemów sztucznej inteligencji wysokiego ryzyka są również zobowiązani do przestrzegania następujących obowiązków proceduralnych:

1. Dostawcy powinni zapewnić, aby ich systemy AI wysokiego ryzyka ukończyły tzw. "ocenę zgodności", zanim będą mogły być oferowane na rynku lub oddane do użytku (art. 19). Zgodność systemów identyfikacji biometrycznej ma być przeprowadzana przez odpowiednią "jednostkę notyfikowaną" (załącznik VII). W przypadku wszystkich innych rodzajów systemów sztucznej inteligencji wysokiego ryzyka dostawcy mogą przeprowadzić samoocenę (załącznik VI);
2. Gdy system sztucznej inteligencji wysokiego ryzyka przejdzie ocenę zgodności, dostawcy powinni sporządzić pisemną deklarację zgodności (art. 48), dołączyć oznakowanie CE zgodności do dokumentacji systemu sztucznej inteligencji wysokiego ryzyka (art. 49) i zarejestrować system sztucznej inteligencji wysokiego ryzyka w bazie danych UE (art. 51);
3. Dostawcy powinni zgłosić właściwemu organowi w ciągu 15 dni "poważny incydent" lub "nieprawidłowe działanie" systemu sztucznej inteligencji wysokiego ryzyka (art. 62).

W przeciwieństwie do dostawców, użytkownicy systemów sztucznej inteligencji wysokiego ryzyka podlegają ograniczonym wymogom. Muszą oni zapewnić, że korzystają z systemów sztucznej inteligencji wysokiego ryzyka zgodnie z instrukcjami ich użytkowania oraz monitorować działanie systemów sztucznej inteligencji wysokiego ryzyka i prowadzić rejestr dzienników generowanych przez systemy sztucznej inteligencji wysokiego ryzyka (art. 29).

Systemy sztucznej inteligencji z obowiązkami w zakresie przejrzystości (art. 52): Chatboty lub boty podszywające się pod inne osoby należą do tej kategorii. Dostawcy takich systemów muszą zapewnić, że są one zaprojektowane i opracowane w taki sposób, aby osoby fizyczne były informowane, że wchodzą w interakcję z systemem sztucznej inteligencji.

Systemy AI o minimalnym ryzyku (art. 69): Do tej kategorii zaliczają się gry wideo wykorzystujące sztuczną inteligencję lub filtry antyspamowe. W przypadku takich systemów sztucznej inteligencji nie obowiązują żadne wymogi zgodności. Zdecydowaną większość systemów AI używanych obecnie w UE można zdefiniować jako systemy AI minimalnego ryzyka.

Sankcje

Naruszenie obowiązków wynikających z projektu rozporządzenia w sprawie AI skutkuje karami pieniężnymi określonymi ilościowo w zależności od rodzaju naruszenia (art. 71).

Naruszający (dostawca i/lub użytkownik, w stosownych przypadkach) będzie podlegał administracyjnym karom pieniężnym w wysokości do 30 000 000 EUR lub, jeżeli sprawca jest przedsiębiorstwem, do 6% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa, w przypadku następujących dwóch rodzajów naruszeń:

• wprowadzanie do obrotu, oddawanie do użytku lub stosowanie praktyk AI o niedopuszczalnym ryzyku (art. 5);
• niezgodność z wymogami w zakresie zarządzania danymi w systemie sztucznej inteligencji wysokiego ryzyka (art. 10 ust. 4).

Za nieprzestrzeganie innych wymogów i obowiązków niż wymienione, sprawca naruszenia będzie podlegał administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR lub, jeżeli sprawca jest przedsiębiorstwem, do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa.

Projekt rozporządzenia w sprawie AI przewiduje również sankcje za niedostarczenie prawidłowych, kompletnych lub dokładnych informacji jednostkom notyfikowanym i właściwym organom krajowym w odpowiedzi na jakiekolwiek żądanie. W takim przypadku osoby naruszające przepisy będą podlegać administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR lub, jeżeli sprawcą jest spółka, w wysokości do 2% jej całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa.

Skutki dla przedsiębiorstw

Projekt rozporządzenia w sprawie sztucznej inteligencji wysoko stawia poprzeczkę w zakresie obowiązków branży w dziedzinie sztucznej inteligencji we wszystkich sektorach gospodarki. Globalne badanie przeprowadzone przez McKinsey pokazuje, że wiele organizacji jest daleko w tyle, jeśli chodzi o spełnienie potencjalnych wymogów zgodności z nadchodzącym rozporządzeniem, ponieważ tylko 38 procent z nich aktywnie zajmuje się ryzykiem zgodności z przepisami w dziedzinie sztucznej inteligencji^[8]. W związku z tym organizacje, których to dotyczy, powinny przygotować się na przepisy, które z pewnością nastąpią, i przyjąć strategiczny program zgodności dla swoich systemów sztucznej inteligencji. Będzie to wymagało niezbędnych umiejętności i zasobów, co doprowadzi do zwiększenia roli specjalistów ds. zgodności. Oczekuje się, że firmy rozszerzą swoje zespoły ds. zgodności i zatrudnią więcej specjalistów z tym konkretnym doświadczeniem. Wzrośnie również zapotrzebowanie na zewnętrznych doradców prawnych.