Prišla budúcnosť? Prehľad návrhu nariadenia EÚ o umelej inteligencii

Dňa 21. apríla 2021 Komisia EÚ uverejnila návrh nariadenia o umelej inteligencii (návrh nariadenia o umelej inteligencii, navrhované nariadenie)^[1], ktoré je súčasťou "európskej stratégie pre údaje"^[2] a má stanoviť zlatý štandard pre reguláciu umelej inteligencie v Únii.[^3] Hoci sa v súčasnosti o navrhovanom nariadení diskutuje a existuje niekoľko tisíc návrhov na zmeny a doplnenia, očakáva sa, že bude prijaté na jeseň 2022^[4]. po prijatí nariadenie o UI nadobudne účinnosť dvadsať dní po jeho zverejnení a ponechá sa 24-mesačné prechodné obdobie na zavedenie príslušných opatrení a povinností pre všetky organizácie, ktoré poskytujú alebo používajú systémy UI v rámci EÚ.

Tento článok poskytuje prehľad návrhu nariadenia o UI a jeho dôsledkov pre organizácie na celom svete.

Rozsah uplatňovania

Návrh nariadenia o UI bude mať extrateritoriálnu pôsobnosť v štýle GDPR a vzťahuje sa na (článok 2):

• poskytovateľov, ktorí uvádzajú na trh v EÚ alebo uvádzajú do prevádzky systémy UI v EÚ;
• používateľov systémov UI v EÚ a
• poskytovateľov a používateľov systémov UI, ktorých výstupy sa používajú v EÚ.

V návrhu nariadenia o UI sa pojem "poskytovateľ" vymedzuje ako osoba, ktorá vyvíja systém UI alebo ktorá si nechá vyvinúť systém UI s cieľom uviesť ho na trh alebo do prevádzky pod vlastným menom alebo ochrannou známkou (článok 3). Je potrebné poznamenať, že za poskytovateľa sa bude považovať každý distribútor, dovozca, používateľ alebo iná tretia strana, ak (čl. 28):

1. uvedie systém UI na trh pod svojím vlastným menom alebo ochrannou známkou;
2. zmení účel existujúceho systému UI alebo
3. vykoná podstatné úpravy systému UI.

Pojem "používateľ" je vymedzený ako osoba, ktorá používa systém UI na základe svojho oprávnenia, okrem prípadov, keď sa systém UI používa v rámci osobnej neprofesionálnej činnosti (článok 3).

Je pozoruhodné, že návrh nariadenia o UI stanovuje horizontálny regulačný rámec^[5] Existujúce nariadenia, zákony, normy, štandardy, normy atď. technológií sa vo väčšine prípadov vzťahujú na konkrétne odvetvia a neriešia implementáciu týchto technológií prostredníctvom hardvérových a softvérových systémov. Navrhované nariadenie sa pokúsi regulovať UI horizontálne, a teda nezávisle od prípadov použitia^[6].

Vymedzenie pojmu UI

V navrhovanom nariadení sa nestanovuje definícia UI. Namiesto toho sa v ňom uvádza definícia systémov UI (článok 3):

"[S]ystém umelej inteligencie" (systém UI) znamená softvér, ktorý je vyvinutý pomocou jednej alebo viacerých techník a prístupov uvedených v prílohe I a môže pre daný súbor cieľov definovaných človekom generovať výstupy, ako je obsah, predpovede, odporúčania alebo rozhodnutia ovplyvňujúce prostredie, s ktorým interaguje."

Zoznam techník a prístupov v prílohe I zahŕňa prístupy strojového učenia, logické a znalostné prístupy, ako aj štatistické prístupy.

Príliš široké vymedzenie systémov umelej inteligencie v návrhu nariadenia o umelej inteligencii si vyslúžilo kritiku od rôznych zainteresovaných strán. Hoci sa ešte len uvidí, ako bude vyzerať konečná verzia návrhu nariadenia o UI, niektoré štáty navrhli užšiu definíciu umelej inteligencie s dvoma dodatočnými požiadavkami: že systém je schopný "učenia, uvažovania alebo modelovania realizovaného pomocou techník a prístupov" a že je tiež "generatívnym systémom", ktorý priamo ovplyvňuje svoje prostredie^[7].

Typy systémov umelej inteligencie a príslušné požiadavky na súlad

Návrh nariadenia o UI rozdeľuje systémy UI do štyroch kategórií: systémy UI s neprijateľným rizikom, systémy UI s vysokým rizikom, systémy UI s povinnosťou transparentnosti a systémy UI s minimálnym rizikom.

Systémy UI s neprijateľným rizikom (článok 5): Za systémy s neprijateľným rizikom sa považujú napríklad postupy UI, ktoré sú v rozpore s hodnotami EÚ a jednoznačne ohrozujú bezpečnosť, živobytie a základné práva ľudí. Takéto systémy nie sú podľa návrhu nariadenia o UI povolené.

Vysoko rizikové systémy UI (článok 6): Do tejto kategórie patria tieto kategórie systémov UI:

1. Biometrické identifikačné systémy;
2. kritické infraštruktúry, ktoré by mohli ohroziť život a zdravie občanov;
3. Vzdelávanie alebo odborná príprava, ktoré môžu rozhodnúť o prístupe k vzdelaniu a profesionálnom smerovaní niekoho života;
4. bezpečnostné komponenty výrobkov;
5. zamestnanosť, riadenie pracovníkov a prístup k samostatnej zárobkovej činnosti;
6. Základné súkromné a verejné služby;
7. presadzovanie práva, výkon spravodlivosti a demokratické procesy;
8. Migrácia, azyl a riadenie hraničnej kontroly.

Na poskytovateľov vysokorizikových systémov umelej inteligencie sa vzťahujú tieto vecné povinnosti:

1. Vytvoriť a zaviesť primeraný systém riadenia a zmierňovania rizík (článok 9);
2. dôsledne spravovať údaje a správu údajov vrátane školenia a testovania vysokorizikových systémov UI s použitím údajov (článok 10);
3. Vytvoriť a poskytnúť používateľom technickú dokumentáciu (článok 11);
4. Zabezpečiť podrobné vedenie záznamov pre orgány (články 12, 20);
5. Poskytovať používateľom jasné a primerané informácie (čl. 13);
6. Zabezpečiť primeranú úroveň ľudského dohľadu (čl. 14);
7. dbať na presnosť, robustnosť a kybernetickú bezpečnosť (článok 15);
8. zaviesť vhodný systém riadenia kvality (článok 17);
9. Vykonávať monitorovanie výkonu vysoko rizikových systémov UI po ich uvedení na trh (článok 61).

Poskytovatelia vysokorizikových systémov UI sú tiež povinní dodržiavať nasledujúce procesné povinnosti:

1. Poskytovatelia by mali zabezpečiť, aby ich vysokorizikové systémy umelých inteligencií absolvovali tzv. posúdenie zhody pred tým, ako sa môžu ponúkať na trhu alebo uviesť do prevádzky (článok 19). Posúdenie zhody biometrických identifikačných systémov má vykonať príslušný "notifikovaný orgán" (príloha VII). V prípade všetkých ostatných typov systémov UI s vysokým rizikom môžu poskytovatelia vykonať posúdenie sami (príloha VI);
2. Keď systém UI s vysokým rizikom prejde posúdením zhody, poskytovatelia by mali vypracovať písomné vyhlásenie o zhode (článok 48), pripojiť označenie zhody CE k dokumentácii systému UI s vysokým rizikom (článok 49) a zaregistrovať systém UI s vysokým rizikom v databáze EÚ (článok 51);
3. Poskytovatelia by mali príslušnému orgánu do 15 dní nahlásiť "závažnú udalosť" alebo "poruchu" systému vysoko rizikovej UI (článok 62).

Na rozdiel od poskytovateľov sa na používateľov vysokorizikových systémov UI vzťahujú obmedzené požiadavky. Na základe rozšírenia musia zabezpečiť, aby používali vysokorizikové systémy UI v súlade s pokynmi na ich používanie a monitorovali prevádzku vysokorizikových systémov UI a viedli záznamy o protokoloch vytvorených vysokorizikovými systémami UI (článok 29).

Systémy UI s povinnosťou transparentnosti (článok 52): Do tejto kategórie patria chatboty alebo imitátorské roboty. Poskytovatelia takýchto systémov musia zabezpečiť, aby boli navrhnuté a vyvinuté tak, aby fyzické osoby boli informované o tom, že komunikujú so systémom UI.

Systémy UI s minimálnym rizikom (článok 69): Do tejto kategórie patria videohry s umelou inteligenciou alebo spamové filtre. Na takéto systémy UI sa nevzťahujú žiadne požiadavky na súlad. Prevažnú väčšinu systémov UI, ktoré sa v súčasnosti používajú v EÚ, možno definovať ako systémy UI s minimálnym rizikom.

Sankcie

Porušenie povinností podľa návrhu nariadenia o UI má za následok pokuty vyčíslené podľa druhu porušenia (článok 71).

Porušovateľovi (poskytovateľovi a/alebo prípadne používateľovi) sa uložia správne pokuty až do výšky 30 000 000 EUR alebo, ak je porušiteľom podnik, až do výšky 6 % jeho celkového celosvetového ročného obratu za predchádzajúci finančný rok, podľa toho, ktorá suma je vyššia, za tieto dva typy porušení:

• uvedenie na trh, uvedenie do prevádzky alebo používanie neprijateľných rizikových postupov AI (článok 5);
• nedodržanie požiadaviek na správu údajov v rámci systému vysoko rizikových UI (článok 10 ods. 4).

Za nedodržanie iných požiadaviek a povinností, ako sú uvedené, sa porušovateľovi uloží správna pokuta až do výšky 20 000 000 EUR alebo, ak je porušovateľom spoločnosť, až do výšky 4 % jej celkového celosvetového ročného obratu za predchádzajúci finančný rok, podľa toho, ktorá suma je vyššia.

V návrhu nariadenia o AI sa tiež stanovujú sankcie za neposkytnutie správnych, úplných alebo presných informácií notifikovaným orgánom a príslušným vnútroštátnym orgánom v reakcii na akúkoľvek žiadosť. V takom prípade sa porušiteľom uložia správne pokuty až do výšky 10 000 000 EUR alebo, ak je porušiteľom spoločnosť, až do výšky 2 % jej celkového celosvetového ročného obratu za predchádzajúci finančný rok, podľa toho, ktorá suma je vyššia.

Dôsledky pre podniky

Návrh nariadenia o umelej inteligencii nastavuje vysokú latku pre povinnosti priemyselných odvetví v oblasti umelej inteligencie dodržiavať predpisy vo všetkých hospodárskych odvetviach. Z globálneho prieskumu, ktorý uskutočnila spoločnosť McKinsey, vyplýva, že mnohé organizácie výrazne zaostávajú v plnení potenciálnych požiadaviek na dodržiavanie súladu s pripravovaným nariadením, keďže len 38 % z nich aktívne rieši riziká súvisiace s dodržiavaním právnych predpisov v oblasti UI^{[8]. v} tejto súvislosti by sa dotknuté organizácie mali pripraviť na nariadenia, ktoré budú určite nasledovať, a prijať strategický program dodržiavania súladu pre svoje systémy UI. To si bude vyžadovať potrebné zručnosti a zdroje, čo povedie k zvýšenej úlohe odborníkov na dodržiavanie predpisov. Od spoločností sa môže očakávať, že rozšíria svoje tímy pre dodržiavanie predpisov a najmú viac odborníkov s týmto špecifickým vzdelaním. Zvýši sa aj potreba externých právnych poradcov.