Akt o sztucznej inteligencji – rewolucja czy ewolucja biznesu?

Organy Unii Europejskiej pracują nad przepisami mającymi regulować sztuczną inteligencje. Wielu ekspertów prognozuje, że wprowadzenie tego aktu prawnego spowoduje podobną rewolucję jaką wywołało RODO. Czy tak rzeczywiście się stanie? Czy każdy przedsiębiorca będzie musiał dostosować swój biznes do aktu o sztucznej inteligencji? Jakie wymogi akt o sztucznej inteligencji nakłada na przedsiębiorstwa? Jeśli choć jedno z powyższych pytań Cię zainteresowało, zapraszamy do przeczytania naszego tekstu.

Pojęcie sztucznej inteligencji

Przede wszystkim należy wskazać jak rozumiana jest sztuczna inteligencja w projektowanych przepisach. W opublikowanym projekcie za „system sztucznej inteligencji” uważa się oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik i podejść wymienionych poniżej, które może generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję.

Powołane techniki i podejścia są następujące:

  • a. mechanizmy uczenia maszynowego, w tym uczenie nadzorowane, uczenie się maszyn bez nadzoru i uczenie przez wzmacnianie, z wykorzystaniem szerokiej gamy metod, w tym uczenia głębokiego;
  • b. metody oparte na logice i wiedzy, w tym reprezentacja wiedzy, indukcyjne programowanie (logiczne), bazy wiedzy, silniki inferencyjne i dedukcyjne, rozumowanie (symboliczne) i systemy ekspertowe;
  • c. podejścia statystyczne, estymacja bayesowska, metody wyszukiwania i optymalizacji.

Jak wynika z powyższego wyliczenia, definicja systemu sztucznej inteligencji w projktowanym rozporządzeniu będzie niezwykle szeroka. Zatem każdy wykorzystujący oprogramowanie oparte o ww. mechanizmy powinien zastanowić się, czy na niego również zostaną nałożone nowe obowiązki prawne. Nie oznacza to jednak, że będą one jednakowe dla wszystkich tego rodzaju systemów. Przepisy rozporządzenia wyróżniają kilka ich rodzajów.

Akt o sztucznej inteligencji wyróżnia systemy stwarzające:

  • a. niedopuszczalne ryzyko;
  • b. wysokie ryzyko;
  • c. ograniczone ryzyko;
  • d. niskie lub minimalne ryzyko.

W tym tekście skupimy się na systemach stwarzających wysokie ryzyko, ponieważ ich stosowanie obciąża przedsiębiorcę największą ilością nowych obowiązków.

Sztuczna inteligencja stwarzająca wysokie ryzyko

W projektowanych przepisach wskazano, że systemy sztucznej inteligencji wysokiego ryzyka to te, które zajmują się m.in.:

  • a. identyfikacją i kategoryzacją biometryczną osób fizycznych w zakresie, w jakim przeznaczone będą do zdalnej identyfikacji biometrycznej osób fizycznych „w czasie rzeczywistym” i „post factum”,
  • b. kształceniem i szkoleniem zawodowym w zakresie w jakim przeznaczone będą do podejmowania decyzji o dostępie do edukacyjnych i szkolenia zawodowego, a także systemy sztucznej inteligencji stosowane do oceny uczniów i studentów oraz uczestników egzaminów wymaganych do przyjęcia do instytucji edukacyjnych;
  • c. zatrudnieniem, zarządzaniem pracownikami i dostępem do samozatrudnienia, jeśli przeznaczone będą do celów rekrutacyjnych, w szczególności informowania o wakatach, selekcji lub filtrowania podań o pracę, oceny kandydatów lub ich testowania, podejmowania decyzji o awansie i rozwiązaniu stosunku pracy, przydzielania zadań oraz monitorowania i oceny wydajności i zachowania pracowników.

Jeżeli zatem przedsiębiorca wykorzystuje w swoim zakładzie pracy jakiekolwiek narzędzie, program, czy aplikację działające w oparciu o wyżej opisane systemy, będzie musiał sprostać szeregowi nowych obowiązków i w efekcie dostosować swoje przedsiębiorstwo do nowych wymagań prawnych.

Obowiązki podmiotów stosujących sztuczną inteligencję wysokiego ryzyka

Opisane powyżej systemy sztucznej inteligencji wysokiego ryzyka muszą spełnić wymogi prawne dotyczące m.in.:

  • a. utrzymywania systemu zarządzania ryzykiem;
  • b. danych i zarządzania danymi;
  • c. dokumentacji technicznej;
  • d. rejestrowania zdarzeń podczas działania systemów SI;
  • e. przejrzystości i dostarczania informacji użytkownikom;
  • f. nadzoru ze strony człowieka;
  • g. solidności, dokładności i cyberbezpieczeństwa.

Kary

Powyższe wymogi będą wyzwaniem dla wszystkim firm wykorzystujących systemy sztucznej inteligencji, które mogą zostaną zakwalifikowane jako systemy wysokiego ryzyka na gruncie nowych przepisów. Za nieprzestrzeganie planowanego rozporządzenia zostaną wprowadzone dotkliwe kary, które będą egzekwowane przez dedykowny organ krajowy każdego państwa członkowskiego Unii Europejskiej. Na przedsiębiorstwo może zostać nałożona kara w wysokości do 30 000 000 euro bądź w wysokości do 6 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Czy już teraz należy wprowadzać zmiany?

Projekt rozporządzenia został opublikowany w kwietniu 2021 r., a w styczniu 2022 r. Parlament Europejski przystąpił do rozpatrywania wniosku Komisji w sprawie uchwalenia omawianego aktu prawnego. Kiedy zatem podmioty z branży technologicznej mogą spodziewać się nałożenia opisywanych wyżej obowiązków?

Nowe rozporządzenie wejdzie w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej. Natomiast zastosowanie znajdzie dopiero 24 miesiące po tej dacie. Skoro akt nie został jeszcze uchwalony, oznacza to, iż rzeczywisty wpływ na rynek będzie miał za więcje niż 2 lata.

Pomimo odległej daty obowiązywania, już teraz nie należy ignorować nowych przepisów. W momencie ich wdrażania, istotne znaczenie będą miały przepisy przejściowe, w szczególności art. 83 AIA. Na jego podstawie, nowe rozporządzenie obejmie swoim zastosowaniem jedynie te systemy sztucznej inteligencji wysokiego ryzyka, które (1) oddane zostaną do użytku po dniu rozpoczęcia stosowania rozporządzenia (czyli za ponad 2 lata) lub (2) zostały wcześniej wdrożone, lecz w znaczący sposób zmieniły swoje przeznaczenie lub strukturę.

W przypadku systemu sztucznej inteligencji wysokiego ryzyka może się okazać, iż jego rozwój i oddanie do użytku przed upływem 2 lat od wejścia w życie rozporządzenia nie spowoduje nałożenia na przedsiębiorcę żadnych nowych obowiązków. Co za tym idzie, będzie to rozwiązanie łatwiejsze i tańsze, niż sprostanie szeregowi nowych wymagań. Jak się okazuje, moment rozpoczęcia wykorzystania systemu jest kluczowy dla stosowania przepisów nowego rozporządzenia.

Tymczasem wyżej wskazany przepis nie będzie pomocy w przypadku systemów niedopuszczalnego ryzyka. System taki po wejściu w życie rozporządzenia stanie się on niezgodny z prawem. Nawet pomimo jego wdrożenia przed uchwaleniem nowego aktu prawnego. To natomiast może pociągnąć za sobą konieczność likwidacji takiego oprogramowania, a co za tym idzie, znacznych strat finansowych.

Powyższe oznacza, iż wszelkie podmioty planujące, rozwijające lub właśnie wdrażając jakiekolwiek oprogramowanie mogące zawierać elementy systemów sztucznej inteligencji, powinny już teraz rozważyć zakwalifikowanie swojego systemu. Od tej kwalifikacji zależeć będą przyszłe obowiązki właściciela oprogramowania.


O autorze

Law4Tech

Law4Tech to próba spojrzenia w zupełnie nowy sposób na problemy związane z prawem nowych technologii. Hub, skupiający prawników zajmujących się różnymi dziedzinami jak cyberbezpieczeństwo, prawo własności intelektualnej, prawo europejskie czy prawo nowych technologii. Ludzi młodych, którzy idealnie uzupełniają się nawzajem, pod względem wiedzy, umiejętności, a także temperamentu i stylu pracy. Fundacja łączy praktyczną oraz naukową perspektywę, z prospołecznym nastawieniem i jako taka tworzy przestrzeń przyjazną rozwijaniu innowacyjnych pomysłów.


Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany.

pl_PL