Parlament Europejski uchwalił dzisiaj AI Act. To pierwsza na świecie kompleksowa regulacja prawna porządkująca kwestie związane ze stosowaniem sztucznej inteligencji.
Sztuczna inteligencja to technologia o ogromnym potencjale, która rozwija się w błyskawicznym tempie. Może być wykorzystana do poprawy warunków życia, ale może również prowadzić do negatywnych konsekwencji społeczno-ekonomicznych i powodować szkody dla interesu publicznego. Dostrzegając to ryzyko, Unia Europejska postanowiła opracować ramy prawne dla rozwoju sztucznej inteligencji i jej wykorzystywania. Założeniem prawodawcy unijnego było zapewnienie, że sztuczna inteligencja będzie bezpieczna i godna zaufania. W praktyce oznacza to szereg obowiązków i ograniczeń dla organizacji korzystających z rozwiązań sztucznej inteligencji i ich dostawców.
AI Act zakazuje stosowania najbardziej szkodliwych systemów sztucznej inteligencji (tzw. systemy niedopuszczalne, które np. wykazują znaczny potencjał manipulowania ludźmi), a dla innych grup systemów – ustanawia określone obowiązki. Najdalej idące dla tzw. systemów wysokiego ryzyka, jak np. wdrożenie i utrzymywanie ciągłego systemu zarządzania ryzykiem, wdrożenie środków w celu eliminacji lub ograniczenia ryzyka i testowanie takich systemów. AI Act ustanawia także odpowiednie wymogi co do jakości danych, które mogą być wykorzystywane do trenowania systemów wysokiego ryzyka oraz obowiązek opracowania dokumentacji technicznej i zaopatrzenia w funkcję rejestracji zdarzeń. Co niemniej istotne, AI Akt przewiduje, że za naruszenie przepisów rozporządzenia przewidziano maksymalną karę w wysokości 35 milionów euro lub 7% światowego rocznego obrotu.
Na wdrożenie większości wymogów AI Act mamy 24 miesiące. Warto jednak pamiętać, że już teraz użycie sztucznej inteligencji wymaga często wdrożenia zmian w zakresie ochrony danych osobowych, zarządzania własnością intelektualną czy innych regulacji prawnych lub wewnętrznych.
Czytaj także:
Jak w takim razie już dziś przygotować się na obowiązywanie AI Act? Przede wszystkim należy rozpocząć od weryfikacji tego, jakie systemy sztucznej inteligencji są wykorzystywane w organizacji i na tej podstawie dokonać oceny spoczywających na niej obowiązków. Na tej podstawie powinniśmy opracować wewnętrzne zasady wykorzystywania AI, określające m.in. ramy dopuszczalnego użycia systemów AI oraz zasad stosowania narzędzi AI przez pracowników. Takie wewnętrzne procedury i dokumentacja (nazywane popularnie AI Governance) są pierwszym krokiem do nadzoru i kontroli nad wykorzystaniem AI.
Przyjęcie zasad AI Governance wymaga dokonania przeglądu i aktualizacji stosowanych wzorów umów oraz kluczowych umów z perspektywy wykorzystywania AI, w tym NDA, umów o pracę, umów cywilnoprawnych, wzory umów z dostawcami treści lub usług cyfrowych. Niezbędna może również okazać się aktualizacja istniejących regulacji wewnętrznych z innych obszarów, np. z zakresu ochrony prywatności, własności intelektualnej (strategia IP, wzory umów), cyberbezpieczeństwa i bezpieczeństwa informacji, IT, HR, procedur zakupowych i innych. Jednym z istotnych elementów AI Governance będzie także analiza ryzyka dotycząca wykorzystania systemów sztucznej inteligencji. Na jej podstawie konieczne będzie określenie, z których rozwiązań organizacja nie może korzystać, a których użycie musi ograniczyć.
Warto rozpocząć prace nad wdrożeniem wymogów AI Act już teraz. Z jednej strony nie możemy bowiem zapominać, że stosowanie rozwiązań z zakresu AI dotyka bezpośrednio również innych, w pełni obowiązujących regulacji, chociażby z obszarów ochrony prywatności, własności intelektualnej czy cyberbezpieczeństwa. Z drugiej strony prawidłowe wdrożenie zasad AI Governance (odwołujące się do istniejących norm i standardów) to pierwszy krok do zapewnienia zgodności z przepisami rozporządzenia.
Zdaniem Eksperta. Na pytania odpowiada Radca Prawny Piotr Kalina z Kancelarii Rymarz Zdort Maruta
(Business Journal – BJ): Czy przedsiębiorcy będa mogli czy będą musieli liczyć na wsparcie zewnętrznych firm, aby móc wprowadzić zmiany zgodne z rozporządzeniem?
(Radca Prawny Piotr Kalina – PK): Wsparcie firm doradczych może okazać się niezbędne. Najbardziej odpowiednie będą podmioty, które mają doświadczenie w realizacji projektów dotyczących AI lub doświadczenie audytowe oraz kompetencje z zakresu analizy ryzyka. Będą to zarówno kancelarie prawne, szczególnie z doświadczeniem w branży IT, jak i eksperci od bezpieczeństwa IT czy firmy consultingowe. Wielu dostawców tego typu usług ma już obecnie w ofercie gotowe rozwiązania z zakresu wdrożenia w organizacji AI Governance.
Czy AI Act jasno określa zarówno o jakie oprogramowanie chodzi i wprowadza procedury dla firm?
Rozporządzenie AI Act wprowadza definicję systemu sztucznej inteligencji, a także klasyfikuje systemy sztucznej inteligencji na cztery kategorie według poziomu ryzyka. Dla każdej z nich przewidziane są inne obowiązki. Przedsiębiorca musi we własnym zakresie (lub z pomocą zewnętrznego doradcy) ocenić czy oprogramowanie, które wykorzystuje w swojej działalności, jest systemem sztucznej inteligencji i jakiej kategorii. Na tej podstawie będzie mógł określić jakie podjąć kroki i jakie procedury należy wdrożyć. Najdalej idące obowiązki nakładane przez AI Act dotyczą systemów sztucznej inteligencji wysokiego ryzyka i będą najbardziej angażujące dla korzystającej z nich organizacji.
Jak prawnicy oceniają wprowadzenie AI Act, czy jest w obecnych czasach w ogóle możliwa do zrealizowania?
AI Act jest pierwszym aktem prawnym na świecie, która w kompleksowy sposób reguluje zagadnienia dotyczące sztucznej inteligencji. W tym sensie jego wprowadzenie jest przełomowe. Jednocześnie, sposób sformułowania przepisów i obowiązków AI Act, oparty na analizie ryzyka, wpisuje się w panujący w Unii Europejskiej trend tworzenia uniwersalnych regulacji, które mogą mieć zastosowanie w różnym zakresie do różnych podmiotów. Rozporządzenie nie nakłada sztywnych obowiązków, które są jednakowe dla każdego podmiotu podlegającego pod AI Act. Przedsiębiorca lub podmiot z sektora publicznego, musi we własnym zakresie dostosować regulacje do zakresu i sposobu korzystania ze sztucznej inteligencji w swojej organizacji. Ma to swoje korzyści, bowiem przepisy nie nakładają na organizacje nadmiernych obowiązków, np. jeśli nie stosują one systemów wysokiego ryzyka. Jednocześnie, wprowadzenie ram prawnych dla rozwoju, wdrażania i stosowania systemów sztucznej inteligencji, było pożądane ze względu na to, że wpływa na coraz więcej obszarów życia biznesowego i prywatnego, w tym regulacje dotyczące praw autorskich, ochrony danych osobowych, cyberbezpieczeństwa i innych. Uchwalenie nowych przepisów pozwoli uporządkować kwestie na styku tych regulacji.
Piotr Kalina jest radcą prawnym, partnerem w departamencie ochrony danych osobowych kancelarii Rymarz Zdort Maruta oraz współkieruje praktyką ecommerce & digital marketing.
Biogram: Posiada kilkunastoletnie doświadczenie w obsłudze prawnej podmiotów prywatnych i publicznych. Specjalizuje się w ochronie danych osobowych oraz zagadnieniach e-commerce, prawie konsumenckim i marketingu. Doradza w obszarze cyberbezpieczeństwa, sztucznej inteligencji oraz prawa nowych technologii.
Piotr pracuje z międzynarodowymi i krajowymi grupami kapitałowymi, w tym z branży handlowej i produkcyjnej, sieciami franczyzowymi oraz sklepami internetowymi. Doradzał w budowaniu modeli biznesowych dla największych platform, programów lojalnościowych oraz przełomowych rozwiązań sieci autonomicznych sklepów opartych o rozwiązania sztucznej inteligencji, a także nowoczesnych metod dystrybucji i sprzedaży towarów i usług.
Autor licznych publikacji z zakresu prawa ochrony danych osobowych oraz wykładowca na studiach podyplomowych i prelegent na uznanych konferencjach branżowych. Ukończył studia podyplomowe z zakresu danych osobowych w Polskiej Akademii Nauk oraz z zakresu prawa nowoczesnych technologii na Akademii Leona Koźmińskiego w Warszawie.
