AI Act: Nowe wyzwania i obowiązki dla startupów technologicznych
Startujemy z nowym cyklem artykułów na temat dokumentu AI Act, czyli aktu prawnego wprowadzonego przez Unię Europejską. Wraz z kancelarią Rymarz Zdort Maruta przygotowaliśmy serię publikacji, które przybliżą najważniejsze wymogi oraz pomogą sprawdzić, jak uwzględnić je w rozwijających się przedsiębiorstwach.
Autorzy: Marcin Serafin, Wojciech Piszewski
Sztuczna inteligencja (AI) ma coraz większe znaczenie w rozwoju nowoczesnych technologii. Dostrzegając potrzebę jej regulacji, Unia Europejska wprowadziła AI Act – pierwszy na świecie kompleksowy akt prawny dotyczący sztucznej inteligencji. Dla startupów tworzących lub wykorzystujących AI oznacza to nowe zasady i sporo nowych obowiązków. Warto zatem zapoznać się z najważniejszymi wymogami AI Act oraz sprawdzić, w jakim zakresie mają one zastosowanie do realizowanych projektów.
Najważniejsze postanowienia AI Act
AI Act, podobnie jak RODO, jest rozporządzeniem UE. Oznacza to, że obowiązuje w jednakowym zakresie we wszystkich państwach UE. To istotne, ponieważ w przypadku projektów o międzynarodowym charakterze nie będzie konieczności analizowania lokalnych przepisów. Nakazy i zakazy będą obowiązywać bezpośrednio, a krajowe regulacje skupią się jedynie na kwestiach formalnych i organizacyjnych, takich jak wskazanie organu, który będzie nadzorował stosowanie nowych przepisów.
AI Act wprowadza wymogi dotyczące m.in. cyberbezpieczeństwa, przejrzystości, monitorowania i nadzoru nad systemami AI, obejmując cały cykl ich życia – od projektowania i tworzenia, przez wdrożenie, aż po stosowanie i dalsze monitorowanie. Obejmuje to obowiązki dla dostawców, importerów, dystrybutorów oraz użytkowników systemu. Firmy muszą spełnić określone wymagania w zależności od roli, w jakiej występują, oraz poziomu ryzyka przypisanego systemowi AI w wyniku jego klasyfikacji. W niektórych przypadkach konieczna będzie ocena pod kątem ryzyka dla użytkowników i naruszenia praw podstawowych.
Role w ekosystemie AI
AI Act definiuje różne role podmiotów związanych z tworzeniem i wdrażaniem systemów AI, z których każda ma swoje obowiązki. Kluczowe role to:
- Dostawca (provider): Osoba lub organizacja, która tworzy system AI i wprowadza go na rynek. Przykładem może być firma technologiczna rozwijająca system AI do analizy danych. Dostawca musi zapewnić zgodność systemu z AI Act, w tym prowadzić dokumentację techniczną, oceniać ryzyko oraz monitorować system przez cały cykl jego życia, również po wprowadzeniu go na rynek.
- Podmiot stosujący (deployer): Podmiot korzystający z systemu AI w swoich procesach biznesowych. Przykładem może być szpital wdrażający narzędzie diagnostyczne oparte na AI czy firma rekrutacyjna używająca AI do oceny kandydatów. Wdrażający musi przede wszystkim monitorować działanie systemu i zapewniać, że jest on używany zgodnie z przeznaczeniem i z przepisami, zwłaszcza w kontekście ochrony praw podstawowych i bezpieczeństwa danych.
Dodatkowo AI Act definiuje role importera (wprowadzającego systemy AI spoza UE na rynek unijny), dystrybutora (który udostępnia system AI, ale nie odpowiada za jego tworzenie) oraz autoryzowanego przedstawiciela (reprezentującego dostawców spoza UE w zakresie zgodności z przepisami unijnymi).
Klasyfikacja systemów AI
AI Act definiuje cztery kategorie ryzyka:
- Ryzyko nieakceptowalne: W tej kategorii mieszczą się np. systemy AI wykorzystujące techniki manipulacyjne, takie jak wpływanie na ludzkie zachowanie za pomocą podprogowych metod czy rozpoznawanie emocji w miejscach pracy. Ich użycie jest bezwzględnie zakazane.
- Ryzyko wysokie: To systemy AI, które np. wykorzystują biometrię czy służą do oceny kandydatów w rekrutacji. Takie systemy muszą spełniać szereg wymogów – ich użycie jest dozwolone, ale wiąże się z dodatkowymi obowiązkami.
- Ryzyko niskie / ograniczone: To np. chatboty i systemy AI, które służą do generowania treści. W tym przypadku trzeba zapewnić przejrzystość i poinformować użytkowników o wykorzystaniu AI.
- Ryzyko minimalne: Ta kategoria obejmuje proste aplikacje, takie jak filtry antyspamowe czy gry wideo, które nie podlegają szczególnym regulacjom.
Wymogi dla systemów wysokiego ryzyka
Systemy wysokiego ryzyka są najbardziej regulowane przez AI Act. Dostawcy tych systemów muszą spełnić szereg wymogów, w tym przede wszystkim:
- Wdrożyć system zarządzania ryzykiem, który obejmuje identyfikację zagrożeń związanych z działaniem systemu AI oraz podejmowanie działań minimalizujących te ryzyka.
- Zapewnić bezpieczeństwo systemu AI i ochronę praw podstawowych, transparentność i jakość danych – systemy wysokiego ryzyka muszą być odporne na ataki, manipulacje czy nieautoryzowane zmiany. Dane używane do ich trenowania, testowania i walidacji muszą być odpowiedniej jakości, aby uniknąć błędów, uprzedzeń i dyskryminacji. Użytkownicy muszą mieć świadomość, że korzystają z systemu AI, i otrzymać jasne wytyczne dotyczące jego działania.
- Opracować szczegółową dokumentację techniczną systemów AI, która musi być aktualizowana na bieżąco, aby spełniać wymogi zgodności przez cały cykl życia systemu.
- Przeprowadzić ocenę zgodności przed wprowadzeniem systemu AI wysokiego ryzyka na rynek, aby upewnić się, że system spełnia wymogi AI Act. W niektórych przypadkach ocena zgodności może wymagać certyfikacji przez odpowiednie organy
- Monitorować system AI po wprowadzeniu na rynek – wszelkie nieprawidłowości lub incydenty związane z funkcjonowaniem systemu AI muszą być zgłaszane odpowiednim organom nadzoru. Dostawcy muszą też umożliwić organom regularne audyty systemów.
Systemy AI ogólnego przeznaczenia (GPAI)
Część AI Act poświęcona jest tzw. systemom AI ogólnego przeznaczenia (GPAI), zaprojektowanym do wykonywania szerokiego zakresu zadań. Obowiązki dostawców i użytkowników GPAI są bardziej rozbudowane w porównaniu do zwykłych systemów AI. Wynika to z uniwersalności GPAI i możliwości ich zastosowania w różnych sektorach i kontekstach, co niesie ze sobą większe ryzyka. Dlatego AI Act nakłada na dostawców GPAI dodatkowe obowiązki w zakresie oceny ryzyka, przejrzystości, dokumentacji oraz zarządzania danymi, aby zapewnić odpowiedzialne i bezpieczne wykorzystanie tych systemów.
Etyczna sztuczna inteligencja
AI Act kładzie duży nacisk na bezpieczeństwo, przejrzystość i odpowiedzialność systemów AI. Nowe przepisy chronią prawa podstawowe i minimalizują ryzyko, jakie AI może stwarzać dla społeczeństwa, np. poprzez zakaz praktyk manipulacyjnych czy dyskryminacyjnych. Wymaga to zapewnienia nadzoru ze strony człowieka nad systemami wysokiego ryzyka, oceny wpływu na prawa podstawowe, zarządzania ryzykiem i jakością danych.
Sankcje za nieprzestrzeganie przepisów
AI Act przewiduje surowe sankcje za nieprzestrzeganie przepisów. Naruszenie regulacji dotyczących systemów, które są zakazane lub wysokiego ryzyka, może skutkować karą do 35 milionów euro lub 7% globalnych obrotów firmy. Sankcje grożą także za brak odpowiednich zabezpieczeń w zakresie ochrony danych oraz niewłaściwe zarządzanie ryzykiem. Warto pamiętać, że kary te nie wyłączają odpowiedzialności za naruszenie innych przepisów mających zastosowanie do systemów AI, w obszarach takich jak RODO, własność intelektualna, cyberbezpieczeństwo czy przepisy sektorowe.
Wyzwania i korzyści dla startupów
Wdrożenie wymogów AI Act może być wyzwaniem dla startupów, zwłaszcza w zakresie dokumentacji i zarządzania ryzykiem. Konieczne będzie identyfikowanie ryzyka związanego z AI i ocena, jakie obowiązki wynikają z AI Act. Wdrożenie tych obowiązków może wymagać dodatkowych zasobów oraz kosztów.
Przestrzeganie AI Act przynosi jednak również korzyści. Zgodność z przepisami buduje zaufanie klientów i inwestorów, co może ułatwić rozwój i ekspansję na rynkach europejskich. Startupy, które dostosują swoje działania do nowych regulacji, zyskają przewagę konkurencyjną, pozycjonując się jako odpowiedzialni i bezpieczni dostawcy innowacyjnych technologii.
AI Act nieodwracalnie zmieni sposób, w jaki startupy tworzą, wprowadzają i monitorują swoje systemy AI. Zrozumienie swojej roli w ekosystemie AI, efektywne zarządzanie ryzykiem oraz zgodność z przepisami ochrony danych będą kluczowe dla sukcesu na rynku unijnym.
Co dalej?
W nadchodzących tygodniach planujemy publikację dodatkowych materiałów, które pomogą startupom w pełni zrozumieć wymagania AI Act. Kolejne artykuły ekspertów kancelarii Rymarz Zdort Maruta będą dotyczyć następujących tematów:
- Zakazane praktyki w AI – szczegółowa analiza praktyk zakazanych przez nowe przepisy, w tym technik podprogowych i dyskryminacyjnych.
- Bezpieczeństwo i etyka w AI – przewodnik po zasadach bezpieczeństwa i etyki w tworzeniu oraz wdrażaniu AI.
- Wpływ AI Act na startupy – jak nowe regulacje wpłyną na startupy i jakie kroki należy podjąć, aby być zgodnym z przepisami.
- Edukacja i zasoby – informacje o dostępnych materiałach edukacyjnych i inicjatywach wspierających dostosowanie się do nowych wymogów.
- AI Act w praktyce – poradnik dotyczący zgodności rozwiązań z wytycznymi AI Act.
Zachęcamy do śledzenia naszych cotygodniowych publikacji, które ukażą się w każdy poniedziałek. Kolejny artykuł już w przyszłym tygodniu!