Szczegóły projektu unijnych przepisów o sztucznej inteligencji

21 kwietnia Komisja Europejska opublikowała długo wyczekiwany, pierwszy oficjalny projekt rozporządzenia w sprawie sztucznej inteligencji, a dokładnie projekt rozporządzenia ustanawiającego zharmonizowane zasady w sprawie sztucznej inteligencji (Artificial Intelligence Act). Projekt ten określa zasady wprowadzania na rynek, wprowadzania do użytku lub stosowania systemów sztucznej inteligencji.

Treść dokumentu wskazuje również na zakaz podejmowania niektórych działań, a także formułuje konkretne wymagania dla sztucznej inteligencji wysokiego ryzyka. Znaleźć w nim można również zasady transparentności działania systemów sztucznej inteligencji oraz zasady odnoszące się do monitorowania rynku i nadzoru.

Zgodnie z treścią projektu rozporządzenia, jego przepisy obejmują zarówno dostawców i użytkowników zlokalizowanych na terenie Unii Europejskiej, jak i tych, których działania będące wynikiem stosowania systemów sztucznej inteligencji obejmują obszar Unii Europejskiej. Warto w tym miejscu podkreślić, że treść rozporządzenia nie obejmuje systemów sztucznej inteligencji, które zostały wytworzone bądź są używane jedynie w celach militarnych.

Jest to pierwszy unijny projekt, który tak dokładnie definiuje pojęcia takie jak: systemy sztucznej inteligencji, dostawca, użytkownik, dystrybutor, oznakowanie zgodności CE, system rozpoznawania emocji, system zdalnej identyfikacji biometrycznej (w czasie rzeczywistym oraz na podstawie poprzednio zgromadzonych danych).

Projekt zawiera listę praktyk niedozwolonych, koncentrujących się głównie na wprowadzaniu na rynek, wprowadzeniu do użytku lub stosowaniu systemów sztucznej inteligencji, które wykorzystują dane bazujące na stronniczości bądź też takie, które wykorzystują ludzkie podatności na wpływ wynikające z wieku czy niepełnosprawności fizycznej lub umysłowej, a także te wprowadzane przez władze krajowe dążące do stworzenia systemu oceny wiarygodności obywateli czy też niektóre przypadki wykorzystywania systemu zdalnej identyfikacji biometrycznej przez władze krajowe.

W projekcie rozporządzenia przyjęto podejście oparte na analizie ryzyka, jednocześnie dokonując jego stopniowania:

  1. niedopuszczalne ryzyko: systemy sztucznej inteligencji, które uznaje się za wyraźne zagrożenie dla bezpieczeństwa, źródeł utrzymania i praw obywateli. Te systemy mają zostać zakazane. W grupie tej wyróżnić możemy systemy lub aplikacje wykorzystujące sztuczną inteligencję do manipulowania ludzkimi zachowaniami w celu obejścia wolnej woli użytkowników (np. zabawki z wbudowanym asystentem głosowym zachęcające małoletnich do niebezpiecznych zachowań) czy też systemy oceny punktowej obywateli przez rządy.
  2. wysokie ryzyko: dla tej grupy sformułowano najwięcej obowiązków przed wprowadzeniem do obrotu systemów sztucznej inteligencji wysokiego ryzyka. Za systemy sztucznej inteligencji wysokiego ryzyka należy uznać te, które odnoszą się do:
    - infrastruktury krytycznej;
    - kształcenia lub szkolenia zawodowego (np. ocena egzaminów);
    - elementów bezpieczeństwa produktów (np. zastosowanie sztucznej inteligencji w chirurgii wspomaganej robotem);
    - zatrudnienia, zarządzania pracownikami i dostępu do samozatrudnienia (np. oprogramowanie do sortowania CV na potrzeby procedur rekrutacji);
    - podstawowych usług prywatnych i publicznych (np. ocena zdolności kredytowej, która może uniemożliwić obywatelom dokonanie pewnych inwestycji);
    - egzekwowania prawa;
    - zarządzanie migracją, azylem i kontrolą granic (np. ocena autentyczności dokumentów podróży);
    - sprawowanie wymiaru sprawiedliwości i procesach demokratycznych;
    - zdalnej identyfikacji biometrycznej.
  3. ograniczone ryzyko: tu wyróżnić należy obowiązki w zakresie przejrzystości. Uznano, że użytkownicy powinni mieć świadomość, że wchodzą w interakcję z maszyną).
  4. minimalne ryzyko: jako konkretne przykłady wskazać można swobodne korzystanie z zastosowań takich jak gry wideo z wykorzystaniem sztucznej inteligencji lub filtry spamu. Stosowanie systemów sztucznej inteligencji minimalnego ryzyka nie pociąga za sobą szczególnych obowiązków.

W przypadku systemów sztucznej inteligencji wysokiego ryzyka konieczne jest stworzenie, implementacja, udokumentowanie i utrzymywanie systemu zarządzania ryzykiem, co zapewni przestrzeganie obowiązku testowania tych systemów przed ich wprowadzeniem na rynek lub też wprowadzeniem do użytku. Co więcej, systemy sztucznej inteligencji wysokiego ryzyka mają być tworzone w sposób gwarantujący, że ich użytkownicy nie będą mieli problemów ze zrozumieniem ich działania oraz wyników ich działania. Poza tym, przepisy projektu nakładają obowiązek tworzenia instrukcji, w formie cyfrowej bądź innej, która w sposób jasny i zrozumiały objaśnia działanie systemów sztucznej inteligencji wysokiego ryzyka.

Projekt rozporządzenia, podobnie jak poprzednio choćby sprawozdania Parlamentu Europejskiego, zakłada nadrzędną rolę człowieka nad działaniem systemów sztucznej inteligencji i jego nadzór nad nimi, co docelowo zapobiec ma potencjalnym ryzykom w zakresie zdrowia, bezpieczeństwa bądź też naruszenia praw podstawowych czy wymogów cyberbezpieczeństwa.

Treść dokumentu dokładnie określa szczegółowe wymagania, które spełnić muszą dostawcy systemów sztucznej inteligencji wysokiego ryzyka, producenci/twórcy tych systemów, ich importerzy,  dystrybutorzy oraz użytkownicy. Ponadto, wskazuje na wymóg ustanowienia upoważnionego przedstawiciela przez dostawcę mającego siedzibę poza obszarem Unii Europejskiej, w formie pisemnego upoważnienia, przed udostępnieniem systemów na terenie Unii Europejskiej, w przypadku gdy importer systemów nie może zostać zidentyfikowany. Co więcej, przepisy projektu zakładają potrzebę wyznaczenia przez każde państwo członkowskie  organu notyfikującego, odpowiedzialnego za ustanawianie i przeprowadzanie procedur koniecznych do oceny, wyznaczania i notyfikowania jednostek oceniających zgodność oraz za ich monitorowanie. Dokładnie opisano również obowiązki jednostek notyfikowanych polegające głównie na weryfikacji zgodności systemu sztucznej inteligencji wysokiego ryzyka zgodnie z procedurami oceny zgodności.

W projekcie znalazły się również przepisy mówiące o certyfikatach wydawanych przez jednostki notyfikowane, które mają być sporządzone w języku urzędowym Unii Europejskiej określonym przez państwo członkowskie, w którym jednostka notyfikowana jest ustanowiona lub w innym języku urzędowym Unii Europejskiej, możliwym do zaakceptowania przez jednostkę notyfikowaną. Podkreśla się, że certyfikaty są ważne przez wskazany w nich okres, który nie przekracza pięciu lat, jednakże na wniosek dostawcy ważność certyfikatu może zostać przedłużona na kolejne okresy, z których każdy nie może przekroczyć pięciu lat, w oparciu o ponowną ocenę przeprowadzoną zgodnie z obowiązującymi procedurami oceny zgodności.

Jednym z obowiązków nałożonych na dostawcę jest sporządzenie pisemnej deklaracji zgodności UE dla każdego systemu sztucznej inteligencji i jej przechowywania przez okres 10 lat po wprowadzeniu systemu sztucznej inteligencji do obrotu lub oddaniu go do użytku a jej kopia ma być wydawana właściwym organom krajowym na ich wniosek. Określono ponadto sposób oznakowania zgodności CE, który zakłada jego dodanie oznakowania dla systemów sztucznej inteligencji wysokiego ryzyka w sposób widoczny, czytelny i nieusuwalny.

Nie zapomniano o spełnieniu obowiązku przejrzystości dla poszczególnych systemów sztucznej inteligencji wskazując, że dostawcy systemów muszą upewnić się, że systemy te są tworzone w sposób gwarantujący, że użytkownicy z nich korzystający wiedzą, że korzystają z systemów sztucznej inteligencji, chyba że jest to oczywiste na podstawie danych okoliczności oraz kontekstu korzystania z tych systemów.

W dokumencie nawiązano także do tworzenia sandboxów przez odpowiednie organy państw członkowskich lub Europejskiego Inspektora Ochrony Danych, które zapewnić mają  kontrolowane środowisko ułatwiające rozwój, testowanie i walidację innowacyjnych systemów sztucznej inteligencji przez ograniczony czas przed ich wprowadzeniem na rynek lub oddaniem do użytku. Dodatkowo, stworzono konkretne udogodnienia dla MŚP oraz startupów w zakresie dostępu i korzystania z sandboxów.

Projekt rozporządzenia określa warunki i skład powołania Europejskiej Rady ds. Sztucznej Inteligencji (European Artificial Intelligence Board) składającej się z organów nadzorczych państw członkowskich i mającej za zadanie doradzanie i wsparcie Komisji Europejskiej, która jej przewodzi, w sprawach sztucznej inteligencji i prawidłowego stosowania przepisów rozporządzenia. Ponadto przewidziano stworzenie przez Komisję Europejską i państwa członkowskie bazy zawierającej informacje na temat autonomicznych systemów sztucznej inteligencji wysokiego ryzyka.

Jako że systemy sztucznej inteligencji wysokiego ryzyka są systemami najbardziej obciążonymi nałożonymi obowiązkami, do listy już wymienionych obowiązków dodać należy wymóg monitorowania systemów sztucznej inteligencji wysokiego ryzyka przez dostawców po ich wprowadzeniu na rynek, a także obowiązek raportowania poważnych incydentów i awarii systemów wysokiego ryzyka, które mogą prowadzić do naruszenia praw podstawowych.

Przepisy projektu umożliwiają tworzenie przez pojedynczych dostawców oraz przez organizacje ich reprezentujące kodeksów zgodności, które zakładają zobowiązanie się dostawców do przestrzegania obowiązków wynikających z rozdziału 2 projektu rozporządzenia również w przypadku systemów sztucznej inteligencji innych niż systemy wysokiego ryzyka.

Określono również dokładne kary za nieprzestrzeganie przepisów rozporządzenia:

  1. kara administracyjna w wysokości do 30 000 000 EUR lub, w przypadku przedsiębiorstwa, do 6 % jego całkowitego rocznego światowego obrotu za poprzedni rok budżetowy, w zależności od tego, która z tych kwot jest wyższa (art. 5 oraz art. 10);
  2. kara administracyjna w wysokości do 20 000 000 EUR lub, w przypadku przedsiębiorstwa, do 4 % jego całkowitego rocznego światowego obrotu za poprzedni rok budżetowy, w zależności od tego, która z tych wartości jest wyższa (pozostałe przepisy);
  3. kara administracyjna w wysokości do 10 000 000 EUR lub, w przypadku przedsiębiorstwa, do 2 % jej całkowitego rocznego światowego obrotu za poprzedni rok budżetowy, w zależności od tego, która z tych wartości jest wyższa (dostarczanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym i właściwym organom krajowym w odpowiedzi na wniosek).

Źródło:

https://ec.europa.eu/commission/presscorner/detail/pl/ip_21_1682

Elżbieta Dziuba, ekspertka Konfederacji Lewiatan
e-mail: edziuba@konfederacjalewiatan.pl

 

Nowe regulacje dot. sztucznej inteligencji będą tematem spotkania online organizowanego 7 maja przez Konfederację Lewiatan. Spotkanie poprowadzi ekspertka Lewiatana Elżbieta Dziuba.
Zobacz szczegóły wydarzenia>>