Akt o sztucznej inteligencji – jak unijne prawo wpłynie na przedsiębiorców?
W ciągu kilku ostatnich lat w przestrzeni publicznej pojawiały się głosy, że polskie i międzynarodowe prawo nie nadążają za rozwojem sztucznej inteligencji. W tym czasie AI stało się nieodłączną częścią niemalże każdego biznesu – zarówno dużych korporacji, jak i lokalnych firm. Niektórzy korzystają z modeli językowych lub graficznych do tworzenia treści na social media, inni automatyzują swoją pracę lub wykorzystują sztuczną inteligencję w celach programistycznych. Do tej pory żadne przepisy nie regulowały tych czynności, ale to się zmienia. Unia Europejska wprowadza AI Act. Czy przedsiębiorcy powinni się obawiać tego dokumentu?
Spora część wytycznych Aktu o sztucznej inteligencji dotyczy wyłącznie twórców, dostawców i operatorów systemów AI. Wiele osób może więc pomyśleć, że chodzi o największych graczy na rynku, a mniejsze przedsiębiorstwa nie odczują żadnych zmian. Unijne regulacje AI nie obejmują jednak wyłącznie OpenAI czy Microsoftu. Dotyczą też dostawców produktów wyposażonych w AI i użytkowników sztucznej inteligencji, zwłaszcza jeśli sposób wykorzystania AI zalicza się do grupy wysokiego ryzyka.
AI Act – zastosowanie sztucznej inteligencji a grupy ryzyka
Akt o sztucznej inteligencji kategoryzuje ryzyko zastosowania AI, dzieląc je na 4 grupy:
- systemy niedopuszczalnego ryzyka,
- systemy wysokiego ryzyka,
- systemy o ograniczonym ryzyku,
- systemy niskiego ryzyka.
Do pierwszej grupy zalicza się zabronione zastosowania AI – wymienione czynności nie dotyczą większości firm, ponieważ chodzi tu m.in. o scoring społeczny, manipulacje zachowaniami (nie odnosi się to do marketingu czy reklamy) oraz kategoryzację biometryczną. Ostatnia grupa, czyli systemu niskiego ryzyka (np. filtry antyspamowe) nie są w żaden sposób regulowane przez AI Act. Przedsiębiorcy powinni natomiast zwrócić uwagę na grupę systemów wysokiego ryzyka oraz tych o ograniczonym ryzyku.
Jakie działania zalicza się do grona wysokiego ryzyka?
AI Act wymienia konkretne obszary, które zaliczane są do kategorii wysokiego ryzyka. Większość z nich, zwłaszcza dla mniejszych przedsiębiorstw, może brzmieć tajemniczo, np. biometria czy zarządzanie infrastrukturą krytyczną. Jednak niektóre zastosowania sztucznej inteligencji z tej grupy ryzyka dotyczą wielu firm.
Przykładem jest rekrutacja i zarządzanie pracownikami. Coraz częściej przedsiębiorstwa automatyzują proces zbierania CV, oceny kompetencji czy nawet informowania o wynikach rekrutacji. Systemy AI mają wówczas dostęp do prywatnych danych osobowych. To wymaga poinformowania o tym uczestników rekrutacji i zadbania o odpowiednie zabezpieczenia.
W grupie wysokiego ryzyka znajduje się też ocena zdolności do uzyskania świadczeń lub usług. Chodzi o wykorzystanie AI do analizy zdolności kredytowej, wyceny ubezpieczenia czy weryfikacji przez urzędy wniosków o świadczenia publiczne. Poza tym, w tej kategorii znajdują się kształcenie i szkolenia zawodowe – pomoc sztucznej inteligencji w ocenie poziomu kompetencji.
Sztuczna inteligencja jako element produktu
Wysokie ryzyko dotyczy też niektórych branż, które w ramach swojego produktu zapewniają zintegrowany z nim system AI. Rozporządzenie unijne wymienia tutaj np. branżę lotniczą, kolejową, motoryzacyjną, medyczną, rolniczą oraz producentów maszyn, urządzeń radiowych oraz zabawek dla dzieci. Produkty zintegrowane z AI powinny być przeanalizowane pod kątem bezpieczeństwa.
Regulacje AI – co powinien zrobić przedsiębiorca?
Rozporządzenie UE przewiduje konieczność uzupełnienia wiedzy pracowników w zakresie prawidłowego korzystania za sztucznej inteligencji i wykrywania potencjalnych zagrożeń. Dlatego istotne będzie zrealizowanie szkolenia z cyberbezpieczeństwa.
Podstawowym obowiązkiem każdej firmy wykorzystującej AI jest określenie, do jakiego poziomu ryzyka należy stosowany przez nią system. W tym pomóc może zewnętrzny audyt zgodności z AI Act. Jeśli okaże się, że zastosowanie sztucznej inteligencji w firmie zalicza się do kategorii wysokiego ryzyka, przedsiębiorstwo ma obowiązek:
- zapewnić przejrzystość dla użytkowników (informacja o stosowaniu AI),
- posiadać instrukcję obsługi narzędzia i stosować się do niej,
- informować o nieprawidłowościach,
- nadzorować system AI przez człowieka,
- tworzyć rejestry zdarzeń,
- dbać o cyberbezpieczeństwo,
- posiadać deklarację zgodności.
Niedostosowanie się do wytycznych lub zatajanie informacji w przypadku kontroli przez organ nadzoru będzie wiązało się z surową karą. Jej wysokość ma być ustalana proporcjonalnie, w zależności od wielkości firmy i rodzaju przewinienia. Grzywna wynosić może nawet 15 milionów euro lub 3% rocznego obrotu.
Przejrzystość, czyli obowiązek większości firm
Firmy, które korzystają jedynie z podstawowych możliwości AI (np. tworzenie tekstów, grafik czy filmów, posiadanie chatbotów), zaliczane są do grupy ograniczonego ryzyka. Dlatego muszą jedynie spełniać kryterium przejrzystości. Oznacza to konieczność informowania odbiorców o tym, że firma korzysta z AI.
Dla przykładu: wygenerowany film publikowany w mediach społecznościowych musi być oznaczony, aby użytkownik nie został wprowadzony w błąd. AI Act nie reguluje tego, jak taki komunikat ma wyglądać ani gdzie się znajdować.
AI Act – kiedy wejdzie w życie?
Przepisy wejdą w życie etapami. Pierwsze regulacje dotyczące zakazu korzystania z niebezpiecznych systemów AI zaczęły obowiązywać już w lutym 2025 roku. Do sierpnia 2025 r. określone zostaną organy nadzorujące wymogi Aktu o sztucznej inteligencji. Firmy mają czas na dostosowanie się do przepisów do sierpnia 2026 r.
Unijne regulacje AI to dla wielu rewolucja. Na przedsiębiorców nałożono obowiązki związane z określeniem grupy ryzyka, nadzorowaniem wykorzystania systemów AI i zachowaniem przejrzystości działania.
Źródła: