Po wielu miesiącach rozmów i kilku dniach bardzo intensywnych negocjacji Parlament Europejski przyjął porozumienie w sprawie pierwszego na świecie aktu prawnego regulującego wykorzystanie sztucznej inteligencji – “AI Act”. Ma on na celu chronienie użytkowników przed zagrożeniami wynikającymi z niekontrolowanego rozwoju AI i zapewnienie, że systemy sztucznej inteligencji chronią prawa podstawowe, takie jak demokracja, praworządność i zrównoważony rozwój środowiska, jednocześnie stymulując innowacje i czyniąc Europę liderem w tej dziedzinie.
AI Act – EU reguluje sztuczną inteligencję
Zakazane aplikacje
Uznając potencjalne zagrożenie dla praw obywateli i demokracji ze strony niektórych możliwych zastosowań sztucznej inteligencji, prawodawcy zdecydowali się zakazać:
- systemów kategoryzacji biometrycznej, które wykorzystują cechy wrażliwe (np. przekonania polityczne, religijne, filozoficzne, orientację seksualną, rasę);
- dowolnego pobierania obrazów twarzy z internetu lub nagrań CCTV w celu tworzenia baz danych rozpoznawania twarzy;
- rozpoznawania emocji w miejscu pracy i instytucjach edukacyjnych;
- programów z obszaru social scoring (systemu zaufania społecznego) opartych na zachowaniach społecznych lub cechach osobistych;
- systemów sztucznej inteligencji, które manipulują ludzkim zachowaniem w celu obejścia ich wolnej woli;
- sztucznej inteligencji wykorzystywanej do odczytywania słabości ludzi (ze względu na ich wiek, niepełnosprawność, sytuację społeczną lub ekonomiczną).
Wyłączenia dotyczące egzekwowania prawa
Negocjatorzy uzgodnili szereg zabezpieczeń i wąskich wyjątków od stosowania biometrycznych systemów identyfikacji (RBI) w publicznie dostępnych przestrzeniach do celów egzekwowania prawa, z zastrzeżeniem uprzedniej zgody sądu i ściśle określonych list przestępstw. “Zdalny” RBI byłby wykorzystywany wyłącznie w ukierunkowanym poszukiwaniu osoby skazanej lub podejrzanej o popełnienie poważnego przestępstwa.
RBI “w czasie rzeczywistym” spełniałby rygorystyczne warunki, a jego użycie byłoby ograniczone w czasie i miejscu, do celów stricte oznaczonych, takich jak:
- ukierunkowane poszukiwania ofiar (uprowadzenia, handel ludźmi, wykorzystywanie seksualne);
- zapobieganie konkretnemu zagrożeniu terrorystycznemu;
- lokalizacji bądź identyfikacji osoby podejrzanej o popełnienie jednego z konkretnych przestępstw wymienionych w rozporządzeniu (np. terroryzm, handel ludźmi, wykorzystywanie seksualne, zabójstwo, porwanie, gwałt, rozbój z bronią w ręku, udział w organizacji przestępczej, przestępstwo przeciwko środowisku).
Obowiązki dotyczące systemów wysokiego ryzyka
W przypadku systemów sztucznej inteligencji sklasyfikowanych jako systemy wysokiego ryzyka (ze względu na ich znaczące potencjalne szkody dla zdrowia, bezpieczeństwa, praw podstawowych, środowiska, demokracji i praworządności) uzgodniono jasne obowiązki – posłom udało się uwzględnić obowiązkową ocenę wpływu na prawa podstawowe, wśród innych wymogów, mających zastosowanie również do sektorów ubezpieczeń i bankowości.
Systemy sztucznej inteligencji wykorzystywane do wpływania na wyniki wyborów i zachowania wyborców są również klasyfikowane jako obarczone wysokim ryzykiem. Obywatele będą mieli prawo do składania skarg na systemy AI i otrzymywania wyjaśnień dotyczących decyzji opartych na systemach AI wysokiego ryzyka, które mają wpływ na ich prawa.
Bariery dla ogólnych systemów sztucznej inteligencji
Aby uwzględnić szeroki zakres zadań, jakie mogą wykonywać systemy sztucznej inteligencji i szybki rozwój ich możliwości, uzgodniono, że systemy sztucznej inteligencji ogólnego przeznaczenia (GPAI) i modele GPAI, na których są oparte, będą musiały spełniać wymogi przejrzystości, co obejmuje sporządzanie dokumentacji technicznej, przestrzeganie prawa autorskiego UE i rozpowszechnianie szczegółowych podsumowań dotyczących treści wykorzystywanych do szkolenia.
Środki wspierające innowacje i MŚP
PE chciał zapewnić firmom, zwłaszcza MŚP, możliwość opracowywania rozwiązań AI bez nadmiernej presji ze strony gigantów branżowych kontrolujących łańcuch wartości. W tym celu porozumienie promuje specjalne środowiska testowe (sandboxes) i testy w warunkach rzeczywistych, ustanowione przez władze krajowe w celu opracowania i przeszkolenia innowacyjnej sztucznej inteligencji przed wprowadzeniem jej na rynek.
Nieprzestrzeganie zasad może prowadzić do nałożenia kar w wysokości od 35 mln euro lub 7% globalnego obrotu do 7,5 mln euro lub 1,5% obrotu, w zależności od naruszenia i wielkości firmy.
Uzgodniony tekst będzie teraz musiał zostać formalnie przyjęty zarówno przez Parlament, jak i Radę, aby stać się prawem UE. Parlamentarne komisje ds. rynku wewnętrznego i wolności obywatelskich będą głosować nad porozumieniem na najbliższym posiedzeniu.
***
Komentarz przedstawicieli Netskope – globalnej firmy zajmującej się cyberbezpieczeństwem:
Neil Thacker, CISO EMEA w Netskope
Rozporządzenie ws. sztucznej inteligencji ma szeroki zakres, starając się zapewnić wytyczne i ochronę w wielu obszarach, na które sztuczna inteligencja będzie miała wpływ w nadchodzących latach. Dla przeciętnego, niespecjalistycznego przedsiębiorstwa są to odniesienia do systemów AI ogólnego przeznaczenia (GPAI), na które powinni zwrócić uwagę na początku. Nowe przepisy obejmują wymogi dotyczące przejrzystości, w tym dokumentacji technicznej i zgodności z unijnymi przepisami dotyczącymi praw autorskich, a w przypadku, gdy informacje te nie są dostępne, przedsiębiorstwa będą zobowiązane do kontrolowania wykorzystania takich systemów w swojej organizacji.
Szczególnie ucieszyło mnie uwzględnienie w przepisach wyraźnych wymogów dotyczących szczegółowych podsumowań treści wykorzystywanych do szkolenia systemu. Świadome podejmowanie decyzji ma kluczowe znaczenie dla wdrożenia sztucznej inteligencji, która jest etyczna i spełnia wymogi nowego prawa. Znajomość i dokumentowanie wykorzystania zarówno uczenia maszynowego, jak i systemów sztucznej inteligencji w organizacji to prosty sposób na zrozumienie i przewidywanie luk w zabezpieczeniach krytycznych danych biznesowych, przy jednoczesnym zapewnieniu odpowiedzialnego korzystania z AI.
Ilona Simpson, CIO EMEA w Netskope
Nowa unijna regulacja dot. sztucznej inteligencji jest pierwszym na świecie międzysektorowym i transgranicznym aktem prawnym dotyczącym sztucznej inteligencji, ale chodzi w niej o znacznie więcej niż tylko współpracę państw członkowskich w ważnej kwestii dnia dzisiejszego.
Rozporządzenie kładzie nacisk na bezpieczeństwo i zasady etyczne w samym sercu innowacji w zakresie sztucznej inteligencji i jest wyraźnym sygnałem, że rządy poważnie traktują implikacje etyczne – i wynikającą z nich konieczność zarządzania – w samym sercu tych szybkich postępów.
Dla mnie najważniejszym spośród dzisiejszych ogłoszeń był wysiłek, jaki ustawodawcy włożyli w stworzenie równowagi między regulacjami a innowacjami. Rozporządzenie jest pierwszym aktem prawnym, jaki widziałam, który aktywnie zachęca do innowacji startupy i MŚP – w rzeczywistości zawiera wyraźny przepis promujący korzystanie z „piaskownic regulacyjnych” ustanowionych przez organy krajowe, a także testowanie w czasie rzeczywistym. Dzięki temu UE będzie w stanie wspierać postęp techniczny bez ograniczania go nadmiernymi regulacjami.