Od niedzieli w Unii Europejskiej obowiązują przepisy umożliwiające regulatorom zakazanie korzystania z systemów sztucznej inteligencji, które uznają za „nieakceptowalne ryzyko” lub szkodliwe.
Pierwsze przepisy w ramach unijnej regulacji o AI
2 lutego wyznaczono jako pierwszą datę obowiązywania przepisów nałożonych przez Akt o Sztucznej Inteligencji (AI Act) w Unii Europejskiej. Ten szczegółowy zestaw regulacji, który został zatwierdzony w marcu ubiegłego roku po latach prac legislacyjnych, oficjalnie wszedł w życie 1 sierpnia ubiegłego roku. Oznacza to, że właśnie teraz nadchodzi pierwszy etap dostosowania się firm do nowych wymogów.
Akt ten, zawarty w szczególności w Artykule 5, obejmuje szeroki zakres zastosowań sztucznej inteligencji — od aplikacji konsumenckich po systemy funkcjonujące w przestrzeni fizycznej. Istotą regulacji jest klasyfikacja systemów AI według poziomu ryzyka, na podstawie którego nakładane są odpowiednie przepisy i ograniczenia.
Podział na poziomy ryzyka
Unijne przepisy rozróżniają cztery główne kategorie ryzyka związane z zastosowaniem sztucznej inteligencji:
- Minimalne ryzyko — takie systemy, jak filtry przeciw spamowi, nie podlegają nadzorowi regulacyjnemu.
- Ograniczone ryzyko — obejmuje to, na przykład, chatboty obsługi klienta, które wymagają jedynie lekkiej kontroli regulacyjnej.
- Wysokie ryzyko — dotyczy systemów, takich jak AI rekomendująca rozwiązania w opiece zdrowotnej; tutaj przepisy są znacznie bardziej rygorystyczne.
- Nieakceptowalne ryzyko — aplikacje zakwalifikowane jako powodujące tego typu ryzyko są całkowicie zakazane na terenie Unii.
Wykorzystywanie AI zakazane przez nowe przepisy
Zgodnie z unijnymi regulacjami, od 2 lutego obowiązuje zakaz stosowania systemów AI, które zostały uznane za zbyt niebezpieczne lub szkodliwe. Przykłady takich zastosowań obejmują:
- Algorytmy do oceny społecznej (np. tworzenie profili ryzyka w oparciu o zachowanie ludzi).
- AI manipulującą decyzjami ludzi przy użyciu podświadomych lub oszukańczych technik wpływu.
- Eksploatowanie słabości osób, takich jak wiek, niepełnosprawność czy status społeczno-ekonomiczny.
- AI próbującą przewidzieć przestępczość na podstawie wyglądu osób.
- Systemy analizujące dane biometryczne w czasie rzeczywistym w przestrzeniach publicznych dla celów egzekwowania prawa.
- AI tworzącą lub rozszerzającą bazy danych rozpoznawania twarzy poprzez pozyskiwanie zdjęć z internetu lub kamer monitoringu.
Firmy, które złamią te przepisy, narażają się na surowe kary finansowe. Mogą zapłacić nawet do 35 milionów euro lub 7% swojego rocznego przychodu z poprzedniego roku finansowego, w zależności od tego, która kwota okaże się wyższa.
Kiedy wejdą w życie kary?
Chociaż firma, która złamie przepisy, już teraz powinna być zgodna z regulacjami, rzeczywiste egzekwowanie kar nastąpi dopiero później. Według ekspertów, takich jak Rob Sumroy z brytyjskiej kancelarii Slaughter and May, efektywne wdrożenie sankcji rozpocznie się w sierpniu bieżącego roku, kiedy zostaną wyznaczone właściwe organy nadzoru.
Wstępne zobowiązania firm technologicznych
Warto podkreślić, że już w zeszłym roku ponad 100 firm technologicznych zdecydowało się podpisać dobrowolny „Pakt AI” Unii Europejskiej. Było to zobowiązanie do wcześniejszego przestrzegania zasad wynikających z AI Act. Wśród podpisujących znalazły się takie giganty, jak Amazon, Google czy OpenAI, natomiast zauważalny jest brak największych graczy, takich jak Apple i Meta.
Nie oznacza to jednak, że firmy te zamierzają ignorować nowe przepisy. Większość organizacji projektujących technologie AI nie angażuje się bowiem w niedozwolone zastosowania, takie jak te zawarte w regulacjach.
Możliwe wyjątki
Warto zauważyć, że niektóre zastosowania obłożone zakazem nadal mogą być dozwolone pod określonymi warunkami. Na przykład, prawo przewiduje wyjątki dla służb porządkowych, które mogą używać systemów AI analizujących dane biometryczne w przestrzeniach publicznych, jeśli mają one pomóc w poszukiwaniach ofiar porwań lub zapobiec „konkretnej, poważnej i nieuchronnej” groźbie dla życia.
Podobne odstępstwa mogą być dostępne dla systemów analizujących emocje w środowiskach pracy lub edukacyjnych, o ile są one wykorzystywane z uzasadnienia medycznego lub bezpieczeństwa, takich jak wsparcie terapeutyczne.
Przyszłość i wyzwania prawne
Europejska Komisja zapowiedziała, że w 2025 roku opublikuje dodatkowe wytyczne dotyczące regulacji, po wcześniejszych konsultacjach ze stronami zainteresowanymi. Jednak na razie te szczegóły wciąż są niejasne. Dodatkowym wyzwaniem jest skoordynowanie przepisów z innymi aktami prawnymi, takimi jak RODO, NIS2 czy DORA, które mogą wprowadzać zbiegające się wymagania, na przykład w odniesieniu do raportowania incydentów.
Dla organizacji kluczowym zadaniem w nadchodzących miesiącach będzie zrozumienie, jak nowe przepisy współgrają z istniejącymi ramami prawnymi. Znajomość wzajemnych powiązań i pełna zgodność z ARI Act to priorytety dla każdego, kto operuje na terenie Unii Europejskiej.
