Ministrowie UE jednogłośnie przyjęli ustawę #AI, czyli akt w sprawie sztucznej inteligencji

Ministrowie UE jednogłośnie przyjęli ustawę #AI, czyli akt w sprawie sztucznej inteligencji

Ministrowie UE jednogłośnie przyjęli rozporządzenie #AI, czyli Akt w sprawie sztucznej inteligencji. Regulacja zostanie opublikowana w dzienniku urzędowym Unii Europejskiej w najbliższych dniach. Rozporządzenie ma być odpowiedzią na błyskawiczny i coraz bardziej przyspieszający rozwój projektów związanych ze sztuczną inteligencją i rzeczywistością wirtualną. Stosowną propozycję KE przedstawiła w kwietniu 2021 roku (COM (2021) 206 final), a więc ponad 3 lata temu. Nic dziwnego, iż wstępna wersja została wielokrotnie zmieniana zarówno w RE, jak i PE, które swoje stanowiska przyjęły latem 2023 r.

Akt analizuje i klasyfikuje systemy AI, które mogą być używane w różnych aplikacjach, według ryzyka, jakie stwarzają dla użytkowników. Różne poziomy ryzyka mają oznaczać dla dostawcy danego systemu mniej lub więcej obowiązków. Przyjęto cztery poziomy ryzyka:

  • niedopuszczalne ryzyko, w przypadku szkodliwego zastosowania sztucznej inteligencji, sprzecznego z wartościami UE (np. przez rządy); takie systemy AI mają być zakazane ze względu na niedopuszczalne ryzyko, jakie stwarzają;
  • wysokie ryzyko, gdy mamy do czynienia z systemami AI, które wywierają niekorzystny wpływ na bezpieczeństwo ludzi lub ich prawa podstawowe. W tej kategorii, w celu zapewnienia zaufania i spójnego wysokiego poziomu bezpieczeństwa i ochrony praw podstawowych, wprowadzono szereg obowiązkowych wymogów (w tym m.in. „oceny zgodności”);
  • ograniczone ryzyko – systemy AI zakwalifikowane do tej grupy, mają podlegać ograniczonemu zestawowi obowiązków (np. konieczności zachowania przejrzystości);
  • minimalne ryzyko, przy którym systemy AI mogą być rozwijane i wykorzystywane w UE bez dodatkowych obowiązków prawnych, oczywiście przy dostosowaniu się do istniejącego już prawa. 

Do pierwszej kategorii zakwalifikowane zostały m.in. systemy stosujące techniki podprogowe będące poza świadomością danej osoby czy też wykorzystujące dowolne słabości określonej grupy osób ze względu na ich wiek, niepełnosprawność ruchową lub zaburzenie psychiczne, a także – poza pewnymi wyjątkami dot. zwalczania przestępczości– systemy zdalnej identyfikacji biometrycznej „w czasie rzeczywistym”.

Rozporządzenie przyjmuje zasady klasyfikacji systemów AI wysokiego ryzyka, przy równoczesnym wymienieniu ich przykładów w załączniku III, w którym wymienia się osiem obszarów, a w każdym z nich od jednego do kilku systemów, którym przypisano status wysokiego ryzyka. I tak, jedynie przykładowo – przy kształceniu i szkoleniu zawodowym wymieniono systemy przeznaczone do stosowania w celu przydziału do instytucji edukacyjnych czy w celu oceny uczniów lub oceny uczestników egzaminów wstępnych. Podobnie, w obszarze zatrudnienia, wymienia się systemy służące rekrutacji, nadawaniu awansów czy zwolnieniu pracownika.

Wśród wymogów, jakie muszą spełnić systemy AI wysokiego ryzyka, znajdują się m.in.: wprowadzenie systemu zarządzania ryzykiem, odpowiednie zarządzanie danymi, sporządzanie szczególnej dokumentacji technicznej, rejestrowanie zdarzeń, nadzór ze strony człowieka.

Rozporządzenie wprowadza także przepisy dotyczące organów notyfikujących i jednostek notyfikowanych, a także norm, oceny zgodności, certyfikatów i rejestracji, by w kolejnych rozdziałach sprecyzować obowiązki w zakresie przejrzystości, wprowadzić środki wspierające innowacyjność (tzw. „piaskownice regulacyjne”). W ostatnich rozdziałach Aktu określa się sposoby nadzorowania systemów AI (m.in. ustanawia się Europejską Radę ds. Sztucznej Inteligencji) oraz ich monitorowania, a także określa wymiar możliwych kar. Za stosowanie zakazanych systemów AI grozić ma kara do 35 mln euro lub – o ile sprawcą jest przedsiębiorca – do 7 % rocznego obrotu. Nieprzestrzeganie zasad dotyczących danych i zarządzania danymi ma być obarczone sankcjami sięgającymi 15 mln euro lub 3 % rocznego obrotu. Wprowadza się zasadę, iż stosuje się kwotę wyższą.

Pierwotna propozycja KE nie zawierała przepisów dotyczących prawa autorskiego. Sytuacja uległa znacznej zmianie w ostatecznej wersji. Kluczowym w tym zakresie jest przepis zawarty w art. 53 ust. 1 lit. c, zgodnie z którym dostawcy systemów AI muszą wprowadzić politykę służącą zapewnieniu zgodności z unijnym prawem autorskim, w szczególności z myślą o identyfikacji i przestrzeganiu, w tym poprzez najnowocześniejsze technologie, zastrzeżenia praw wyrażonego zgodnie z art. 4 ust. 3 dyrektywy (UE) 2019/790 (czyli wyraźnego zastrzeżenia posiadacza praw zakazującego wykorzystywanie danych treści na podstawie wyjątku eksploracji tekstów i danych). Dodatkowo, w motywie 106 stwierdza się wprost, iż: „[k]ażdy dostawca wprowadzający do obrotu w Unii model AI ogólnego przeznaczenia powinien przestrzegać tego obowiązku, niezależnie od jurysdykcji, w której mają miejsce czynności regulowane prawem autorskim stanowiące podstawę trenowania tych modeli AI ogólnego przeznaczenia. Jest to konieczne do zapewnienia równych warunków działania dostawcom modeli AI ogólnego przeznaczenia, tak aby żaden dostawca nie mógł uzyskać przewagi konkurencyjnej na rynku unijnym poprzez stosowanie niższych standardów praw autorskich niż normy przewidziane w Unii”. Są to kluczowe – z punktu widzenia posiadaczy praw, w tym wydawców, przepisy. W najbliższym czasie należy położyć nacisk na szybkie wypracowanie standardów technologicznych dotyczących wspomnianego zastrzeżenia, aby można było je bezproblemowo stosować zgodnie z wolą wydawcy.