UE: Akt w sprawie sztucznej inteligencji (AI)
Zapewnienie rozwoju sztucznej inteligencji w sposób gwarantujący poszanowanie praw człowieka i zdobycie zaufania ludzi, stanowi jeden z elementów unijnej strategii cyfrowej[1]. Dnia 21.04.2021 r. Komisja Europejska opublikowała projekt rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji)[2], którego celem jest jednolite uregulowanie kwestii opracowywania, wprowadzania do obrotu i wykorzystywania systemów sztucznej inteligencji (Artificial Intelligence, AI) na obszarze UE.
Ma ono stanowić ramy prawne dla prawidłowo funkcjonującego rynku wewnętrznego systemów AI, na którym odpowiednio uwzględnia się zarówno korzyści społeczno-ekonomiczne, jak i zagrożenia, jakie niesie za sobą wykorzystanie sztucznej inteligencji, stworzyć sprzyjające warunki dla innowacji i rozwoju technologii AI, przy jednoczesnym zapewnieniu wysokiego poziomu bezpieczeństwa użytkowników i ochrony praw podstawowych gwarantowanych przez prawo unijne.
Przyjęcie wspólnej na poziomie UE regulacji ma również sprzyjać swobodnemu przepływowi towarów i usług wykorzystujących sztuczną inteligencję. Uniemożliwienie poszczególnym państwom członkowskim ustanawiania własnych ograniczeń i wymagań dotyczących takich produktów i usług z jednej strony zapobiec ma fragmentacji rynku wewnętrznego w tym zakresie, a z drugiej zapewnić dostawcom i użytkownikom systemów AI pewność prawa, ułatwiając inwestycje i innowacje w dziedzinie sztucznej inteligencji. Nowe rozporządzenie wspierać ma realizację celu, jakim jest osiągnięcie przez Unię pozycji światowego lidera w rozwoju bezpiecznej, wiarygodnej i etycznej sztucznej inteligencji.
Projekt rozporządzenia jest efektem wcześniejszych działań UE w obszarze AI, obejmujących opublikowanie w 2018 r. strategii „Sztuczna inteligencja dla Europy”[3] i pierwszego skoordynowanego planu wspierania rozwoju i stosowania sztucznej inteligencji[4], opracowanie w 2019 r. wytycznych dotyczących wiarygodnej sztucznej inteligencji[5] oraz publikację w 2020 r. białej księgi w sprawie sztucznej inteligencji[6], której założenia stanowią podstawę projektu. Wraz z projektem aktu w sprawie sztucznej inteligencji ogłoszono również nowy, przygotowany we współpracy z państwami członkowskimi, skoordynowany plan działania[7].
Obecnie projekt rozporządzenia jest przedmiotem prac Parlamentu Europejskiego. Zgodnie z jego aktualnym brzmieniem, rozporządzenie ma być stosowane w państwach członkowskich po upływie 2 lat od jego wejścia w życie (dwudziesty dzień po publikacji w Dzienniku Urzędowym Unii Europejskiej).
Kogo dotyczyć będą nowe przepisy?
Projektowane rozporządzenie będzie miało wpływ na działalność szerokiego kręgu podmiotów opracowujących, wprowadzających do obrotu oraz wykorzystujących systemy sztucznej inteligencji, przede wszystkim dostawców i użytkowników systemów AI, ale również importerów, dystrybutorów czy upoważnionych przedstawicieli (podmiotów z siedzibą w UE upoważnionych przez dostawcę z kraju trzeciego do realizacji w jego imieniu obowiązków i procedur określonych w rozporządzeniu).
Kluczowe, najszersze obowiązki związane z zapewnieniem bezpiecznej i wiarygodnej sztucznej inteligencji spoczywać będą na dostawcach i użytkownikach systemów i to nie tylko tych mających siedzibę w Unii Europejskiej – nowe rozporządzenie będzie miało bowiem zastosowanie również do wszystkich dostawców spoza UE, którzy wprowadzają do obrotu lub oddają do użytku systemy AI na obszarze Unii, a także do dostawców oraz użytkowników znajdujących się poza UE, jeżeli wyniki działania danego systemu są wykorzystywane w UE.
Czym jest sztuczna inteligencja?
Projektowana regulacja definiuje system sztucznej inteligencji jako oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik i podejść wymienionych w załączniku I do rozporządzenia, które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję. Katalog technik i podjeść determinujących kwalifikację danego oprogramowania jako sztucznej inteligencji jest dość szeroki i obejmuje:
- mechanizmy uczenia maszynowego, w tym uczenie nadzorowane, uczenie się maszyn bez nadzoru i uczenie przez wzmacnianie, z wykorzystaniem szerokiej gamy metod, w tym uczenia głębokiego;
- metody oparte na logice i wiedzy, w tym reprezentacja wiedzy, indukcyjne (logiczne) programowanie, bazy wiedzy, silniki inferencyjne i dedukcyjne, rozumowanie (symboliczne) i systemy ekspertowe;
- podejścia statystyczne, estymację bayesowską, metody wyszukiwania i optymalizacji.
Projekt zakłada możliwość aktualizacji powyższego wykazu z uwzględnieniem rozwoju sytuacji rynkowej i rozwoju technologicznego, w drodze aktów delegowanych przyjmowanych przez Komisję.
Podejście oparte na analizie ryzyka
Proponowane ramy prawne dla sztucznej inteligencji bazują na wyodrębnieniu czterech kategorii systemów AI, w zależności od poziomu ryzyka jakie stwarza ich zastosowanie, tj. ryzyka niedopuszczalnego, wysokiego, ograniczonego i minimalnego:
Ryzyko niedopuszczalne
Systemy sztucznej inteligencji sprzeczne z unijnymi wartościami poszanowania godności ludzkiej, wolności, równości, demokracji i praworządności oraz z prawami podstawowymi Unii, w tym z prawem do niedyskryminacji, ochrony danych i prywatności oraz z prawami dziecka, stwarzające wyraźne zagrożenie dla bezpieczeństwa, źródeł utrzymania i praw obywateli, uznane zostały za niedopuszczalne. Katalog zakazanych praktyk w dziedzinie sztucznej inteligencji obejmuje wprowadzanie do obrotu, oddawanie do użytku lub wykorzystywanie systemów AI:
- służących do manipulowania ludźmi, czyli takich, w których stosuje się techniki podprogowe działające na podświadomość lub wykorzystuje słabości pewnych grup osób, takich jak dzieci, osoby z niepełnosprawnościami czy zaburzeniami psychicznymi, w celu istotnego zniekształcenia zachowania danej osoby w sposób, który powoduje lub może powodować u tej osoby lub u innej osoby szkodę fizyczną lub psychiczną;
- używanych przez organy publiczne lub w ich imieniu na potrzeby oceny lub klasyfikacji wiarygodności osób fizycznych, prowadzonej przez określony czas na podstawie ich zachowania społecznego lub znanych bądź przewidywanych cech osobistych lub cech osobowości (tzw. social scoring), kiedy punktowa ocena społeczna prowadzi do krzywdzącego lub niekorzystnego traktowania niektórych osób fizycznych lub całych ich grup w kontekstach społecznych, które nie są związane z kontekstami, w których pierwotnie wygenerowano lub zgromadzono dane lub w przypadku, gdy takie traktowanie jest nieuzasadnione lub nieproporcjonalne do zachowania społecznego lub jego wagi.
Ponadto zakazane będzie wykorzystywanie systemów zdalnej identyfikacji biometrycznej „w czasie rzeczywistym” w przestrzeni publicznej do celów egzekwowania prawa. Chodzi tutaj o systemy służące do identyfikacji osób fizycznych na odległość poprzez porównanie ich danych biometrycznych (np. wizerunku twarzy, chodu, zarysu sylwetki) z danymi biometrycznymi zawartymi w referencyjnej bazie danych, gdzie zbieranie danych, ich porównywanie i identyfikacja odbywają się bez znacznego opóźnienia (w celu uniknięcia obchodzenia przepisów, za taki system identyfikacji biometrycznej „w czasie rzeczywistym”, uznawany będzie system, w którym identyfikacja następuje zarówno natychmiast, jak i z niewielkim opóźnieniem). Od tego zakazu projekt rozporządzenia przewiduje ograniczone wyjątki, obejmujące:
- ukierunkowane poszukiwanie ofiar przestępstw, w tym zaginionych dzieci;
- zapobieganie konkretnemu, poważnemu i bezpośredniemu zagrożeniu życia lub bezpieczeństwa osób fizycznych lub atakowi terrorystycznemu;
- wykrywanie, lokalizowanie, identyfikowanie lub ściganie sprawców lub podejrzanych o popełnienie najcięższych przestępstw, takich jak np. udział w organizacji przestępczej, terroryzm, handel ludźmi, zabójstwo, gwałt czy pornografia dziecięca[8], które w danym państwie członkowskim podlegają karze pozbawienia wolności lub środkowi zabezpieczającemu polegającemu na pozbawieniu wolności przez okres, którego górna granica wynosi co najmniej trzy lata.
Każde pojedyncze wykorzystanie systemu zdalnej identyfikacji biometrycznej „w czasie rzeczywistym” w przestrzeni publicznej do celów egzekwowania prawa, wymagać będzie, co do zasady, uzyskania uprzedniego zezwolenia udzielonego przez sąd lub niezależny organ administracyjny państwa członkowskiego. Decyzja co do wykorzystywania tego typu systemów, należeć będzie do państw członkowskich – będą one mogły w ogóle nie przewidzieć takiej możliwości albo przewidzieć ją jedynie w odniesieniu do niektórych spośród wskazanych wyżej dozwolonych celów. W przypadku podjęcia decyzji o dopuszczeniu możliwości wykorzystywania systemów zdalnej identyfikacji biometrycznej „w czasie rzeczywistym” w przestrzeni publicznej do celów egzekwowania prawa, dane państwo zobowiązane będzie do przyjęcia niezbędnych szczegółowych przepisów krajowych, regulujących wydawanie i wykonywanie zezwoleń na wykorzystanie systemów oraz ich nadzorowanie.
Wysokie ryzyko
Systemy sztucznej inteligencji wysokiego ryzyka, to systemy stanowiące znaczne zagrożenie dla zdrowia i bezpieczeństwa lub praw podstawowych osób w Unii Europejskiej. Jest to kluczowa kategoria, na której przede wszystkim skupia się projekt rozporządzenia, określając zasady klasyfikacji systemów AI jako systemów wysokiego ryzyka, wymogi dotyczące wiarygodnej sztucznej inteligencji, jakie systemy wysokiego ryzyka muszą spełniać oraz obowiązki spoczywające na dostawcach i użytkownikach takich systemów.
Przyjęta w rozporządzeniu klasyfikacja systemów wysokiego ryzyka, wyróżnia ich dwie grupy. Po pierwsze, biorąc pod uwagę, że projektowane ramy regulacyjne dla sztucznej inteligencji wysokiego ryzyka wpisują się w system unijnego prawodawstwa harmonizacyjnego w obszarze warunków wprowadzania produktów do obrotu, z systemem AI wysokiego ryzyka będziemy mieli do czynienia, gdy:
- system AI jest przeznaczony do użycia jako związany z bezpieczeństwem element produktu (safety component) lub sam jest produktem objętym unijnymi przepisami harmonizacyjnymi wymienionymi w załączniku II do rozporządzenia (są to w szczególności dyrektywy i rozporządzenia oparte na nowych ramach prawnych[9], dotyczące produktów takich jak maszyny, zabawki, wyroby medyczne, windy czy środki ochrony indywidualnej),
i jednocześnie: - produkt, którego związanym z bezpieczeństwem elementem jest system AI lub sam system AI jako produkt podlega na podstawie wyżej wskazanych przepisów harmonizacyjnych ocenie zgodności przeprowadzanej przez osobę trzecią w celu wprowadzenia tego produktu do obrotu lub oddania go do użytku.
Druga grupa obejmuje zastosowania AI, które Komisja obecnie uznaje za obarczone wysokim ryzykiem, wymienione w załączniku III do rozporządzenia, tj. systemy wykorzystywane w następujących obszarach:
- identyfikacja i kategoryzacja biometryczna osób fizycznych: systemy przeznaczone do zdalnej identyfikacji biometrycznej osób fizycznych zarówno „w czasie rzeczywistym”, jak i „post factum”;
- zarządzanie infrastrukturą krytyczną i jej eksploatacja: systemy przeznaczone do stosowania jako związane z bezpieczeństwem elementy procesów zarządzania i obsługi ruchu drogowego oraz zaopatrzenia w wodę, gaz, ciepło i energię elektryczną;
- kształcenie i szkolenie zawodowe: systemy przeznaczone do stosowania w celu podejmowania decyzji o dostępie do instytucji edukacyjnych i instytucji szkolenia zawodowego, oceny uczniów lub uczestników egzaminów wymaganych w celu przyjęcia do instytucji edukacyjnych;
- zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia: systemy przeznaczone do wykorzystania w celu rekrutacji lub wyboru osób fizycznych (np. na potrzeby informowania o wakatach, oceny kandydatów w trakcie rozmów kwalifikacyjnych), podejmowania decyzji o awansie i rozwiązaniu stosunku pracy, przydzielania zadań oraz monitorowania i oceny wydajności i zachowania pracowników;
- dostęp do podstawowych usług prywatnych oraz usług i świadczeń publicznych, a także korzystanie z nich: systemy przeznaczone do wykorzystania przez organy publiczne w celu oceny kwalifikowalności osób fizycznych do świadczeń i usług publicznych, jak również w celu przyznawania, ograniczania, unieważniania lub żądania zwrotu takich świadczeń i usług, systemy wykorzystywane do oceny zdolności kredytowej osób fizycznych lub ustalenia ich punktowej oceny kredytowej, systemy przeznaczone do wykorzystania w celu wysyłania lub ustalania priorytetów w wysyłaniu służb ratunkowych w sytuacjach kryzysowych, w tym straży pożarnej i pomocy medycznej;
- ściganie przestępstw: m.in. systemy przeznaczone do wykorzystania przez organy ścigania w celu przeprowadzania indywidualnych ocen ryzyka w odniesieniu do osób fizycznych (ryzyko popełnienia lub ponownego popełnienia przestępstwa przez osobę fizyczną lub ryzyko, na jakie narażone są potencjalne ofiary przestępstw), systemy przeznaczone do wykorzystania jako poligrafy i podobne narzędzia lub w celu wykrywania stanu emocjonalnego, systemy przeznaczone do oceny wiarygodności dowodów w toku ścigania przestępstw, systemy przeznaczone do profilowania osób fizycznych;
- zarządzanie migracją, azylem i kontrolą graniczną: m.in. systemy wykorzystywane przy rozpatrywaniu wniosków o udzielenie azylu, o wydanie wizy i dokumentów pobytowych oraz związanych z nimi skarg w odniesieniu do kwalifikowalności osób fizycznych ubiegających się o przyznanie określonego statusu;
- sprawowanie wymiaru sprawiedliwości i procesy demokratyczne: systemy wykorzystywane w badaniu i interpretacji stanu faktycznego i przepisów prawa oraz w stosowaniu prawa do konkretnego stanu faktycznego.
Projekt rozporządzenia przewiduje możliwość dodawania do załącznika III, w drodze aktów delegowanych przyjmowanych przez Komisję, kolejnych systemów wysokiego ryzyka przeznaczonych do wykorzystania w wyżej wskazanych obszarach i określa szczegółowe kryteria, którymi Komisja ma się kierować w tym zakresie.
Wymogi dotyczące systemów wysokiego ryzyka oraz obowiązki dostawców i użytkowników zostaną bliżej omówione w dalszej części artykułu.
Ograniczone ryzyko
W odniesieniu do niektórych systemów sztucznej inteligencji, biorąc pod uwagę specyficzne ryzyko manipulacji jakie stwarzają, projekt rozporządzenia przewiduje wyłącznie minimalne obowiązki dotyczące przejrzystości. Mają one zastosowanie do trzech grup systemów AI, tj. takich, które:
- wchodzą w interakcję z ludźmi (czyli wszelkiego rodzaju chatboty) – obowiązek informowania osoby fizycznej o tym, że wchodzi ona w interakcję z systemem AI, chyba że będzie to jednoznacznie wynikać z okoliczności i kontekstu korzystania z systemu;
- są wykorzystywane do wykrywania emocji lub określania powiązań z kategoriami (społecznymi) na podstawie danych biometrycznych – obowiązek informowania osób fizycznych o fakcie stosowania wobec nich tego typu systemów;
- generują obrazy, treści dźwiękowe lub treści wideo, które łudząco przypominają istniejące osoby, miejsca, obiekty czy zdarzenia, lub które manipulują obrazami lub treściami, przez co osobie będącej ich odbiorcą mogą się one fałszywie wydać autentyczne lub prawdziwe (technologia deepfake) – obowiązek ujawniania, że treści zostały wygenerowane lub zmanipulowane przez system AI.
Powyższe obowiązki nie będą jednak dotyczyć:
- systemów, które zostały zatwierdzone na mocy przepisów prawa do celów związanych z egzekwowaniem prawa, tj. przeciwdziałaniem i ściganiem przestępstw.
- sytuacji, gdy zastosowanie technologii deepfake będzie konieczne do wykonywania prawa do wolności wypowiedzi i prawa do wolności sztuki i nauki zagwarantowanych w Karcie praw podstawowych Unii Europejskiej (z zastrzeżeniem odpowiednich gwarancji zabezpieczających prawa i wolności osób trzecich).
Minimalne ryzyko
Wszystkie pozostałe systemy AI, stanowiące większość spośród obecnie używanych na terenie UE, np. systemy stosowane w grach wideo lub filtrach spamu, jako nie stwarzające zagrożenia dla praw lub bezpieczeństwa obywateli lub stwarzające zagrożenie minimalne, nie będą podlegać żadnym szczególnym wymaganiom i obowiązkom. W odniesieniu do takich systemów, projektowane rozporządzenie obliguje Komisję Europejska i państwa członkowskie do zachęcania i ułatwiania tworzenia przez branżę AI kodeksów postępowania, na podstawie których dostawcy dobrowolnie stosowaliby wymogi obligatoryjne przewidziane w rozporządzeniu dla systemów sztucznej inteligencji wysokiego ryzyka.
Wymogi dla systemów sztucznej inteligencji wysokiego ryzyka
Jak wyżej wspomniano, projektowana regulacja skupia się na systemach wysokiego ryzyka, ustanawiając szereg rygorystycznych wymagań, których spełnienie warunkuje dopuszczalność wykorzystywania takich systemów w Unii Europejskiej (ewentualnie wykorzystywania w UE wyników ich działania, w przypadku gdy dostawca lub użytkownik systemu znajduje się w państwie trzecim). Obejmują one:
- wdrożenie i utrzymywanie systemu zarządzania ryzykiem obejmującego identyfikację i analizę znanego i dającego się przewidzieć ryzyka, oszacowanie i ocenę ryzyka, przyjęcie odpowiednich środków zarządzania ryzykiem;
- w przypadku stosowania technik obejmujących trenowanie modeli, zapewnienie wysokiej jakości zbiorów danych treningowych, walidacyjnych i testowych, aby system działał zgodnie z przeznaczeniem i bezpiecznie oraz aby nie stał się źródłem dyskryminacji – zbiory takich danych powinny być wystarczająco adekwatne, reprezentatywne i wolne od błędów oraz kompletne z punktu widzenia przeznaczenia systemu, jak również powinny charakteryzować się odpowiednimi właściwościami statystycznymi, w tym w odniesieniu do osób lub grup osób, wobec których system ma być wykorzystywany, a także powinny uwzględniać cechy, właściwości lub elementy, które są specyficzne dla określonego kontekstu geograficznego, behawioralnego lub funkcjonalnego lub okoliczności, w których system ma być wykorzystywany;
- sporządzanie i aktualizowanie dokumentacji technicznej systemu (szczegółowy wykaz informacji, które powinna zawierać dokumentacja zawarto w załączniku IV do rozporządzenia);
- automatyczne rejestrowanie zdarzeń – systemy wysokiego ryzyka muszą posiadać funkcję prowadzenia rejestrów zdarzeń (logów) zapewniającą odpowiednią do ich przeznaczenia identyfikowalność działania w całym cyklu życia systemu, tak aby możliwe było jego monitorowanie pod kątem występowania sytuacji skutkujących ryzykiem zagrożenia dla zdrowia i bezpieczeństwa lub praw podstawowych obywateli lub mogących prowadzić do wystąpienia istotnej zmiany;
- przejrzystość i udostępnianie informacji użytkownikom – aby zapobiec tzw. efektowi czarnej skrzynki (black box) powodującemu, że niektóre systemy sztucznej inteligencji mogą stać się niezrozumiałe lub zbyt skomplikowane dla osób fizycznych, działanie systemów AI wysokiego ryzyka musi być wystarczająco przejrzyste, aby użytkownicy byli w stanie interpretować wyniki działania systemu i odpowiednio z nich korzystać; w tym celu rozporządzenie wprowadza wymóg sporządzenia instrukcji obsługi, zawierającej m.in. informacje dotyczące cech, możliwości i ograniczeń skuteczności działania sytemu, poziomu i wskaźników dokładności oraz środków nadzoru ze strony człowieka;
- nadzór ze strony człowieka – systemy AI wysokiego ryzyka muszą być skonstruowane tak, aby zapewniony był skuteczny nadzór nad nimi ze strony ludzi; wprowadzone w tym celu środki (wbudowane bezpośrednio w system przez dostawcę lub zdefiniowane przez dostawcę odpowiednie do wdrożenia przez użytkownika) muszą umożliwiać osobom nadzorującym m.in.: należyte monitorowanie działania systemu, tak, aby wszelkie nieprawidłowości w jego funkcjonowaniu czy nieoczekiwane wyniki można było jak najszybciej wykrywać i eliminować, podjęcie decyzji o nieskorzystaniu z systemu w danej sytuacji, zignorowanie lub odwrócenie otrzymanych wyników, ingerencję w działanie systemu lub przerwanie jego działania poprzez użycie przycisku „stop” czy inną podobną procedurę;
- dokładność, solidność i cyberbezpieczeństwo – systemy sztucznej inteligencji wysokiego ryzyka muszą, w kontekście ich przeznaczenia, osiągać odpowiedni poziom dokładności, solidności i cyberbezpieczeństwa i działać z zachowaniem tego poziomu przez cały cykl życia, muszą być odporne na błędy, usterki lub niespójności mogące wystąpić zarówno w samym systemie, jak i w środowisku w którym działa; w szczególności systemy, które po rozpoczęciu użytkowania nadal się uczą powinny być opracowane w taki sposób, aby przeciwdziałać ewentualnym tendencyjnym wynikom działania spowodowanym „sprzężeniem zwrotnym”, tj. wykorzystywaniem uzyskanych wyników jako danych wejściowych do następnych operacji.
Obowiązki dostawców i użytkowników systemów AI wysokiego ryzyka, ocena zgodności i oznakowanie CE
Dostawcy systemów sztucznej inteligencji wysokiego ryzyka, czyli wszelkie podmioty, które opracowują takie systemy lub zlecają ich opracowanie w celu wprowadzenia do obrotu lub oddania do użytku pod własną marką, zobowiązani będą do zapewnienia, aby spełniały one ustanowione w rozporządzeniu wymogi. W tym celu każdy dostawca będzie musiał wdrożyć system zarządzania jakością, obejmujący w szczególności:
- techniki i procedury dotyczące projektowania systemu AI wysokiego ryzyka;
- techniki i procedury na potrzeby opracowywania, kontroli jakości i zapewniania jakości systemu;
- procedury badania, testowania i walidacji, które należy przeprowadzić przed rozpoczęciem opracowywania systemu, w trakcie tego procesu i po jego zakończeniu;
- systemy i procedury zarzadzania danymi;
- system zarządzania ryzykiem;
- system monitorowania systemu po wprowadzeniu do obrotu;
- procedury dotyczące zgłaszania poważnych incydentów i nieprawidłowego działania systemów właściwym organom nadzoru rynku.
Na dostawcach systemów AI wysokiego ryzyka spoczywał będzie również obowiązek sporządzania dokumentacji technicznej systemu, przechowywania rejestrów zdarzeń (jeżeli znajdują się pod ich kontrolą), monitorowania systemu po wprowadzeniu do obrotu, a także podejmowania działań naprawczych, w przypadku gdy system nie będzie spełniał wymogów, oraz informowania właściwych organów o niezgodności z wymogami i o podjętych działaniach naprawczych.
Biorąc pod uwagę, że projektowane przepisy harmonizacyjne dla systemów AI wysokiego ryzyka odpowiadają modelowi przewidzianemu w nowych ramach prawnych, przed wprowadzeniem systemu do obrotu lub oddaniem go do użytkowania dostawca zobowiązany będzie do:
- przeprowadzenia odpowiedniej procedury oceny zgodności – w przypadku systemów wymienionych w załączniku III do rozporządzenia, co do zasady będzie to ocena opierająca się na kontroli wewnętrznej (kontroli przeprowadzanej przez samego dostawcę), jedynie dla systemów zdalnej identyfikacji biometrycznej (zarówno w czasie rzeczywistym, jak i „post factum”) przewidziano procedurę oceny zgodności z udziałem jednostki notyfikowanej; w przypadku systemów stanowiących związane z bezpieczeństwem elementy produktów objętych unijnym prawodawstwem harmonizacyjnym wchodzącym w zakres nowych ram prawnych lub systemów będących takimi produktami (przepisy wymienione w załączniku II sekcja A, dotyczące produktów takich jak np. zabawki, wyroby medyczne, maszyny), zgodność z wymogami dla systemów AI wysokiego ryzyka sprawdzana będzie w ramach procedur oceny właściwych dla tych produktów, określonych w ww. przepisach wchodzących w zakres nowych ram prawnych;
- sporządzenia dla systemu deklaracji zgodności UE – sporządzając deklarację dostawca będzie brał na siebie odpowiedzialność za zgodność z wymogami dla systemów AI wysokiego ryzyka ustanowionych w rozporządzeniu; jeżeli system sztucznej inteligencji wysokiego ryzyka podlegać będzie innemu unijnemu prawodawstwu harmonizacyjnemu, w którym również przewidziano wymóg sporządzenia deklaracji zgodności UE, na potrzeby wszystkich aktów prawa Unii mających zastosowanie do systemu sztucznej inteligencji wysokiego ryzyka sporządzana będzie jedna deklaracja zgodności UE;
- opatrzenia systemu oznakowaniem CE – oznakowanie CE będzie musiało zostać umieszczone na systemie w sposób widoczny, czytelny i trwały; jeżeli jednak z uwagi na charakter systemu oznakowanie w powyższy sposób nie będzie możliwe lub uzasadnione, oznakowanie będzie umieszczane na opakowaniu lub w dokumentacji towarzyszącej systemowi.
W przypadku systemów AI wysokiego ryzyka wyszczególnionych w załączniku III, do obowiązków dostawców należała będzie także rejestracja systemu w specjalnie utworzonej w tym celu przez Komisję Europejską, publicznie dostępnej unijnej bazie danych. Dane dotyczące systemów wprowadzane będą do bazy bezpośrednio przez dostawców, a rolą Komisji, pełniącej funkcję administratora bazy, będzie udzielanie im w tym zakresie wsparcia technicznego i administracyjnego.
Z kolei do obowiązków użytkowników systemów AI wysokiego ryzyka należeć będą:
- użytkowanie systemu zgodnie z instrukcją obsługi;
- zapewnienie adekwatności danych wejściowych w odniesieniu do przeznaczenia systemu, w zakresie w jakim użytkownik sprawuje kontrolę nad danymi wejściowymi;
- monitorowanie działania systemu w oparciu o instrukcję obsługi;
- w przypadku stwierdzenie okoliczności wskazujących, że użytkowanie systemu zgodnie z instrukcją może doprowadzić do powstania ryzyka zagrożenia dla zdrowia i bezpieczeństwa lub praw podstawowych obywatel, poinformowanie o tym fakcie dostawcy lub dystrybutora i wstrzymanie użytkowania systemu;
- zgłaszanie dostawcy lub dystrybutorowi wszelkich stwierdzonych przez siebie poważnych incydentów lub przypadków nieprawidłowego działania zaprzestanie użytkowania systemu;
- przechowywanie generowanych automatycznie rejestrów zdarzeń, w zakresie, w jakim te rejestry znajdują się pod kontrolą użytkownika.
Kary za nieprzestrzeganie rozporządzenia
Projekt rozporządzenia obliguje państwa członkowskie do przyjęcia krajowych przepisów ustanawiających kary pieniężne za naruszenie jego przepisów. Wysokość kar ma być uzależniona od rodzaju naruszenia i wynieść może:
- do 30 mln euro lub, w odniesieniu do przedsiębiorstw, do 6% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy, za nieprzestrzeganie zakazu stosowania systemów niedozwolonych w UE oraz niedopełnienie wymogów dotyczących używania wysokiej jakości danych do trenowania i testowania systemów wysokiego ryzyka;
- do 20 mln euro lub, w odniesieniu do przedsiębiorstw, do 4% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy, za niezgodność systemu AI z jakimikolwiek innymi niż wskazane powyżej wymogami;
- do 10 mln euro lub, w odniesieniu do przedsiębiorstw, do 2% całkowitego rocznego światowego obrotu za poprzedni rok obrotowy, za udzielenie właściwymi organom krajowym nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji.
Krajowe organy nadzorcze i Europejska Rada ds. Sztucznej Inteligencji
W celu zapewnienia wdrożenia i stosowania przepisów rozporządzenia, państwa członkowskie zobowiązane będą do ustanowienia lub wyznaczenia właściwych organów krajowych, które pełnić będą funkcje:
- krajowego organu nadzorczego, odpowiedzialnego za wdrożenie i stosowanie Aktu w sprawie sztucznej inteligencji, pełnienie funkcji punktu kontaktowego w kontaktach z Komisją oraz reprezentującego państwo członkowskie w Europejskiej Radzie ds. Sztucznej Inteligencji;
- organu nadzoru rynku, tj. organu prowadzącego działania i stosującego środki nadzoru rynku zgodnie z rozporządzeniem (UE) 2019/1020[10];
- organu notyfikującego, czyli organu odpowiadającego za opracowanie i stosowanie procedur koniecznych do oceny, wyznaczania i notyfikowania jednostek oceniających zgodność (jednostek notyfikowanych) oraz ich monitorowanie.
Co do zasady wszystkie trzy wyżej wymienione funkcje realizować ma w każdym państwie jeden organ krajowy, dopuszczalne będzie jednak ich rozdzielenie pomiędzy różne organy, jeżeli przemawiać będą za tym względy organizacyjne i administracyjne.
Na szczeblu unijnym utworzona zostanie nowa instytucja – Europejska Rada ds. Sztucznej Inteligencji, w skład której wejdą osoby kierujące krajowymi organami nadzorczymi oraz Europejski Inspektor Ochrony Danych, będąca organem doradczym i wspierającym Komisję Europejską w obszarze AI, w tym poprzez:
- gromadzenie fachowej wiedzy i najlepszych praktyk i ich udostępnianie państwom członkowskim;
- wkład w wypracowywanie jednolitych praktyk administracyjnych, w tym praktyk w zakresie funkcjonowania tzw. piaskownic regulacyjnych w zakresie AI (regulatory sandbox)[11];
- wydawanie opinii i zaleceń w kwestiach związanych z wdrażaniem rozporządzenia, w tym w kwestii specyfikacji technicznych lub norm czy kwestii sporządzania wytycznych.
Agata Kudelska – radca prawny, główny specjalista w Departamencie Wsparcia Przedsiębiorczości PARP, Enterprise Europe Network
Źródło: parp.gov.pl
—————————————–
[1] Więcej informacji na stronie Komisji Europejskiej pod adresem: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_pl#introduction (dostęp: 26.11.2021).
[2] Wniosek w sprawie rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji) i zmieniającego niektóre akty ustawodawcze Unii, COM(2021) 206 final, 21.4.2021, https://eur-lex.europa.eu/legal-content/PL/TXT/?qid=1623335154975&uri=CELEX%3A52021PC0206.
[3] Komunikat Komisji „Sztuczna inteligencja dla Europy”, COM(2018) 237 final, 25.4.2018, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2018%3A237%3AFIN.
[4] Komunikat Komisji do Parlamentu Europejskiego, Rady Europejskiej, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Skoordynowany plan w sprawie sztucznej inteligencji”, COM/2018/795 final, 7.12.2018, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52018DC0795#PP1Contents.
[5] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Budowanie zaufania do sztucznej inteligencji ukierunkowanej na człowieka”, COM(2019) 168 final, 8.4.2019, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52019DC0168 .
[6] Komisja Europejska „Biała księga w sprawie sztucznej inteligencji, Europejskie podejście do doskonałości i zaufania”, COM(2020) 65 final, 19.2.2020, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52020DC0065.
[7] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów „Promowanie europejskiego podejścia do sztucznej inteligencji”, COM(2021) 205 final, 21.4.2021, https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=COM%3A2021%3A205%3AFIN.
[8] Przestępstwa wskazane w art. 2 ust. 2 decyzji ramowej Rady z dnia 13 czerwca 2002 r. w sprawie europejskiego nakazu aresztowania i procedury wydawania osób między Państwami Członkowskimi (2002/584/WSiSW), Dz.U. UE L 190, 18.7.2002, s. 34, z późn. zm., https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A02002F0584-20090328.
[9] New Legislative Framework, więcej informacji na stronie Komisji Europejskiej pod adresem: https://ec.europa.eu/growth/single-market/goods/new-legislative-framework_pl (dostęp 07.12.2021).
[10] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/1020 z dnia 20 czerwca 2019 r. w sprawie nadzoru rynku i zgodności produktów oraz zmieniające dyrektywę 2004/42/WE oraz rozporządzenia (WE) nr 765/2008 i (UE) nr 305/2011 (Dz.U. L 169 z 25.6.2019, s. 1), stanowiące jeden z elementów nowych ram prawnych.
[11] Piaskownice regulacyjne w zakresie AI tworzone przez jeden właściwy organ państwa członkowskiego lub większą liczbę takich organów, lub przez Europejskiego Inspektora Ochrony Danych zapewniające kontrolowane środowisko ułatwiające opracowywanie, testowanie i walidację innowacyjnych systemów sztucznej inteligencji przez ograniczony czas przed ich wprowadzeniem do obrotu lub oddaniem ich do użytku zgodnie z określonym planem.