Baza wiedzy

AI pod kontrolą: co musisz wiedzieć o unijnym AI Act?

AI Act, czyli Akt w sprawie sztucznej inteligencji, to pierwsze kompleksowe rozporządzenie prawne Unii Europejskiej dotyczące systemów sztucznej inteligencji. Już na wstępie należy podkreślić, że AI Act klasyfikuje systemy sztucznej inteligencji według ryzyka naruszenia praw podstawowych. Choć prace nad nim trwały kilka lat, a projekt został przedstawiony przez Komisję Europejską w 2021 roku, końcowy kształt aktu został przyjęty w 2024 roku i będzie obowiązywać w sposób stopniowy.

AI pod kontrolą: co musisz wiedzieć o unijnym AI Act?

Celem rozporządzenia jest ujednolicenie zasad dotyczących rozwoju, obrotu i stosowania systemów sztucznej inteligencji (AI) w UE, z poszanowaniem unijnych wartości i wspomnianych praw podstawowych takich jak zdrowie, bezpieczeństwo, demokracja, praworządność czy ochrona środowiska. Rozporządzenie ma zapewnić zaufanie do AI, promować innowacje oraz wspierać swobodny przepływ towarów i usług opartych na AI, zapobiegając rozdrobnieniu rynku wewnętrznego.

Systemy AI mają ogromny potencjał w wielu sektorach — od zdrowia, edukacji i transportu po klimat, energetykę czy administrację — ale mogą też powodować szkody fizyczne, psychiczne czy ekonomiczne. W związku z tym niezbędnym stało się ustanowienie przejrzystych ram prawnych, które zapewnią wysoki poziom ochrony interesu publicznego i stworzą sprzyjające warunki dla rozwoju godnej zaufania AI, szczególnie z uwzględnieniem potrzeb MŚP i start-upów. Unia Europejska dąży do światowego przywództwa w zakresie bezpiecznej, etycznej i zorientowanej na człowieka sztucznej inteligencji.

Czym właściwie jest system sztucznej inteligencji?

Na początek, czym właściwie jest system sztucznej inteligencji? Zgodnie z AI Act, system AI, to system maszynowy zaprojektowany do działania z różnym poziomem autonomii, który po wdrożeniu może wykazywać zdolność adaptacji. System taki przetwarza dane wejściowe i generuje wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.

Warto również odróżnić system AI od modelu AI. Model AI to komponent, który stanowi część większego systemu AI. Model jest algorytmem lub zestawem algorytmów uczących się na danych, podczas gdy system AI to pełne rozwiązanie, które wykorzystuje modele do realizacji określonych zadań. Innymi słowy: model AI to silnik, a system AI to pojazd, który ten silnik wykorzystuje.

A zatem, jakiego rodzaju systemów dotyczy AI Act?

Jak już wspomniałam, AI Act opiera się na podejściu zorientowanym na ryzyko (risk-based approach), czyli ocenie potencjalnych zagrożeń dla praw podstawowych. Im wyższe ryzyko związane z danym systemem AI, tym surowsze obowiązki nakłada rozporządzenie. W rezultacie przewidziano następującą klasyfikację systemów AI:

  • systemy o niedopuszczalnym ryzyku;
  • systemy wysokiego ryzyka;
  • systemy ograniczonego ryzyka;
  • systemy minimalnego ryzyka.

Systemy wysokiego ryzyka

AI Act szczególną uwagę poświęca systemom AI uznawanym za wysokiego ryzyka. Do tej kategorii zaliczają się systemy, które mogą znacząco wpłynąć na zdrowie, bezpieczeństwo lub podstawowe prawa osób fizycznych. Przykłady takich systemów obejmują:

  • systemy wykorzystywane w procesach rekrutacyjnych na stanowiska pracy i przy podejmowaniu decyzji o awansie;
  • systemy wykorzystywane przy rekrutacji na uczelnie lub do innych form kształcenia w tym kształcenia zawodowego;
  • systemy oceniające zdolność kredytową osób fizycznych oraz przeprowadzające ocenę kwalifikowalności osób do świadczeń publicznych (np. zdrowotnych, socjalnych);
  • systemy wykorzystywane jako elementy związane z bezpieczeństwem w infrastrukturze krytycznej, w tym infrastrukturze cyfrowej, ruchem drogowym, zaopatrzeniem w wodę, gaz, ciepło lub energię elektryczną;
  • systemy zdalnej identyfikacji biometrycznej, w tym systemy przeznaczone do wykorzystania przy rozpoznawaniu emocji;
  • systemy wspierające działania organów publicznych w zakresie oceny ryzyka migracyjnego, bezpieczeństwa, zdrowia publicznego bądź rozpatrywania wniosków o azyl, wizę lub dokumenty pobytowe;
  • systemy stosowane w egzekwowaniu prawa, np. do oceny ryzyka popełnienia przestępstwa.

Obowiązki dostawców systemów wysokiego ryzyka

Dostawcy takich systemów muszą spełniać szereg obowiązków, w tym:

  • wdrożenie systemu zarządzania ryzykiem: m.in. identyfikacja, ocena i minimalizacja potencjalnych zagrożeń związanych z użytkowaniem systemu AI;
  • wdrożenie systemu zarządzania jakością: m.in. strategia zgodności z AI Act, stosowanie odpowiednich norm lub alternatywnych środków, zarządzanie danymi i ryzykiem, monitoring po wprowadzeniu do obrotu oraz zgłaszanie poważnych incydentów;
  • zapewnienie wysokiej jakości danych: m.in. zapewnienie, że dane wykorzystywane do trenowania modeli są reprezentatywne, kompletne i wolne od błędów;
  • przygotowanie dokumentacji technicznej: szczegółowe opisy systemu, jego przeznaczenia oraz procesy jego rozwoju;
  • zapewnienie przejrzystości i nadzoru ludzkiego: informowanie użytkowników o sposobie działania systemu oraz zapewnienie możliwości interwencji człowieka w jego działanie;
  • spełnienie wymogów cyberbezpieczeństwa co oznacza zapewnienie ochrony systemu przed nieautoryzowanym dostępem i atakami.

Co istotne, wszystkie systemy AI muszą spełniać określone wytyczne, w tym spełniać zasady przejrzystości, bezpieczeństwa i cyberbezpieczeństwa, prywatności i przetwarzania danych, zakazu dyskryminacji czy zapewnienia nadzoru ludzkiego nad systemem AI.

Kto jest odpowiedzialny za zapewnienie zgodności systemów sztucznej inteligencji z AI Actem?

Regulacje zawarte w AI Act mają zastosowanie do szerokiego grona podmiotów — zarówno tych, które tworzą i dostarczają systemy AI, jak i tych, które z nich korzystają. Do podstawowych grup adresatów aktu należą:

Dostawcy

Czyli osoby fizyczne, prawne, organy publiczne lub inne podmioty, które rozwijają system AI lub model AI ogólnego przeznaczenia, a następnie wprowadzają go na rynek unijny — odpłatnie lub nieodpłatnie, pod własną nazwą lub marką. Dostawca ponosi główną odpowiedzialność za zapewnienie zgodności systemu z przepisami, w tym m.in. za ocenę zgodności, przygotowanie dokumentacji technicznej, oznakowanie CE oraz wdrożenie systemu zarządzania ryzykiem.

Użytkownicy (podmioty stosujące)

Czyli osoby, instytucje lub inne podmioty, które wdrażają system AI i wykorzystują go pod własną kontrolą, z wyjątkiem użytku prywatnego. Użytkownicy również mają określone obowiązki, zwłaszcza w przypadku systemów wysokiego ryzyka — są zobowiązani m.in. do monitorowania działania systemu, zgłaszania incydentów i prowadzenia rejestrów jego stosowania.

Importerzy i dystrybutorzy

To podmioty, które odpowiedzialne są za zapewnienie, że systemy AI opracowane poza UE spełniają wymagania AI Act. Importerzy muszą zweryfikować, czy dostawca spełnił wszystkie obowiązki wynikające z aktu, natomiast dystrybutorzy muszą upewnić się, że system AI posiada odpowiednie oznaczenia i dokumentację oraz nie został zmodyfikowany w sposób wpływający na zgodność z przepisami.

Producenci produktów zintegrowanych z AI

Jeżeli wprowadzają na rynek produkt zawierający wbudowany system AI, stają się dostawcami takiego systemu i muszą spełnić wszystkie obowiązki przewidziane dla dostawcy.

Warto podkreślić, że AI Act ma zastosowanie nie tylko do podmiotów z siedzibą w UE, ale również do tych spoza Unii, jeśli ich systemy AI są wprowadzane do obrotu lub używane na jej terytorium. Oznacza to, że nawet firmy z państw trzecich muszą przestrzegać przepisów AI Act, jeżeli ich produkty są dostępne dla użytkowników w UE.

Jak wynika z powyższego wyliczenia, odpowiedzialność za zgodność z AI Act jest współdzielona — każdy uczestnik łańcucha dostaw i użytkowania systemu AI ma swoje ściśle określone obowiązki. Celem tych regulacji jest zapewnienie, że sztuczna inteligencja stosowana na terenie Unii Europejskiej będzie bezpieczna, godna zaufania i zgodna z prawami podstawowymi — niezależnie od jej pochodzenia czy zastosowania.

Zakazane zastosowania AI

Systemy zakazane są uznawane za niezgodne z wartościami i prawami podstawowymi UE. Warto odnotować, że regulacje dotyczące zakazanych systemów AI weszły w życie już w lutym tego roku. Do takich zakazanych praktyk należą:

1. Systemy manipulacyjne ludźmi w ukryty sposób

Systemy, które działają poza świadomością człowieka (np. podprogowo), celowo wprowadzają w błąd lub manipulują czego celem lub skutkiem jest nieświadome podjęcie decyzji, które wyrządza szkodę u tej osoby lub innej grupy osób. Przykładem takiego systemu może być system, który prezentuje odbiorcy podatnej psychologicznie konkretne reklamy określonego produktu.

2. Systemy wykorzystujące słabości osoby lub grupy osób

Np. wiek, niepełnosprawność lub inne trudności danej osoby w tym ekonomiczne, po to, aby wpływać na jej decyzje w sposób, który może jej poważnie zaszkodzić (np. system kierujący manipulacyjne oferty kredytowe do osób starszych lub zadłużonych).

3. Systemy wykorzystujące społeczny scoring

Ocena lub klasyfikacja osób lub grup osób na podstawie ich zachowania społecznego — dokonywanie oceny służące np. przy przyznawaniu usług. Przykładem może być system AI odmawiający przyznania pożyczki z uwagi na negatywną opinię „w sieci", bądź opóźnienie z zapłatą mandatu.

4. Systemy profilujące przestępców na podstawie cech osobowości

Chodzi tutaj o systemy, które dokonują oceny czy ktoś może popełnić przestępstwo, tylko na podstawie profilowania lub jego charakteru w tym wyglądu i zachowania. Warte podkreślenia jest to, że zakaz nie dotyczy sytuacji, gdy system opiera się na obiektywnych i weryfikowalnych faktach bezpośrednio związanych z działalnością przestępczą.

5. Systemy do tworzenia lub rozbudowywania baz danych służących do rozpoznawania twarzy

Przez masowe zbieranie zdjęć z internetu lub nagrań z telewizji przemysłowej.

6. Systemy AI do odczytywania emocji w miejscach pracy lub szkołach

Wyjątkiem są systemy, które mają zostać wdrożone lub wprowadzone do obrotu ze względów medycznych lub bezpieczeństwa.

7. Systemy dokonujące kategoryzowania ludzi według danych biometrycznych

Które na podstawie cech ciała i twarzy pozwalają określić rasę, poglądy polityczne, przynależność do związków zawodowych, religię lub orientację seksualną. Istnieje tutaj wyjątek przewidujący sytuacje w której takie kategoryzowanie może być dozwolone w celu ścigania przestępstw.

8. Systemy do biometrycznej identyfikacji twarzy w czasie rzeczywistym w miejscach publicznych

Czyli wszelkie systemy rozpoznające twarze na żywo na ulicach są zakazane, chyba że dotyczą bardzo konkretnych przypadków w tym poszukiwania zaginionych osób lub ofiar przemocy, zapobiegania atakom terrorystycznym czy identyfikacji osoby podejrzanej o poważne przestępstwo. Takie systemy obowiązują odrębne wymogi jak rejestracja i nadzór nad systemem oraz stosowanie wyłącznie czasowo i w ściśle określonym miejscu oraz celu.

Kary za nieprzestrzeganie przepisów

Za nieprzestrzeganie przepisów dotyczących systemów zakazanych grożą wysokie kary pieniężne w wysokości do 35 000 000 EUR lub do 7% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Przepisy dotyczące sankcji wejdą w życie 2 sierpnia 2025 r.

Podsumowanie

Szczegółowe regulacje dotyczące systemów wysokiego ryzyka, kwestia ochrony danych osobowych w świetle AI Act oraz problematyka praw autorskich, stanowią interesujące oraz warte uwagi zagadnienia, na których skupię uwagę w kolejnych artykułach.

Źródło:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji).

Natalia Rybka
4 czerwca 2025
Sprawdź profil eksperta