AI Act – co da nam regulacja UE dotycząca sztucznej inteligencji?

by Leszek Sadkowski

Po pierwsze, czym jest AI Act? To projekt regulacji dotyczącej sztucznej inteligencji, która we wszystkich państwach członkowskich Unii Europejskiej wprowadzi jednolite prawo związane z tym obszarem. Celem jest stworzenie takich ram prawnych, aby rozwiązania bazujące na mechanizmach sztucznej inteligencji były godne zaufania i zgodne z wartościami oraz prawami obowiązującymi w UE. Co istotne, rozporządzenie ma też chronić zdrowie oraz bezpieczeństwo obywateli.

Projekt AI Act dzieli sposoby stosowania sztucznej inteligencji na trzy kategorie ryzyka: wysokie, ograniczone i minimalne. W każdej z nich nałożone są wymogi dotyczące jakości danych, przejrzystości działania, nadzoru przez człowieka oraz odpowiedzialności, które muszą spełniać dostawcy rozwiązań sztucznej inteligencji oraz użytkownicy. Rozporządzenie wskazuje też przypadki, w których używanie AI będzie niedopuszczalne.

Kategorie ryzyk

Kategoria wysokiego ryzyka obejmie rozwiązania sztucznej inteligencji, które mają znaczący wpływ na życie ludzkie lub podstawowe prawa człowieka.

To m.in. systemy biometryczne, transport, ochrona zdrowia, edukacja czy rekrutacja. Kategoria ograniczonego ryzyka obejmuje te zastosowania AI, które mają mniejszy wpływ na ludzi, ale jednocześnie wymagają wprowadzenia zasad przejrzystości działania, np. chatboty, asystenty głosowe czy systemy udzielające rekomendacji.

Kategoria minimalnego ryzyka obejmuje rozwiązania, które mają niewielki lub zerowy wpływ na ludzi i nie podlegają szczególnym wymaganiom, takie jak gry komputerowe, filtry stosowane do grafik i zdjęć czy interaktywne zabawki.

Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa, VP w WithSecure:

AI Act to pierwsze kompleksowe prawo dotyczące sztucznej inteligencji i zdecydowanie krok w dobrym kierunku. Wyraźne wskazanie kategorii zastosowań AI i tych obszarów, w których sztuczna inteligencja nie może być używana, nałoży na firmy techniczne ramy prawne, do których będą musiały się stosować.

Takie podejście pomoże powstrzymywać rozwijanie AI w obszarach, które mogą być szkodliwe dla poszczególnych użytkowników oraz całego społeczeństwa, ale jednocześnie kuszą możliwością uzyskania dużego i szybkiego przychodu. W czasach, gdy firmy nieustannie szukają nowych źródeł zysku, naiwne byłoby oczekiwanie, że będą same ograniczały się w sytuacji, gdy konkurencja na rynku jest coraz bardziej zacięta.

Rozporządzenie przewiduje utworzenie europejskiego urzędu ds. sztucznej inteligencji, który będzie monitorował proces wdrażania i egzekwowania przepisów, a także wspierał innowacje i rozwój AI w Europie. AI Act prawdopodobnie zacznie obowiązywać w ciągu kilku najbliższych lat. Dokładna data jego wprowadzenia nie jest jeszcze znana, jednak może to nastąpić już pod koniec 2023 roku.

Dane muszą być rzetelne

Regulacje AI Act tworzą też jednak obszary ryzyka, które powinny być uwzględniane podczas wprowadzania nowego prawa. Akt ma obowiązywać jedynie na terenie Unii Europejskiej, więc firmy, które operują poza obszarem wspólnoty, nie będą podlegały ograniczeniom. Może dojść do sytuacji, w której globalni gracze będą wypuszczali specjalną wersję swojego rozwiązania lub usługi na rynek europejski oraz „pełną” wersję na pozostałe, nieuregulowane rynki.

Nie jest to problem z perspektywy unijnej, jednak może doprowadzić do rozwijania się globalnej gospodarki dwóch prędkości – ocenia Tasiemski. – Firmy, które nie będą podlegały regulacjom AI Act, nie będą musiały brać pod uwagę tego typu wymogów i nie będą obciążone kosztami czy formalnościami związanymi z europejskimi przepisami, dopóki nie będą obsługiwały krajów i obywateli UE.

Nowe rozporządzenie może zwiększyć koszty tworzenia i wprowadzania na rynek innowacyjnych produktów zwłaszcza z perspektywy małych firm. Dlatego przepisy wykonawcze powinny być ułożone tak, aby wprowadzić nadzór i wyegzekwować potrzebne ograniczenia, ale też zminimalizować związany z tym nakład pracy i koszty. Nie mówiąc już o tym, że wszystkie dane muszą być rzetelne.

Leszek Tasiemski

AI Act w kontekście bezpieczeństwa

Niestety, nie należy oczekiwać, że po wprowadzeniu AI Act zmniejszy się liczba czy natężenie spersonalizowanych ataków phishingowych oraz innych kampanii wykorzystujących metody socjotechniczne. Grupy cyberprzestępcze coraz częściej stosują mechanizmy sztucznej inteligencji, ale jako że z definicji nie respektują żadnych przepisów ani praw, nie będą też w żaden sposób ograniczone przez nowe regulacje. Sztuczna inteligencja wciąż więc będzie służyła do tworzenia masowych kampanii phishingu czy dezinformacji.

Trzeba pamiętać, że jesteśmy dopiero na początku cyklu wykorzystania technologii sztucznej inteligencji, a zwłaszcza takich modeli jak ChatGPT – podsumowuje Tasiemski. – W wielu dziedzinach dopiero raczkujemy i można spodziewać się dynamicznego pojawiania się oraz rozrostu zupełnie nowych, nieoczywistych obszarów zastosowania algorytmów.

Kluczowe będzie jednak sformułowanie przepisów w zbalansowany sposób, a także elastyczne i innowacyjne podejście instytucji, które mają powstać do ich egzekucji. Regulacje nie powinny być zbyt ogólne, a jednocześnie powinny być przygotowane na to, czego jeszcze nie wiemy i nad czym dopiero pracują cyfrowe laboratoria.

Możesz również lubić