Mijają już trzy miesiące od wprowadzenia w życie Aktu o AI – przełomowego rozporządzenia Unii Europejskiej, które wyznacza nowe standardy w regulacji sztucznej inteligencji. Dokument ten ma na celu nie tylko uregulowanie rozwoju AI, ale również zapewnienie użytkownikom bezpieczeństwa i przejrzystości w jej stosowaniu. Z tego artykułu dowiesz się:
Czym jest Akt o AI i jakie są jego główne założenia?
Celem wprowadzenia przepisów jest próba zdefiniowania AI i kontrolowania jej szybko postępującego rozwoju, a także zapewnienia jej użytkownikom bezpieczeństwa. Z tego powodu modele AI zostały sklasyfikowane na cztery kategorie ryzyka (od niskiego do nieakceptowalnego ryzyka). Ponadto, aktem tym nałożono obowiązki na podmioty zaangażowane w powstawanie modeli AI – dostawców, dystrybutorów, importerów, czy nawet użytkowników.
Rozporządzenie wymienia szereg zastosowań AI, będących praktykami nieakceptowalnego ryzyka, które to praktyki będą zakazane. Z powszechniejszych dla większości organizacji praktyk, które ujęte zostały w tej kategorii, można znaleźć techniki podprogowe, techniki wprowadzające w błąd czy manipulacyjne przy systemach AI. Zakazane będą praktyki wykorzystywane do wyciągania wniosków na temat emocji osoby w miejscu pracy lub instytucjach edukacyjnych, czy praktyki rozbudowujące bazy danych służące rozpoznawaniu twarzy poprzez nieukierunkowane pozyskiwanie (untargeted scraping) wizerunków z Internetu lub z telewizji.
Jakie terminy wdrożenia przepisów są najważniejsze dla przedsiębiorców?
Zgodnie z harmonogramem wejścia w życie poszczególnych przepisów, kluczową datą dla przedsiębiorców powinien być 2 lutego 2025 r. To właśnie z tym dniem rozpocznie się stosowanie przepisów ogólnych rozporządzenia, a także przepisów o zakazanych praktykach. Ważne, aby odpowiednio przygotować się na tę datę, wdrażając właściwe standardy w organizacjach.
Drugą istotną datą pozostaje 2 sierpnia 2025 r., kiedy to rozpoczną obowiązywać przepisy w zakresie organów notyfikujących naruszenia, a także przepisy o karach. Z tym dniem również wejdą w życie przepisy dotyczące modeli AI ogólnego przeznaczenia (trenowanych dużą ilością danych i możliwych do zintegrowania z aplikacjami i systemami). Do tej daty przedsiębiorcy powinni wdrożyć systemy w organizacjach, które zgodne będą z przyjętymi standardami, aby skutecznie przygotować się na potencjalne kontrole. Pozostałe przepisy rozpoczną obowiązywanie w części w 2026 r. oraz w 2027 r., jednak warto już wcześniej znać ich założenia oraz konsekwencje dla danej organizacji.
Jakie konsekwencje dla organizacji niesie AI Act?
W związku z wejściem w życie AI Act należy zweryfikować, czy usługi bądź procesy stosowane w organizacji związane są z praktykami wskazanymi w rozporządzeniu oraz rozpoznać ich ryzyko. W szczególności, zwrócić należy uwagę na praktyki dotyczące nadzoru pracowników oraz używane przy procesach rekrutacyjnych. Uznanie systemu za praktykę wysokiego ryzyka powodować będzie dodatkowe obowiązki w zakresie dokumentacji oraz audytów, a także zapewnienia mechanizmów bezpieczeństwa i ochrony danych. Praktyki niskiego ryzyka wymagać będą transparentności oraz systemów informowania korzystających z AI o jej zastosowaniu.
Jak odpowiednio przygotować swoją organizację na wejście w życie przepisów?
Jak widać, rok 2025 r. będzie stanowił wyzwanie w zakresie stosowania AI w organizacjach, m.in. z uwagi na konieczność przeanalizowania stosowanych wewnętrznie procesów. Już teraz warto zadbać o zgodność praktyk z założeniami rozporządzenia, aby w sposób komfortowy wprowadzić wymagane zmiany. Warto odpowiednio zabezpieczyć dane i wdrożyć systemy bezpieczeństwa dla rozwiązań związanych z AI, a także wprowadzić instrukcje i systemy postępowań dla pracowników organizacji, którzy wykorzystują AI w swojej pracy. Dostosowanie się do rozwiązań AI Act zezwoli również na długofalowe planowanie rozwoju z prawidłowym wykorzystaniem sztucznej inteligencji.
Autor:
Jagoda Korzeniowska, Adwokat