Próba „ujarzmienia” sztucznej inteligencji

Spis treści:

1. Czy prawo nadąża za technologią?
2. Wysokie ryzyko – większe obowiązki
3. Przygotowania czas zacząć

Rozwój sztucznej inteligencji od początku budzi wiele emocji, w tym obaw o to, że bez odpowiedniej kontroli narzędzia AI mogą naruszać podstawowe prawa obywateli i zagrażać społeczeństwu. Odpowiedzią na m.in. tego rodzaju zastrzeżenia ma być AI Act.

Nowe technologie wspierają rozwój organizacji zarówno w sektorze prywatnym, jak i publicznym, oraz w istotny sposób oddziałują na społeczeństwo. Pozwalają instytucjom optymalizować koszty i procesy oraz szybciej przystosowywać się do zachodzących na rynku zmian. Systemy bazujące na AI coraz częściej są wykorzystywane w transformacji cyfrowej i pomagają w rozwoju opieki zdrowotnej, edukacji, transportu, logistyki czy usług publicznych.

Wzrost powszechności zastosowania narzędzi wykorzystujących sztuczną inteligencję wzbudził u części społeczeństwa niepokój przed nieetycznym lub szkodliwym wykorzystaniem tego typu rozwiązań. Lęk przed AI dotyczy w dużym stopniu rynku pracy. Pracownicy obawiają się, że z powodu wykorzystania nowych technologii niektóre zawody przestaną istnieć.

Wdrażanie systemów IT często odbywa się bez udziału pracowników, co może negatywnie wpływać na efekty wdrożenia. Ponadto niski poziom kompetencji cyfrowych jest jedną z głównych barier skutecznego przeprowadzenia transformacji cyfrowej.

Organizacje z uwagi na konieczność zarządzania ryzykiem powinny tworzyć wewnętrzne procedury dotyczące AI, które regulowałyby zasady korzystania z systemów opartych na sztucznej inteligencji, oraz przeprowadzać obowiązkowe szkolenia dla pracowników korzystających z narzędzi AI.

Instytucje wdrażające narzędzia oparte na sztucznej inteligencji powinny zapewnić, aby rozwiązania te były zgodne z wymogami, jakie niesie za sobą AI Act (DzUrz UE L 1689 z 12.07.2024; dalej także: akt w sprawie sztucznej inteligencji).

AI Act ma na celu chronić zdrowie, bezpieczeństwo i prawa podstawowe obywateli, jednocześnie umożliwiając dalszy rozwój innowacyjnych technologii.

Rozporządzenie wprowadza definicję „systemu AI” i klasyfikuje systemy według poziomu ryzyka. W przypadku systemów wysokiego ryzyka zarówno na dostawców, jak i użytkowników regulacje prawne nakładają daleko idące obowiązki.

Czy prawo nadąża za technologią?

ChatGPT zadebiutował w listopadzie 2022 r. i „ustanowił rekord, zdobywając 100 mln użytkowników w zaledwie dwa miesiące (Hu, 2023). Kolejne 73 mln użytkowników przybyło w ciągu następnych trzech miesięcy (O’Connell, 2023), co przełożyło się na 1,8 mld wizyt miesięcznie do kwietnia 2023 r. (Gupta i in., 2023)” [1]. Dane te pokazują, jak dużym zainteresowaniem cieszą się rozwiązania IT wykorzystujące generatywną sztuczną inteligencję. Są to bowiem narzędzia, które przynoszą realne korzyści między innymi poprzez automatyzację zadań. Zgodnie z opublikowanym w lipcu br. raportem KPMG „Sztuczna inteligencja w Polsce. Krajobraz pełen paradoksów” 76% badanych w Polsce odczuło wzrost dostępności zasobów i wydajności pracy dzięki wykorzystaniu rozwiązań opartych na AI, a aż 54% pracujących w Polsce korzysta z AI w celach zawodowych intencjonalnie i co najmniej raz na kilka miesięcy.

Stosownie do ustaleń poczynionych przez Polski Instytut Ekonomiczny najwyższą ekspozycję na AI ma sektor działalności finansowej i ubezpieczeniowej, co oznacza, że ta technologia może być intensywnie wykorzystywana w tym obszarze w automatyzacji procesów, analizie danych i zarządzaniu informacją [2]. Ponadto z analizy przeprowadzonej przez Polski Instytut Ekonomiczny wynika, że sektory związane z finansami, technologią oraz komunikacją są liderami w adaptacji AI, zaś sektory takie jak budownictwo czy rolnictwo są mniej narażone na wpływ sztucznej inteligencji [3].

Pomimo korzyści wynikających z zastosowania rozwiązań cyfrowych opartych na sztucznej inteligencji, w dalszym ciągu występują liczne wyzwania, z którymi mierzą się organizacje, nie tylko w Polsce. Wskazać należy m.in. kwestie etyczne, ochronę danych osobowych, podatność na manipulację, brak odpowiedniego przygotowania pracowników czy ryzyko uprzedzeń.

Unia Europejska podjęła wyzwanie ujęcia w ramy prawne sztucznej inteligencji, tak aby systemy oparte na AI były bezpieczne, przejrzyste oraz niedyskryminujące. Jak wskazano w motywach (1) oraz (176) preambuły do AI Act, a także w art. 1 ust. 1 tego rozporządzenia, celem AI Act jest ustanowienie jednolitych ram prawnych, w szczególności w zakresie rozwoju, wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów sztucznej inteligencji oraz promowanie zorientowanej na człowieka i godnej zaufania AI, przy jednoczesnym zapewnieniu ochrony zdrowia, bezpieczeństwa i praw podstawowych obywateli.

Analizę, czy system IT podlega regulacjom AI Act, należy zacząć od odniesienia się do definicji „systemu AI” stworzonej na potrzeby rozporządzenia. Zgodnie z art. 3 pkt. 1 aktu w sprawie sztucznej inteligencji „»system AI« oznacza system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne”.

Na przedmiotową definicję składa się kilka podstawowych elementów. Mianowicie system AI to:

1. system maszynowy;
2. autonomiczny;
3. wykazujący zdolność adaptacji;
4. który ma wyraźne lub dorozumiane cele;
5. wnioskuje;
6. generuje dane wyjściowe (takie jak predykcje, treści, zalecenia lub decyzje);
7. wpływa na środowisko fizyczne lub wirtualne [4].

Podkreślenia wymaga to, że AI Act nie wprowadza definicji sztucznej inteligencji, lecz operuje pojęciem „system AI” i w tym zakresie przedstawia stosowne objaśnienie.

Akt w sprawie sztucznej inteligencji wprowadza nowe wymagania zarówno dla organizacji stosujących systemy AI, jak i podmiotów tworzących i rozwijających je (dostawców systemów). Stosownie do brzmienia przepisu art. 2 ust. 1 AI Act regulacje prawne objęte rozporządzeniem obowiązują:

1. dostawców wprowadzających do obrotu lub oddających do użytku systemy AI lub wprowadzających do obrotu modele AI ogólnego przeznaczenia w UE, niezależnie od tego, czy dostawcy ci mają siedzibę lub znajdują się w UE czy w państwie trzecim;
2. podmiotów stosujących systemy AI, które to podmioty mają siedzibę lub znajdują się w UE;
3. dostawców systemów AI i podmiotów stosujących systemy AI, którzy mają siedzibę lub znajdują się w państwie trzecim, w przypadku gdy wyniki wytworzone przez system AI są wykorzystywane w UE;
4. importerów i dystrybutorów systemów AI;
5. producentów produktu, którzy pod własną nazwą lub znakiem towarowym oraz wraz ze swoim produktem wprowadzają do obrotu lub oddają do użytku system AI;
6. upoważnionych przedstawicieli dostawców niemających siedziby w UE;
7. osób, na które AI ma wpływ i które znajdują się w UE.

Wychodząc naprzeciw rodzącym się w społeczeństwie obawom przed nieetycznym wykorzystaniem sztucznej inteligencji i zagrożeniami mogącymi wiązać się z jej zastosowaniem, AI Act wskazuje wprost, jakiego rodzaju działania z wykorzystaniem sztucznej inteligencji są zakazane. Niedopuszczalne jest użytkowanie oraz wprowadzanie do obrotu systemów AI, które wykorzystują praktyki zakazane w drodze przepisu art. 5 AI Act. Nieprzestrzeganie zakazu może pociągać za sobą poważne konsekwencje finansowe. W przypadku naruszenia przedmiotowego zakazu podmiot dopuszczający się naruszenia podlega administracyjnej karze pieniężnej w wysokości do 35 000 000 EUR lub – jeżeli sprawcą naruszenia jest przedsiębiorstwo – w wysokości do 7% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot jest wyższa.

Wysokie ryzyko – większe obowiązki

AI Act, podobnie jak ogólne rozporządzenie o ochronie danych (DzUrz L 119 z 4.05.2016; dalej: rodo), uwzględnia podejście oparte na ryzyku, co oznacza, że poszczególnym systemom AI przypisane zostały określone kategorie ryzyka, a dostawcom i użytkownikom systemów AI – określone obowiązki w zależności od danej kategorii ryzyka.

Na gruncie aktu w sprawie sztucznej inteligencji wyróżnia się m.in. systemy wysokiego ryzyka (art. 6 AI Act). Są to systemy AI, które mają znaczący szkodliwy wpływ na zdrowie, bezpieczeństwo i prawa podstawowe osób w UE (motyw 46 preambuły AI Act).

Przykładowo systemami AI wysokiego ryzyka będą systemy:

1. wykorzystywane w obszarze edukacji lub szkolenia zawodowego, zwłaszcza te używane do podejmowania decyzji o dostępie lub przyjęciu kandydata do instytucji edukacyjnych i instytucji szkolenia zawodowego lub przydzielania osób do tych instytucji na wszystkich poziomach;
2. wykorzystywane do celów rekrutacji lub wyboru osób fizycznych, w szczególności do umieszczania ukierunkowanych ogłoszeń o pracę, analizowania i filtrowania podań o pracę oraz do oceny kandydatów;
3. przeznaczone do podejmowania decyzji wpływających na warunki stosunków pracy, decyzji o awansie lub rozwiązaniu umownego stosunku pracy, przydzielania zadań na podstawie indywidualnego zachowania lub cech osobowości, lub charakteru, albo też do monitorowania lub oceny wydajności i zachowania osób pozostających w takich stosunkach;
4. przeznaczone do użytku przez organy publiczne lub w imieniu organów publicznych w celu oceny kwalifikowalności osób fizycznych do podstawowych świadczeń i usług publicznych, w tym opieki zdrowotnej, a także w celu przyznawania, ograniczania, odwoływania lub żądania zwrotu takich świadczeń i usług.

Z systemami wysokiego ryzyka wiążą się daleko idące obowiązki spoczywające na użytkownikach, jak i podmiotach odpowiedzialnych za ich wytworzenie i rozwój.

Przykładowo dostawcy systemów wysokiego ryzyka są zobligowani m.in.:

1. Ustanowić, wdrożyć, dokumentować oraz obsługiwać system zarządzania ryzykiem. System ten powinien podlegać regularnym przeglądom i aktualizacji, aby zapewnić jego stałą skuteczność oraz uzasadnienie i dokumentację wszelkich istotnych decyzji i działań podjętych zgodnie z AI Act (motyw 65 preambuły AI Act; por. art. 9 AI Act).
2. Sporządzić dokumentację techniczną systemu AI (art. 11 AI Act).
3. Dysponować technicznymi możliwościami automatycznego rejestrowania zdarzeń w ramach cyklu życia danego systemu AI (art. 12 AI Act).
4. Zapewnić nadzór nad systemem ze strony człowieka (art. 14 AI Act).
5. Zagwarantować odpowiedni poziom dokładności, solidności i cyberbezpieczeństwa oraz by systemy działały konsekwentnie pod tymi względami w całym cyklu życia (art. 15 AI Act).

Z kolei podmioty stosujące systemy AI wysokiego ryzyka są m.in. zobowiązane wdrożyć adekwatne środki techniczne i organizacyjne, tak aby zapewnić wykorzystywanie systemów zgodnie z instrukcją obsługi (art. 26 ust. 1 AI Act) oraz powierzyć nadzór nad systemem osobom, które mają niezbędne kompetencje, przeszkolenie i uprawnienia (art. 26 ust. 2 AI Act).

Organizacje wykorzystujące systemy wysokiego ryzyka powinny monitorować funkcjonowanie systemu, a w przypadku uznania, że wykorzystanie systemu może stwarzać ryzyko dla zdrowia, bezpieczeństwa lub praw podstawowych osób (art. 79 ust. 1 AI Act), powinny bez zbędnej zwłoki poinformować o tym dostawcę (lub dystrybutora), odpowiedni organ nadzoru rynku oraz zawiesić wykorzystywanie systemu.

Ponadto pracodawca przed wdrożeniem systemu AI wysokiego ryzyka powinien poinformować przedstawicieli pracowników i samych pracowników, że system ten będzie w stosunku do nich wykorzystywany (art. 26 ust. 7 AI Act).

W tym miejscu należy zaznaczyć, że w umowie na dostawę i wdrożenie systemu AI, w celu zabezpieczenia interesów podmiotu zamawiającego system, dostawca powinien złożyć oświadczenia oraz zapewnienia dotyczące funkcjonowania systemu, dostępnych w systemie funkcji, a także jego zgodności z określonymi normami, w szczególności z regulacjami AI Act. Dodatkowo umowa powinna zawierać postanowienia gwarantujące udział dostawcy systemu w postępowaniu sądowym. Jest to niezbędne, aby na wypadek ewentualnego sporu sądowego powstałego wskutek niewłaściwego działania systemu, dostawca czynnie uczestniczył w procesie celem obrony praw przysługujących organizacji, w której wdrażany był system AI.

Podkreślenia wymaga też to, że jeśli w systemach wykorzystujących sztuczną inteligencję przetwarzane są dane osobowe, zastosowanie znajdują dodatkowo – określone w rodo – zasada minimalizacji danych i zasada ochrony danych w fazie projektowania oraz domyślnej ochrony danych.

Przygotowania czas zacząć

AI Act wszedł w życie 1 sierpnia 2024 r. Od tej daty rozpoczął się wieloetapowy proces wdrażania praw i obowiązków uregulowanych w akcie w sprawie sztucznej inteligencji. Regulacje AI Act zaczną co do zasady obowiązywać od dnia 2 sierpnia 2026 r. Jednakże już od lutego 2025 r. obowiązują przepisy rozdziału I (w tym definicja systemu AI) oraz rozdziału II, tj. przepisy nakładające na podmioty stosujące systemy AI oraz dostawców tego typu rozwiązań obowiązek weryfikacji, czy nie stosują zakazanych w AI Act praktyk. Ponadto od lutego br. podmioty stosujące systemy AI i dostawcy tego typu rozwiązań są zobowiązani podejmować działania mające na celu zapewnienie odpowiedniego poziomu kompetencji i wiedzy w zakresie AI wśród swojego personelu. Jest to istotne zobowiązanie, ponieważ stosownie do wspomnianego raportu KPMG jedynie 29% badanych w Polsce ukończyło szkolenie z zakresu AI.

Od 2 sierpnia 2025 r. zaczną obowiązywać m.in. regulacje odnoszące się do modeli AI ogólnego przeznaczenia, nadzoru nad systemami AI oraz przepisy dotyczące kar pieniężnych (z wyjątkiem art. 101 AI Act). Z kolei od 2 sierpnia 2027 r. zastosowanie znajdzie art. 6 ust. 1 AI Act i odpowiadające mu obowiązki ustanowione w rozporządzeniu.

Organizacje, które wdrożyły już systemy oparte na sztucznej inteligencji bądź przygotowują się do ich implementacji, powinny szczegółowo przeanalizować zakresy praw i obowiązków wynikające z AI Act, a następnie dostosować swoje działania do unijnych regulacji, tak aby uniknąć ewentualnych kar pieniężnych.

Kluczowym obowiązkiem organizacji, która chce wdrażać systemy IT oparte na sztucznej inteligencji, jest przestrzeganie zakazu wprowadzania systemów stosujących niedopuszczalne praktyki AI, takie jak manipulacja i techniki podprogowe, nieuzasadniony scoring społeczny czy wykorzystanie kategoryzacji biometrycznej lub zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej.

Wdrażanie systemów AI – niezależnie od ich klasyfikacji ryzyka – powinno odbywać się z uwzględnieniem potrzeb organizacji oraz kompetencji pracowników. Sukces transformacji technologicznej zależy nie tylko od zgodności z przepisami prawa (AI Act, rodo), ale również od przygotowania kadry, zapewnienia szkoleń z obszaru cyberbezpieczeństwa oraz funkcjonalności wdrażanych narzędzi informatycznych. Należy bowiem pamiętać, że brak odpowiedniego przygotowania pracowników może zniweczyć lub znacznie ograniczyć pozytywne skutki danego wdrożenia.

Systemy AI mogą istotnie zwiększać efektywność operacyjną, usprawniać procesy i wspierać działalność w różnych sektorach, np. usługach publicznych, edukacji, transporcie czy finansach i bankowości. Jednocześnie jednak dynamiczny rozwój sztucznej inteligencji pociągnął za sobą potrzebę wprowadzenia odpowiedniej kontroli nad tą technologią. Odpowiedzią na powyższe było przyjęcie przez UE AI Act.

 

Przypisy:

1. K. Korgul, J. Witczak, I. Święcicki, AI na polskim rynku pracy, Polski Instytut Ekonomiczny, Warszawa 2024, s. 11.
2. Tamże, s. 31.
3. Tamże, s. 32.
4. por. Wytyczne Komisji w sprawie definicji systemu sztucznej inteligencji ustanowionej rozporządzeniem (UE) 2024/1689 (akt w sprawie sztucznej inteligencji).

---

Autor

Katarzyna Blachowicz

Autorka jest radczynią prawną oraz menedżerką z wieloletnim doświadczeniem – także w branży IT. Laureatka „Rising Stars. Prawnicy – liderzy jutra”. W 2015 r. Forbes Women umieścił ją na liście liderek „23 na 2023”, a w roku 2023 została wymieniona w raporcie „Strong Women in IT”. Stworzyła unikatowy program CSR „Nowa TY w IT. Profesjonalizm nie ma płci”, którego celem było zachęcenie kobiet do rozpoczęcia kariery w branży IT.