Pod koniec kwietnia 2021 Komisja Europejska opublikowała projekt Rozporządzenia Parlamentu Europejskiego i Rady UE określającego wymagania prawne dla systemów sztucznej inteligencji stosowanych w Unii Europejskiej (ang. Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (artificial intelligence act) and amending certain Union legislative acts).
Jak wskazano w projekcie rozporządzenia systemy sztucznej inteligencji (AI) to bardzo szybko rozwijająca się technologia, która może generować nowe zagrożenia. Celem rozporządzenia jest wykorzystywanie nowych technologii z poszanowaniem zawartych w Karcie praw podstawowych Unii Europejskiej przepisów oraz zabezpieczeniem interesów publicznych i prywatnych.
Samo Rozporządzenie będzie wskazywać mechanizmy pozwalające na rozwój i wdrażanie systemów sztucznej inteligencji z jednoczesnym wyważeniem potrzeb coraz częstszego wykorzystania sztucznej inteligencji a ryzykami jakie może to generować. I właśnie dlatego w Rozporządzeniu szczególny nacisk położono na podejście oparte na ryzku. Systemy sztucznej inteligencji w myśl Rozporządzenia zostaną podzielone, w zależności od potencjalnego ryzyka dla praw i wolności osób fizycznych, na cztery grupy. Dostosowanie systemów wykorzystujących AI powinno rozpocząć się już na etapie projektowania, aby uniknąć dostosowania systemów do wymagań Rozporządzenia w późniejszych etapach prac. Punktem wyjścia do określenia wymagań dla systemu AI powinno być zakwalifikowanie oprogramowania do właściwej kategorii wynikającej w właśnie z ryzyka, które niesie przetwarzanie danych w danym systemie. Warto zwrócić uwagę, iż cały nacisk związany z oszacowaniem ryzyk dla praw i wolności osób fizycznych w związku w wykorzystaniem w systemach sztucznej inteligencji nie jest jak dotychczas położony na administratorów danych, a na twórców systemów. Zatem to twórcy oprogramowania powinni zidentyfikować możliwe ryzyka związane z przetwarzaniem danych w ich systemach i odpowiednio zakwalifikować do zdefiniowanych w rozporządzeniu grup co jednocześnie określi zakres wymagań dla danego systemu.
Podział systemów ze względu na ryzyka jakie może powodować przetwarzanie danych w tych systemach został określony w samym Rozporządzeniu jak i w załączeniu do Rozporządzenia. Taka zmian podejścia może generować dla twórców oprogramowania problem z właściwym określeniem ryzyk, w szczególności w przypadku kiedy nie są oni w stanie jednoznacznie określić w jaki sposób ostatecznie ich oprogramowanie zostanie wykorzystane, czy też jaki zakres danych może powstać w wyniku łączenia z innymi źródłami danych nie wynikającymi wprost z dostarczonego systemu.
W projekcie Rozporządzenia wskazano podział ze względu na kategorie ryzyk:
– minimalne ryzyko – prawdopodobnie najliczniejsza grupa systemów do której zalicza się np.: filtry antyspamowe, gry wideo z wykorzystaniem sztucznej inteligencji.
– ograniczone ryzyko – tutaj projekt Rozporządzenia wskazuje np.: chatboty i systemy polegające na wzajemnej interakcji z użytkownikiem, a także technika obróbki obrazu, polegające na łączeniu obrazów twarzy ludzkich przy użyciu technik sztucznej inteligencji.
– wysokie ryzyko – projekt Rozporządzenia przewiduje zakwalifikowanie do tej grupy systemów stwarzających ryzyko szkody dla zdrowia i bezpieczeństwa lub ryzyko niekorzystnego wpływu na prawa podstawowe, które będą stosowane w kluczowych, z punktu widzenia państwa, sektorach. Sektory te zostały wskazane w Załączniku nr 3 do projektu Rozporządzenia i znalazły się tam między innymi: systemy AI przeznaczone do kierowania ruchem; systemy AI mające na celu określenie predyspozycji do danego zawodu lub kierunku kształcenia; systemy AI przeznaczone dla rekruterów w celu filtrowania, analizy czy segregacji nadesłanych zgłoszeń; systemy AI służące analizie zdolności kredytowej przed udzieleniem pożyczki.
– niedopuszczalne ryzyko – w tej grupie wskazano między innymi systemy lub aplikacje wykorzystujące sztuczną inteligencję do manipulowania ludzkim zachowaniem. W przypadku zakwalifikowania systemu do tej grupy, dystrybucja takiego systemu zostanie zabroniona.
Wymagania zawarte w projekcie Rozporządzenia dotyczą przede wszystkim systemów zakwalifikowanych do grupy wysokiego ryzyka i obejmują między innymi wymaganie certyfikacji takiego systemu przed wprowadzeniem go na rynek. Projekt Rozporządzenia wskazuje również wymagania techniczne dla systemów z grupy wysokiego ryzyka, takie jak:
– ustanowienie kontroli systemu ryzyka,
– odpowiednie zarządzanie i kontrola nad danymi, które wprowadzane są do AI w celu uczenia maszynowego,
– wymóg posiadania odpowiedniej szczegółowej dokumentacji technicznej systemu,
– obowiązek przechowywania logów systemowych,
– nadzór człowieka nad systemem.
Projekt Rozporządzenia przewiduje 24 miesięczny okres przejściowy po którym wejdzie w życie możliwość nakładania kar za nieprzestrzeganie nowych przepisów. Najwyższą przewidzianą karą jest 30 milionów EUR lub 6% całkowitego rocznego obrotu za poprzedni rok finansowy.
Autor: Piotr Maziakowski