Publikacja AI Act w Dzienniku Urzędowym UE
W dniu 12 lipca 2024 r. zostało wydane rozporządzenie (UE) 2024/1689 ustanawiające ramy regulacyjne dla sztucznej inteligencji (AI), czyli AI Act. Publikacja nastąpiła ponad trzy lata po ogłoszeniu przez Komisję Europejską proponowanego pierwotnego tekstu w kwietniu 2021 r. AI Act wchodzi w życie 1 sierpnia 2024 r. i ma na celu promowanie godnej zaufania sztucznej inteligencji (AI) zapewniając jednocześnie wysoki standard ochrony zdrowia, bezpieczeństwa oraz praw podstawowych Unii Europejskiej.
Potrzeba zharmonizowanych przepisów dotyczących sztucznej inteligencji
Sztuczna inteligencja (AI) to dynamicznie rozwijająca się dziedzina technologii, która przynosi liczne korzyści ekonomiczne, środowiskowe i społeczne w różnych sektorach przemysłu oraz obszarach działalności społecznej. Jednocześnie AI może także stwarzać zagrożenia dla interesu publicznego i podstawowych praw chronionych przez prawo Unii m.in. takich jak prawo do godności człowieka, wolność wypowiedzi. W celu zapewnienia wysokiego poziomu bezpieczeństwa i poprawy funkcjonowania rynku wewnętrznego ustanowiono wspólne przepisy w zakresie rozwoju, wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów sztucznej inteligencji w Unii, które opublikowano w AI Act.
Zakres stosowania
AI Act, przyjmując podejście oparte na ryzyku, definiuje wymagania dla wszystkich systemów sztucznej inteligencji i nakłada obowiązki na:
- dostawców wprowadzających do obrotu lub oddających do użytku systemy AI lub wprowadzających do obrotu modele AI ogólnego przeznaczenia w Unii (bez względu na to czy dostawcy ci mają siedzibę lub znajdują się w Unii czy w państwie trzecim),
- podmioty stosujące systemy AI, które mają siedzibę lub znajdują się w Unii;
- dostawców systemów AI oraz podmiotów stosujących systemy AI, którzy mają siedzibę lub znajdują się w państwie trzecim i gdy wyniki wytworzone przez system AI są wykorzystywane w Unii;
- importerów i dystrybutorów systemów AI;
- producentów, którzy pod własną nazwą lub znakiem towarowym oraz wraz ze swoim produktem wprowadzają do obrotu lub oddają do użytku system AI;
- upoważnionych przedstawicieli dostawców mających siedzibę poza Unią;
- osoby, na które AI ma wpływ i które znajdują się w Unii.
AI Act przewiduje również pewne wyłączenia i nie ma zastosowania m.in. do systemów AI wykorzystywanych wyłącznie do celów wojskowych, obronnych i bezpieczeństwa narodowego.
Czym jest system AI?
Niektóre technologie, które są często kojarzone z pojęciem sztucznej inteligencji, mogą nie mieścić się w zdefiniowanym terminie „system AI”, a zatem nie podlegać zakresowi rozporządzenia. Definicja systemu AI doczekała się wielu zmian i znacznie się rozwinęła od czasu opublikowania pierwotnego tekstu. Zgodnie z art. 3 ust. 1 AI Act, „system AI” oznacza system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne.
Strategia oparta na ryzyku
W zależności od ryzyka związanego ze stosowaniem systemu AI można wyróżnić następujące poziomy ryzyka:
- nieakceptowalne ryzyko – systemy oparte na AI, które stwarzają niedopuszczalne ryzyko dla osób fizycznych i ich podstawowych praw np. system AI, który wykorzystuje techniki manipulacyjne w celu ograniczenia zdolności do podejmowania świadomych decyzji przez starsze osoby;
- wysokie ryzyko – systemy AI wysokiego ryzyka takie jak np. systemy zdalnej identyfikacji biometrycznej, systemy AI przeznaczone do celów rekrutacji;
- ograniczone ryzyko – systemy AI, które podlegają mniejszej ilości obowiązków w zakresie przejrzystości w porównaniu z systemami wysokiego ryzyka np. chatbots, deepfakes;
- minimalne ryzyko – pozostały systemy AI nienależące do powyższych kategorii o minimalnym wpływie na osoby fizyczne takie jak filtry antyspamowe poczty elektronicznej.
Deepfake
Podmioty wykorzystujące systemy AI do tworzenia obrazów, treści audio lub wideo, które stanowią deepfake* mają obowiązek informować, że treści te zostały sztucznie wygenerowane lub zmanipulowane. Obowiązek ten nie dotyczy przypadku, gdy takie wykorzystanie jest zgodne z prawem i służy wykrywaniu, zapobieganiu, prowadzeniu dochodzeń lub ściganiu przestępstw. Jeśli takie treści są częścią dzieła o charakterze artystycznym, twórczym, satyrycznym, fikcyjnym lub podobnym, obowiązek ten ogranicza się do odpowiedniego poinformowania o istnieniu takich wygenerowanych lub zmanipulowanych treści w sposób, który nie zakłóca odbioru dzieła.
* deepfake oznacza wygenerowane przez AI lub zmanipulowane przez AI obrazy, treści dźwiękowe lub treści wideo, które przypominają istniejące osoby, przedmioty, miejsca, podmioty lub zdarzenia, które odbiorca mógłby niesłusznie uznać za autentyczne lub prawdziwe
Kluczowe daty na które warto zwrócić uwagę
12 lipca 2024 r. – AI Act opublikowany w dzienniku urzędowym Komisji Europejskiej,
1 sierpnia 2024 r. – wejście w życie AI Act,
2 lutego 2025 r. – rozpoczęcie stosowania przepisów ogólnych (rozdział I) i przepisów dotyczących zakazanych praktyk w zakresie AI (rozdział II),
2 sierpnia 2025 r. – rozpoczęcie stosowania przepisów dotyczących organów notyfikujących i jednostek notyfikowanych, modeli AI ogólnego przeznaczenia, zarządzania, kar (z wyjątkiem kar dla dostawców modeli AI ogólnego przeznaczenia) oraz poufności,
2 sierpnia 2025 r. – Państwa członkowskie podadzą do wiadomości publicznej informacje o sposobach kontaktowania się z właściwymi organami i pojedynczymi punktami kontaktowymi za pośrednictwem środków komunikacji elektronicznej,
2 sierpnia 2026 r. – rozpoczęcie stosowania AI Act,
2 sierpnia 2027 r. – rozpoczęcie stosowania zasad klasyfikacji systemów AI wysokiego ryzyka i odpowiadającym im obowiązków.
Ocena zgodności wyroby medycznych zawierających system AI
Zgodnie z ogólną zasadą nowych ram prawnych, do jednego produktu można stosować więcej niż jeden akt prawny unijnego prawodawstwa harmonizacyjnego, ponieważ taki produkt może być udostępniany tylko wtedy, gdy jest zgodny z całością obowiązującego unijnego prawodawstwa harmonizacyjnego. Wyroby medyczne i wyroby medyczne do diagnostyki in vitro zawierające system AI mogą stwarzać ryzyko, które nie zostało uwzględnione w unijnym prawodawstwie dotyczącym wyrobów medycznych (odpowiednio rozporządzeń (UE) 2017/745 i 2017/746), ponieważ rozporządzenia te nie regulują ryzyka specyficznego dla systemów AI. Oznacza to, iż producenci takich wyrobów są zobowiązani do spełnienia wymagań, zarówno rozporządzenia (UE) 2017/745 lub 2017/746, jak i AI Act.
W celu zapewnienia spójności i ograniczenia kosztów, dostawcy wyrobu medycznego zawierającego co najmniej jeden system AI wysokiego ryzyka powinni mieć swobodę w zakresie sposobu zapewnienia zgodności takiego wyrobu ze wszystkimi mającymi zastosowanie wymogami unijnego prawodawstwa harmonizacyjnego. Swoboda ta może oznaczać na przykład decyzję dostawcy wyrobu opartego na AI o włączeniu części niezbędnych procesów testowania i sprawozdawczości, informacji i dokumentacji wymaganych przez AI Act do już istniejącej dokumentacji i procedur wymaganych na mocy MDR/IVDR. Takie rozwiązanie nie powinno w żaden sposób podważać zapewnienia zgodności z wszystkimi mającymi zastosowanie wymogami. Producenci powinni przy tym pamiętać, aby w swoich umowach z dostawcami danych zapewnić możliwość udostępniania tych danych odpowiednim organom.
Jednostki notyfikowane będą podlegały ocenie przez odpowiednie organy pod kątem posiadania właściwej wiedzy specjalistycznej z zakresu sztucznej inteligencji i po pozytywnej ocenie będą mogły wydawać certyfikaty CE zgodnie z obowiązującymi procedurami oceny zgodności. Przeprowadzane w ramach procedury oceny zgodności audyty będą uwzględniały zarówno wymagania rozporządzenia (UE) 2017/745 lub 2017/746, jak i wymagania AI Act np. takie jak procedury zarządzania danymi, metody rejestracji zdarzeń czy odpowiednie środki nadzoru ze strony człowieka.
Kary za nieprzestrzeganie przepisów
Za nieprzestrzeganie obowiązków określonych w AI Act przewidziano następujące kary:
- do 35 mln euro lub do 7 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa (w zależności od tego, która z tych kwot jest wyższa) za nieprzestrzeganie zakazu praktyk w zakresie AI;
- do 15 mln euro lub do 3 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa (w zależności od tego, która z tych kwot jest wyższa) za nieprzestrzeganie przepisów dotyczących operatorów* lub jednostek notyfikowanych;
- do 7,5 mln euro lub do 1 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa (w zależności od tego, która z tych kwot jest wyższa) za dostarczanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym lub właściwym organom krajowym.
*operator oznacza dostawcę, producenta produktu, podmiot stosujący, upoważnionego przedstawiciela, importera lub dystrybutora
Ponadto określono również kary pieniężne dla dostawców modeli AI ogólnego przeznaczenia. Jeśli dostawcy naruszyli przepisy AI Act, nie dostarczyli odpowiednich informacji/dokumentów na wniosek Komisji lub przedstawili je w sposób nieprawidłowy lub wprowadzający w błąd, nie zastosowali się do żądań Komisji lub nie udzielili Komisji dostępu do modelu AI ogólnego przeznaczenia, tacy dostawcy mogą podlegać karze pieniężnej w wysokości do 3% ich całkowitego rocznego światowego obrotu w poprzednim roku obrotowym lub 15 mln euro (w zależności od tego, która z tych kwot jest wyższa).
Przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej, oraz przy ustalaniu jej wysokości w każdej indywidualnej sprawie, uwzględnia się wszystkie istotne okoliczności danej sytuacji m.in. takie jak: charakter, wagę i czas trwania naruszenia oraz jego konsekwencji, nałożone przez inne organy kary pieniężne za to samo naruszenie czy sposób, w jaki właściwe organy krajowe dowiedziały się o naruszeniu.
Przewidziane kary muszą być skuteczne i odstraszające, jednakże muszą uwzględniać też interesy małych i średnich przedsiębiorstw (w tym start-upów) oraz ich sytuację ekonomiczną.
Podsumowanie
AI Act to kompleksowe ramy prawne mające na celu uregulowanie wykorzystania i rozwoju systemów sztucznej inteligencji w Unii Europejskiej zgodnie podejściem opartym na ryzyku związanym z zastosowaniem i wykorzystaniem systemów AI. W toku prac nad dokumentem wprowadzono wiele zmian umożliwiających wykorzystanie procedur oceny zgodności określonych w przepisach dotyczących wyrobów medycznych (rozporządzeń (UE) 2017/745 i 2017/746) w celu wykazania zgodności z AI Act. Pozostało jednak jeszcze wiele wyzwań dotyczących wdrożenia pewnych wymagań.
Z informacji dostępnych na stronie Komisji Europejskiej wynika, iż grupa Koordynacyjna ds. Wyrobów Medycznych (MDCG) planuje wydanie wytycznych pt. FAQ on Interplay between MDR/IVDR and AIA, ułatwiających zrozumienie zależności między rozporządzeniami (UE) 2017/745 i 2017/746 a AI Act (planowany czas wydania dokumentu przez MDCG – IV kw. 2024 r.). Niemniej jednak producenci wyrobów medycznych zawierających systemy AI powinni już teraz dokonać przeglądu i/lub aktualizacji dokumentacji technicznej wyrobów i systemu zarządzania jakością w celu spełnienia stosownych wymagań AI Act.
Dowiedz się więcej: https://eur-lex.europa.eu/eli/reg/2024/1689/oj