Parlament Europejski uchwalił dzisiaj AI Act. To pierwsza na świecie kompleksowa regulacja prawna porządkująca kwestie związane ze stosowaniem sztucznej inteligencji.
Sztuczna inteligencja to technologia o ogromnym potencjale, która rozwija się w błyskawicznym tempie. Może być wykorzystana do poprawy warunków życia, ale może również prowadzić do negatywnych konsekwencji społeczno-ekonomicznych i powodować szkody dla interesu publicznego. Dostrzegając to ryzyko, Unia Europejska postanowiła opracować ramy prawne dla rozwoju sztucznej inteligencji i jej wykorzystywania. Założeniem prawodawcy unijnego było zapewnienie, że sztuczna inteligencja będzie bezpieczna i godna zaufania. W praktyce oznacza to szereg obowiązków i ograniczeń dla organizacji korzystających z rozwiązań sztucznej inteligencji i ich dostawców.
AI Act zakazuje stosowania najbardziej szkodliwych systemów sztucznej inteligencji (tzw. systemy niedopuszczalne, które np. wykazują znaczny potencjał manipulowania ludźmi), a dla innych grup systemów – ustanawia określone obowiązki. Najdalej idące dla tzw. systemów wysokiego ryzyka, jak np. wdrożenie i utrzymywanie ciągłego systemu zarządzania ryzykiem, wdrożenie środków w celu eliminacji lub ograniczenia ryzyka i testowanie takich systemów. AI Act ustanawia także odpowiednie wymogi co do jakości danych, które mogą być wykorzystywane do trenowania systemów wysokiego ryzyka oraz obowiązek opracowania dokumentacji technicznej i zaopatrzenia w funkcję rejestracji zdarzeń. Co niemniej istotne, AI Akt przewiduje, że za naruszenie przepisów rozporządzenia przewidziano maksymalną karę w wysokości 35 milionów euro lub 7% światowego rocznego obrotu.
Na wdrożenie większości wymogów AI Act mamy 24 miesiące. Warto jednak pamiętać, że już teraz użycie sztucznej inteligencji wymaga często wdrożenia zmian w zakresie ochrony danych osobowych, zarządzania własnością intelektualną czy innych regulacji prawnych lub wewnętrznych.
Jak w takim razie już dziś przygotować się na obowiązywanie AI Act? Przede wszystkim należy rozpocząć od weryfikacji tego, jakie systemy sztucznej inteligencji są wykorzystywane w organizacji i na tej podstawie dokonać oceny spoczywających na niej obowiązków. Na tej podstawie powinniśmy opracować wewnętrzne zasady wykorzystywania AI, określające m.in. ramy dopuszczalnego użycia systemów AI oraz zasad stosowania narzędzi AI przez pracowników. Takie wewnętrzne procedury i dokumentacja (nazywane popularnie AI Governance) są pierwszym krokiem do nadzoru i kontroli nad wykorzystaniem AI.
Przyjęcie zasad AI Governance wymaga dokonania przeglądu i aktualizacji stosowanych wzorów umów oraz kluczowych umów z perspektywy wykorzystywania AI, w tym NDA, umów o pracę, umów cywilnoprawnych, wzory umów z dostawcami treści lub usług cyfrowych. Niezbędna może również okazać się aktualizacja istniejących regulacji wewnętrznych z innych obszarów, np. z zakresu ochrony prywatności, własności intelektualnej (strategia IP, wzory umów), cyberbezpieczeństwa i bezpieczeństwa informacji, IT, HR, procedur zakupowych i innych. Jednym z istotnych elementów AI Governance będzie także analiza ryzyka dotycząca wykorzystania systemów sztucznej inteligencji. Na jej podstawie konieczne będzie określenie, z których rozwiązań organizacja nie może korzystać, a których użycie musi ograniczyć.
Warto rozpocząć prace nad wdrożeniem wymogów AI Act już teraz. Z jednej strony nie możemy bowiem zapominać, że stosowanie rozwiązań z zakresu AI dotyka bezpośrednio również innych, w pełni obowiązujących regulacji, chociażby z obszarów ochrony prywatności, własności intelektualnej czy cyberbezpieczeństwa. Z drugiej strony prawidłowe wdrożenie zasad AI Governance (odwołujące się do istniejących norm i standardów) to pierwszy krok do zapewnienia zgodności z przepisami rozporządzenia.
