Po wejściu w życie unijnego rozporządzenia AI Act (dalej: AIA) jedno z pierwszych pytań, jakie pojawia się w praktyce, dotyczy tego, kto i w jakim trybie ma ocenić, czy dany system informatyczny podlega AIA. Na pierwszym etapie obowiązywania AIA oceny tej powinny dokonać samodzielnie wszystkie podmioty dostarczające lub biznesowo wykorzystujące rozwiązania informatyczne oparte na AI. Zanim bowiem ta ocena będzie dokonana w niektórych przypadkach przez podmioty certyfikowane (24 lub 36 miesięcy od wejścia w życie AIA), to zacznie być stosowany zakaz stosowania praktyk niedozwolonych (6 miesięcy od wejścia w życie AIA). Do tego czasu praktycznie wszystkie podmioty biznesowe powinny samodzielnie ocenić, czy dostarczane przez nich albo wykorzystywane systemy nie stosują praktyk niedozwolonych. Dokonywana przez podmioty samoocena będzie mogła (choć nie będzie musiała) zostać zweryfikowana przez organy nadzoru oraz sądy, zarówno w administracyjnym i administracyjno-sądowym toku postępowania (w szczególności wówczas gdy pojawią się zarzuty o stosowanie takich praktyk), jak i w ramach ewentualnych sporów cywilnych.
Kryteria oceny
Odpowiadając na pytanie, czy dane rozwiązanie informatyczne podlega wymogom AIA, nie wystarczy ograniczyć się do badania elementów objętych definicją „systemu AI” zawartą w AIA. Dla odpowiedzi na to pytanie znaczenie ma większa ilość kwestii:
1. Czy oceniane rozwiązanie informatyczne stanowi „system” czy zaledwie jego komponent?
Gdy mamy do czynienia z rozwiązaniem IT niebędącym systemem, zasadniczo nie będzie on podlegać regulacji AIA, z wyjątkiem jednak szczególnej regulacji dla niektórych modeli AI ogólnego przeznaczenia (GPAI) oraz pewnych obowiązków informacyjnych, zapewnienia zdolności oraz technicznego dostępu, nałożonych na dostawców narzędzi, komponentów, usług lub procesów, które są wykorzystywane albo zintegrowane w systemach wysokiego ryzyka, a które mają umożliwić dostawcom systemów wysokiego ryzyka wywiązanie się z ich obowiązków wynikających z AIA.
2. Czy dany system IT stanowi system AI?
W tym miejscu celowe jest odwołanie do definicji „systemu AI” zawartej w AIA Tym, co – w ujęciu AIA – odróżnia system AI od innych systemów informatycznych, jest jego zdolność do wnioskowania z modelu oraz pewien stopień autonomii.
- zdolność do wnioskowania – odnosi się ona do procesu uzyskiwania wyników, takich jak przewidywania, treść, zalecenia lub decyzje, oraz do zdolności systemów AI do wyprowadzania modeli lub algorytmów z danych wejściowych.
- autonomia systemu – system AI wykazuje pewien (różny w poszczególnych systemach) poziom autonomii, co oznacza, że charakteryzuje się pewnym stopniem niezależności działań od zaangażowania człowieka oraz zdolnością do działania bez interwencji człowieka.
3. Jakiemu celowi ma służyć system AI?
Aby ustalić kolejny element decydujący dla objęcia systemu AI wymogami AIA, konieczna jest ocena, czy dany system AI nie należy do systemów wyłączonych spod zastosowania AI. Rozporządzenie wyłącza spod swojego zastosowania systemy wykorzystywane w niektórych określonych celach, np. celach militarnych.
4. Do której kategorii ryzyka należy system AI?
Ustalenie kategorii ryzyka systemu AI jest ważne dlatego, że dla systemów sztucznej inteligencji nienależących do systemów wysokiego ryzyka lub ograniczonego ryzyka AIA nie wprowadza szczególnych wymogów (poza zakazem praktyk niedozwolonych). O objęciu danego systemu regulacją AIA decyduje więc poziom ryzyka, jaki dany system ten generuje.
5. W której fazie życia znajduje się system AI?
Rozporządzenie nie stosuje się do każdej fazy życia sytemu AI. Moment, w którym wymogi AIA zaczynają obowiązywać wobec danego systemu (oraz jego dostawców, użytkowników, importerów, dystrybutorów) następuje dopiero na nieco dojrzalszym etapie jego „życia”, a mianowicie od momentu wprowadzenia go na rynek (placing on the market) lub jego użytkowego uruchomienia (putting into service). Dochodzi do tego wymóg terytorialny, iż zdarzenia te mają nastąpić w UE. Z powyższego wynika, że systemy AI w fazie testowej lub rozwojowej dość powszechnie w praktyce nieodpłatnie udostępnianie użytkownikom, podlegają wymogom AIA. Także „testowanie” sprowadzające się do nieodpłatnego wykorzystywania systemu zgodnie z jego przeznaczeniem w celu podjęcia decyzji o jego nabyciu, podlega wymogom AIA nakładanym na biznesowego użytkownika. Szczególnie wątpliwie w praktyce będzie odróżnienie fazy testowania systemu AI wytwarzanego przez dostawcę na jego własne potrzeby od fazy jego pierwszego wykorzystania zgodnie z jego przeznaczeniem.
6. Czy dany system AI znajduje się poza zasięgiem terytorialnym AIA?
AIA znajduje zastosowanie zasadniczo do systemów wprowadzonych na rynek albo udostępnionych do korzystania z Unii. Aby jednak zapobiec obchodzeniu tej zasady (poprzez przesyłanie danych celem ich wykorzystania w systemach AI poza UE, a zwrotne przesyłanie do UE jedynie danych wyjściowych) w niektórych przypadkach wymogami AIA objęte są nawet systemy AIA udostępnione na rynku lub wykorzystywane poza zakresem terytorialnym UE.
7. Czy dany system AI został wyłączony spod AIA ze względu na czas, w którym system został udostępniony na rynku lub oddany do korzystania?
Z wyłączeniem zakazu stosowania praktyk niedozwolonych, systemy udostępnione na rynku albo oddane do użytku w okresie 24 miesięcy od daty wejścia w życie AIA nie będą podlegać AIA, o ile po dacie wejścia w życie nie ulegną istotnym zmianom w ich zaprojektowaniu (designs). Ponieważ postęp technologiczny wymusza jednak stałe zmiany systemów, więc to wyłączenie będzie mieć praktycznie mniejsze znaczenie.
Więcej na temat rewolucji w zasadach korzystania z nowych technologii powiemy na naszym bezpłatnym webinarium „AI ACT coraz bliżej – co to oznacza dla biznesu?” już 11 kwietnia o godz. 10:00.
Autor: dr hab. Iwona Karasek-Wojciechowicz, radca prawny, of counsel w Lawspective.
E-mail: iwona.karasek@lawspective.pl