Komisja Europejska przedstawi nowe rozporządzenie regulujące zasady wykorzystywania sztucznej inteligencji

Zacznijmy od podstawowych definicji, których jest całkiem sporo. Najbardziej interesuje nas jednak pojęcie systemów sztucznej inteligencji, które tutaj zostały określone w sposób kombinowany, tzn. mowa tutaj o oprogramowaniu, które wykorzystuje jedną z technik lub podejść określonych w załączniku 1 do projektu, czyli np. uczenie maszynowe, uczenie głębokie, podejścia logiczne i statystyczne etc. To pierwsza część definicji.

Druga wymaga, aby takie oprogramowanie realizowało cel określony przez człowieka i generowało określony „output”, czyli np. rekomendację czy nawet środowisko wirtualne. Propozycja Komisji wskazuje także na to, że systemy AI mogą mieć różne poziomy autonomiczności, a nadto mogą stanowić część produktu, ale także być całkowicie samodzielne.

Definicja jest więc bardzo szeroka i może znacznie ułatwić podpinanie różnych rozwiązań pod wymogi rozporządzenia.

Innym ważnym pojęciem jest dostawca systemu AI, którego rozumiemy jako podmiot, który rozwija system AI lub stworzył taki system i oferuje go na rynku pod własnym szyldem, jak również wykorzystuje ten system na własny użytek. Również szeroko.

A do tego mamy dystrybutora systemu AI, podmiot, który udostępnia system AI bez wprowadzania jakichkolwiek zmian.

Czytaj także: Raport Specjalny | Forum Technologii Bankowych | Nie we wszystkim wyręczą nas maszyny

Główna część to HI-RISK AI

Większe konkrety zaczynają się od tytułu III, który dotyczy tzw. systemów AI wysokiego ryzyka, których kwalifikacja została zawarta w załączniku II do projektu. Mamy tam m.in. systemy wykorzystywane, używane przez administrację publiczną w celu przyznawania (i oceny) benefitów społecznych, systemy do oceny zdolności kredytowej czy użytkowane na potrzeby rekrutacji pracowników.

Komisja będzie uprawniona do wprowadzania zmian do tego załącznika, ale przy stosowanych ograniczeniach (wyznacznikiem będzie tutaj wysokie ryzyko szkody).

Już w tym miejscu należy zaznaczyć, że dostawcy tego typu rozwiązań będą zobowiązani do przeprowadzania tzw. conformity assessments (art. 35 projektu), czyli swoistej oceny zgodności z odpowiednimi przepisami.

Projektowane rozporządzenie zakłada także, że systemy AI użytkowane jako „safety components of products”, czy będące samodzielnymi produktami podlegającymi wymogom aktów prawnych z załącznika III (m.in. zabawki, sprzęt medyczny) ‒ również podlegać będą silniejszym zasadom.

Mamy też dodatkowo wskazane takie systemy, które wpadają pod różne rozporządzenia unijne. Przyznam od razu, że art. 5 projektowanego rozporządzenia przyprawił mnie o ból głowy i już widzę, że będzie duża praca dla prawników.

Co w konsekwencji? Jeżeli odpowiadamy za system AI wysokiego ryzyka, to mamy ściśle określone obowiązki wskazane w rozdziale I, i co istotne, odpowiednia ocena zgodności powinna odbyć się przed „marketowaniem” danego rozwiązania.

Nie będziemy dzisiaj szczegółowo przechodzić przez te obowiązki, bo poświęcę temu oddzielny artykuł, albo może nawet większą analizę. Generalnie mamy jednak:

1.    Obowiązki w zakresie wykorzystywania danych wysokiej jakości;

2.    Obowiązki w zakresie dokumentowania i przechowania logów i innych informacji;

3.    Wymogi w zakresie przejrzystości i informowania użytkowników – tutaj użytkownicy muszą wiedzieć, jak dany algorytm generuje określone wyniki;

4.    Wymóg kontroli i nadzoru sprawowanej przez człowieka;

5.    Wymóg odporności, dokładności i bezpieczeństwa.

Wybrane organy nadzoru będą miały uprawnienia do badania i kontroli dostawców pod kątem zgodności z rozporządzeniem. Ciekawe, czy KNF też będzie miał takie uprawnienia?

Widać więc, że w dużej mierze pokrywa się to z wytycznymi Komisji w sprawie AI godnej zaufania. Dodatkowo mamy obowiązki w zakresie posiadania tzw. quality management systems, na które ma składać się zestaw polityk, procedur i instrukcji, odnoszących się do takich kwestii, jak strategia dla regulacyjnego compliance, zasad projektowania rozwiązań AI czy przeprowadzania testów. Lista jest jednak znacznie dłuższa i z pewnością jej realizacja będzie wymagała wielu miesięcy pracy.

Na marginesie wskażmy tylko, że rozporządzenie nakłada też dodatkowe obowiązki na importerów czy tzw. authorised representatives oraz dystrybutorów, ale także stron trzecich (art. 19 ust. 2). Uff, łatwo nie będzie…

Ważna sprawa na koniec. Wybrane organy nadzoru (odpowiedzialne jak rozumiem za poszczególne rodzaje produktów – nazwijmy to „niebezpiecznych”) będą miały uprawnienia – po stosownej notyfikacji – do badania i kontroli dostawców pod kątem zgodności z rozporządzeniem. Ciekawe, czy KNF też będzie miał takie uprawnienia?

Czytaj także: Raport: Horyzonty Bankowosci 2021 | FORTINET | Jak automatyzacja i sztuczna inteligencja pomagają w optymalizacji kosztów systemów ochrony przed cyberzagrożeniami

Conformity assessment, standardy, certyfikaty i rejestracja

To kolejny ważny element rozporządzenia. Zasadniczo, jeżeli produkt jest zgodny z wymogami zharmonizowanych standardów (czyli wymogami ustaw implementowanych na mocy dyrektyw z załącznika III lub rozporządzeń z art. 5 ust. 2 projektu), to uznajemy – jak rozumiem – że mamy zgodność także z rozporządzeniem. Nie wiem, czy to dobrze zrozumiałem. Będę wracał do tematu.

Jeżeli jednak takich standardów nie ma, to Komisja będzie mogła je stworzyć i to przy udziale odpowiednich podmiotów (market participants, industry etc).

Jeżeli algorytm został opracowany wyłącznie na danych wygenerowanych w UE, to mamy zgodność z wymogiem dotyczącym jakości danych

Generalnym wymogiem jest przeprowadzenie przez dostawcę tzw. conformity assessment (są też wyłączenia z art. 37), które ma pokazać, że wymogi z tytułu trzeciego zostały dla danego systemu AI wysokiego ryzyka spełnione.

Znowu zastrzeżenie – jeżeli algorytm został opracowany wyłącznie na danych wygenerowanych w UE, to mamy zgodność z wymogiem dotyczącym jakości danych (w skrócie). Czy tak zawsze będzie? Trudno powiedzieć. Sama ocena będzie rządziła się różnymi wymogami (np. w zakresie dokumentacji technicznej) w zależności od tego, z jakim systemem mamy do czynienia.

Art. 36 przewiduje także, że wspomniane już organy wyznaczone (czy tutaj – notyfikowane) będą mogły wydawać stosowne certyfikaty jakości (więcej w załączniku IV – tzw. EU declaration of conformity – tam mamy informacje, co ma się w tym certyfikacie znaleźć). Ważne – certyfikaty będą wyglądały podobnie, jak obecnie certyfikaty zgodności, np. CE.

Projekt zakłada także, że przed „marketowaniem” systemu AI wysokiego ryzyka, dostawca powinien zarejestrować ten system w stosownej bazie.

Przejrzystość i informacje

Temat na kolejny artykuł, ale krótkie napomknięcie. Ma być jasno i przejrzyście. Przykładowo, jeżeli system wykorzystuje tzw. „emotion recognition system” ‒ to informacja o tym musi trafić do użytkownika odpowiednio szybko.

Mamy więc w dużej mierze pokrycie z tym, co mówi EDPB w kontekście Virtual Voice Assistants. Tutaj zresztą mamy oddzielny tytuł V, odnoszący się do obowiązków w zakresie zdalnej identyfikacji biometrycznej.

I na tym dzisiaj koniec

Choć jest jeszcze trochę tematów do omówienia, jak nowy sandbox, EU database czy obowiązki w zakresie monitorowania i wymiany informacji, ale to już innym razem.

Sama regulacja nie ma jeszcze określonego terminu wejścia w życie, ale propozycja jest taka, że tytuł III, dotyczący wymogów dla hi-risk AI ma wejść w życie w 3 miesiące od wejścia w życie, a tytuł VII w sześć miesięcy. Krótko.