Sztuczna inteligencja pod lupą – analiza projektu rozporządzenia PE

Dnia 21 kwietnia 2021r. opublikowano projekt rozporządzenia Parlamentu Europejskiego i Rady, ustanawiającego zharmonizowane zasady dotyczące sztucznej inteligencji („Rozporządzenie”).

Cel, przedmiot i zakres Rozporządzenia Deklarowanym celem Rozporządzenia jest poprawa funkcjonowania rynku wewnętrznego poprzez stworzenie warunków dla upowszechnienia sztucznej inteligencji. Rozporządzeniem objęty został szeroki katalog podmiotów, m.in. dostawcy wprowadzający do obrotu lub oddający do użytkowania systemy AI , usługodawcy wprowadzający do obrotu lub oddający do użytku powyższe systemy, niezależnie od tego, czy prowadzą oni działalność w UE czy w państwie trzecim, a także użytkownicy systemów AI , mający siedzibę na terytorium UE .

Reguluje ono takie kwestie jak np. wprowadzanie do obrotu, oddawanie do używania oraz używanie systemów AI wysokiego ryzyka w UE.
W Rozporządzeniu przedstawiono też m.in. wymogi wobec systemów AI wysokiego ryzyka, obowiązki ww. podmiotów związanych z systemami AI oraz środki wspierające innowacje.

O kim mówi Rozporządzenie?

Jak już zostało wyżej powiedziane, Rozporządzenie obejmuje swym zakresem szereg podmiotów. Dostawcą usług jest podmiot, który opracowuje system AI lub zleca jego opracowanie i wprowadza go do obrotu lub oddaje do użytku. Użytkownikiem jest podmiot, który korzysta z systemu AI , z wyłączeniem sytuacji, gdy używa go w ramach działalności niezawodowej. Rozporządzenie wprowadza też pojęcia „importera” oraz „dystrybutora”. Importerem jest każda osoba fizyczna lub prawna mająca siedzibę w UE , która wprowadza do obrotu system AI w imieniu podmiotu mającego siedzibę poza UE . Dystrybutorem jest natomiast każda osoba fizyczna lub prawna, inna niż dostawca i importer, która udostępnia system AI na rynku unijnym bez zmiany właściwości takiego systemu.

System AI i system AI wysokiego ryzyka

Najistotniejszą innowacją Rozporządzenia jest oczywiście zdefiniowanie systemu AI. Zaproponowano rozumienie go jako oprogramowania, które zostało opracowane przy użyciu co najmniej jednego z podejść i technik wymienionego w załączniku I, np. uczenia maszynowego lub podejścia statystycznego i które może, w odniesieniu do danego zestawu celów określonych przez człowieka, generować dane wyjściowe, takie jak treści, zalecenia lub decyzje wpływające na środowisko rzeczywiste lub wirtualne. Taki system może być zarówno samodzielnym produktem, jak i częścią produktu.

Rozporządzenie poświęca najwięcej miejsca systemom AI wysokiego ryzyka. System AI może być uznany za system AI wysokiego ryzyka, gdy spełnione są oba następujące warunki:

  • system AI jest przeznaczony do stosowania jako element bezpieczeństwa produktu lub sam jest produktem objętym unijnym prawodawstwem harmonizacyjnym;
  • produkt, którego elementem bezpieczeństwa jest system AI , lub sam system AI jako produkt musi zostać poddany conformity assessment przez stronę trzecią w celu wprowadzenia tego produktu do obrotu lub oddania go do użytku zgodnie z unijnym prawodawstwem harmonizacyjnym wymienionym w załączniku II.

Ponadto, w załączniku do Rozporządzenia znajduje się wykaz systemów AI , w których ryzyko już się zmaterializowało lub zmaterializuje w bliskiej przyszłości. Za takie systemy uznano np.:

  • systemy AI przeznaczone do stosowania zdalnej identyfikacji biometrycznej osób fizycznych;
  • systemy AI , które mają być wykorzystywane do rekrutacji, w szczególności do ogłaszania wolnych miejsc pracy, sprawdzania lub filtrowania wniosków, oceny kandydatów w trakcie rozmów kwalifikacyjnych lub testów;
  • systemy AI przeznaczone do oceny zdolności kredytowej osób fizycznych lub ustalania ich punktacji kredytowej, z wyjątkiem systemów AI wprowadzanych do użytku przez usługodawców działających na niewielką skalę na ich własny użytek.

Co istotne, Komisja Europejska ma prawo aktualizować wykaz systemów AI wysokiego ryzyka.

Wymogi dotyczące systemów AI wysokiego ryzyka

W Rozporządzeniu przedstawiono wymagania, jakie muszą spełniać systemy AI wysokiego ryzyka. Najważniejsze z nich to:

  • ustanowienie, wdrożenie, udokumentowanie i utrzymanie systemu zarządzania ryzykiem;
  • opracowywanie systemów AI wysokiego ryzyka na podstawie zbiorów danych, które spełniają kryteria jakości;
  • sporządzenie dokumentacji technicznej systemu AI wysokiego ryzyka i aktualizowanie jej po wprowadzeniu do obrotu lub oddaniu do użytku;
  • zaprojektowanie systemu AI w sposób umożliwiający automatyczne rejestrowanie zdarzeń;
  • zapewnienie odpowiedniego rodzaju i stopnia przejrzystości;
  • przekazywanie informacji użytkownikom, m.in. poprzez instrukcje używania;
  • zaprojektowanie systemu AI w sposób umożliwiający sprawowanie nad nim skutecznego nadzoru;
  • zaprojektowanie systemów, które są dokładne, odporne i bezpieczne.

Jak zostało wyżej napisane, Rozporządzenie wymaga wdrożenia systemu zarządzania ryzykiem. System ten obejmuje:

  • identyfikację i analizę znanych i przewidywanych zagrożeń związanych z każdym systemem AI wysokiego ryzyka;
  • oszacowanie i ocenę zagrożeń, które mogą się pojawić, zarówno gdy system AI jest używany zgodnie z przeznaczeniem, jak i w sytuacjach, gdy jest on niewłaściwie używany;
  • ocenę innych możliwych zagrożeń w oparciu o analizę danych zebranych z systemu monitorowania po wprowadzeniu do obrotu;
  • przyjęcie odpowiednich środków zarządzania ryzykiem.

Obowiązki wynikające z Rozporządzenia

W art. 16 wymieniono obowiązki dostawcy systemu AI . Do najważniejszych z nich należą:

  • zapewnienie zgodności systemu AI z wymogami opisanymi powyżej;
  • wprowadzenie systemu zarządzania jakością;
  • sporządzane dokumentacji technicznej;
  • wypełnianie obowiązków rejestracyjnych.

Do obowiązków dystrybutora należy natomiast:

  • sprawdzenie, czy system AI wysokiego ryzyka opatrzony jest wymaganym oznakowaniem zgodności CE , czy dołączono do niego wymaganą dokumentację i instrukcję;
  • zapewnienie, aby w czasie gdy ponoszą odpowiedzialność za system AI wysokiego ryzyka, w stosownych przypadkach, warunki przechowywania lub transportowania nie wpływały negatywnie na zgodność systemu z wymaganiami przedstawionymi powyżej;
  • udzielanie, na uzasadniony wniosek właściwego organu krajowego, wszelkich informacji i udostępnianie dokumentacji koniecznych do wykazania zgodności systemu AI wysokiego ryzyka z wymogami, o których była mowa wyżej.

Rozporządzenie nakłada również obowiązki na importera, m.in.:

  • zapewnienie, że dostawca przeprowadził conformity assessment, sporządził dokumentację i opatrzył system wymaganym oznakowaniem;
  • zapewnienie, aby w czasie gdy ponoszą odpowiedzialność za system AI wysokiego ryzyka, w stosownych przypadkach, warunki przechowywania lub transportowania nie wpływały negatywnie na zgodność systemu z wymaganiami przedstawionymi powyżej;
  • udzielanie, na uzasadniony wniosek właściwego organu krajowego, wszelkich informacji i udostępnianie dokumentacji koniecznych do wykazania zgodności systemu AI wysokiego ryzyka z wymogami, o których była mowa wyżej.

Na mocy Rozporządzenia zobowiązani do pewnych działań są też użytkownicy systemów AI wysokiego ryzyka. Te działania to m.in.:

  • korzystanie z takich systemów zgodnie z instrukcją używania;
  • monitowanie działania systemu AI wysokiego ryzyka na podstawie instrukcji używania;
  • przechowywanie dzienników automatycznie wygenerowanych przez system AI wysokiego ryzyka w zakresie, w jakim dzienniki te znajdują się pod ich kontrolą.

Oceny zgodności, standardy, certyfikaty i rejestracje

Warte bliższej uwagi są również przepisy dotyczące ocen zgodności, standardów, certyfikatów i rejestracji. Rozporządzenie wprowadza ważne domniemanie, zgodnie z którym systemy AI wysokiego ryzyka, które są zgodne ze zharmonizowanymi standardami, uznaje się za zgodne z wymogami opisanymi powyżej. Na dostawcy systemu AI ciąży obowiązek przeprowadzenia tzw. conformity assessment. Jest to proces, który ma na celu wykazanie, czy zostały spełnione wymogi dotyczące systemów AI . Co istotne, dostawca musi przeprowadzić taką ocenę jeszcze przed wprowadzeniem do obrotu lub oddaniem do używania. Jeśli w wyniku conformity assessment wykazano zgodność z wymogami, dostawca usług sporządza deklarację zgodności systemu AI i umieszcza na nim odpowiednie oznakowanie zgodności. Poprzez sporządzenie takiej deklaracji, dostawca usług przyjmuje na siebie odpowiedzialność za zgodność z wymogami określonymi powyżej.

Zdalna identyfikacja biometryczna

Przedmiotem Rozporządzenia jest też zdalna identyfikacja biometryczna. Jest to system AI przeznaczony do identyfikacji osób fizycznych na odległość, poprzez porównanie danych biometrycznych danej osoby z danymi biometrycznymi zawartymi w bazie danych. Rozporządzenie wyróżnia dwa modele takiej identyfikacji:

  • w czasie rzeczywistym – w tym modelu pobranie, porównanie i identyfikacja następują niemal natychmiast;
  • po fakcie – w tym modelu dane zostały już pobrane, a porównanie i identyfikacja następują ze znacznym opóźnieniem.

W Rozporządzeniu wskazano, że niedopuszczalne jest stosowanie systemów zdalnej identyfikacji „w czasie rzeczywistym” w przestrzeni publicznej do celów egzekwowania prawa, chyba że będzie to bezwzględnie konieczne do osiągnięcia jednego z kilku wymienionych celów, np. poszukiwania konkretnych potencjalnych ofiar przestępstw.

Środki wspierające innowacje

Celem Rozporządzenia jest stworzenie ram prawnych przyjaznych innowacjom. Przepisy Rozporządzenia zachęcają w związku z tym państwa członkowskie do wprowadzania środków wspierających innowacje. Najważniejszym z tych środków jest piaskownica regulacyjna (tzw. sandbox). Piaskownice te są środowiskiem testowym innowacyjnych technologii, tworzonym na określony czas, na podstawie planu testów uzgodnionego z właściwymi organami. Rozporządzenie wprowadza warunki, na jakich omawiane piaskownice mogą przetwarzać dane. Natomiast zasady działania piaskownic, procedury składania wniosków, czy też prawa i obowiązki uczestników, będą określone w aktach wykonawczych.

Tagi:

Wróć do