AI Act to projekt regulacji dotyczącej sztucznej inteligencji, która we wszystkich państwach członkowskich Unii Europejskiej wprowadzi jednolite prawo związane z tym obszarem. Celem jest stworzenie takich ram prawnych, aby rozwiązania bazujące na mechanizmach sztucznej inteligencji były godne zaufania i zgodne z wartościami oraz prawami obowiązującymi w UE. Co szczególnie istotne, rozporządzenie ma też chronić zdrowie oraz bezpieczeństwo obywateli.
Projekt AI Act dzieli sposoby stosowania sztucznej inteligencji na trzy kategorie ryzyka: wysokie, ograniczone i minimalne. W każdej z nich nałożone są wymogi dotyczące jakości danych, przejrzystości działania, nadzoru przez człowieka oraz odpowiedzialności, które muszą spełniać dostawcy rozwiązań sztucznej inteligencji oraz użytkownicy. Rozporządzenie wskazuje też przypadki, w których używanie AI będzie niedopuszczalne.
Kategoria wysokiego ryzyka obejmie rozwiązania sztucznej inteligencji, które mają znaczący wpływ na życie ludzkie lub podstawowe prawa człowieka. To m.in. systemy biometryczne, transport, ochrona zdrowia, edukacja czy rekrutacja. Kategoria ograniczonego ryzyka obejmuje te zastosowania AI, które mają mniejszy wpływ na ludzi, ale jednocześnie wymagają wprowadzenia zasad przejrzystości działania, np. chatboty, asystenty głosowe czy systemy udzielające rekomendacji. Kategoria minimalnego ryzyka obejmuje rozwiązania, które mają niewielki lub zerowy wpływ na ludzi i nie podlegają szczególnym wymaganiom, takie jak gry komputerowe, filtry stosowane do grafik i zdjęć czy interaktywne zabawki.
– AI Act to pierwsze kompleksowe prawo dotyczące sztucznej inteligencji i zdecydowanie krok w dobrym kierunku. Wyraźne wskazanie kategorii zastosowań AI i tych obszarów, w których sztuczna inteligencja nie może być używana, nałoży na firmy techniczne ramy prawne, do których będą musiały się stosować – mówi Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa, VP w firmie WithSecure. – Takie podejście pomoże powstrzymywać rozwijanie AI w obszarach, które mogą być szkodliwe dla poszczególnych użytkowników oraz całego społeczeństwa, ale jednocześnie kuszą możliwością uzyskania dużego i szybkiego przychodu. W czasach, gdy firmy nieustannie szukają nowych źródeł zysku, naiwne byłoby oczekiwanie, że będą same ograniczały się w sytuacji, gdy konkurencja na rynku jest coraz bardziej zacięta.
Rozporządzenie przewiduje utworzenie europejskiego urzędu ds. sztucznej inteligencji, który będzie monitorował proces wdrażania i egzekwowania przepisów, a także wspierał innowacje i rozwój AI w Europie. AI Act prawdopodobnie zacznie obowiązywać w ciągu kilku najbliższych lat. Dokładna data jego wprowadzenia nie jest jeszcze znana, jednak może to nastąpić już pod koniec 2023 roku.
Dane do trenowania modeli muszą być rzetelne
Bardzo ważnym aspektem proponowanych regulacji jest wykorzystywanie danych do trenowania modeli AI. W przypadku zastosowań wysokiego ryzyka nowe regulacje będą wymagały od dostawców mechanizmów sztucznej inteligencji odpowiedniego poziomu staranności w przetwarzaniu danych – będą one musiały m.in. być pozbawione błędów oraz błędnej reprezentacji, związanej np. z uprzedzeniami. Pojawią się także wymogi dotyczące zarządzania danymi: sposoby wykorzystywania ich w modelach AI będą musiały być przejrzyste dla użytkowników.
Dwie wersje rozwiązań na różne rynki
Regulacje AI Act tworzą też jednak obszary ryzyka, które powinny być uwzględniane podczas wprowadzania nowego prawa. Akt ma obowiązywać jedynie na terenie Unii Europejskiej, więc firmy, które operują poza obszarem wspólnoty, nie będą podlegały ograniczeniom. Może dojść do sytuacji, w której globalni gracze będą wypuszczali specjalną wersję swojego rozwiązania lub usługi na rynek europejski oraz „pełną” wersję na pozostałe, nieuregulowane rynki.
– Nie jest to problem z perspektywy unijnej, jednak może doprowadzić do rozwijania się globalnej gospodarki dwóch prędkości – zauważa Leszek Tasiemski. – Firmy, które nie będą podlegały regulacjom AI Act, nie będą musiały brać pod uwagę tego typu wymogów i nie będą obciążone kosztami czy formalnościami związanymi z europejskimi przepisami, dopóki nie będą obsługiwały krajów i obywateli UE. Nowe rozporządzenie może znacznie zwiększyć koszty tworzenia i wprowadzania na rynek innowacyjnych produktów zwłaszcza z perspektywy małych firm. Dlatego przepisy wykonawcze powinny być ułożone tak, aby wprowadzić nadzór i wyegzekwować potrzebne ograniczenia, ale też zminimalizować związany z tym nakład pracy i koszty dla mniejszych firm.
AI Act w kontekście bezpieczeństwa
Niestety, nie należy oczekiwać, że po wprowadzeniu AI Act zmniejszy się liczba czy natężenie spersonalizowanych ataków phishingowych oraz innych kampanii wykorzystujących metody socjotechniczne. Grupy cyberprzestępcze coraz częściej stosują mechanizmy sztucznej inteligencji, ale jako że z definicji nie respektują żadnych przepisów ani praw, nie będą też w żaden sposób ograniczone przez nowe regulacje. Sztuczna inteligencja wciąż więc będzie służyła do tworzenia masowych kampanii phishingu czy dezinformacji.
– Trzeba pamiętać, że jesteśmy dopiero na początku cyklu wykorzystania technologii sztucznej inteligencji, a zwłaszcza takich modeli jak ChatGPT – podsumowuje Leszek Tasiemski. – W wielu dziedzinach dopiero raczkujemy i można spodziewać się dynamicznego pojawiania się oraz rozrostu zupełnie nowych, nieoczywistych obszarów zastosowania algorytmów. Kluczowe będzie sformułowanie przepisów w zbalansowany sposób, a także elastyczne i innowacyjne podejście instytucji, które mają powstać do ich egzekucji. Regulacje nie powinny być zbyt ogólne, a jednocześnie powinny być przygotowane na to, czego jeszcze nie wiemy i nad czym dopiero pracują cyfrowe laboratoria.