14 czerwca 2023 r. Parlament Europejski zakończył wielomiesięczne negocjacje i przyjął swoje stanowisko w sprawie projektu Aktu w sprawie sztucznej inteligencji (AI Akt)[1]. Stanowisko Parlamentu wprowadza dużo zmian w stosunku do dotychczasowych wersji projektu – zarówno tej przedstawionej przez Komisję Europejską[2] w kwietniu 2021 r., jak i tej przyjętej przez Radę UE[3] w grudniu 2022 r. Poniżej przedstawiamy najważniejsze zmiany. Polega one przede wszystkim na wprowadzeniu nowych definicji, a także obejmują propozycję zmiany klasyfikacji systemów AI, co bezpośrednio będzie wpływać na obowiązki dostawców, użytkowników (operatorów), importerów oraz dystrybutorów systemów sztucznej inteligencji (AI).

Inna definicja systemu AI

W swoim stanowisku Parlament przyjął całkowicie inne podejście w zakresie definicji systemu AI, niż miało to miejsce we wcześniejszych projektach. W stanowisku podano, że systemem AI ma być „systemem maszynowym, który został zaprojektowany do działania z różnym poziomem autonomii i który może – do wyraźnych lub dorozumianych celów – generować wyniki, takie jak przewidywania, zalecenia lub decyzje wpływające na środowiska fizyczne lub wirtualne ”. Oznacza to przyjęcie znacznie szerszej definicji, niż miało to miejsce dotychczas. Jest to również definicja bardzo zbliżona do tej przyjętej w 2019 r. przez OECD[4] oraz częściowo funkcjonującej w amerykańskim prawie[5].

Zmianie uległa również definicja wprowadzonego przez Radę pojęcia systemu AI ogólnego przeznaczenia. Zgodnie ze stanowiskiem Parlamentu, pod tym pojęciem ma się kryć „system AI, który może być wykorzystywany i dostosowany do szerokiego zakresu zastosowań, do których nie został celowo i specjalnie zaprojektowany”.

Zmiany w zakresie zakazanych systemów AI

W swoim projekcie Parlament w znaczący sposób rozszerzył listę systemów AI o niedopuszczalnym ryzyku, których wprowadzanie do obrotu, oddawanie do użytku oraz wykorzystywanie powinno zostać zakazane.

Do katalogu zakazanych systemów AI dołączono systemy:

  • kategoryzacji biometrycznej, które kategoryzują osoby fizyczne według wrażliwych lub chronionych atrybutów lub cech lub na podstawie wywnioskowania tych atrybutów lub cech;
  • tworzące lub rozszerzające bazy danych do rozpoznawania twarzy poprzez nieukierunkowane pobieranie (scraping) wizerunków twarzy z internetu lub nagrań z telewizji przemysłowej;
  • wnioskujące o emocjach osoby fizycznej w dziedzinie egzekwowania prawa, zarządzania granicami, w miejscu pracy i w instytucjach edukacyjnych;
  • analizujące nagrania z przestrzeni publicznej za pośrednictwem systemów zdalnej identyfikacji biometrycznej „post factum”, chyba że systemy te podlegają zezwoleniu przedsądowemu zgodnie z prawem Unii i są ściśle niezbędne do ukierunkowanego wyszukiwania związanego z konkretnym poważnym przestępstwem, które już miało miejsce.

Ponadto, Parlament rozszerzył oraz doprecyzował zakres znajdujących się tu już wcześniej systemów – tj. systemów stosujących techniki podprogowe, systemów wykorzystujących słabości określonych grup osób, a także systemów punktowej oceny społecznej (social scoring’u). Znacząco zmodyfikowano także regulację odnoszącą się do wykorzystywania systemów zdalnej identyfikacji biometrycznej „w czasie rzeczywistym” w przestrzeni publicznej do celów egzekwowania prawa.

Co więcej, z dotychczasowej listy systemów AI wysokiego ryzyka do listy zakazanych systemów AI „przeniesiono” systemy predykcyjne oparte na profilowaniu, lokalizacji lub wcześniejszych zachowaniach przestępczych. Przepis ten doczekał się również pewnych modyfikacji co do swojego szczegółowego zakresu.

Zmiany w zakresie systemów AI wysokiego ryzyka

Duże zmiany wprowadzono również w zakresie systemów AI wysokiego ryzyka, a pewnemu zawężeniu uległ sposób klasyfikowania takich systemów. W porównaniu do poprzednich projektów nie wystarczy już, że określony system AI będzie systemem skategoryzowanym w załączniku III do AI Aktu, ale dla uznania go za system wysokiego ryzyka będzie jeszcze musiał stwarzać znaczące ryzyko powstania szkody dla zdrowia, bezpieczeństwa, praw generatywnych lub środowiska (aby uszczegółowić te kwestie, Komisja będzie obowiązana do wydania odpowiednich rekomendacji). Jeżeli natomiast dostawca systemu AI kategoryzowanego w załączniku III uzna, że jego system nie stwarza znaczącego ryzyka, będzie musiał złożyć stosowne uzasadnienie do krajowego organu nadzoru.

Modyfikacjom i rozszerzeniu uległa również sama lista systemów i kategorii wskazanych w załączniku III. Rozszerzono i doprecyzowano zakres dotychczasowej klasyfikacji, a także dodano do niej m.in. systemy AI przeznaczone do:

  • wnioskowania o cechach osobowych osób fizycznych na podstawie danych biometrycznych lub danych opartych na biometrii (w tym systemy rozpoznawania emocji);
  • stosowania jako związane z bezpieczeństwem elementy procesów zarządzania i zaopatrzenia w wodę, gaz, ciepło, energię elektryczną i krytycznej infrastruktury cyfrowej;
  • wykorzystania w celu wywierania wpływu na wynik wyborów lub referendum lub na zachowanie osób fizycznych podczas głosowania w wyborach lub referendach;
  • wykorzystania przez platformy mediów społecznościowych (które zostały wyznaczone jako bardzo duże platformy internetowe w rozumieniu Aktu o usługach cyfrowych) w ich systemach rekomendacji w celu zalecania odbiorcy treści stworzonych przez użytkownika usługi dostępnych na platformie.

Zmianom uległy również szczegółowe obowiązki nakładane na systemy AI wysokiego ryzyka związane z systemami zarządzania ryzykiem, danymi i zarządzeniem danymi, dokumentacją techniczną oraz rejestrowaniem zdarzeń. Istotnie skrócono też termin na zgłaszanie krajowym organom nadzoru poważnych błędów związanych z działaniem takich systemów – z 15 dni do 3 dni. Ponadto Parlament wprowadził obowiązek przeprowadzenia oceny skutków działania systemu AI na prawa podstawowe (fundamental rights impact assessment) przed oddaniem systemu AI wysokiego ryzyka do użytku.

Modele generatywne (foundation models) i generatywna AI

Parlament postanowił wcielić do projektu AI Aktu pojęcie tzw. modeli generatywnych (foundation models), których pierwotny projekt zaprezentowany przez Komisję w ogóle nie uwzględniał. Przejmują one niejako główny ciężar obowiązków, które w projekcie Rady wiązały się z systemami AI ogólnego przeznaczenia. W stanowisku Parlamentu modelem generatywnym jest „model systemu AI, który jest trenowany na szerokiej skali danych, jest zaprojektowany z myślą o ogólnym charakterze wyników i może być dostosowany do szerokiego zakresu odrębnych zadań”.

Zgodnie ze stanowiskiem Parlamentu, dostawca modelu generatywnego przed wprowadzeniem go do obrotu lub oddaniem do użytku, niezależnie od tego, czy jest on dostarczany jako samodzielny model lub jest wbudowany w system AI lub w produkt, czy też jest dostarczany na podstawie licencji open source jako usługa lub za pośrednictwem innych kanałów dystrybucji, powinien zadbać m.in. o:

  • identyfikowanie, ograniczanie i łagodzenie racjonalnie przewidywalnych zagrożeń dla zdrowia, bezpieczeństwa, praw podstawowych, środowiska, demokracji oraz praworządności, które może spowodować taki model;
  • przetwarzanie i uwzględnianie wyłącznie tych zbiorów danych, które podlegają odpowiednim środkom zarządzania danymi;
  • projektowanie i rozwijanie modelu w celu osiągnięcia przez niego odpowiednich poziomów skuteczności działania, przewidywalności, interpretowalności, korygowalności, bezpieczeństwa i cyberbezpieczeństwa;
  • projektowanie i rozwijanie modelu, korzystając z obowiązujących norm, w celu ograniczenia zużycia energii, zasobów i odpadów, jak również zwiększenia efektywności energetycznej i ogólnej wydajności systemu;
  • sporządzenie obszernej dokumentacji technicznej oraz zrozumiałych instrukcji użytkowania, aby umożliwić dostawcom niższego szczebla wywiązanie się ze wszystkich swoich obowiązków wynikających z AI Aktu.

Natomiast dostawcy modeli generatywnych wykorzystywanych jako systemy generatywnej AI powinni dodatkowo:

  • przestrzegać obowiązków w zakresie przejrzystości;
  • szkolić (a w stosownych przypadkach projektować i rozwijać) swoje modele w sposób zgodny z powszechnie uznanym aktualnym stanem wiedzy i bez uszczerbku dla praw podstawowych;
  • dokumentować i publicznie udostępniać wystarczająco szczegółowe podsumowanie wykorzystania danych treningowych chronionych na mocy prawa autorskiego.

Pozostałe zmiany

Oprócz propozycji zmian odnośnie do definicji systemu AI oraz nowych zasad klasyfikowania tych systemów, w stosunku do poprzedniej wersji projektu AI Aktu Parlament zaproponował zmiany również w innych obszarach. Należą do nich m.in.:

  • zwiększenie wysokości kar za niedopełnienie obowiązków wynikających z AI Aktu, 
  • zmiana terminu rozpoczęcia stosowania AI Aktu, tj. 2 lata od wejścia w życie (projekt Rady zakładał 3 lata),
  • postulat oparcia tworzenia i stosowania wszystkim systemów AI oraz modeli generatywnych na zasadach godnej zaufania AI (trustworthy AI),
  • zagwarantowanie prawa do żądania jasnego i rzeczowego wyjaśnienia roli systemu AI w procedurze decyzyjnej.

Dalsze prace

Przyjęcie swojego stanowiska przez Parlament wiąże się z możliwością rozpoczęcia trilogów pomiędzy Komisją, Radą i Parlamentem. Pierwsze takie spotkanie odbyło się już 14 czerwca 2023 r., a prace najprawdopodobniej zintensyfikują się z początkiem lipca 2023 r. Wtedy prezydencję w Radzie UE przejmie Hiszpania, która stawia zagadnienia związane z AI za jeden ze swoich priorytetów. Zgodnie z deklaracjami, hiszpańska prezydencja chciałaby ustalić ostateczny tekst AI Aktu do końca 2023 r.  


[1] https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/CJ40/DV/2023/05-11/ConsolidatedCA_IMCOLIBE_AI_ACT_EN.pdf

[2] https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0012.02/DOC_1&format=PDF

[3] https://data.consilium.europa.eu/doc/document/ST-14954-2022-INIT/pl/pdf

[4] https://legalinstruments.oecd.org/en/instruments/oecd-legal-0449#mainText

[5] https://www.congress.gov/bill/116th-congress/house-bill/6216/text#toc-H41B3DA72782B491EA6B81C74BB00E5C0