Regulacje

Jest propozycja Rozporządzenia w sprawie sztucznej inteligencji w UE. Pierwsza analiza projektu

Michał Nowakowski

Dzisiaj na profilu Krzysztofa Izdebskiego znalazł się nieoficjalny tekst dotyczący projektu „Regulation on a European Approach for Artificial Intelligence”, który ma pojawić się w przyszłym tygodniu (nie wiem więc na ile będzie to ostateczny projekt). Jest to oczywiście robocza wersja, ale warto się jej przyjrzeć, tym bardziej, że zakres projektowanej regulacji jest szeroki i dotyczy m.in. w ogóle wykorzystywania systemów AI na poziomie UE, przejrzystości tych systemów, które wchodzą w „interakcje” z człowiekiem czy systemów jak to określono „generate or manipulate image, audio or video content”.  Zobaczmy co proponuje nam Komisja. Dzisiaj w dużym skrócie, bo rozporządzenie jest dość rozbudowane.

Zacznijmy od podstawowych definicji, których jest całkiem sporo. Najbardziej interesuje nas jednak pojęcie systemów sztucznej inteligencji, które tutaj zostały określone w sposób „kombinowany”, tzn. mowa tutaj o oprogramowaniu, które wykorzystuje jedną z technik lub podejść określonych w załączniku 1 do projektu, czyli np. uczenie maszynowe, uczenie głębokie, podejścia logiczne i statystyczne etc. To pierwsza część definicji. Druga wymaga, aby takie oprogramowanie realizowało cel określony przez człowieka i generowało określony „output”, czyli np. rekomendację czy nawet środowisko wirtualne. Propozycja Komisji wskazuje także na to, że systemy AI mogą mieć różne poziomy autonomiczności, a nadto mogą stanowić część produktu, ale także być całkowicie samodzielne. Definicja jest więc bardzo szeroka i może znacznie ułatwić „podpinanie” różnych rozwiązań pod wymogi rozporządzenia.

No alt text provided for this image

Innym ważnym pojęciem jest dostawca systemu AI, którego rozumiemy jako podmiot, który rozwija system AI lub stworzył taki system i oferuje go na rynku pod własnym szyldem, jak również wykorzystuje ten system na własny użytek. Również szeroko. A do tego mamy dystrybutora systemu AI, który jest podmiotem, który udostępnia system AI bez wprowadzania jakichkolwiek zmian.

Główna część to HI-RISK AI

Większe konkrety zaczynają się od tytułu III, który dotyczy tzw. systemów AI wysokiego ryzyka, których kwalifikacja została zawarta w załączniku II do projektu. Mamy tam m.in. systemy wykorzystywane używane przez administrację publiczną w celu przyznawania (i oceny) benefitów społecznych, systemy do oceny zdolności kredytowej czy użytkowane na potrzeby rekrutacji pracowników. Komisja będzie uprawniona do wprowadzania zmian do tego załącznika, ale przy stosowanych ograniczeniach (wyznacznikiem będzie tutaj wysokie ryzyko szkody). Już w tym miejscu należy zaznaczyć, że dostawcy tego typu rozwiązań będą zobowiązani do przeprowadzania tzw. conformity assessments (art. 35 projektu), czyli swoistej oceny zgodności z odpowiednimi przepisami.

No alt text provided for this image

Projektowane rozporządzenie zakłada także, że systemy AI użytkowane jako „safety components of products” czy będące samodzielnymi produktami podlegającymi wymogom aktów prawnych z załącznika III (m.in. zabawki, sprzęt medyczny) również podlegać będą „silniejszym” zasadom. Mamy też dodatkowo wskazane takie systemy, które „wpadają” pod różne rozporządzenia unijne”. Przyznam od razu, że art. 5 projektowanego rozporządzenia przyprawił mnie o ból głowy i już widzę, że będzie duża praca dla prawników.

Co w konsekwencji? Jeżeli odpowiadamy za system AI wysokiego ryzyka, to mamy ściśle określone obowiązki wskazane w rozdziale I i co istotne odpowiednia ocena zgodności powinna odbyć się przed „marketowaniem” danego rozwiązania. Nie będziemy dzisiaj szczegółowo przechodzić przez te obowiązki, bo poświęcę temu oddzielny artykuł, albo może nawet większą analizę. Generalnie mamy jednak:

1.    Obowiązki w zakresie wykorzystywania danych wysokiej jakości;

2.    Obowiązki w zakresie dokumentowania i przechowania logów i innych informacji;

3.    Wymogi w zakresie przejrzystości i informowania użytkowników – tutaj użytkownicy muszą wiedzieć jak dany algorytm generuje określone wyniki;

4.    Wymóg kontroli i nadzoru sprawowanej przez człowieka;

5.    Wymóg odporności, dokładności i bezpieczeństwa;

Widać więc, że w dużej mierze pokrywa się to z wytycznymi Komisji w sprawie AI godnej zaufania. Dodatkowo mamy obowiązki w zakresie posiadania tzw. quality management systems, na które ma składać się zestaw polityk, procedur i instrukcji odnoszących się do takich kwestie jak strategia dla regulacyjnego compliance, zasad projektowania rozwiązań AI czy przeprowadzania testów. Lista jest jednak znacznie dłuższa i z pewnością jej realizacja będzie wymagała wielu miesięcy pracy.

Na marginesie wskażmy tylko, ze rozporządzenie nakłada też dodatkowe obowiązki na importerów czy tzw. authorised representatives oraz dystrybutorów, ale także stron trzecich (art. 19 ust. 2). Uff, łatwo nie będzie.

No alt text provided for this image

Ważna sprawa na koniec. Wybrane organy nadzoru (odpowiedzialne jak rozumiem za poszczególne rodzaje produktów – nazwijmy to „niebezpiecznych”) będą miały uprawnienia – po stosownej notyfikacji – do badania i kontroli dostawców pod kątem zgodności z rozporządzeniem. Ciekawe czy KNF też będzie miał takie uprawnienia.

Conformity assessment, standardy, certyfikaty i rejestracja

To kolejny ważny element rozporządzenia. Zasadniczo, jeżeli produkt jest zgodny z wymogami zharmonizowanych standardów (czyli wymogami ustaw implementowanych na mocy dyrektyw z załącznika III lub rozporządzeń z art. 5 ust. 2 projektu), to uznajemy – jak rozumiem – że mamy zgodność także z rozporządzeniem. Nie wiem czy to dobrze zrozumiałem. Będę wracał do tematu.

Jeżeli jednak takich standardów nie ma, to Komisja będzie mogła je stworzyć i to przy udziale odpowiednich podmiotów (market participants, industry etc).

Generalnym wymogiem jest przeprowadzenie przez dostawcę tzw. conformity assessment (są też wyłączenia z art. 37), które ma pokazać, że wymogi z tytułu trzeciego zostały dla danego systemu AI wysokiego ryzyka spełnione. Znowu zastrzeżenie – jeżeli algorytm został opracowany wyłącznie na danych wygenerowanych w UE to mamy zgodność z wymogiem dotyczącym jakości danych (w skrócie). Czy tak zawsze będzie? Trudno powiedzieć. Sama ocena będzie rządziła się różnymi wymogami (np. w zakresie dokumentacji technicznej) w zależności od tego z jakim systemem mamy do czynienia.

Art. 36 przewiduje także, że wspomniane już przeze mnie organy wyznaczone (czy tutaj – notyfikowane) będą mogły wydawać stosowne certyfikaty jakości (więcej w załączniku IV – tzw. EU declaration of conformity – tam mamy informacje co ma się w tym certyfikacie znaleźć). Ważne – certyfikaty będą „wyglądały” podobnie jak obecnie certyfikaty zgodności, np. CE.

Projekt zakłada także, że przed „marketowaniem” systemu AI wysokiego ryzyku, dostawca powinien zarejestrować ten system w stosownej bazie.

Przejrzystość i informacje

Temat na kolejny artykuł, ale krótkie napomknięcie. Ma być jasno i przejrzyście. Przykładowo, jeżeli system wykorzystuje tzw. „emotion recognition system” to informacja o tym musi trafić do użytkownika odpowiednio szybko. Mamy więc w dużej mierze pokrycie z tym, co mówi EDPB w kontekście Virtual Voice Assistants. Tutaj zresztą mamy oddzielny tytuł V odnoszący się do obowiązków w zakresie zdalnej identyfikacji biometrycznej.

I na tym dzisiaj koniec

Choć jest jeszcze trochę tematów do omówienia, jak nowy sandbox, EU database czy obowiązki w zakresie monitorowania i wymiany informacji, ale to już innym razem.

Sama regulacja nie ma jeszcze określonego terminu wejścia w życie, ale propozycja jest taka, że tytuł III dotyczący wymogów dla hi-risk AI ma wejść w życie w 3 miesiące od wejścia w życie, a tytuł VII w sześć miesięcy. Krótko.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *