Komisja Europejska przygotowuje nowe regulacje dotyczące strategii transformacji cyfrowej. W 2026 r. światło dzienne ma ujrzeć pierwsze na świecie prawo dotyczące bezpośrednio sztucznej inteligencji. EU AI Act wynika z potrzeby uregulowania rozwoju sztucznej inteligencji i sposobu jej wykorzystywania. Opracowywany pakiet legislacyjny ma dotyczyć przede wszystkim kwestii praw autorskich, ale wprowadza również szereg dodatkowych norm prawnych. Przyglądamy się, w jaki sposób w ramach Unii Europejskiej będziemy próbowali zarządzać tą coraz prężniej rozwijającą się dziedziną.
Komisja Europejska pracuje nad nowymi regulacjami AI
O potrzebie objęcia normami prawnymi tematu sztucznej inteligencji mówiło się już od dawna. Teraz staje się to bardziej realne – w 2026 r. ma wejść w życie EU Artificial Intelligence Act (w skrócie: EU AI Act). To pierwsze w historii prawo dotyczące bezpośrednio sztucznej inteligencji. Komisja Europejska opracowująca projekt, obecnie dostępny w wersji częściowego draftu, chce uregulować sztuczną inteligencję “w sposób zapewniający lepsze warunki do rozwoju i wykorzystania tej innowacyjnej technologii”. Nowe regulacje mają na celu nie tylko wprowadzenie standardów bezpieczeństwa, ale również wsparcie dla innowacji w obszarze sztucznej inteligencji. W kontekście rosnącej popularności technologii, takich jak ai search jako nowa kategoria, istotne jest, aby prawo nadążało za dynamicznymi zmianami w tej dziedzinie. Oczekuje się, że te przepisy będą miały wpływ na wszystkie sektory gospodarki, w których sztuczna inteligencja odgrywa coraz większą rolę.
Projekt legislacyjny jest niezwykle szeroki. Obejmować ma regulacje w zakresie konkretnych zastosowań nowej technologii, m.in. w opiece zdrowotnej, transporcie, energetyce czy bezpieczeństwie. Nowe przepisy w sposób systemowy mają kategoryzować różne rodzaje sztucznej inteligencji, co będzie pierwszą poważną, prawną próbą klasyfikacji AI. Klasyfikacja ma wyznaczać także średnie poziomy zagrożeń, jakie może nieść zastosowanie sztucznej inteligencji w konkretnych obszarach. W ramach tego projektu zostaną wprowadzone także zasady dotyczące odpowiedzialności prawnej w przypadku niewłaściwego użycia sztucznej inteligencji. Ważnym elementem legislacji będzie analiza, jak sztuczna inteligencja wykorzystuje marki, co ma wpływ na strategie marketingowe i ochronę praw własności intelektualnej. Ostatecznie, ustalone ramy prawne mają na celu nie tylko bezpieczeństwo użytkowników, ale również stymulowanie innowacji w rozwijających się branżach.
Pomimo tego, że nowa legislacja kierowana jest naturalnie do państw członkowskich Unii Europejskiej, ze względu na naturę problemu wykracza ona poza ramy terytorialne, wpływając na wszystkie firmy zajmujące się opracowywaniem modeli językowych i innych rozwiązań z zakresu AI.
EU Artificial Intelligence Act niczym nowe RODO?
Prace nad prawem unijnym dotyczącym sztucznej inteligencji rozpoczęły się już w 2021 r. Znacznie wyprzedziły one popularyzację tego fenomenu, który de facto zaczął się pod koniec 2022 r. wraz ze światową premierą ChatGPT od OpenAI. Celem legislacji jest stworzenie ram prawnych umożliwiających prawidłowy nadzór nad systemami sztucznej inteligencji na terenie Unii Europejskiej. Legislacja ma na celu ochronę obywateli oraz przedsiębiorstw przed potencjalnymi zagrożeniami, jakie niesie ze sobą niekontrolowany rozwój technologii. W ramach tych działań przewiduje się również regulacje dotyczące przejrzystości algorytmów oraz odpowiedzialności za podejmowane decyzje przez sztuczną inteligencję. Kluczowym elementem będzie struktura strony głównej, która pomoże w dostępie do niezbędnych informacji na temat obowiązujących przepisów i wytycznych.
W kontekście globalnego rozwoju technologicznego inicjatywa europejska może być określana jako bezprecedensowa i ma szansę powielenia sukcesu RODO. Chociaż pakiet zabezpieczeń związanych z ochroną danych osobowych często jest u nas przedmiotem żartów czy szyderstw, na świecie regulacje te często są przywoływane za wzór tego, jak należy podchodzić do bezpieczeństwa danych osobowych obywateli.
Nowe regulacje mają objąć wszystkie podmioty, które oferują, wdrażają lub wykorzystują systemy AI na terenie państw członkowskich UE niezależnie od miejsca ich powstania czy siedziby firmy. Zasięg terytorialny nowych przepisów wykracza więc poza granice Unii Europejskiej. W ramach nowych przepisów Komisja Europejska planuje dokonać szczegółowej kategoryzację podmiotów uczestniczących w tzw. łańcuchu dostaw AI. Już teraz, na etapie draftu, wyróżniono i zdefiniowano prawnie różne role podmiotów uczestniczących, m.in. takie jak dostawcy, wdrożeniowcy, dystrybutorzy, importerzy, producenci technologii AI oraz ich autoryzowani przedstawiciele. Każda z tych kategorii będzie wiązać się z określonymi obowiązkami i odpowiedzialnością prawną.
Kluczowe obszary ryzyka związane z AI
Priorytetem Parlamentu Europejskiego w dotychczasowych pracach było doprowadzenie do sytuacji, w której ramy prawne EU będą zabezpieczały interes użytkowników europejskich w kontekście ochrony danych i prywatności. Jak możemy przeczytać w obecnie dostępnych dokumentach legislacyjnych, systemy sztucznej inteligencji wykorzystywane w EU mają być bezpieczne, przejrzyste, identyfikowalne i niedyskryminujące.
Podstawowym krokiem, który umożliwiałby wprowdzenie norm skutecznie ezgekwowalnych, jest stworzenie definicji sztucznej inteligencji. Nowe regulacje unijne szczególną uwagę poświęcają kwestii identyfikacji i zarządzania ryzykiem, z jakim związane są poszczególne systemy AI. Wprowadzono następującą kategoryzację głównych obszarów ryzyka: Szczególnie istotne jest zrozumienie, jakie skutki mogą mieć poszczególne systemy AI na społeczeństwo i gospodarkę. Dodatkowo, ważne jest, aby w kontekście nowych regulacji odpowiednio zrozumieć, jak działa pozycjonowanie w AI, aby ocenić potencjalne zagrożenia i korzyści płynące z ich implementacji. Właściwe zarządzanie ryzykiem umożliwi lepszą integrację technologii, maksymalizując jej pozytywny wpływ.
- zagrożenia cybernetyczne i bezpieczeństwo danych,
- ryzyka biologiczne i fizyczne,
- potencjalna utrata kontroli nad autonomicznymi systemami AI,
- zagrożenia związane z dezinformacją na masową skalę,
- zagrożenia społeczne (wpływ na prawa podstawowe i wolności obywatelskie)m
- ryzyka społeczne i ekonomiczne.
Dla każdej z powyższych kategorii ryzyka przewidziano odpowiednie mechanizmy kontrolne i środki zaradcze.
Systemy AI zwiększonego ryzyka
EU AI Act ma wyróżniać bazową sztuczną inteligencję i różne jej formy niedopuszczalne w zależności od stopnia ryzyka, z jakimi są związane. Chociaż obecne prace są dopiero na etapie przygotowawczym, na ten moment wiadomo, że zaproponowano wyodrębnienie osobnej kategorii “systemów AI niedopuszczalnego ryzyka”. Do takich legislacja unijna miałaby zaliczać: Przykłady takich systemów to technologie wykorzystywane do masowej inwigilacji czy manipulacji wyborczych, które mogą zagrażać podstawowym prawom i wolnościom obywateli. W kontekście rosnącej obecności sztucznej inteligencji w różnych dziedzinach życia, kluczowym zagadnieniem stanie się przyszłość umiejętności w erze AI, gdyż konieczne będzie dostosowanie edukacji oraz kompetencji zawodowych do nowych realiów. Legislacja ma na celu nie tylko ochronę obywateli, ale także stworzenie ram dla rozwoju innowacyjnych rozwiązań o niższym ryzyku.
- systemy poznawczo-behawioralne służące do manipulowania ludźmi lub określonymi grupami wrażliwymi, np. zabawki aktywowane głosem z AI, które zachęcają do niebezpiecznych działań,
- systemy AI wykorzystujące identyfikację biometryczną i kategoryzację osób fizycznych,
- systemy AI wykorzystujące scoring obywateli – klasyfikację na podstawie zachowania, statusu społeczno-ekonomicznego lub cech osobistych,
- systemy identyfikacji biometrycznej funkcjonujące zdalnie w czasie rzeczywistym.
Systemy AI wysokiego ryzyka zostaną podzielone na dwie kategorie w zależności od ich docelowego obszaru zastosowania. Pierwszą z nich stanowią systemy sztucznej inteligencji stosowane w produktach, które objęte są przepisami dotyczącymi bezpieczeństwa. To m.in. produkty i usługi z takich branż, jak przemysł motoryzacyjny, lotnictwo, urządzenia medyczne, infrastruktura, energetyka, ale także np. zabawki dla dzieci. Drugą kategorię stanowią systemy AI wysokiego ryzyka, które mają zastosowanie w bardziej złożonych i krytycznych obszarach, mogących wpływać na życie i zdrowie ludzi. Przykłady to systemy wykorzystywane w monitorowaniu bezpieczeństwa publicznego czy zarządzaniu ruchem drogowym. W takich kontekstach możliwości sztucznej inteligencji stają się kluczowe dla zapewnienia bezpieczeństwa i efektywności.
Zgodnie z propozycją druga kategoria obejmuje systemy AI podwyższonego ryzyka, które mają charakter wieloaspektowy i nie sprowadzają się do produktów. Ramy prawne dla tych kategorii będą musiały być dopracowane tak, aby były zgodne z przepisami ogólnymi. 8 konkretnych obszarów, które wyodrębnia obecny kształt propozycji AI Act, to: W kontekście tych systemów niezwykle istotne jest także monitorowanie ich wpływu na społeczeństwo oraz ocena potencjalnych zagrożeń. Propozycje regulacyjne powinny uwzględniać również kwestie związane z etyką oraz pozycjonowanie w sztucznej inteligencji, aby zapewnić równowagę pomiędzy innowacyjnością a bezpieczeństwem. Tylko w ten sposób możemy sprostać wyzwaniom, jakie niesie ze sobą rozwój technologii AI.
- zarządzanie i eksploatacja infrastruktury krytycznej,
- edukacja i szkolenie zawodowe,
- zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnieni,
- dostęp do i korzystanie z podstawowych usług prywatnych oraz usług i korzyści publicznych,
- ściganie przestępstw,
- zarządzanie migracją, azylem i kontrolą granic,
- wsparcie w interpretacji prawnej i stosowaniu prawa.
Do nowych przepisów będą musieli dostosować się wszyscy
Przepisy mają być wdrożone we wszystkich państwach członkowskich Unii Europejskiej w II połowie 2026 roku. AI Act ma obowiązywać wszystkie podmioty działające na terenie Unii Europejskiej bez względu na ich dodatkowe cechy. Nie ma więc znaczenia, czy będzie to gigant technologiczny, pokroju Google, Microsoft czy OpenAI, czy też dopiero rozpoczynający działalność startup.
Nie jest jeszcze jasne, czy firmy będą zobowiązane do jakichś działań przygotowawczych. Prawdopodobnym scenariuszem jest powielenie schematu implementacji RODO. Na pracodawcach może spocząć obowiązek informowania o nowych regulacjach bezpieczeństwa związanych z AI, a także przeprowadzanie odpowiednich szkoleń z tego zakresu. Oprócz tego, firmy mogą być zobowiązane do wprowadzenia dodatkowych procedur oceny ryzyka, aby zapewnić, że ich systemy AI są zgodne z nowymi przepisami. W kontekście openelm i rozwój technologii a.i., istotne będzie również monitorowanie wpływu tych regulacji na innowacyjność oraz konkurencyjność na rynku. Warto, aby przedsiębiorstwa już teraz zaczęły analizować potencjalne wyzwania i korzyści związane z adaptacją do zmieniającego się środowiska regulacyjnego.
Regulacje mają również wpływać na konieczność prowadzenia szczegółowych dokumentacji dotyczących sposobu działania systemów AI i ich funkcjonalności. Oznacza to, że po wejściu w życie AI Act firmy technologiczne będą musiały bardziej szczegółowo podzielić się dokładnymi informacjami dotyczącymi tego, w jaki sposób działają ich rozwiązania. Ten punkt jest jednak mocno dyskusyjny. Ze względu na innowacyjny charakter modeli językowy, ale także bardzo rozległy proces ich szkolenia, podawanie szczegółowych informacji jest nie tyle niekorzystne strategicznie, co wręcz niemożliwe do wykonania. Dokumentacja techniczna modeli językowych może być znacznie bardziej rozbudowana od analogicznych formalności, którymi opatrzone jest np. oprogramowanie.
Pierwsze regulacje sztucznej inteligencji – podsumowanie
Nie Stany Zjednoczone, a Unia Europejska będzie pierwszym obszarem, w którym zaczną obowiązywać szczegółowe regulacje dotyczące AI. Najnowszy zbiór regulacji, pod nazwą EU AI Act, ma wejść w życie w sierpniu 2026 roku. Głównym celem regulacji jest zwiększenie kontroli nad rozwiązaniami bazującymi na sztucznej inteligencji w kluczowych obszarach związanych z bezpieczeństwem danych i użytkowników. Pod względem formalnym nowy pakiet legislacyjny w dużym stopniu może powielać schemat przepisów RODO. Regulacje te mają na celu nie tylko ochronę prywatności użytkowników, ale także promowanie innowacji w obszarze sztucznej inteligencji zgodnych z wartościami Unii. Wprowadzenie przepisów dotyczących ai w kontekście regulacji unijnych ma również na celu zapewnienie uczciwej konkurencji na rynku europejskim. Ustanowione normy mają wspierać rozwój technologii w sposób odpowiedzialny, eliminując ryzyko nadużyć i dyskryminacji.
Prace nad AI Act prowadzone są ze wsparciem ekspertów zgromadzonych w czterech wyspecjalizowanych grupach roboczych, koncentrujących się na poszczególnych zagrożeniach. Na ten moment obecny draft projektu zakłada zdefiniowanie sztucznej inteligencji i klasyfikację systemów AI ze względu na różne stopnie ryzyka, z jakimi mogą się wiązać. EU AI Act ma chronić m.in. przed zagrożeniami cybernetycznymi, oszustwami związanymi z wymianą danych, działaniami godzącymi w wolności obywatelskie, ale z drugiej strony także zapewniać ochronę obszarów strategicznych, w tym np. sektora energetycznego. Propozycja na pewno jest bezprecedensowa w skali świata. To, czy nowy pakiet regulacji się przyjmie, w dużym stopniu zależeć będzie jednak od kształtu ostatecznych propozycji. Tajemnicą Poliszynela jest fakt, że już teraz na projekt oddziałują lobbyści największych firm technologicznych, którym celem jest minimalizowanie zakresu regulacji.
