Komisja Europejska przygotowuje nowe regulacje dotyczące strategii transformacji cyfrowej. W 2026 r. światło dzienne ma ujrzeć pierwsze na świecie prawo dotyczące bezpośrednio sztucznej inteligencji. EU AI Act wynika z potrzeby uregulowania rozwoju sztucznej inteligencji i sposobu jej wykorzystywania. Opracowywany pakiet legislacyjny ma dotyczyć przede wszystkim kwestii praw autorskich, ale wprowadza również szereg dodatkowych norm prawnych. Przyglądamy się, w jaki sposób w ramach Unii Europejskiej będziemy próbowali zarządzać tą coraz prężniej rozwijającą się dziedziną.
Komisja Europejska pracuje nad nowymi regulacjami AI
O potrzebie objęcia normami prawnymi tematu sztucznej inteligencji mówiło się już od dawna. Teraz staje się to bardziej realne – w 2026 r. ma wejść w życie EU Artificial Intelligence Act (w skrócie: EU AI Act). To pierwsze w historii prawo dotyczące bezpośrednio sztucznej inteligencji. Komisja Europejska opracowująca projekt, obecnie dostępny w wersji częściowego draftu, chce uregulować sztuczną inteligencję “w sposób zapewniający lepsze warunki do rozwoju i wykorzystania tej innowacyjnej technologii”.
Projekt legislacyjny jest niezwykle szeroki. Obejmować ma regulacje w zakresie konkretnych zastosowań nowej technologii, m.in. w opiece zdrowotnej, transporcie, energetyce czy bezpieczeństwie. Nowe przepisy w sposób systemowy mają kategoryzować różne rodzaje sztucznej inteligencji, co będzie pierwszą poważną, prawną próbą klasyfikacji AI. Klasyfikacja ma wyznaczać także średnie poziomy zagrożeń, jakie może nieść zastosowanie sztucznej inteligencji w konkretnych obszarach.
Pomimo tego, że nowa legislacja kierowana jest naturalnie do państw członkowskich Unii Europejskiej, ze względu na naturę problemu wykracza ona poza ramy terytorialne, wpływając na wszystkie firmy zajmujące się opracowywaniem modeli językowych i innych rozwiązań z zakresu AI.
EU Artificial Intelligence Act niczym nowe RODO?
Prace nad prawem unijnym dotyczącym sztucznej inteligencji rozpoczęły się już w 2021 r. Znacznie wyprzedziły one popularyzację tego fenomenu, który de facto zaczął się pod koniec 2022 r. wraz ze światową premierą ChatGPT od OpenAI. Celem legislacji jest stworzenie ram prawnych umożliwiających prawidłowy nadzór nad systemami sztucznej inteligencji na terenie Unii Europejskiej.
W kontekście globalnego rozwoju technologicznego inicjatywa europejska może być określana jako bezprecedensowa i ma szansę powielenia sukcesu RODO. Chociaż pakiet zabezpieczeń związanych z ochroną danych osobowych często jest u nas przedmiotem żartów czy szyderstw, na świecie regulacje te często są przywoływane za wzór tego, jak należy podchodzić do bezpieczeństwa danych osobowych obywateli.
Nowe regulacje mają objąć wszystkie podmioty, które oferują, wdrażają lub wykorzystują systemy AI na terenie państw członkowskich UE niezależnie od miejsca ich powstania czy siedziby firmy. Zasięg terytorialny nowych przepisów wykracza więc poza granice Unii Europejskiej. W ramach nowych przepisów Komisja Europejska planuje dokonać szczegółowej kategoryzację podmiotów uczestniczących w tzw. łańcuchu dostaw AI. Już teraz, na etapie draftu, wyróżniono i zdefiniowano prawnie różne role podmiotów uczestniczących, m.in. takie jak dostawcy, wdrożeniowcy, dystrybutorzy, importerzy, producenci technologii AI oraz ich autoryzowani przedstawiciele. Każda z tych kategorii będzie wiązać się z określonymi obowiązkami i odpowiedzialnością prawną.
Kluczowe obszary ryzyka związane z AI
Priorytetem Parlamentu Europejskiego w dotychczasowych pracach było doprowadzenie do sytuacji, w której ramy prawne EU będą zabezpieczały interes użytkowników europejskich w kontekście ochrony danych i prywatności. Jak możemy przeczytać w obecnie dostępnych dokumentach legislacyjnych, systemy sztucznej inteligencji wykorzystywane w EU mają być bezpieczne, przejrzyste, identyfikowalne i niedyskryminujące.
Podstawowym krokiem, który umożliwiałby wprowdzenie norm skutecznie ezgekwowalnych, jest stworzenie definicji sztucznej inteligencji. Nowe regulacje unijne szczególną uwagę poświęcają kwestii identyfikacji i zarządzania ryzykiem, z jakim związane są poszczególne systemy AI. Wprowadzono następującą kategoryzację głównych obszarów ryzyka:
- zagrożenia cybernetyczne i bezpieczeństwo danych,
- ryzyka biologiczne i fizyczne,
- potencjalna utrata kontroli nad autonomicznymi systemami AI,
- zagrożenia związane z dezinformacją na masową skalę,
- zagrożenia społeczne (wpływ na prawa podstawowe i wolności obywatelskie)m
- ryzyka społeczne i ekonomiczne.
Dla każdej z powyższych kategorii ryzyka przewidziano odpowiednie mechanizmy kontrolne i środki zaradcze.
Systemy AI zwiększonego ryzyka
EU AI Act ma wyróżniać bazową sztuczną inteligencję i różne jej formy niedopuszczalne w zależności od stopnia ryzyka, z jakimi są związane. Chociaż obecne prace są dopiero na etapie przygotowawczym, na ten moment wiadomo, że zaproponowano wyodrębnienie osobnej kategorii “systemów AI niedopuszczalnego ryzyka”. Do takich legislacja unijna miałaby zaliczać:
- systemy poznawczo-behawioralne służące do manipulowania ludźmi lub określonymi grupami wrażliwymi, np. zabawki aktywowane głosem z AI, które zachęcają do niebezpiecznych działań,
- systemy AI wykorzystujące identyfikację biometryczną i kategoryzację osób fizycznych,
- systemy AI wykorzystujące scoring obywateli – klasyfikację na podstawie zachowania, statusu społeczno-ekonomicznego lub cech osobistych,
- systemy identyfikacji biometrycznej funkcjonujące zdalnie w czasie rzeczywistym.
Systemy AI wysokiego ryzyka zostaną podzielone na dwie kategorie w zależności od ich docelowego obszaru zastosowania. Pierwszą z nich stanowią systemy sztucznej inteligencji stosowane w produktach, które objęte są przepisami dotyczącymi bezpieczeństwa. To m.in. produkty i usługi z takich branż, jak przemysł motoryzacyjny, lotnictwo, urządzenia medyczne, infrastruktura, energetyka, ale także np. zabawki dla dzieci.
Zgodnie z propozycją druga kategoria obejmuje systemy AI podwyższonego ryzyka, które mają charakter wieloaspektowy i nie sprowadzają się do produktów. Ramy prawne dla tych kategorii będą musiały być dopracowane tak, aby były zgodne z przepisami ogólnymi. 8 konkretnych obszarów, które wyodrębnia obecny kształt propozycji AI Act, to:
- zarządzanie i eksploatacja infrastruktury krytycznej,
- edukacja i szkolenie zawodowe,
- zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnieni,
- dostęp do i korzystanie z podstawowych usług prywatnych oraz usług i korzyści publicznych,
- ściganie przestępstw,
- zarządzanie migracją, azylem i kontrolą granic,
- wsparcie w interpretacji prawnej i stosowaniu prawa.
Do nowych przepisów będą musieli dostosować się wszyscy
Przepisy mają być wdrożone we wszystkich państwach członkowskich Unii Europejskiej w II połowie 2026 roku. AI Act ma obowiązywać wszystkie podmioty działające na terenie Unii Europejskiej bez względu na ich dodatkowe cechy. Nie ma więc znaczenia, czy będzie to gigant technologiczny, pokroju Google, Microsoft czy OpenAI, czy też dopiero rozpoczynający działalność startup.
Nie jest jeszcze jasne, czy firmy będą zobowiązane do jakichś działań przygotowawczych. Prawdopodobnym scenariuszem jest powielenie schematu implementacji RODO. Na pracodawcach może spocząć obowiązek informowania o nowych regulacjach bezpieczeństwa związanych z AI, a także przeprowadzanie odpowiednich szkoleń z tego zakresu.
Regulacje mają również wpływać na konieczność prowadzenia szczegółowych dokumentacji dotyczących sposobu działania systemów AI i ich funkcjonalności. Oznacza to, że po wejściu w życie AI Act firmy technologiczne będą musiały bardziej szczegółowo podzielić się dokładnymi informacjami dotyczącymi tego, w jaki sposób działają ich rozwiązania. Ten punkt jest jednak mocno dyskusyjny. Ze względu na innowacyjny charakter modeli językowy, ale także bardzo rozległy proces ich szkolenia, podawanie szczegółowych informacji jest nie tyle niekorzystne strategicznie, co wręcz niemożliwe do wykonania. Dokumentacja techniczna modeli językowych może być znacznie bardziej rozbudowana od analogicznych formalności, którymi opatrzone jest np. oprogramowanie.
Pierwsze regulacje sztucznej inteligencji – podsumowanie
Nie Stany Zjednoczone, a Unia Europejska będzie pierwszym obszarem, w którym zaczną obowiązywać szczegółowe regulacje dotyczące AI. Najnowszy zbiór regulacji, pod nazwą EU AI Act, ma wejść w życie w sierpniu 2026 roku. Głównym celem regulacji jest zwiększenie kontroli nad rozwiązaniami bazującymi na sztucznej inteligencji w kluczowych obszarach związanych z bezpieczeństwem danych i użytkowników. Pod względem formalnym nowy pakiet legislacyjny w dużym stopniu może powielać schemat przepisów RODO.
Prace nad AI Act prowadzone są ze wsparciem ekspertów zgromadzonych w czterech wyspecjalizowanych grupach roboczych, koncentrujących się na poszczególnych zagrożeniach. Na ten moment obecny draft projektu zakłada zdefiniowanie sztucznej inteligencji i klasyfikację systemów AI ze względu na różne stopnie ryzyka, z jakimi mogą się wiązać. EU AI Act ma chronić m.in. przed zagrożeniami cybernetycznymi, oszustwami związanymi z wymianą danych, działaniami godzącymi w wolności obywatelskie, ale z drugiej strony także zapewniać ochronę obszarów strategicznych, w tym np. sektora energetycznego. Propozycja na pewno jest bezprecedensowa w skali świata. To, czy nowy pakiet regulacji się przyjmie, w dużym stopniu zależeć będzie jednak od kształtu ostatecznych propozycji. Tajemnicą Poliszynela jest fakt, że już teraz na projekt oddziałują lobbyści największych firm technologicznych, którym celem jest minimalizowanie zakresu regulacji.