AI Act to pierwsze w Europie kompleksowe rozporządzenie o sztucznej inteligencji. Od 1 sierpnia 2024 r. obowiązuje w całej Unii Europejskiej i stopniowo wprowadza szereg przepisów, które będą kształtować sposób tworzenia i stosowania systemów AI. Dokument wpływa na duże firmy technologiczne, instytucje publiczne, ale pośrednio także na wszystkich użytkowników AI. W tym artykule znajdziesz przystępne wyjaśnienie: czym jest AI Act, jakich praktyk zakazuje i jak wpłynie na funkcjonowanie przedsiębiorstw w Polsce oraz w całej UE.
Co to jest AI Act i dlaczego powstał?
AI Act, formalnie Rozporządzenie o sztucznej inteligencji (Artificial Intelligence Act), został przyjęty przez Parlament Europejski i Radę UE w czerwcu 2024 r. To odpowiedź na szybki rozwój technologii opartych na algorytmach i uczeniu maszynowym. Podobnie jak RODO ujednoliciło zasady ochrony danych osobowych, tak AI Act ma wprowadzić spójne ramy prawne dla 27 państw członkowskich. Celem regulacji jest zapewnienie bezpiecznego i przejrzystego rozwoju AI, ochrony praw obywateli i zapobiegania nadużyciom. Dotyczy to zarówno systemów o ogromnym wpływie (np. modele językowe), jak i prostszych narzędzi, takich jak filtry antyspamowe. W dokumencie podkreśla się, że innowacje powinny iść w parze z odpowiedzialnością. W praktyce oznacza to konieczność przeprowadzania audytów, dokumentacji technicznej, a w niektórych przypadkach przestrzegania szczegółowych zasad.
Główne zasady i ograniczenia AI Act
AI Act zawiera wytyczne, które mają zapobiegać ryzykownym lub nieetycznym zastosowaniom sztucznej inteligencji. Czego zakazuje AI Act? Na liście zabronionych praktyk są m.in. techniki manipulowania zachowaniem ludzi bez ich wiedzy, systemy social scoringu (na wzór tego stosowanego w Chinach), masowa identyfikacja biometryczna w czasie rzeczywistym w miejscach publicznych czy rozpoznawanie emocji w szkołach i pracy (z wyjątkiem celów medycznych lub bezpieczeństwa).
Liczba obowiązków również jest dość długa. Przykładowo chatboty muszą jasno informować, że nie są ludźmi, a firmy muszą prowadzić dokumentację i publikować streszczenia danych treningowych dla dużych modeli AI. Taka przejrzystość zwiększa zaufanie użytkowników i ogranicza ryzyko występowania sporów prawnych.
Kategorie ryzyka zastosowania AI
AI Act wprowadza cztery poziomy klasyfikacji systemów AI – w zależności od ryzyka ich stosowania. Jakie są kategorie ryzyka w AI Act?
- Systemy niedozwolone (o niedopuszczalnym ryzyku) – np. algorytmy masowej inwigilacji. Są całkowicie zakazane.
- Systemy wysokiego ryzyka – używane w medycynie, sądownictwie czy rekrutacji. Wymagają audytów, certyfikacji i ścisłej kontroli.
- Systemy ograniczonego ryzyka – np. chatboty marketingowe. Wymagają przejrzystości wobec użytkownika.
- Systemy minimalnego ryzyka – np. algorytmy rekomendacji w platformach streamingowych lub AI w grach. Mogą działać bez dodatkowych ograniczeń, ale muszą respektować ogólne przepisy prawa.
Wpływ AI Act na firmy i użytkowników
AI Act nie jest skierowany wyłącznie do dużych korporacji. Nawet małe przedsiębiorstwa korzystające z modeli muszą sprawdzić, czy ich zastosowania są zgodne z regulacją. Od 2 sierpnia 2025 r. nowe obowiązki obejmą także dostawców dużych modeli ogólnego przeznaczenia (GPAI – General Purpose AI) Należą do nich np. duże modele językowe (LLM), takie jak ChatGPT. Jak AI Act reguluje modele AI ogólnego przeznaczenia?
Dostawcy takich modeli będą musieli:
- przygotować dokumentację techniczną swoich modeli,
- stosować mechanizmy ochrony praw autorskich,
- publikować streszczenia danych treningowych.
Dodatkowo w przypadku dostawców systemów o dużej (liczonej w milionach) bazie użytkowników i znacznym oddziaływaniu na otoczenie (a zatem będą to m.in. wszystkie popularne modele LLM) dochodzi obowiązek przeprowadzania testów bezpieczeństwa czy informowanie Komisji Europejskiej o potencjalnych zagrożeniach. Dla użytkowników końcowych zmiany oznaczają większe bezpieczeństwo i pewność, że używane aplikacje nie naruszają ich praw. Firmy muszą natomiast przygotować wewnętrzne procedury zgodności, aby uniknąć ryzyka kar finansowych – te są naprawdę wysokie i mogą sięgnąć do 35 mln euro lub 7% obrotu firmy.
Kogo obowiązuje AI Act?
AI Act dotyczy szerokiego grona podmiotów – dostawców systemów AI, firm korzystających z takich narzędzi, importerów czy dystrybutorów. Co ważne, przepisy obejmują także podmioty spoza UE, jeśli ich systemy działają na terenie Unii lub ich wyniki są tu wykorzystywane. Wyłączone z regulacji są zastosowania związane z obronnością, bezpieczeństwem narodowym oraz badaniami naukowymi.
AI Act obejmuje również osoby fizyczne, jeśli korzystają z AI w celach zawodowych lub komercyjnych. Użycie wyłącznie prywatne, np. do hobbystycznych eksperymentów z generatywną sztuczną inteligencją, nie podlega przepisom. Jednak każda firma, nawet mały sklep internetowy korzystający z narzędzi AI, powinna sprawdzić, czy nie stosuje rozwiązań wysokiego ryzyka.
Od kiedy obowiązuje AI Act? Kiedy będzie trzeba się dostosować?
Czy AI Act obowiązuje w Polsce? AI Act jest rozporządzeniem UE, więc od 1 sierpnia 2024 r. obowiązuje w całej Unii, również w Polsce – bez potrzeby tworzenia dodatkowych krajowych ustaw.
Jaki jest harmonogram wdrażania AI Act? Został on rozłożony na kilka lat:
- 1 sierpnia 2024 r. – wejście w życie aktu i pierwsze przepisy, np. stosowanie klasyfikacji ryzyka;
- 2 lutego 2025 r. – zaczynają obowiązywać przepisy dotyczące zakazanych praktyk;
- 2 sierpnia 2025 r. – nowe zasady dla dostawców modeli ogólnego przeznaczenia;
- 2 sierpnia 2026 r. – zaczyna obowiązywać większość pozostałych przepisów;
- 2 sierpnia 2027 r. – ostatni etap obejmujący szczegółowe obowiązki dotyczące klasyfikacji systemów wysokiego ryzyka.
Firmy mają więc od kilku miesięcy do dwóch lat na przygotowanie się do nowych wymogów, w zależności od rodzaju i zastosowania używanych systemów. W Polsce trwają dodatkowe prace nad ustawą, która ma doprecyzować lokalny nadzór i procedury kontrolne, ale podstawowe obowiązki wynikają już z samego rozporządzenia.
