Zapewniam wsparcie na każdym etapie rozwoju Twojego biznesu.

Napisz do mnie

kancelaria@marcinjuszczel.pl

kancelaria@marcinjuszczel.pl

Poniedziałek-Piątek 9:00-17:00

Info

AI Act w praktyce: Czy Twój startup przetrwa nowe przepisy?

Home > AI  > AI Act w praktyce: Czy Twój startup przetrwa nowe przepisy?
Piramida ryzyka AI Act – klasyfikacja systemów sztucznej inteligencji dla startupów

06 lut AI Act w praktyce: Czy Twój startup przetrwa nowe przepisy?

Posted at 14:41h in AI, StartUp, Twórcy by
0 Likes

Czy Twój model biznesowy przetrwa starcie z nowymi przepisami?

 

Sztuczna inteligencja (AI) zmienia nasz świat w błyskawicznym tempie, a prawo jak zwykle nie nadąża  za technologią. Unia Europejska postanowiła uregulować tę technologię, przyjmując Rozporządzenie 2024/1689, znane szerzej jako „Akt w sprawie sztucznej inteligencji” (AI Act).

Sytuacja z AI Act przypomina trochę początki RODO. Z jednej strony mamy medialną panikę i straszenie karami w milionach euro, z drugiej – pewne bagatelizowanie tematu przez przedsiębiorców. którzy w obliczu licznych niejasności i wątpliwości odkładają temat w przyszłości i wierzą, że „jakoś to będzie”.

Moim zdaniem? Brak przygotowania i odkładanie tematu na później zaboli Cię szybciej niż myślisz. Nie mam tu na myśli kontroli urzędowej, ale moment, w którym np. fundusz VC powie Ci „sprawdzam” podczas due diligence.

Jak to zwykle bywa z unijnymi regulacjami, ta również jest bardzo obszerna. Tym razem w zależności od formatu jest to ok. 400 stron dokumentu. Dlatego, by zaoszczędzić Twój czas przygotowałem dla Ciebie ten artykuł, który (mam nadzieję) pomoże Ci zorientować się, nad czym faktycznie powinieneś się zastanowić, co musisz wiedzieć i co wdrożyć, żeby uniknąć potencjalnych ryzyk związanych z AI Act.

Jaki jest cel AI Act?

 

AI Act ma na celu zapewnienie bezpiecznego i etycznego wykorzystania technologii sztucznej inteligencji oraz wspieranie innowacji technologicznych z uwzględnieniem praw obywateli. Nowe prawo nie traktuje jednak wszystkich systemów AI tak samo. Jako podstawę przyjęto podejście oparte na analizie ryzyka. inaczej mówiąc im większe zagrożenie dla praw i bezpieczeństwa ludzi, tym surowsze wymogi trzeba spełnić.

Przepisy obejmują m.in. wymogi dotyczące transparentności algorytmów, oznaczania treści generowanych przez sztuczną inteligencję oraz zasad zarządzania cyklem życia systemów sztucznej inteligencji.

Systemy AI funkcjonujące na rynku europejskim zgodnie z tą regulacją będą musiały spełniać konkretne normy i standardy, co w założeniach ma przełożyć się na wyższy poziom ochrony praw obywateli i konsumentów oraz zwiększenia zaufania społecznego do nowych technologii. Regulacje obejmują też rozmaite obszary praktycznych zastosowań AI, takich jak opieka zdrowotna, transport, edukacja czy rynek pracy. 

Przyjęcie AI Act w założeniach ma być krokiem milowym w dążeniach UE do stania się światowym liderem we wprowadzaniu etycznej i odpowiedzialnej sztucznej inteligencji. Czy tak rzeczywiście się stanie czas pokaże. Sam dość sceptycznie patrzę na te założenia, bo w tym zakresie za kluczowe uznaje jednak realne kontrolowanie systemów AI przez jej twórców. Z pewną ciekawością będę obserwować jednak, taką próbę narzucenia kierunku i ograniczeń na technologię budowaną i udostępnianą szeroko użytkownikom przez podmioty spoza UE.

Pułapka „AI Wrapper”: Dlaczego API od OpenAI Cię nie ratuje?

 

Jednym ze sposobów na realizację celów AI Act ma być brak możliwości przeniesienia odpowiedzialności i wskazanie, że przecież „Ja tylko podpinam się pod GPT-4 (lub inny model), którego dostawca ma na pewno wszystko dogadane z Unią”. Jest to błąd, który obecnie może być dodatkowo bardzo kosztowny. Wobec czego wykorzystanie AI wrappera, którego zadaniem jest funkcjonowanie w określonej domenie, zadaniu lub przepływie pracy, chociaż nie modyfikuje podstawowej architektury modelu, to jednak z uwagi na to, że dodaje strukturę niezbędną do zapewnienia niezawodności, zgodności i skuteczności modelu w danym środowisku, nie zwalnia Cię od obowiązków określonych w AI Act.

Dlatego też zgodnie z art. 25 AI Act, jeśli wdrażasz system AI w konkretnym celu biznesowym, stajesz się „podmiotem wdrażającym” (deployerem) i to na Tobie spoczywa obowiązek poinformowania użytkownika, że np. rozmawia z botem. Użytkownik musi otrzymać także informację o tym, że to Ty odpowiadasz za to, jakie treści Twój bot wyprodukuje wobec użytkownika.

Jeśli więc Twoja aplikacja działa na bazie zewnętrznego modelu podejmuje decyzje o ludziach, to Ty jesteś na pierwszej linii odpowiedzialności. Nikt nie zapyta OpenAI o certyfikaty – zapyta bezpośrednio Ciebie, jak zabezpieczyłeś proces i czy Twój produkt jest zgodny z unijnym prawem. To na Tobie ciążą więc obowiązki wynikające z tej regulacji i nie “wykonasz” ich przez wskazanie na inny podmiot dostarczający podstawową infrastrukturę, na której opierasz rozwiązanie na którym prowadzisz biznes. Jeśli Twoja nakładka na AI podejmuje decyzje o ludziach, to Ty – a nie Sam Altman – musisz udowodnić, że algorytm nie jest uprzedzony i nie halucynuje w sposób szkodliwy.

To nie technologia jest problemem, tylko jej cel

 

Największy błąd, jaki możesz popełnić, to myślenie, że AI Act ściśle reguluje tę technologię. Mając na uwadze to, że technologia zmienia się błyskawicznie UE przyjęła inne podejście regulując skutki tego, co Twoja aplikacja robi człowiekowi. Inaczej mówiąc celem UE jest zagwarantowanie użytkownikom etycznego i odpowiedzialnego wykorzystania wobec nich sztucznej inteligencji oraz innych systemów opartych o te rozwiązania. 

Wyraźnie widać więc, że te przepisy nie traktują wszystkich systemów AI tak samo. Zastosowane zostało tu podejście oparte na analizie ryzyka tj.: im większe zagrożenie dla praw i bezpieczeństwa ludzi, tym surowsze wymogi musisz spełnić jako podmiot wdrażający (deployer). Wszystko sprowadza się więc do “piramidy ryzyka”.

Jeśli budujesz np. prosty generator opisów produktów do e-commerce, Twoje obowiązki są w zasadzie marginalne. Jeśli jednak aplikacja ma decydować np. o tym, czy dany kandydat zostanie zaproszony na rozmowę o pracę (HR Tech), albo czy klient instytucji finansowej otrzyma pożyczkę (FinTech) – wchodzisz w już w sferę wysokiego ryzyka (Art. 6 i Załącznik III AI Act). Co tego rodzaju wykorzystanie AI oznacza więc w praktyce? Oznacza to, że zgodnie z AI Act musisz mieć np:

    • udokumentowany system zarządzania ryzykiem,
    • mechanizmy zapewniające wysoką jakość danych treningowych (koniec z „przypadkowymi” danymi z internetu),
    • możliwość nadzoru ludzkiego nad każdą decyzją algorytmu (Art. 14).

 

Szczyt listy stanowią praktyki zakazane (są to ryzyka niedopuszczalne). Jest to “czarna lista” kategorii zastosowania AI, które są całkowicie zabronione, jako naruszające wartości Unii i prawa podstawowe. Do takich praktyk należą m.in.:

    • Techniki manipulacyjne i podprogowe: Systemy wpływające na zachowanie ludzi w sposób, który może wyrządzić im szkodę (np. wykorzystujące słabości wynikające z wieku czy niepełnosprawności).
    • Scoring społeczny: Ocena i klasyfikacja obywateli przez organy publiczne na podstawie ich zachowania społecznego, prowadząca do krzywdzącego traktowania.
    • Rozpoznawanie emocji w pracy i szkole: Systemy dedukujące emocje pracowników lub uczniów (z wyjątkami medycznymi/bezpieczeństwa).
    • Kategoryzacja biometryczna: Przypisywanie ludzi do kategorii na podstawie danych biometrycznych w celu wnioskowań dotyczących rasy, poglądów politycznych, religii czy orientacji seksualnej.
    • Zdalna identyfikacja biometryczna w czasie rzeczywistym: Stosowanie takich systemów przez organy ścigania w przestrzeni publicznej jest co do zasady zakazane, z wąskimi wyjątkami (np. poszukiwanie ofiar porwań, zapobieganie terroryzmowi, ściganie sprawców najcięższych przestępstw) i wymaga zgody sądu.
    • Prognozowanie przestępczości (Predictive policing): Ocenianie ryzyka popełnienia przestępstwa wyłącznie na podstawie profilowania osoby.
    • Niekierowane pobieranie wizerunków (Scraping): Tworzenie baz twarzy poprzez masowe pobieranie zdjęć z internetu lub monitoringu.

 

Wyodrębnienie tej kategorii i zaliczanych do niej praktyk ma w mojej ocenie najistotniejsze znaczenie, bo w praktyce pokazuje Ci, co jest absolutnie zakazane. Jeżeli więc planowane przez Ciebie rozwiązanie/produkt/usługa dotyczy ww. spraw, lepiej po prostu z niego zrezygnować. Natomiast jeśli już masz wdrożone rozwiązania wykorzystujące tego rodzaju praktyki, to jak najszybciej powinieneś wstrzymać ich stosowanie, a następnie przeprowadzić dokładny audyt tych technologii, a w rezultacie dokonać pilnych zmian przez eliminację tych praktyk. Przy braku możliwości dostosowania danego rozwiązania do tych zakazów, konieczna będzie całkowita rezygnacja z danego systemu. 

Kluczową kategorię regulowaną przez AI Act stanowią jednak wspomniane wyżej systemy wysokiego ryzyka. Są to systemy, które mogą mieć znaczący wpływ na życie, zdrowie lub prawa ludzi. Zalicza się do nich m.in.:

    • Systemy będące elementami bezpieczeństwa produktów (np. w zabawkach, samochodach, wyrobach medycznych).
    • Systemy stosowane w edukacji (np. przy rekrutacji do szkół, ocenianiu), zatrudnieniu (rekrutacja, monitorowanie pracowników), usługach publicznych (ocena zdolności kredytowej, ubezpieczenia, służby ratunkowe), wymiarze sprawiedliwości oraz zarządzaniu migracją.

 

Dostawcy systemów wysokiego ryzyka muszą spełnić szereg rygorystycznych wymogów, w tym w szczególności:

    • Wdrożyć system zarządzania ryzykiem i jakością.
    • Zapewnić wysoką jakość danych treningowych, aby uniknąć błędów i dyskryminacji.
    • Prowadzić szczegółową dokumentację techniczną i rejestry zdarzeń (logi).
    • Zapewnić przejrzystość i dostarczyć instrukcje obsługi.
    • Zapewnić nadzór ze strony człowieka nad działaniem systemu.
    • Zagwarantować odpowiedni poziom cyberbezpieczeństwa, dokładności i solidności.
    • Uzyskać oznakowanie CE i zarejestrować system w bazie danych UE.

 

Jeśli Twój system wysokiego ryzyka jest wdrażany w obszarach wrażliwych – np. przez instytucje finansowe (banki, ubezpieczenia) lub podmioty świadczące usługi publiczne – pojawia się dodatkowy wymóg w postaci konieczności oceny skutków dla praw podstawowych (Fundamental Rights Impact Assessment – FRIA). To proces analizy, którego celem jest identyfikacja, ocena i minimalizacja potencjalnego negatywnego wpływu systemów sztucznej inteligencji na prawa człowieka zapisane w Karcie Praw Podstawowych UE. Jest to więc proces podobny do analizy ryzyka w RODO, który musisz zamknąć przed faktycznym wdrożeniem systemu.

Rozporządzenie wprowadza również osobne przepisy dla potężnych modeli AI (tzw. „General Purpose AI Models”), które potrafią wykonywać szeroki zakres zadań od tworzenia tekstu przez grafiki i wideo. Zgodnie z nowymi regulacjami wszyscy dostawcy GPAI muszą: prowadzić dokumentację techniczną, przestrzegać praw autorskich oraz udostępniać publicznie streszczenie treści użytych do trenowania modelu. Jeśli natomiast model ma potężną moc obliczeniową (powyżej 10^25 operacji zmiennoprzecinkowych) lub duży wpływ na rynek, dostawca musi dodatkowo: przeprowadzać testy kontradyktoryjne (tzw. red teaming), oceniać i ograniczać ryzyka systemowe oraz zgłaszać poważne incydenty.

Dla systemów AI o ograniczonym ryzyku kluczowe jest zapewnienie użytkownikowi wiedzy co do tego, że ma do czynienia z maszyną. Chodzi tu więc głównie o obowiązki w zakresie zachowania przejrzystości. I tak użytkownik rozmawiając z chatbotem, musi zostać poinformowany, że interakcja zachodzi z AI. Ponadto teksty generowane przez AI, publikowane w interesie publicznym, również muszą być oznaczone, chyba że przeszły redakcję człowieka. I wreszcie treści typu „deepfake” (sztucznie wygenerowany obraz, dźwięk lub wideo) muszą być wyraźnie oznaczone jako sztucznie wygenerowane lub zmanipulowane.

Piramida ryzyka AI Act – klasyfikacja systemów sztucznej inteligencji dla startupów
Grafika wygenerowana przy pomocy GeminiAI

Do tej ostatniej kategorii osobiście mam pewne wątpliwości, co do tego czy prawidłowo została sklasyfikowana. Biorąc pod uwagę możliwości i realną szkodliwość technologii deepfake w życiu codziennym, szczególnie w stosunku do dzieci i młodzieży, z którą mamy do czynienia już dzisiaj, nie wiem czy nie jest to zbyt ogólne potraktowanie zagadnienia. Podczas gdy już dziś również w przestrzeni publicznej pojawiają się informacje o przestępczym wręcz wykorzystaniu tej szeroko dostępnej technologii, Unia uznaje to za “wykorzystanie AI o ograniczonym ryzyku”… 

Terminy, które musisz mieć na uwadze

 

Co do terminów wdrożenia tych rozwiązań, kluczowy pozostaje sierpień 2026 roku, kiedy nastąpić ma pełne wdrożenie dla systemów wysokiego ryzyka. Wyjątek stanowią niektóre systemy, które są tylko elementami produktów końcowych, dla tych kategorii termin  stosowania AI Act został odłożony do 2 sierpnia 2027 r.

Od lutego 2025 roku obowiązuje już zakaz stosowania systemów ujętych na czarnej liście. Jeżeli więc Twój produkt w jakikolwiek sposób manipuluje użytkownikiem i jego zachowaniem, to obecnie technologia ta jest nielegalna i musisz zmienić logikę jej działania.

Natomiast od sierpnia 2025 r. obowiązują już nas wymogi dotyczące modeli ogólnego przeznaczenia (GenAI) oraz możliwość nakładania kar w związku z tym.  

Co musisz mieć „w papierach” i w kodzie?

 

Jeśli chcesz, żeby Twój startup był „inwestowalny”, sprawdź czy wdrożyłeś lub zacznij wdrażać już teraz te trzy punkty:

        1. Kompetencje zespołu (art.4): Musisz zadbać o to, by Twój zespół (i osoby obsługujące system) posiadał tzw. “AI literacy”. W praktyce oznacza to, że ludzie w Twojej firmie muszą rozumieć, jak system AI działa i jakie ryzyka generuje. To już nie jest tylko „opcja”, ale prawny obowiązek edukacji zespołu, który warto wpisać w strategię HR.
        2. Obowiązek przejrzystości (Art. 50): Użytkownik musi wiedzieć, że ma do czynienia z AI. Żadnych wątpliwości. Jeśli generujesz treści, muszą one zawierać znaczniki (znaki wodne) pozwalające na ich automatyczne wykrycie.
        3. Dokumentacja techniczna (Art. 11): Musisz prowadzić logi. Musisz wiedzieć, dlaczego Twoja AI podjęła taką, a nie inną decyzję. Bez tego nie przejdziesz pomyślnie audytu przed rundą finansowania.
        4. Własność intelektualna (Art. 53): Musisz mieć jasność, na czym trenowałeś model (jeśli to robisz) i czy masz do tego prawo. Spory o IP w świecie AI będą jednym gorętszych, jeśli nie najgorętszym tematem procesowym najbliższych lat.

 

Ważna uwaga dla firm spoza UE. Jeśli Twój startup jest zarejestrowany poza Unią (np. słynne Delaware), a oferujesz system AI użytkownikom w Europie, musisz wyznaczyć swojego upoważnionego przedstawiciela na terenie UE. To on będzie Twoim łącznikiem z organami nadzoru.

Kary za nieprzestrzeganie przepisów

 

Na przykładzie RODO bardzo dobrze widać, że UE podchodzi do egzekwowania prawa bardzo poważnie. Co chwila spotykamy się z kolejnymi komunikatami Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu dotkliwych kar. W przypadku AI Act kary finansowe również mogą być bardzo dotkliwe. Przepisy przewidują możliwość nałożenia kar do:

      • 35 mln EUR lub 7% rocznego światowego obrotu za stosowanie zakazanych praktyk (czarna lista).
      • 5 mln EUR lub 3% obrotu za naruszenie innych obowiązków (np. dotyczących systemów wysokiego ryzyka).
      • 7,5 mln EUR lub 1,5% obrotu za przekazywanie nieprawdziwych informacji organom. 

 

Widząc te liczby, łatwo o zawrót głowy. Jednak w przypadku MŚP i startupów kary mają być nakładane w sposób bardziej proporcjonalny. Przy ich obliczaniu bierze się przede wszystkim pod uwagę mniejszą z tych dwóch wartości (kwotę stałą lub procent obrotu), a organy mają uwzględniać specyficzną sytuację finansową mniejszych graczy. To ważny „zawór bezpieczeństwa”, który ma pozwolić skupić się na poprawie błędów, a nie wyłącznie na nałożeniu kary. 

Ważne jest również, że AI Act nie ma na celu tylko zakazywania i karania. Przewiduje środki wspierające rozwój technologii i innowacji, które mają pomagać testować nowe rozwiązania w bezpiecznych i kontrolowanych warunkach bez ryzyka narażenia się na ewentualne sankcje. Do tych celów mają służyć m.in. “piaskownice regulacyjne” tj. kontrolowane środowiska do testowania innowacyjnych systemów AI pod okiem organów nadzoru. Ponadto podobnie jak w przypadku branży farmaceutycznej, przewidziana została możliwość prowadzenia testów w warunkach rzeczywistych tj. testowania systemów poza laboratoriami, jednak pod określonymi warunkami i za zgodą uczestników. Przewidziane zostało również wsparcie i pewne ułatwienia dla małych i średnich przedsiębiorców oraz startupów. 

Podsumowanie

 

W założeniach AI Act nie jest kolejnym biurokratycznym wymysłem, który ma Cię spowolnić i utrudnić prowadzenie działalności. To kolejna próba ujarzmienia czy też stworzenia instrukcji obsługi rynku technologicznego w Europie, przyjmująca za punkt odniesienia prawa użytkowników. 

AI Act w sprawie sztucznej inteligencji to kompleksowy dokument, który w centrum stawia człowieka. Reguluje on dostawców, importerów, a nawet użytkowników biznesowych AI, dążąc do tego, by technologia ta była bezpieczna, przejrzysta i godna zaufania. Rzeczywistość jest obecnie taka, że albo nauczysz się grać według tych zasad i zbudujesz produkt godny zaufania użytkowników, albo utkniesz w strefie wysokiego ryzyka obciążenia karami bez możliwości szerokiego skalowania. Jeśli czujesz, że Twój produkt lub rozwijany pomysł może kolidować z nowymi przepisami – nie czekaj i lepiej już teraz skoryguj architekturę aplikacji. 

Chcesz sprawdzić do której kategorii kwalifikuje się Twój pomysł lub produkt? Napisz do mnie. 

Marcin Juszczel
m.juszczel@gmail.com
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.