Europejski AI Act – spotkanie członków AI Chamber

28 października 2024 r. członkowie AI Chamber spotkali się, aby porozmawiać o rozporządzeniu AI Act i wynikających z niego następstw prawnych dla ekosystemu AI. Wraz z prowadzącymi Mikołajem Sowińskim i Michałem Kalinowskim z kancelarii Sołtysiński, Kawecki & Szlęzak zdefiniowaliśmy budzące emocje w dyskusji publicznej różnice między dostawcą, podmiotem stosującym, dystrybutorem i importerem systemu AI, upoważnionym przedstawicielem a innymi osobami trzecimi. Podczas prezentacji eksperci wskazali, że dystrybutora, importera, podmiot stosujący AI i inną osobę trzecią traktuje się jako dostawcę jeżeli:

1. udostępnia system wysokiego ryzyka pod swoją nazwą;
2. dokonuje istotnych zmian w systemie wysokiego ryzyka;
3. dokonuje istotnych zmian w „normalnym” systemie, przez co staje się on systemem wysokiego ryzyka;
4. jest producentem produktu, w system AI jest związany z elementem bezpieczeństwa.

Eksperci wymienili przykłady klasyfikacji systemów AI uwzględnione w rozporządzeniu:

• zakazane,
• wysokiego ryzyka,
• modele i systemy ogólnego przeznaczenia i inne,
• dopuszczalne wyjątki modeli wysokiego ryzyka, wskazane w rozporządzeniu.

Do przykładów zakazanych systemów AI należą m.in.:

• modele wykorzystujące techniki podprogowe, manipulacyjne i wprowadzające w błąd, wpływające na decyzje użytkowników;
• systemy wykorzystujące dowolne słabości określonej grupy, skutkujące szkodą dla użytkowników;
• modele kategoryzujące biometrycznie osoby fizyczne wg ich cech (by wnioskować o cechach wrażliwych);
• systemy implementujące ”scoring społeczny”;
• systemy zdalnej identyfikacji biometrycznej (real-time) w miejscach publicznych w celu ścigania przestępstw (są wyjątki);
• modele oceniające ryzyka zachowań karalnych;
• systemy tworzące bazy danych na podstawie rozpoznawania twarzy w Internecie i kamerach CCTV;
• systemy rozpoznające emocje w miejscach pracy (wyjątki to zdrowie, bezpieczeństwo);
• systemy rozpoznające emocje w miejscu edukacji (wyjątki to zdrowie, bezpieczeństwo).

Do przykładów systemów AI wysokiego ryzyka należą m.in.:

• AI jako element związany z bezpieczeństwem w niektórych produktach;
• identyfikacja biometryczna (za wyjątkiem potwierdzenia tożsamości) i rozpoznawanie twarzy;
• zarządzanie niektórą infrastrukturą krytyczną;
• wspomagające decyzje dot. dostępu do edukacji oraz ocena poziomu edukacji;
• rekrutacja (w tym ukierunkowanie ogłoszenia), awanse i zakończenie umów z pracownikami;
• scoring kredytowy (z wyjątkiem wykrywania oszustw);
• dostępność do świadczeń i usług publicznych;
• ocena ryzyka i ustalanie cen na potrzeby ubezpieczeń i ochrony zdrowia;
• ocena wiarygodności zgłoszeń alarmowych i ich priorytetyzacja;
• ocena wiarygodności dowodów przez organy ścigania;
• wspomagające ocenę ryzyka popełnienia przestępstwa lub bycia ofiarą przestępstwa;
• wpływanie na zachowania wyborców;
• wspomaganie wymiaru sprawiedliwości, wspierające ściganie przestępstw, wariografy;
• ocena na potrzeby migracji, udzielania azylu i ochrony granic.

Jakie są wyjątki systemów AI wysokiego ryzyka, uwzględnione w rozporządzeniu?

• gdy AI wykonuje wąsko określone zadanie proceduralne;
• gdy AI poprawia wyniki działania człowieka;
• gdy AI przygotowuje wstępne wyniki dla człowieka;
• gdy AI wykrywa wzorce poprzednich decyzji i ich nie zmienia bez weryfikacji człowieka.

W przypadku zaliczenia do grupy wyjątków występuje konieczność przygotowania przez dostawcę szczegółowej analizy i dokumentacji, a następnie właściwa rejestracja. Co ważne – wyjątki nie mają zastosowania, jeżeli dochodzi do profilowania osób fizycznych.

Podczas spotkania członków Izby AI rozmawialiśmy także o obowiązkach dostawców i podmiotów stosujących m.in. w zakresie systemów wysokiego ryzyka (High Risk AI), transparentności, dokumentacji technicznej i rejestrowania zdarzeń, czy zarządzania danymi treningowymi, walidacyjnymi i testowymi. Poruszyliśmy też kwestie piaskownic regulacyjnych, ułatwień legislacyjnych dla MŚP oraz projektu dyrektywy o pozaumownej odpowiedzialności AI.

Kto będzie musiał się dostosować do rozporządzenia AI Act? Ze względu na zakres terytorialny będą to:

1. dostawcy z UE wprowadzający AI w UE;
2. dostawcy spoza UE wprowadzający AI w UE lub których wyniki AI mają być wykorzystane w UE;
3. podmioty stosujące z UE i mający siedzibę w EU;
4. podmioty stosujące spoza UE, których wyniki AI mają być wykorzystane w UE.

Jakie ułatwienia dla małych i średnich przedsiębiorstw są przewidywane w rozporządzeniu?

1. Uproszczone wymagania dot. dokumentacji technicznej (wzór Komisji).
2. Uproszczona forma systemu zarządzania jakością (wytyczne Komisji).
3. Nieodpłatny dostęp do piaskownic na zasadzie pierwszeństwa.
4. Działania edukacyjne, informacyjne, pomocnicze i szkoleniowe.
5. Koszty oceny zgodności powinny być dostosowane do MŚP.

Co ważne – rozporządzenie przewiduje min. 1 piaskownicę do 2 sierpnia 2026 roku na poziomie krajowym.

Jak Polska przygotowuje się do wdrożenia?

1. powstaje Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji;
2. do 31 marca każdego roku Komisja opublikuje przykłady dobrych praktyk w zakresie wdrażania i stosowania systemów AI;
3. rekomendacje dot. stosowania dobrych praktyk może wydać Minister ds. informatyzacji;
4. interpretacje generalne i interpretacje indywidualne;
5. uprawnienia kontrolne Komisji – kontrola zdalna lub stacjonarna, kary pieniężne, inne środki np. wycofanie z obrotu;
6. poważne incydenty, które należy zgłaszać zgodnie z AI Act, będą zgłaszane w formie elektronicznej zgodnie z wymaganiami ustawy co do zakresu przekazywanych informacji;
7. decyzje Komisji będą podlegać pod Sąd Okręgowy w Warszawie – SOKiK.

Rozkład jazdy – kiedy rozporządzenie zacznie obowiązywać?

• 2.02.2025 – dla zakazanych systemów AI wraz z wymogami w zakresie odpowiednich kompetencji;
• 2.08.2025 – dla systemów AI ogólnego przeznaczenia;
• 2.08.2026 – dla systemów AI wysokiego ryzyka (zał. III np. systemy scoringu kredytowego) wraz z obowiązkami przejrzystości;
• 2.08.2027 – dla systemów AI wysokiego ryzyka (zał. I, przepisy harmonizacyjne).

Kiedy i jakie działania będzie podejmować Komisja?

• 2.11.2024 – obowiązek poinformowania Komisji o ustanowionych organach nadzoru na poziomie krajowym;
• 2.05.2025 – kodeksy dobrych praktyk dla modeli ogólnego przeznaczenia przygotowane przez dostawców i zaakceptowane przez Urząd; brak takich kodeksów do 2.08.2025 = prawo Komisji do ich przedstawienia;
• 2.02.2026 – wytyczne dot. zakresu systemów wysokiego ryzyka; wykaz praktycznych przypadków wykorzystania AI, które są wysokim ryzykiem i które nim nie są; akt wykonawczy zawierający wzór planu monitorowania po wprowadzeniu do obrotu;
• 2.02.2028 – Komisja dokona pierwszej oceny funkcjonowania AI Act,  w tym listy systemów wysokiego ryzyka.

Dziękujemy jeszcze raz Mikołajowi Sowińskiemu i Michałowi Kalinowskiemu z SK&S legal za merytoryczne poprowadzenie spotkania!

European AI Act – AI Chamber Members’ Meeting

On October 28, 2024, AI Chamber members met to discuss the implications of the AI Act for the AI ecosystem. Led by Mikołaj Sowiński and Michał Kalinowski from the law firm SK&S Legal, the session clarified roles such as suppliers, users, distributors, importers, and authorized representatives under the Act.

Key Takeaways:

• Supplier Reclassification: Distributors, importers, or users may be considered suppliers if they alter high-risk systems or link AI to safety-critical elements.
• AI Classification: AI systems are categorized as prohibited, high-risk, general-purpose, or others with certain exceptions. Examples of prohibited systems include manipulative AI, biometric profiling for sensitive traits, and real-time biometric identification in public spaces. High-risk systems include those for credit scoring, recruitment, critical infrastructure management, and law enforcement.

High-Risk AI Exceptions:

Exceptions apply when AI performs narrowly defined tasks, improves human outcomes, or provides preliminary results verified by humans. Suppliers must document and register such exceptions, excluding cases involving profiling individuals.

Regulatory Responsibilities:

Suppliers and users must ensure transparency, maintain technical documentation, and manage training, validation, and test data. Support for SMEs includes simplified requirements, priority access to regulatory sandboxes, and cost adjustments for compliance.

Territorial Scope:

The Act applies to suppliers introducing AI into the EU or whose outputs are used in the EU, regardless of their location.

Poland’s Preparations:

• Establishing the Commission for AI Development and Security.
• Publishing good practice guidelines annually.
• Monitoring compliance and imposing penalties or restrictions as needed.
• Major incidents must be reported electronically per the Act’s requirements.

Implementation Timeline:

• February 2, 2025: Prohibited systems regulations take effect.
• August 2, 2025: Rules for general-purpose AI systems.
• August 2, 2026: High-risk systems with transparency requirements.
• August 2, 2027: Harmonized rules for specific high-risk systems.

Upcoming Actions:

• November 2, 2024: Inform the Commission about national oversight bodies.
• May 2, 2025: Draft and submit general-purpose model codes of conduct.
• February 2, 2026: Issue practical guidelines for high-risk systems.
• February 2, 2028: Conduct the first review of the AI Act.

Special thanks to Mikołaj Sowiński and Michał Kalinowski for leading the insightful session.