AI Act — nauja reguliavimo realybė
Europos Sąjunga pirmoji pasaulyje sukūrė visapusišką dirbtinio intelekto reguliavimą. Reglamentas AI Act (Regulation (EU) 2024/1689) įsigaliojo 2024 m. rugpjūčio 1 d. ir yra taikomas etapais: pirmosios prievolės galioja nuo 2025 m. vasario 2 d., pagrindinė dalis — nuo 2026 m. rugpjūčio 2 d., visiškas taikymas — nuo 2027 m. rugpjūčio 2 d. Kiekviena įmonė, diegianti DI sistemas ES vykdomoje veikloje, privalo su jomis susipažinti.
AI Act nedraudžia dirbtinio intelekto — reguliuoja jį taikydamas rizika pagrįstą požiūrį. Kuo didesnė rizika, tuo griežtesni reikalavimai. Dauguma DI verslo taikymo atvejų patenka į mažos arba ribotos rizikos kategorijas, o tai reiškia palyginti lengvas prievoles. Tačiau yra sričių, kuriose reikalavimai yra labai griežti.
Įsigaliojimo grafikas (Art. 113)
- 2024 m. rugpjūčio 1 d. — reglamento įsigaliojimas
- 2025 m. vasario 2 d. — taikomi pavojingų praktikų draudimai (II skyrius, Art. 5) ir AI literacy prievolė (Art. 4)
- 2025 m. rugpjūčio 2 d. — prievolės general-purpose AI modelių tiekėjams (V skyrius) ir nuostatos dėl priežiūros institucijų bei baudų
- 2026 m. rugpjūčio 2 d. — taikomos prievolės didelės rizikos sistemoms (III skyrius), chatbotų ir deepfake'ų skaidrumas (Art. 50), reguliavimo smėlio dėžės
- 2027 m. rugpjūčio 2 d. — visiškas taikymas, įskaitant prievoles didelės rizikos sistemoms, integruotoms į produktus, kuriems jau taikomi galiojantys ES derinamieji reglamentai (I priedas)
DI sistemų rizikos klasifikacija
AI Act skirsto DI sistemas į keturias rizikos kategorijas:
- Nepriimtina rizika (draudžiama, Art. 5) — sistemos, manipuliuojančios žmogaus elgesiu žemiau sąmonės ribos, valdžios institucijų vykdomas social scoring, biometrinis stebėjimas realiu laiku (su išimtimis), emocijų atpažinimas darbo vietoje ir švietime, prediktyvus nusikalstamas profiliavimas. Šios sistemos yra draudžiamos.
- Didelė rizika (III skyrius, Art. 6-27) — DI, naudojamas įdarbinime, skolinime, sveikatos apsaugoje, švietime, teisingumo vykdyme, kritinėje infrastruktūroje. Griežčiausi reikalavimai: dokumentacija, testavimas, skaidrumas, žmogaus priežiūra, registracija ES duomenų bazėje.
- Ribota rizika (Art. 50) — chatbotai, deepfake'ai, turinį generuojančios sistemos. Skaidrumo prievolė: naudotojas turi žinoti, kad bendrauja su DI, o DI sukurtas turinys turi būti pažymėtas mašininiu būdu skaitomu formatu.
- Minimali rizika — dauguma DI taikymo atvejų versle: šlamšto filtrai, produktų rekomendacijos, vidinių procesų automatizavimas. Minimalios arba jokios prievolės.
Kas yra DI sistemos tiekėjas, o kas — naudotojas?
AI Act skiria du svarbiausius vaidmenis. Tiekėjas (provider) — tai subjektas, kuris sukuria ir pateikia rinkai DI sistemą. Deployer — tai subjektas, kuris naudoja DI sistemą ekonominėje veikloje. Prievolės kiekvienam vaidmeniui skiriasi — tiekėjams taikomi griežtesni reikalavimai dėl techninės dokumentacijos ir sertifikavimo.
Įmonė, kuri iš tiekėjo perka paruoštą DI sprendimą ir naudoja jį savo procesuose, yra deployer. Įmonė, kuri pritaiko arba atlieka modelio fine-tuning savo poreikiams, gali tapti tiekėju su visomis iš to kylančiomis pasekmėmis.
Didelės rizikos sistemų deployer'ių prievolės (Art. 26)
Jei jūsų įmonė naudoja didelės rizikos DI sistemą (pvz., scoring sistemą kredito procese, CV preatrankos įrankį, medicininės diagnostikos palaikymo sistemą), privalote:
- Užtikrinti žmogaus priežiūrą DI sistemos priimamų sprendimų atžvilgiu
- Vesti veiklos žurnalus ne trumpiau kaip 6 mėnesius
- Atlikti poveikio pagrindinėms teisėms vertinimą (FRIA, Art. 27)
- Informuoti darbuotojus apie juos liečiančias DI sistemas
- Pranešti apie rimtus incidentus ir gedimus kompetentingai priežiūros institucijai
Reguliavimo smėlio dėžės (Art. 57-63)
AI Act numato reguliavimo smėlio dėžes — mechanizmą, leidžiantį įmonėms testuoti inovatyvias DI sistemas prižiūrint reguliavimo institucijai kontroliuojamoje aplinkoje. Kiekviena valstybė narė privalo iki 2026 m. rugpjūčio 2 d. paleisti bent vieną smėlio dėžę. Įmonėms, kuriančioms DI sprendimus didelės rizikos srityse, tai praktinis būdas gauti reguliuotojų atsiliepimus dar prieš visišką sertifikavimą.
Sankcijos (Art. 99)
Baudos už AI Act pažeidimą yra laipsniuotos priklausomai nuo pažeidimo tipo:
- iki 35 mln EUR arba 7% globalios metinės apyvartos (didesnė suma) už draudžiamų praktikų taikymą (Art. 5)
- iki 15 mln EUR arba 3% globalios metinės apyvartos už kitų reglamento prievolių pažeidimus
- iki 7,5 mln EUR arba 1% globalios metinės apyvartos už melagingos, nepilnos ar klaidinančios informacijos teikimą priežiūros institucijoms
MVĮ ir startuoliams taikoma mažesnė iš dviejų sumų, siekiant išvengti neproporcingos naštos.
Kaip ESKOM.AI padeda užtikrinti AI Act atitiktį
ESKOM.AI padeda organizacijoms pasirengti AI Act reikalavimams. Siūlome esamų DI sistemų auditą rizikos klasifikacijos požiūriu, techninės dokumentacijos parengimą, žmogaus priežiūros ir registravimo mechanizmų diegimą, taip pat už atitiktį atsakingų komandų mokymus. Kiekvieną mūsų vykdomą naują DI diegimą projektuojame atsižvelgdami į atitiktį AI Act nuo pirmos dienos.