Publikacja pierwszych wytycznych Komisji Europejskiej dotyczących AI Act

Instytucje finansowe, które pracują nad dostosowaniem się do AI Act, zwykle napotykają poważne trudności interpretacyjne już na bardzo wczesnym etapie projektu. Wynika to z niejasnej terminologii nowych przepisów, a także braku ukształtowanej praktyki w zakresie interpretacji podstawowych pojęć określających zakres zastosowania nowych przepisów – jak choćby definicja „systemu AI”, „incydentu” (jako pojęcia nadrzędnego względem „poważnych incydentów”) czy poszczególnych ról w łańcuchu wartości (zwłaszcza w zakresie rozróżnienia „dostawcy” i „podmiotu stosującego”).

Wytyczne Komisji Europejskiej niewątpliwie adresują istotne problemy praktyczne, a ich publikacja stanowi ważny krok dla stosowania nowych przepisów. Niemniej, szczegółowa analiza tych wytycznych nie pozwala na jednoznaczną ocenę: wiele kwestii nadal budzi wątpliwości interpretacyjne, a termin ich publikacji (tj. już po rozpoczęciu stosowania pierwszych przepisów AI Act, które pozostają bezpośrednio związane z treścią obydwu dokumentów) należy uznać za spóźniony przynajmniej o kilka miesięcy. Dodatkowo, jeszcze przed pobraniem dokumentu ze strony Komisji Europejskiej czytelnik otrzyma wyraźne ostrzeżenie: projekt wytycznych został zaakceptowany przez Komisję, ale nie został jeszcze formalnie przyjęty. Co to oznacza w praktyce? Trudno powiedzieć - z pewnością nie buduje to jednak zaufania do proponowanych interpretacji.

Definicja systemu AI w ocenie Komisji Europejskiej
 

Z perspektywy wdrożenia AI Act w sektorze finansowym, to drugi z opublikowanych dokumentów najczęściej jest oceniany jako bardziej doniosły. Dotyczy on wyjaśnienia definicji „systemu AI”, czyli podstawowego pojęcia dla stosowania całej regulacji.  Wytyczne koncentrują się na analizie poszczególnych przesłanek tworzących definicję „systemu AI”, których Komisja wyróżnia siedem:

1)  system maszynowy,

2) autonomia,

3) zdolność adaptacji,

4) cele systemu,

5) wnioskowanie na potrzeby generowania wyników z wykorzystaniem technik AI,

6) wyniki wywierające wpływ,

7) interakcje z otoczeniem (środowiskiem).

W praktyce analiza przedstawiona w wytycznych zawiera pewne niespójności, w szczególności dotyczące znaczenia poszczególnych przesłanek. Najważniejsze podkreślone przez Komisję cechy to autonomia systemów AI oraz ich zdolność do wnioskowania. Jednocześnie wytyczne właściwie pozostawia bez znaczenia przesłankę zdolności adaptacji systemów, wskazując, że jej brak nie wyklucza uznania danego rozwiązania za system AI. Jest to o tyle istotne, że pojawiały się argumenty, iż „możliwość” nie jest równoznaczna z „opcjonalnością”, ale oznacza konstrukcję systemu, która pozwala na jego douczanie w trakcie działania - nawet jeśli funkcjonalność ta pozostaje nieaktywna.

Podobnie trudno znaleźć praktyczne zastosowanie przesłanki celów systemu –Komisja ograniczyła się bowiem do powtórzenia brzmienia przepisu i zaznacza, że cele nie muszą wynikać z wewnętrznych zasad działania danego systemu, ale z szerszego kontekstu (np. z instrukcji czy przepływów pracy).

W zakresie autonomii wytyczne podkreślają motyw 12 preambuły AI Act, zgodnie z którym systemy AI powinny być „w pewnym stopniu niezależne od zaangażowania ze strony człowieka i zdolne do działania bez interwencji człowieka”. Wytyczne kładą nacisk na brak „manualnej” kontroli nad wynikami generowanymi przez system i jako przykład podają systemy ekspertowe służące tworzące rekomendacje na podstawie danych wprowadzanych przez człowieka.

Biorąc pod uwagę znaczenie autonomii jako jednej z kluczowych przesłanek definicyjnych, wyjaśnienia te należy uznać za wydają się powierzchowne i niewystarczające. Wyjaśnienia w tym zakresie konkluduje obserwacja, że uwzględnienie poziomu autonomii jest niezbędne przy projektowaniu nadzoru ludzkiego lub innych środków służących ograniczaniu ryzyka.

Drugą kluczową spośród przesłanek definicyjnych systemu AI jest zdolność do wnioskowania, jak generować na podstawie otrzymanych danych wejściowych wyniki. W tym zakresie Komisja powraca do analizy technik, których wykorzystanie prowadzi do zakwalifikowania systemu jako systemu AI – warto przypomnieć, że ich katalog początkowo miał stanowić element definicji systemu AI jako załącznik do projektu AI Act, lecz zrezygnowano z niego jeszcze w toku prac legislacyjnych.

Oprócz typowych technik wykorzystywanych w toku rozwoju systemów AI (uczenie nadzorowanie, nienadzorowane, etc.) wytyczne podkreślają konieczność odróżnienia systemów AI od „prostszych tradycyjnych systemów oprogramowania lub założeń programistycznych” (zgodnie z brzmieniem motywu 12 preambuły AI Act). Ta ostatnia kategoria nie powinna być kwalifikowana jako systemy AI, a wśród przykładów wymienione zostały regresja logistyczna i liniowa, systemy oparte na regułach tworzonych przez człowieka czy metody heurystyczne.

Klasyfikacja metod zaproponowana przez Komisję Europejską nadal budzi pewne wątpliwości interpretacyjne. Z jednej strony wytyczne prezentują dość zasadnicze podejście do uczenia maszynowego, by w dalszej części podkreślić, że niektóre metody zaliczane do tej kategorii jednak wyłączyć z zakresu definicji systemu AI. Z drugiej strony, równie zasadnicze wyłączenie regresji logistycznej i liniowej nie odnosi się do poziomu złożoności systemów opartych na tych metodach, spośród których część może wykazywać relatywnie wysoki stopień autonomii (rozumianej jako pewna niezależność czy też nieprzewidywalność dla operatora).

Wytyczne podkreślają również zróżnicowane możliwe wyniki działania systemu AI, do których należą m.in. przewidywania (predykcje), generowane treści (tekst, obrazy, wideo, muzyka etc.), rekomendacje i decyzje. Poszczególne kategorie zostały opatrzone konkretnymi przykładami.

Ostatnią z wymienionych przesłanek pozostaje wpływ na środowiska fizyczne lub wirtualne. W tym kontekście  Komisja zaznacza  jedynie, że chodzi o podkreślenie, że systemy AI nie pozostają „pasywne”, ale wyniki ich działania rzeczywiście oddziałują na środowiska fizyczne (świat materialny), jak i cyfrowe (np. zbiory danych).

Praktyki zakazane
 

Pierwszy spośród opublikowanych dokumentów, dotyczący praktyk zakazanych, jest bardziej złożony i trudniejszy do krótkiego podsumowania. Argumentacja przedstawiona w dokumencie wykracza poza prostą analizę poszczególnych kategorii praktyk - zawiera również kompleksowy opis okoliczności, w których zakazy zawarte w art. 5 AI Act nie będą miały zastosowania.

 Wytyczne wskazują, że warunkiem stosowania zakazu będzie wprowadzenie systemu AI do obrotu lub oddanie go do użytku (które to pojęcia zostały również opatrzone pewnym komentarzem), a także brak zastosowania wyłączeń przewidzianych w ramach AI Act. Podkreślono, że zakazy nie obejmują systemów AI wykorzystywanych między innymi „w ramach czysto osobistej działalności pozazawodowej” (art. 2 ust. 10 AI Act), na potrzeby bezpieczeństwa narodowego oraz celów wojskowych i obronnych (art. 2 ust. 3 AI Act), a także tych stosowanych „wyłącznie do celów badań naukowych i rozwojowych” (art. 2 ust. 6 AI Act).

Wytyczne omawiają również relacje pomiędzy poszczególnymi zakazami wynikającymi z AI Act, a także pomiędzy praktykami zabronionymi i obowiązkami wynikającymi z AI Act (m.in. podając przykład systemów służących do analizy emocji, które – jeżeli nie stanowią praktyk zakazanych na gruncie art. 5 ust. 1 lit. f AI Act – powinny być kwalifikowane jako systemy AI wysokiego ryzyka). Wytyczne podkreślają także obowiązek nadzoru nad przepisami dotyczącymi o praktyk zakazanych. Przypominają, że naruszenie tych zakazów może prowadzić do najwyższych kar, które wynoszą nawet 35 mln euro lub do 7% całkowitego rocznego obrotu przedsiębiorcy (w zależności od tego, która wartość jest wyższa).

W dalszej części Komisja analizuje poszczególne praktyki zabronione, podając liczne przykłady oraz często koncentrując się na niuansach (np. na gruncie art. 5 ust. 1 lit. a AI Act wytyczne próbują opisać granice pomiędzy manipulacją a prawnie dopuszczalną perswazją, a także zawierają odniesienia do Aktu o Usługach Cyfrowych w zakresie dark patterns).

Wiele wniosków z analizy przeprowadzonej przez Komisję Europejska ma istotne znaczenie dla sektora finansowego. Przykładowo, wytyczne wyraźnie przesądzają, że scoring kredytowy – choć niekoniecznie będzie naruszać zakazy przewidziane w AI Act – będzie spełniać kryteria „oceny” osób fizycznych zgodnie z art. 5 ust. 1 lit. c AI Act.

Komisja przedstawiła również szczegółową analizę przesłanek zakazu stosowania systemów mających oceniać lub przewidywać ryzyko popełnienia przestępstwa przez osobę fizyczną, wyłącznie na podstawie profilowania osoby fizycznej lub oceny jej cech osobowości i cech charakterystycznych (art. 5 ust. 1 lit. d AI Act), również i w tym przypadku starając się dookreślić granice obowiązywania tego zakazu (co może być przydatne szczególnie w odniesieniu do systemów przeciwdziałania i wykrywania oszustw w instytucjach finansowych).

Podsumowując szeroką analizę praktyk zakazanych, Komisja podkreśla, że art. 5 AI Act stosuje się od 2 lutego 2025, a przepisy o nadzorze i karach dopiero od 2 sierpnia 2025. Nie pozbawia to jednak mocy obowiązującej wprowadzonych zakazów w okresie pomiędzy tymi datami, a egzekucja przepisów może mieć miejsce w innych prawnie dozwolonych trybach (np. na drodze sądowej).

Podsumowanie
 

Nowe wytyczne niewątpliwie wpłyną na praktykę stosowania przepisów AI Act. Nawet jeśli nie zawierają jednoznacznych ani w pełni przekonujących wskazówek interpretacyjnych, z pewnością będą podstawą do dalszych analiz przepisów rozporządzenia.

Z pewnością rynek finansowy liczy jednak na dalszy dialog Komisji Europejskiej z interesariuszami, ponieważ opublikowane wytyczne dotyczą bardzo istotnej, choć wciąż tylko niewielkiej części AI Act. Z tego względu wiele instytucji liczy na publikację dalszych wytycznych, dotyczących pozostałych kluczowych zagadnień związanych z nowym rozporządzeniem.