Vsaka igra mora imeti svoja pravila. Enako velja za razvijalce in poslovne uporabnike sistemov umetne inteligence (UI). Pravila za razvoj in uporabo sistemov UI pa naj bi bila določena z ustrezno poimenovanim Aktom o UI. Kaj pa pomeni Akt o UI? Od kod je prišel? Kaj ureja in česa ne ureja?
Od Irske do Bolgarije enotna regulacija
Evropska unija (EU) kot nadnacionalno telo, ki povezuje evropske države, lahko določa enotna pravila, ki jih morajo subjekti v državah članicah spoštovati. To se najpogosteje izvaja z uredbami in direktivami. Tako so v okviru EU nastala številna pravila, ki veljajo za tehnološki svet. Varstvo osebnih podatkov je urejeno z GDPR, zahteve po kibernetski varnosti (med drugim) z NIS 2, izdajanje in trgovanje s kriptosredstvi z MiCA, ipd. Namen takšnih regulatornih okvirov je poenotenje pravil igre po celotni EU.
Tako je EU leta 2024 sprejela Uredbo o določitvi harmoniziranih pravil o umetni inteligenci ali skrajšano Akt o UI (AI Act), ki uvaja kategorizacijo sistemov UI ter številne obveznosti, ki jim razvijalci in poslovni uporabniki morajo slediti. Prav tako pa izrecno prepoveduje nekatere prakse UI. Akt o UI se kljub temu, da je že sprejet v okviru zakonodajnega postopka EU, še ne uporablja v celoti, saj se bo večina določb začela uporabljati šele 2. 8. 2026.
Kaj je prepovedano?
Že veljavne določbe Akta o UI so tiste, ki določajo prepovedane prakse uporabe UI. Tako so v EU prepovedani sistemi UI, ki uporabljajo subliminalne tehnike, s katerimi vplivajo na zavest ljudi, sistemi UI, ki so narejeni tako, da izkoriščajo določene slabosti na ljudeh, “social scoring” sistemi, sistemi za neciljno biometrično prepoznavanje obraza na internetu ali posnetkih CCTV kamer, sistemi za prepoznavanje čustev na delovnem mestu in v izobraževalnih ustanovah, sistemi UI za ocenjevanje možnosti, da določena oseba izvrši kaznivo dejanje, ter podobni sistemi, ki z uporabo biometrije ali drugih postopkov lahko na določen (nedovoljen) način vplivajo na človeka ali pravico do njegove zasebnosti.
Za koga veljajo pravila Akta o UI?
Pravila, ki jih določa Akt o UI, veljajo predvsem za razvijalce (ponudnike) sistemov UI in uvajalce sistemov UI. “Uvajalec” (ang. Deployer) je termin iz Akta o UI, ki označuje (pravno ali fizično) osebo, ki uporablja sistem UI v okviru svoje poslovne dejavnosti. Največ obveznosti velja ravno za ponudnike (razvijalce) sistemov UI.
Tako da morajo podjetja, ki razmišljajo med lastnim razvojem sistema UI za svoje potrebe in angažiranjem zunanjega izvajalca, vzeti v obzir tudi povečano regulatorno breme v primeru, da sami razvijejo nekatere sisteme UI. Dodatno pa Akt o UI velja tudi za uvoznike in distributerje sistemov UI v EU. Obveznosti in omejitve so prav tako naložene tudi javnim organom, predvsem pri omejevanju uporabe prepovedanih praks in zahtev po transparentnosti.
Za katere sisteme UI veljajo pravila Akta o UI?
Akt o UI razvršča sisteme UI glede na tveganje, ki jih ti sistemi predstavljajo za človeka. Nato so glede na stopnjo tveganja določene tudi obveznosti, ki jih morajo operaterji izpolnjevati. Kot smo videli, so sistemi UI, ki predstavljajo nesprejemljivo tveganje, z Aktom o UI prepovedani. Nadalje regulatorno najbolj obremenjena kategorija sistemov UI so visokotvegani sistemi UI. To so sistemi UI, ki se bodisi uporabljajo v določenih vlogah v določenih industrijah kot so izobraževanje, zaposlovanje, kritična infrastruktura, biometrika, bančništvo in zavarovalništvo, preprečevanje in odkrivanje kaznivih dejanj, migracije in azil ter pravosodje in demokratični procesi, bodisi pa se uporabljajo kot varnostna komponenta v nekaterih proizvodih kot so vozila, plovila, igrače, medicinski pripomočki, žičnice, dvigala ter letala.
Določene posebne obveznosti veljajo za t.i. modele UI za splošne namene, med katere spadajo orodja kot so ChatGPT, Gemini, Copilot ipd. Takšni sistemi so sistemi omejenega tveganja. V zadnjo kategorijo pa spadajo vsi ostali sistemi UI, ki niso med zgoraj naštetimi, vendar za njih veljajo določene minimalne obveznosti.
Kaj pa so obveznosti za sisteme UI?
Obveznosti, ki jih nalaga Akt o UI v zvezi s sistemi UI, so številne in se razvrščajo glede na vlogo, ki jo ima določen subjekt pri sistemu UI, ter tveganju, ki ga ta sistem predstavlja. Nekatere izmed teh obveznosti so obveznosti zagotavljanja pismenosti zaposlenih o uporabi sistema UI (obveznost, ki že velja!), registracija visokotveganih sistemov UI, vzpostavitev sistemov za obvladovanje tveganja, zagotavljanje ustreznosti vhodnih podatkov, ustreznost tehnične dokumentacije, vodenje evidenc, priprava ustreznih navodil za uporabo sistema UI, ohranjanje človekovega nadzora, zagotavljanje ustrezne stopnje kibernetske varnosti, hramba dokumentacije, poročanje o resnih incidentih, označevanje vsebine, ustvarjene s pomočjo UI, ter obveščanje oseb o interakciji z UI.
Ključna dilema pri teh obveznostih je ravno to, da je večina le-teh za zdaj zgolj črka na papirju, saj morajo regulatorji številne standarde in obveznosti še bolj podrobno določiti, industrija mora izoblikovati dobre prakse ter regulatorji se morajo v določeni meri tehnično izobraziti na področju UI (npr. z zaposlovanjem ustreznih kadrov), preden bodo lahko učinkovito izvajali nadzor nad določbami Akta o UI.
Sklepno
Akt o UI je pravi “gamechanger,” kar se tiče regulacije UI. Je prvi pravni akt na svetu, ki celovito ureja to področje. Toda zagotavljanje skladnosti zgolj z Aktom o UI še ne pomeni, da je sistem UI v celoti skladen z relevantnimi regulacijami, saj številna regulatorna področja, ki veljajo za sisteme UI, niso določena z Aktom o UI, temveč z drugo področno regulativo (npr. varstvo osebnih podatkov, intelektualna lastnina, odgovornost za škodo,…). Obveznosti v zvezi s sistemi UI so številne in se s časom zgolj povečujejo, zato je nujno, da imate v primeru, da v okviru poslovanja razvijate ali uporabljate umetno inteligenco, vzpostavljene ustrezne mehanizme za preverjanje usklajenosti z regulativo.
Prav tako je področje regulacije UI v razvoju in se hitro spreminja, zato je nujno, da se dogajanja na regulatornem področju ustrezno spremljajo in se sistemi za skladnost poslovanja v podjetju redno posodabljajo.
