Akt o umjetnoj inteligenciji ima široku primjenjivost i, slično kao Opća uredba o zaštiti podataka, može imati posljedice i za gospodarske subjekte izvan Europske unije. Koje su obveze za subjekte koji razvijaju, uvoze ili upotrebljavaju sustave umjetne inteligencije pročitajte u našem novom članku.
Dosadašnji razvoj
U listopadu 2020., čelnici Europske unije zatražili su od Europske komisije da predloži načine za povećanje ulaganja u sustave umjetne inteligencije te osiguranje sveobuhvatnog regulatornog okvira. Cilj tog zahtjeva bio je pronaći ravnotežu između poticanja inovacija i osiguravanja da ti sustavi budu transparentni, sigurni i nediskriminatorni.
Kao odgovor na taj zahtjev, 2021. godine Europska komisija predložila je Akt o umjetnoj inteligenciji. Europski parlament usvojio je svoju verziju toga propisa u lipnju 2023., nakon čega su uslijedili intenzivni pregovori između Europskog parlamenta, Vijeća Europske unije i Europske komisije. U prosincu 2023. postignut je privremeni dogovor o nacrtu Akta o umjetnoj inteligenciji, a u ožujku 2024., Europski parlament dao je konačno odobrenje za navedeni akt. Konačna verzija Akta o umjetnoj inteligenciji, u obliku Uredbe 2024/1689, objavljena je u Službenom listu Europske unije u srpnju 2024., a stupila je na snagu 1. kolovoza 2024.1
Uredba 2024/1689 predstavlja prvi sveobuhvatni zakonski okvir na svijetu koji regulira sustave umjetne inteligencije i pritom primjenjuje pristup koji se temelji na riziku.
Na koga se primjenjuje?
Akt o umjetnoj inteligenciji ima široku primjenjivost i, slično kao Opća uredba o zaštiti podataka, može imati posljedice i za gospodarske subjekte izvan Europske unije. Primjenjuje se na:
a) dobavljače koji stavljaju sustave umjetne inteligencije na tržište Europske unije, neovisno o tome gdje su osnovani
b) subjekte koji uvode takve sustave, odnosno korisnike takvih sustava, sa sjedištem u Europske unije
c) pružatelje usluga posredovanja ili korisnike izvan Europske unije ako se izlazni podaci toga sustava koriste u Europskoj uniji
d) uvoznike i distributere sustava umjetne inteligencije
e) proizvođače proizvoda koji takav sustav stavljaju na tržište Unije zajedno sa svojim proizvodom i pod vlastitim imenom ili žigom
e) ovlaštene zastupnike dobavljača sustava umjetne inteligencije koji nisu osnovani u Europskoj uniji i
f) zahvaćene osobe koje se nalaze u Europskoj uniji.
Jedna od najvažnijih iznimaka je taj da se Akt o umjetnoj inteligenciji ne primjenjuje na sustave umjetne inteligencije koji se koriste isključivo u vojne ili obrambene svrhe.
S obzirom na to da Akt o umjetnoj inteligenciji obuhvaća dobavljače i subjekte korisnike neovisno o njihovom sjedištu, njegova implementacija imat će značajan utjecaj na poduzetnike sa sjedištem izvan Europske unije koji posluju na području Unije.
Definicija sustava umjetne inteligencije
Budući da ne postoji globalni standard za definiranje sustava umjetne inteligencije, preuzeta je definicija iz smjernica Organizacije za gospodarsku suradnju i razvoj (OECD). Sustav umjetne inteligencije definira se kao „strojni sustav dizajniran za rad s promjenjivim razinama autonomije i koji nakon uvođenja može pokazati prilagodljivost te koji, za eksplicitne ili implicitne ciljeve, iz ulaznih vrijednosti koje prima, zaključuje kako generirati izlazne vrijednosti kao što su predviđanja, sadržaj, preporuke ili odluke koji mogu utjecati na fizička ili virtualna okruženja“.
Ova definicija osigurava da se obuhvate budući tehnološki napreci, ali i da se izvan područja primjene ostave tradicionalni softverski sustavi koji obavljaju jednostavne automatizirane računske operacije.
Pristup temeljen na riziku
Akt o umjetnoj inteligenciji regulira sustave umjetne inteligencije prema modelu procjene rizika, pri čemu se stroža regulacija odnosi na sustave s visokim rizikom. Sustavi umjetne inteligencije kategorizirani su u četiri razine rizika:
- sustavi neprihvatljivog rizika – sustavi koji predstavljaju jasnu prijetnju sigurnosti i pravima građana (npr. socijalno bodovanje, biometrijska identifikacija za klasifikaciju ljudi prema osjetljivim atributima poput rase ili vjerskih uvjerenja, manipulacija ljudskim ponašanjem), i kao takvi su zabranjeni
- sustavi visokog rizika – sustavi koji utječu na kritičnu infrastrukturu, pravosudni sustav, zapošljavanje, biometrijsku identifikaciju na daljinu i sl. Ovi sustavi moraju ispunjavati stroge obveze, uključujući procjenu rizika i ljudski nadzor
- sustavi ograničenog rizika – sustavi koji ne predstavljaju ozbiljan rizik, ali zahtijevaju transparentnost. Npr. korisnici chatbotova moraju biti obaviješteni da komuniciraju s sustavom umjetne inteligencije
- sustavi minimalnog rizika – sustavi bez stvarnog rizika, koji mogu biti slobodno korišteni, npr. u video igrama ili sustavima za upravljanje zalihama.
Sustavi umjetne inteligencije opće namjene mogu imati višestruku primjenu. Ako takav sustav ima veću računalnu snagu veću od 10^25 FLOP-ova, smatra se da predstavljaju sistemske rizike te će podlijegati dodatnim regulativama.
Sankcije
Sankcije propisane Aktom o umjetnoj inteligenciji uvelike su usklađene s onima predviđenima Općom uredbom o zaštiti podataka, osiguravajući time strogu provedbu regulative.
Za nepoštivanje zabrana, uključujući upotrebu zabranjenih sustava umjetne inteligencije, predviđene su novčane kazne do 35 milijuna eura ili 7% ukupnog svjetskog godišnjeg prometa, ovisno o tome koji je iznos veći. Za nepoštivanje ostalih obveza propisanih Uredbom 2024/1689, mogu se izreći kazne do 15 milijuna eura ili 3% godišnjeg prometa, primjenjujući isti kriterij proporcionalnosti.
U slučaju da operater pruži neistinite, nepotpune ili zavaravajuće podatke nacionalnim tijelima, predviđena je novčana kazna do 7,5 milijuna eura ili 1% godišnjeg prometa.
Ove odredbe naglašavaju ozbiljnost pristupa Europske unije u regulaciji umjetne inteligencije, osiguravajući usklađenost kroz značajne financijske i pravne posljedice za prekršitelje.
Rokovi za implementaciju
Države članice Europske unije imaju rok do 2. kolovoza 2025. da imenuju relevantna nacionalna nadležna tijela koja će biti odgovorna za provedbu Uredbe 2024/1689.
Svaka država članica morat će uspostaviti ili odrediti tri tijela na nacionalnoj razini, i to 1) tijelo koje provodi prijavljivanje, zaduženo za uspostavu i provođenje postupaka za ocjenjivanje, imenovanje i nadzor nad tijelima za ocjenjivanje sukladnosti, 2) tijelo za nadzor tržišta, odgovorno za poduzimanje mjera kako bi se osiguralo da sustavi umjetne inteligencije ispunjavaju zakonske zahtjeve, i 3) druga javna tijela zadužena za provedbu obveza u vezi sa zaštitom temeljnih prava u kontekstu visokorizičnih sustava umjetne inteligencije. Države članice bile su obvezne imenovati svoja odgovarajuća nadležna tijela do 2. studenoga 2024.
Države članice imaju diskrecijsko pravo u odabiru strukture i organizacije ovih triju tijela. U ovoj fazi prerano je špekulirati koja će biti nacionalna nadležna tijela u pojedinim državama članicama. Konačna odluka o tome bit će poznata tek kada države članice službeno obavijeste Europsku komisiju o svojim imenovanjima.
Iako je Uredba 2024/1689 stupila na snagu 1. kolovoza 2024., njezina provedba izvršit će se u četiri faze:
- od 2. veljače 2025. stupile su na snagu Opće odredbe (poglavlje I.), uključujući zahtjev da dobavljači i subjekti koji uvode sustave umjetne inteligencije osiguraju da njihovo osoblje i druge uključene osobe imaju dostatnu pismenost u tom području (članak 4.). Istodobno stupaju na snagu zabrane sustava umjetne inteligencije koji predstavljaju neprihvatljiv rizik (poglavlje II.). Zabranjene prakse uključuju manipulativne ili obmanjujuće sustave, društveno vrednovanje, procjene rizika od kriminala, biometrijsku kategorizaciju i daljinsku biometrijsku identifikaciju u stvarnom vremenu na javnim mjestima. Zabrane obuhvaćaju i prepoznavanje emocija na radnim mjestima i u obrazovnim institucijama te neciljano uklanjanje prikaza lica za baze podataka za prepoznavanje lica.
- od 2. kolovoza 2025. primjenjivat će se pravila o prijavljenim tijelima (poglavlje III. odjeljak 4.), sustavima umjetne inteligencije opće namjene (poglavlje V.), upravljanju (poglavlje VII.), povjerljivosti (članak 78.) i sankcijama (članci 99. i 100.). Valja imati u vidu da pojava chatbotova kao što je ChatGPT i alata kao što je Copilot dovela je do razvoja tzv. agenata umjetne inteligencije. Osim što mogu odgovoriti na pitanja, ti sustavi mogu preuzeti obavljati određene zadatke i donositi autonomne odluke. Stoga, osim usklađenosti s Uredbom 2024/1689, tijela za zaštitu podataka započet će s provjerom jesu li ta rješenja umjetne inteligencije u skladu s Općom uredbom o zaštiti podataka.
- od 2. kolovoza 2026. primjenjuju se većina ostalih odredbi Uredbe 2024/1689.
- od 2. kolovoza 2027. primjenjuju se odredbe koje se odnose na sustave umjetne inteligencije s visokim rizikom.
Strategija za usklađenost s propisima
Imajući u vidu provedbu Akta o umjetnoj inteligenciji u fazama, subjekti koji razvijaju, uvoze ili upotrebljavaju sustave umjetne inteligencije i imaju sjedište u Europskoj uniji trebali bi već sada započeti s izradom detaljne strategije kako namjeravaju ispuniti obveze koje proizlaze iz tog akta. Kako je već spomenuto, s obzirom na to da Akt o umjetnoj inteligenciji ima eksteritorijalnu primjenu, gospodarski subjekti sa sjedištem izvan Europske unije nije moraju također ispuniti tu obvezu usklađivanja.
Prvi korak za svakog operatera trebao bi biti identifikacija sustava umjetne inteligencije koju trenutno koristi ili razvija ili koje će vjerojatno koristiti u bliskoj budućnosti. Ovaj popis trebao bi biti sveobuhvatan i obuhvatiti sustave koji se koriste u svim odjelima.
Nakon izrade ovog popisa, sljedeći korak je klasifikacija svakog sustava umjetne inteligencije u jednu od četiri kategorije rizika, kako je to propisano Uredbom 2024/1689. Ova klasifikacija ne samo da će pojednostaviti proces implementacije, već će također omogućiti operaterima lakšu identifikaciju i usklađivanje s brojnim obvezama iz Akt o umjetnoj inteligenciji.
Konačno, kako bi se osigurala pravovremena provedba, operateri bi trebali razmotriti 1) organiziranje internih treninga i programa osvješćivanja te 2) uspostavu formalnih modela upravljanja koji će nadzirati usklađenost s Akt o umjetnoj inteligencijom.
Pismenost u području umjetne inteligencije
Dobavljači i subjekti koji uvode sustave umjetne inteligencije moraju ispunjavati određene zahtjeve u pogledu pismenosti u tom području.
Pismenost u području umjetne inteligencije definira se kao skup vještina, znanja i razumijevanja koji dobavljačima, subjektima koji uvode sustav umjetne inteligencije i zahvaćenim osobama omogućuju, da informirano uvode te sustave, kao i da steknu svijest o mogućnostima i rizicima umjetne inteligencije te šteti koju može izazvati. Pojednostavljeno rečeno, pismenost pojedincima pruža znanje i iskustvo za odgovorno ocjenjivanje, uvođenje i upotrebu te tehnologije. Ne radi se samo o razumijevanju načina na koji tehnologija umjetne inteligencije funkcionira, već i o razumijevanju etičkih, pravnih i društvenih posljedica odluka koje se temelje na toj tehnologiji. S obzirom na raširenu primjenu generativne umjetne inteligencije, većina organizacija suočit će se s tim izazovom i trebat će poduzeti odgovarajuće mjere.
Pismenost u području umjetne inteligencije nadilazi usklađenost i tehničke aspekte. Naime, pismenost u tom području uključuje razumijevanje načina na koji se ta tehnologija može učinkovito, strateški i odgovorno upotrebljavati. To obuhvaća tehničke aspekte kao što su strojno učenje i analiza podataka, ali i etička pitanja kao što su pristranost u algoritmima, privatnost podataka i posljedice na društvo u cjelini.
Ključni čimbenik predstavlja prilagodba programa pismenosti različitim ulogama unutar organizacije, uzimajući u obzir tehničko znanje, iskustvo i potrebu osposobljavanja ciljne publike. U jednoj organizaciji, svi zaposlenici u odjelima kao što su uprava, marketing, ljudski resursi ili financije imaju svoju ulogu u odgovornoj primjeni tehnologije umjetne inteligencije. A razina pismenosti svakog zaposlenika mora biti u skladu s kontekstom u kojem se upotrebljavaju ti sustavi i načinom na koji ti sustavi mogu utjecati na druge osobe. Na primjer, zaposlenici koji obavljaju kadrovsku funkciju moraju razumjeti da sustav umjetne inteligencije može sadržavati elemente pristranosti ili isključiti bitne informacije što može dovesti do potpuno pogrešnih odluka.
Iako ne postoje izravne sankcije za neosiguravanje pismenosti u području umjetne inteligencije, neusklađenost s Uredbom 2024/1689 moglo bi utjecati na ozbiljnost sankcija za druge povrede. Na primjer, dostavljanje netočnih ili nepotpunih informacija javnim tijelima moglo bi dovesti do visokih novčanih kazni. To je važno imati na umu pri procjeni i dokumentiranju razine pismenosti pojedine organizacije. Kao što je navedeno ranije, kazne se počinju primjenjivati od 2. kolovoza ove godine, pa je sada vrijeme za djelovanje.
Programi pismenosti u području umjetne inteligencije moraju biti usmjereni na pouzdanu upotrebu te tehnologije, a ne samo na izbjegavanje novčanih kazni. Svaka organizacija mora utvrditi svoje potrebe za pismenošću, osigurati da je program prilagođen specifičnom kontekstu i pokazati njegovu važnost na svim razinama organizacije. Tu bi procjenu trebalo sustavno dokumentirati, periodično preispitivati i uključivati plan za napredak programa.
Posebne obveze dobavljača sustava umjetne inteligencije i subjekata koji ih uvode
Svi subjekti uključeni u razvoj, proizvodnju, uvoz, distribuciju ili korištenje sustava umjetne inteligencije imat će određene obveze. Pritom, Uredba 2024/1689 zahvaća dva ključna subjekta, a to su dobavljači sustava umjetne inteligencije i subjekti koji uvode takve sustave.
Dobavljač je definiran kao fizička ili pravna osoba, tijelo javne vlasti, javna agencija ili drugo javno tijelo koje razvija sustav umjetne inteligencije ili model opće namjene ili koji ima razvijen takav sustav ili model opće namjene i stavlja ga na tržište ili stavlja sustav u upotrebu pod vlastitim imenom ili žigom, uz plaćanje ili besplatno. To može biti razvojna tvrtka ili poduzeće koje plasira sustave umjetne inteligencije pod vlastitim brendom.
Budući da je Akt o umjetnoj inteligenciji temeljen na pristupu prema riziku, dobavljači visokorizičnih sustava imat će strože obveze. Neke od ključnih obveza uključuju: 1) izradu pisanih politika za osiguranje kvalitetnog sustava upravljanja, 2) provedbu ocjene sukladnosti prije stavljanja sustava umjetne inteligencije na tržište, 3) obveznu registraciju u Uniji i označavanje proizvoda i usluga oznakom „CE“ kao potvrdu sukladnosti, 4) prijavu ozbiljnih incidenata nadležnim tijelima, uključujući ozbiljnu fizičku štetu osobi ili imovini ili kršenje temeljnih prava te 5) usklađenost sa zahtjevima pristupačnosti. Dobavljali će biti odgovorni za cjelokupnu sigurnost sustava umjetne inteligencije.
Subjekt koji uvodi sustav definiran je kao fizička ili pravna osoba, tijelo javne vlasti, javna agencija ili drugo javno tijelo koje upotrebljava sustav umjetne inteligencije u okviru svoje nadležnosti, osim ako se taj sustav upotrebljava u osobnoj neprofesionalnoj djelatnosti. Iz takve široke definicije proizlazi da svaki subjekt koji koristi sustav umjetne inteligencije za interne potrebe ili za pružanje usluga svojim klijentima potpada u tu definiciju. Čak i ako se sustav ne nalazi na području Europske unije, ali se njegov izlazni rezultat koristi na području Unije, takvi korisnici također će morati ispuniti odgovarajuće obveze.
Neke od ključnih obveza subjekata koji uvode visokorizične sustave umjetne inteligencije uključuju sljedeće: 1) sustav se mora koristiti u skladu s uputama za uporabu, 2) subjekt mora imenovati odgovorne osobe za nadzor obuke i implementacije sustava, 3) mora obavijestiti zaposlenike da koriste visokorizični sustav umjetne inteligencije, 4) ako se visokorizični sustav koristi za kritičnu infrastrukturu, slična obavijest mora biti dana i krajnjim korisnicima, 5) prije prve uporabe visokorizičnog sustava mora se provesti procjena utjecaja na temeljna prava kako bi se procijenili povezani rizici i definirale mjere ublažavanja koje će pružatelj poduzeti, 6) subjekt koji uvodi takav sustav mora prijaviti ozbiljne incidente nadležnim tijelima te 7) dužan je surađivati s nacionalnim nadzornim tijelima u provedbi Akta o umjetnoj inteligenciji.
Posebno za visokorizične sustave, subjekt koji uvodi sustav umjetne inteligencije može se smatrati i dobavljačem ako 1) koristi svoj zaštitni znak na visokorizičnim sustavima, 2) provodi značajne modifikacije visokorizičnog sustava ili 3) značajno mijenja sustav do te mjere da postaje visokorizičan. U svakom od tih slučajeva, subjekt koji uvodi sustav morat će ispuniti sve obveze kao da se radi o dobavljaču.
Druge obveze
Subjekti koji uvode određene sustave umjetne inteligencije imaju specifične obveze transparentnosti. Primjerice, korisnici sustava za prepoznavanje emocija ili biometrijsku kategorizaciju morat će obavještavati pojedince podložni takvim sustavima te obrađivati njihove osobne podatke u skladu s važećim propisima o zaštiti podataka. Slično tome, subjekti koji koriste sustave generativne umjetne inteligencije i tzv. „deepfake“ tehnologiju morat će izvijestiti svoje klijente da je izlazni rezultat generiran takvim sustavom.
Iako Akt o umjetnoj inteligenciji nameće različite obveze dobavljačima sustava umjetne inteligencije i subjektima koji te sustave uvode, strukturiran i pravovremen pristup može osigurati usklađenost s ovom novom Uredbom. Samo sustavnom integracijom ovih zahtjeva, dobavljači i subjekti korisnici mogu održati korak s regulativom i razvijati tehnologiju umjetne inteligencije u skladu s njom.
mr. sc. Igor Materljan, dipl. pravnik 2
^ 1 Uredba (EU) 2024/1689 Europskog parlamenta i Vijeća od 13. lipnja 2024. o utvrđivanju usklađenih pravila o umjetnoj inteligenciji i o izmjeni uredaba (EZ) br. 300/2008, (EU) br. 167/2013, (EU) br. 168/2013, (EU) 2018/858, (EU) 2018/1139 i (EU) 2019/2144 te direktiva 2014/90/EU, (EU) 2016/797 i (EU) 2020/1828 (Akt o umjetnoj inteligenciji), Službeni list Europske unije, br. L 2024/1689., dostupno na: https://eur-lex.europa.eu/eli/reg/2024/1689/oj.
^ 2 Autor je pravnik u Europskoj komisiji, DG Estat, Luxembourg, od 2013. do 2018. pravnik lingvist na Sudu Europske unije (Luxembourg), od 2006. do 2013. sudac na Općinskom sudu u Pazinu. U ovom članku iznosi isključivo vlastite stavove.
