Dr. Kerecsen Éva ügyvéd, a LawIT mesterséges intelligenciával foglalkozó jogi szakértője szerint az AI Act egyszerre védi az európai polgárok jogait és elősegíti a technológiai innovációt, miközben jelentős kihívások elé állítja az érintett szereplőket.
Nagyon hasznos az MI, de muszáj szabályozni
A mesterséges intelligencián alapuló technológia gyorsan meghódította a világot, hiszen képes gazdasági, társadalmi és környezeti szinten jelentős előnyöket nyújtani. Az előrejelzések pontosításával, az erőforrások optimális elosztásával vagy a személyre szabott digitális megoldásokkal ez a technológia hatalmas versenyelőnyt biztosíthat a vállalkozások számára.
Gondoljunk csak arra, hogy a mezőgazdaságban az MI segítségével optimalizálhatjuk a termésmennyiséget. Vagy arra, hogy az egészségügyben precíz diagnosztikai megoldásokat kínálhat a betegeknek. De említhetjük az intelligens közlekedési rendszereket. Ezek révén csökkenhetnek a közlekedési dugók, szennyezések, vagy a fenntartható energiafelhasználást támogató MI-megoldásokat, amelyek a klímavédelem szempontjából is fontosak.
Azonban a technológiai előrelépés nem mentes a kockázatoktól. Az MI-rendszerek bizonyos alkalmazásai veszélyeztethetik vagy sérthetik az állampolgárok alapvető jogait. Gondoljunk például az arcfelismerő rendszerekre, amelyek tévesen azonosíthatnak embereket vagy a prediktív algoritmusokra, amelyek diszkriminatív döntéseket hozhatnak. Ezek a technológiák jelentős vagyoni és nem vagyoni károkat okozhatnak. Beleértve a fizikai, a pszichés, a társadalmi és a gazdasági következményeket. Az AI Act célja, hogy megvédje az európai polgárokat ezektől a veszélyektől, miközben támogatja az innovációt és a technológiai fejlődést.
Az AI Act célja: miért elengedhetetlen a felkészülés azonnali megkezdése?
A rendelet célja, hogy minden tagállamban közvetlen hatályú és egységesen alkalmazandó, átfogó szabályozást biztosítson a mesterségesintelligencia-rendszerek fejlesztésére, használatára és piaci bevezetésére vonatkozóan az egész Európai Unióban. Az AI Act előírásai közvetlenül érvényesülnek az összes tagállamban, ami azt jelenti, hogy nem szükséges külön nemzeti jogszabály elfogadása. Ez a megközelítés biztosítja, hogy az MI-rendszerek fejlesztésére és használatára vonatkozó szabályok egységesek legyenek az egész unióban. Eelkerülve ezzel a belső piac széttagoltságát és növelve a jogbiztonságot a gazdasági szereplők számára.
Az AI Act kötelező alkalmazása fokozatok, többlépcsős lesz 2025 és 2027 között. Az első határidő igen közeli, egyes rendelkezéseket már 2025. február 2-ától alkalmazni kell. Ezek az általános rendelkezések és a tiltott MI-gyakorlatok.
A vállalkozásoknak már most érdemes elkezdeniük a felkészülést, mivel a bírságolási küszöbök a GDPR-ban alkalmazottaknál is magasabbak. Az AI Act rendelkezéseinek megsértése súlyos összegekkel járhat, amelyek mértéke elérheti a 35 millió eurót vagy a vállalkozás előző évi globális éves árbevételének a 7 százalékát.
Minden vállalkozást érint: az AI Act személyi hatálya
Az AI Act széles körben határozza meg azokat a szereplőket, amelyekre vonatkoznak a rendelet előírásai. A szabályozás az egész forgalmazási értéklánc szereplőire kötelezettségeket ró, bár ezek mértéke eltérő. Az egyik legfontosabb kategória az MI-szolgáltatók, amelyekre a legszigorúbb kötelezettségek vonatkoznak. MI-szolgáltatónak minősülhet bárki, aki MI-rendszert vagy általános célú MI-modellt fejleszt vagy fejleszttet, és a saját neve vagy védjegye alatt hoz forgalomba, vagy helyez üzembe ilyen rendszert. Így például az a cég is MI-szolgáltatónak minősül, amely egy belső fejlesztésű MI-technológián alapuló toborzószoftvert kezd el alkalmazni a HR-kiválasztási folyamataiban.
Fontos, hogy a szabályozás kiterjed az „alkalmazókra” is, amelyek a szakmai tevékenységük során a felügyeletük alá tartozó MI-rendszereket használják. Például ha egy vállalat egy MI-alapú megoldást használ ügyfélszolgálati kérdések kezelésére, akkor az alkalmazói szerepkörbe tartozik. Ezáltal az üzleti élet szinte minden szereplőjét felöleli a szabályozás hatálya, mivel előbb-utóbb minden vállalkozás valamilyen formában alkalmaz MI-technológiát a folyamatai során. A szabályozás személyi hatálya emellett kiterjed a forgalmazókra, az importőrökre és az MI-rendszer, az általános célú MI-modell szolgáltatók EU-ban letelepedett meghatalmazott képviselőire.
AI Act = GDPR
Az AI Actnek, hasonlóan a GDPR-hoz, extraterritoriális hatálya van, ami azt jelenti, hogy a szabályozás nemcsak az EU-n belüli, hanem bizonyos esetekben az unión kívüli cégekre is vonatkoznak, így amennyiben azok MI-rendszereket forgalomba hoznak vagy üzembe helyeznek az EU-ban, vagy ha az általuk alkalmazott, illetve szolgáltatott MI-megoldások kimeneteit az unióban használják fel.
A rendelet alkalmazása alól csak szűk körben vannak kivételek. Nem vonatkozik kizárólag és kifejezetten tudományos kutatási, valamint fejlesztési tevékenységre, a piacra kerülés előtti kutatási és tesztelési fázisokban lévő MI-rendszerekre, valamint azokra az MI-megoldásokra, amelyeket személyes, nem pedig szakmai célokra használnak. Szintén mentesülnek a szabályozás alól azok az MI-rendszerek, amelyeket open source licenc alatt használnak, kivéve, ha ezek nagy kockázatú vagy tiltott megoldások, illetve amennyiben az MI-rendszer átláthatóságára vonatkozó követelmények hatálya alá tartozó szisztémáról van szó. A kizárólag katonai, védelmi vagy nemzetbiztonsági célú MI-rendszerek is kivételt képeznek.
Az AI Act meghatározza, hogy mi minősül MI-megoldásnak. Ez egy olyan gépi alapú rendszert jelent, amelyet autonóm működésre terveztek, és amely alkalmazkodásra képes lehet. Ezek a rendszerek a kapott bemenetből a célok elérése érdekében képesek előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket generálni, amelyek befolyásolhatják a fizikai vagy a virtuális környezetet. Fontos különbséget tenni az MI- és a hagyományos IT-rendszerek között, mivel az előbbiek autonóm működésre képesek, ami nem feltétlenül igaz a szabályalapú, nem autonóm megoldásokra.
Az AI Act szabályozása kockázatalapú megközelítést alkalmaz, és ez két fő kategóriát különböztet meg: tiltott és a magas kockázatú MI-rendszereket. Továbbá tartalmaz rendelkezéseket egyes speciális MI-megoldások szolgáltatóira és alkalmazóira, mint a szintetikus kép- és hanganyagokat létrehozó szisztémák szolgáltatói, a deepfake tartalomgyártási vagy az érzelemfelismerő biometrikus kategorizálási rendszerek. Emellett külön szabályokat állapít meg az általános célú MI-modellek szolgáltatóira.
Tiltott MI-rendszerek: a legnagyobb üzleti kockázatok 2025-től
Ahogy arról már szó volt, legkorábban 2025. február 2-ától alkalmazhatók a tiltott MI-rendszerekre vonatkozó szabályok. Ezek azok a megoldások, amelyek elfogadhatatlan kockázatot jelentenek az alapvető jogokra nézve. Nézzük meg, hogy melyek lehetnek ezek. Idetartoznak a manipulatív vagy megtévesztő MI-rendszerek, azaz amelyek szubliminális technikákat vagy szándékosan manipulatív módszereket alkalmaznak az emberi viselkedés torzítására és a döntéshozatal befolyásolására, jelentős károkat okozva ezzel. Olyanok tartoznak ide, amelyek láthatatlan audio- vagy vizuális ingereket használnak a fogyasztói döntések befolyásolására. Továbbá azok, amelyek egyes emberek, csoportok sérülékenységeit kihasználva működnek. Ebbe a körbe tartoznak azok az MI-megoldások, amelyek gyermekeket, időseket vagy gazdaságilag hátrányos helyzetű csoportokat céloznak. Továbbá fontos megemlíteni az érzelemfelismerő rendszereket mint tiltott MI-gyakorlatot, amennyiben azt munkahelyeken és oktatási környezetben használják, kivéve, ha ezek orvosi vagy biztonsági célokat szolgálnak.
Ezen MI-rendszerek tilalmának megsértése súlyos bírságokat vonhat maga után, amelyek 35 millió euróig vagy e cég világméretű éves árbevételének a 7 százalékáig is terjedhetnek, attól függően, hogy melyik érték a magasabb. A bírság mértékére nézve a kkv-k közül az induló innovatív vállalkozásokra vonatkozik némi könnyítés annyiban, hogy ez esetben a világméretű éves árbevétel 7 százalékát nem haladhatja meg a bírság összege, illetve a kettő közül mindig az alacsonyabbat kell alkalmazni.
Nagy kockázatú MI-rendszerek: mit kell tudni a megfeleléshez?
Az AI Act külön szabályokat, komoly dokumentálási és compliance kötelezettségeket vezet be a nagy kockázatú MI-rendszerekre. Ezek azok, amelyeknek a potenciális hatása jelentős lehet az egészségre, a biztonságra és az emberek alapvető jogaira. A rendelet két külön mellékletben sorolja fel ezeket. Az egyik csoportba azok az MI-megoldások tartoznak, amelyek az I. melléklet szerinti uniós jogszabályok hatálya alá tartozó termékek biztonsági alkotórészei, amennyiben az adott árucikket a forgalomba hozatal érdekében harmadik fél által végzett megfelelőségértékelésnek kell alávetni. Ez tehát egyes termékek, mint például orvostechnikai eszközök, motoros vízi sporteszközök biztonsági célú MI-komponenseit foglalja magában.
Könnyebben megfogható a nagy kockázatú MI-rendszerek másik csoportja, amely a rendelet III. számú mellékletében meghatározott területeken alkalmazott megoldásokat foglalja magában. Idetartoznak egyes biometrikus, a kritikus infrastruktúra kezelésére igénybe vett, az oktatásban és a szakképzésben használt, a foglalkoztatási és munkahelyi menedzsment-, valamint a jogérvényesítéssel és a demokratikus folyamatokkal kapcsolatos rendszerek. Tehát például egy cégnél alkalmazott MI-technológián alapuló recruitment rendszerek mindenképp ilyennek minősülnek.
A nagy kockázatú mesterségesintelligencia-megoldások esetében az AI Act az ezen rendszerek szolgáltatói és alkalmazói számára széles körű kötelezettségeket határoz meg.
A szolgáltatóknak biztosítaniuk kell, hogy azok megfeleljenek az előírt szabályoknak. Ez magában foglalja az azonosítási információk feltüntetését az MI-rendszeren, a csomagoláson és a kísérő dokumentációban. Ezenfelül egy átfogó minőségirányítási szisztémát kell bevezetniük, amely tartalmazza a szabályozási megfelelőségi stratégiákat, az adatkezelést, a kockázatkezelést és az utókövetést. Fontos, hogy a szolgáltatóknak legyen részletes műszaki dokumentációja, amely bemutatja, hogy a rendszer megfelel az AI Act követelményeinek, és elérhető legyen a hatóságok, valamint a kijelölt szervek számára.
Mit jelent a magas kockázatú MI?
A magas kockázatú MI-szisztémákat automatikus naplózási funkcióval kell ellátni, hogy a rendszer életciklusa során fellépő eseményeket nyomon lehessen követni. A piacra lépés előtt meg kell felelniük a megfelelőségértékelési eljárásnak, amely után a CE-jelölést is fel kell helyezni a termékre. Emellett a szolgáltatók kötelesek betartani a regisztrációs kötelezettségeket, beleértve a rendszerek nyilvántartásba vételét az EU adatbázisában, ha ezt a jogszabály előírja.
Fontos, hogy nemcsak az MI-megoldások szolgáltatóit, hanem azok alkalmazóit is terhelik kötelezettségek, vagyis akik a rendszereket nem személyes, hanem szakmai célokra használják. Kötelességük biztosítani e szisztémák helyes használatát, a megfelelő személyzet kijelölését és képzését. Az alkalmazóknak gondoskodniuk kell arról is, hogy a rendszerbe táplált adatok relevánsak és megfelelők legyenek, valamint folyamatosan figyelniük szükséges kell a szisztéma megfelelőségét.
Gyakorlati tippek – Hogyan kezdjünk neki a megfelelés biztosításának
Ennek érdekében a vállalkozásoknak egy olyan, átfogó megközelítést kell alkalmazniuk, amely magában foglalja az MI-rendszerek felmérését, azonosítását, módosítását és folyamatos monitorozását. Az alábbiakban bemutatjuk az első lépéseket, amelyek segíthetnek a szervezeteknek a szabályozásnak való megfelelésben.
Első lépésben a megfelelés érdekében az MI–megoldások átfogó leltárának az elkészítése javasolt. Ez magában foglalja az összes jelenleg használt MI-rendszer azonosítását a vállalkozásban. Fontos, hogy ezeket kategorizálják a céljuk, a funkcionalitásuk és az általuk feldolgozott adatok alapján, illetve fontos annak megállapítása, hogy az adott szisztéma tekintetében szolgáltatónak vagy alkalmazónak minősülünk-e.
A következő lépés annak megállapítása, hogy ezen rendszerek beleesnek-e a tiltott MI-gyakorlatok által érintett területekbe. Ennek során különös figyelmet kell fordítani azokra a megoldásokra, amelyek ügyfélkapcsolatokra, marketingre, döntéshozatalra vagy érzékeny adatok feldolgozására szolgálnak. Amennyiben bármilyen MI-rendszer a tiltott kategóriába esik, vagy potenciálisan nem felel meg az előírásoknak, tervet kell készíteni azok használatának megszüntetésére vagy módosítására.
Harmadik lépésként pedig érdemes megfelelő szabályzatokat és eljárást kidolgozni arra, hogy az adott cég miként tud folyamatosan megfelelni a rendelet támasztotta követelményeknek. Negyedik lépésként említendő az alkalmazottak, különösen az MI fejlesztésében és telepítésében részt vevők oktatása. Fontos, hogy a munkatársak tisztában legyenek az új szabályozásokkal és a megfelelőség fontosságával. Specifikus képzéseket kell nyújtani számukra a tiltott MI-gyakorlatok azonosításáról és a kockázatok mérsékléséről.
Végezetül pedig nem lehet eléggé hangsúlyozni az MI-rendszerek rendeletnek megfelelő dokumentálását, részletes nyilvántartások készítését a vállalatnál használt összes MI-megoldásról, értékelésről és megfelelőségi intézkedésről.
Az AI Act követelményeinek való megfelelés nemcsak jogi kötelezettség, hanem a vállalkozás hírnevének záloga is. Kerecsen Éva hangsúlyozza, hogy a megfelelő lépések megtétele, valamint a szakértői támogatás igénybevétele elengedhetetlen a sikeres alkalmazkodáshoz. Ne feledjük, hogy a sikeres vállalkozások nemcsak alkalmazkodnak a szabályozásokhoz, hanem előnyt is kovácsolnak belőlük. Használjuk ki az AI Act nyújtotta lehetőségeket, és biztosítsuk, hogy cégünk ne csak megfeleljen, hanem kiemelkedjen a versenytársai közül.