Unijne prawo AI: Między innowacją a regulacją

Unia Europejska, z jej 27 państwami członkowskimi i 450 milionami obywateli, z dumą ogłosiła przyjęcie Aktu o sztucznej inteligencji (AI Act) – normy określanej przez Komisję Europejską jako „pierwsze na świecie kompleksowe prawo dotyczące AI”. Po latach prac legislacyjnych, to przełomowe rozporządzenie staje się rzeczywistością, wykraczającą poza granice kontynentu. AI Act obejmuje bowiem nie tylko firmy europejskie, ale także zagraniczne podmioty dostarczające lub wykorzystujące systemy AI na terenie UE. Przykładowo, regulacje dotkną zarówno deweloperów narzędzi do selekcji CV, jak i banków używających takich rozwiązań.

Kluczowym celem AI Act jest stworzenie spójnych ram prawnych, które umożliwią swobodny przepływ dóbr i usług opartych na AI w obrębie Unii, eliminując jednocześnie rozbieżności regionalne. Ma to promować równe warunki konkurencji i budować zaufanie do technologii, co z kolei otwiera drogę dla innowacyjnych start-upów. Niemniej jednak, ramy te, mimo wczesnego etapu powszechnego wdrażania AI w wielu sektorach, stawiają wysokie wymagania co do tego, co sztuczna inteligencja może, a czego nie może wnosić w szerszym kontekście społecznym.

Ambivalentne cele unijnego aktu o AI

Włodarze Unii europejskiej deklarują, że głównym celem AI Act jest „promowanie wdrażania sztucznej inteligencji skoncentrowanej na człowieku i godnej zaufania, przy jednoczesnym zapewnieniu wysokiego poziomu ochrony zdrowia, bezpieczeństwa, praw podstawowych zapisanych w Karcie Praw Podstawowych Unii Europejskiej, w tym demokracji, praworządności i ochrony środowiska, w celu ochrony przed szkodliwymi skutkami systemów AI w Unii oraz wspierania innowacji”. Prawdziwą definicję „zaufania” i „koncentracji na człowieku” w kontekście AI wykaże dopiero praktyka. Wyzwaniem będzie utrzymanie delikatnej równowagi między celami, takimi jak zapobieganie szkodom a wspieranie innowacji, czy też rozwój AI a ochrona środowiska.

Aby zbalansować potencjalne korzyści AI z ryzykiem szkodliwego wpływu, AI Act przyjmuje podejście oparte na ryzyku. Ustawa zakazuje kilku przypadków użycia o „niedopuszczalnym ryzyku”, klasyfikuje wiele zastosowań jako „wysokie ryzyko” wymagające ścisłych regulacji, a dla scenariuszy o „ograniczonym ryzyku” przewiduje lżejsze obowiązki.

Harmonogram wdrożenia i konsekwencje

Wdrożenie AI Act rozpoczęło się 1 sierpnia 2024 roku, jednak pełne wejście w życie rozłożone jest na etapy. Nowe podmioty na rynku muszą dostosować się szybciej niż firmy już oferujące produkty i usługi AI. Pierwszy termin minął 2 lutego 2025 roku, koncentrując się na zakazach dotyczących niewielkiej liczby zabronionych zastosowań AI, takich jak nieukierunkowane skanowanie internetu czy monitoringu wizyjnego w celu budowania baz danych obrazów twarzy. Większość przepisów ma zacząć obowiązywać do połowy 2026 roku.

Od 2 sierpnia 2025 roku AI Act zacznie stosować się do „modeli AI ogólnego przeznaczenia (GPAI) z ryzykiem systemowym”. Modele GPAI, szkolone na ogromnych zbiorach danych i zdolne do szerokiego zakresu zadań, niosą ze sobą ryzyko systemowe. Przykładami są obniżenie barier dla rozwoju broni chemicznej lub biologicznej, czy też nieprzewidziane problemy z kontrolą autonomicznych modeli GPAI. Komisja Europejska opublikowała wytyczne dla dostawców tych modeli, obejmujące zarówno firmy europejskie, jak i globalnych graczy, takich jak Anthropic, Google, Meta czy OpenAI. Istniejący już na rynku dostawcy mają jednak czas do 2 sierpnia 2027 roku na pełne dostosowanie, w przeciwieństwie do nowych podmiotów.

Regulacje z „zębem”

AI Act przewiduje kary, które, jak zamierzają prawodawcy, mają być „skuteczne, proporcjonalne i odstraszające”, także dla największych globalnych graczy. Szczegółowe zasady ustalą państwa członkowskie, ale ogólny duch regulacji jest jasny: kary będą zależeć od poziomu ryzyka i przewidziano progi dla każdego z nich. Naruszenie zakazanych zastosowań AI grozi najwyższą karą do 35 milionów euro lub 7% całkowitego rocznego obrotu za poprzedni rok finansowy (w zależności od tego, która kwota jest wyższa). Komisja Europejska może również nałożyć grzywny do 15 milionów euro lub 3% rocznego obrotu na dostawców modeli GPAI.

„Dobrowolny” kodeks praktyk GPAI, obejmujący zobowiązania takie jak nietrenowanie modeli na pirackich treściach, jest wskaźnikiem skłonności firm do współpracy. W lipcu 2025 roku Meta ogłosiła, że nie podpisze tego kodeksu, w przeciwieństwie do Google, które pomimo pewnych zastrzeżeń, zdecydowało się go akceptować. Wśród sygnatariuszy są już Aleph Alpha, Amazon, Anthropic, Cohere, Google, IBM, Microsoft, Mistral AI i OpenAI. Jednak samo przystąpienie do kodeksu nie oznacza pełnego poparcia dla wszystkich zapisów, co pokazał przykład Google.

Przedstawiciele Google, pomimo podpisania kodeksu, wyrażali obawy, że AI Act i towarzyszący mu kodeks „ryzykują spowolnieniem rozwoju i wdrażania AI w Europie”. Meta była bardziej kategoryczna, a Joel Kaplan, dyrektor ds. globalnych w firmie, stwierdził wręcz, że „Europa zmierza w złym kierunku w kwestii AI”, nazywając implementację aktu „nadmierną ingerencją” i dodając, że kodeks wprowadza „niepewność prawną dla deweloperów modeli, a także środki, które daleko wykraczają poza zakres AI Act”. Również europejskie firmy wyrażały swoje obawy. Arthur Mensch, CEO francuskiej firmy Mistral AI, był wśród europejskich CEO, którzy podpisali list otwarty, wzywający Brukselę do „zatrzymania zegara” na dwa lata przed wejściem w życie kluczowych obowiązków AI Act.

Pomimo lobbingu na rzecz wstrzymania harmonogramu, Unia Europejska niezmiennie trzyma się przyjętych terminów. Termin 2 sierpnia 2025 roku został dotrzymany, co świadczy o determinacji UE w implementacji tego przełomowego aktu prawnego.