Dióhéjban miről szól az EU AI szabályozása, és mi a jogszabályalkotók elsődleges célja vele?
A Mesterséges Intelligencia Rendelet elsődleges célja az európai belső piac működésének javítása, valamint az emberközpontú és megbízható mesterséges intelligencia elterjedésének előmozdítása. Célja szerint biztosítja az egészség, a biztonság és az EU Alapjogi Chartájában rögzített alapvető jogok - többek között a demokrácia, a jogállamiság és a környezetvédelem - magas szintű védelmét a mesterséges intelligencia rendszerek káros hatásaival szemben az Unióban, és támogatja az innovációt.
A rendelet az MI rendszereket négy kockázati osztályba sorolja: az elfogadhatatlan kockázatot jelentő rendszereket tiltja – ezek közé tartoznak például a tudat alatt ható, manipulatív rendszerek, a személyek sebezhetőségét kihasználó rendszerek és a biometrikus adat alapján kategorizáló rendszerek.
A magas kockázatú rendszereket nem tiltja, de szoros ellenőrzés alá vonja: a kockázatokat értékelniük kell a cégeknek, megfelelőségértékelést kell elvégezni, a tevékenységeket naplózni kell, részletes dokumentációt kell készíteni és megfelelő tájékoztatást kell adni az emberek részére. Ilyen rendszerek például a biometrikus azonosítási rendszerek, a kritikus infrastruktúrákat kiszolgáló rendszerek, oktatási, munkahelyi értékelési rendszerek, valamely egészségügyi szolgáltatás igénybevételét vagy hitelképességet meghatározó rendszerek, stb.
A korlátozott kockázatú MI rendszerek közé például a chatbotok és a deep fake tartalmat előállító rendszerek tartoznak, melyekre vonatkozóan a legfontosabb előírás az átláthatóság követelménye, azaz, hogy az ezen rendszereket használók tudják azt, hogy mesterséges intelligenciával állnak szemben, illetőleg, hogy az adott videót vagy képet nem ember, hanem gép alkotta. A minimum kockázatot jelentő rendszerek (pl. spam szűrők vagy videó játékok) esetén önkéntes etikai kódexnek vethetik alá magukat az MI használói.
A rendelet külön fejezetet szentel az elmúlt évek MI forradalmát hozó általános célú AI modelleknek, mint például a nyelvi modellek, a kép- és videógenerátorok vagy audio-tartalom készítők, mint a ChatGPT, a Copilot vagy a Midjourney.
Ezekre az általános célú rendszerekre jellemző, hogy rendszerszintű kockázatokat jelenthetnek, például balesetet okozhatnak, illetőleg kibertámadások céljaira is felhasználhatók, amellett, hogy a programozásuktól függően akár káros előítéleteket is terjeszthetnek.
Hol tart most Európa a szabályozás kidolgozásában, elfogadásában? Várunk-e még valamilyen részletszabályokra, RTS-re, ahogyan azt más uniós szabályozásoknál megszokhattunk?
A rendelet az EU jogalkotói szerint a világ első olyan jogszabálya, amely átfogóan foglalkozik a mesterséges intelligencia kérdéskörével. A Bizottság 2021-ben készítette el az első tervezetét, melyet időközben jelentősen átírtak: például újragondolták a mesterséges intelligencia definícióját, és szabályozásra került az általános célú mesterséges intelligencia, lekövetve az elmúlt évek technikai fejlődését. A rendelet végső szövege még nem került publikálásra, a legfrissebb változat 2024. január végén kelt, azt követően, hogy az Európai Parlament és a Tanács 2023 decemberében politikai egyezségre jutott a szövegtervezet vonatkozásában.
Lesz-e közvetlen hatása az AI Act-nek a hazai vállalkozásokra? Mely cégeknek jelent feladatot, hogy megfeleljen az új szabályoknak? Mik azok a legfontosabb teendők, amiket el kell végezniük a megfelelés érdekében?
A rendelet minden EU tagállamban, így Magyarországon is teljes egészében és közvetlenül alkalmazandó.
A magyar cégekre is vonatkozik, ha az Unióban mesterséges intelligenciával működő rendszereket hoznak forgalomba vagy helyeznek üzembe, vagy általános célú mesterséges intelligencia modelleket forgalomba hozó szolgáltatók. Azokra is vonatkozik, akik az Unióban letelepedett vagy ott található AI-rendszerek telepítői, vagy olyan AI-rendszerek szolgáltatói és telepítői, amelyek székhelye vagy telephelye harmadik országban található, amennyiben a rendszer által előállított kimenetet az Unióban használják fel. Ezen kívül alkalmazandó a mesterséges intelligenciával működő rendszerek importőrei és forgalmazói, továbbá olyan termékgyártók számára is, amelyek AI-rendszert saját termékükkel együtt és saját nevük vagy védjegyük alatt hoznak forgalomba vagy helyeznek üzembe.
A rendelet nem vonatkozik a nemzetbiztonsági, honvédelmi területekre, a tudományos kutatás és fejlesztés területére, a magáncélú használatra, és nem érint fogyasztóvédelmi szabályokat. Azt, hogy az egyes cégeknek milyen teendőik lesznek, azt az általuk használt MI rendszerek kockázatai határozzák meg.
A legfontosabb teendők a cégek által alkalmazott MI rendszerek feltérképezése és kockázatalapú besorolása, az MI céges elveinek meghatározása és a cégen belül a felelős területek, emberek kijelölése.
Fontos lesz átnézni a beszerzési folyamatokat és a szerződéseket, hogy a cégek az ezekkel kapcsolatos, MI által jelentett kockázatokat megfelelően kezeljék. A területre vonatkozó jogszabályok változásainak követése és a felelős munkavállalók folyamatos képzése is elengedhetetlen a rendeletnek való megfelelés érdekében.
Az egyik legjelentősebb újdonság, hogy egyes magas kockázatú rendszereket üzemeltetők, pl. hitelképességvizsgálat vagy élet-vagy egészségbiztosítás szolgáltatók úgynevezett alapjogi hatásvizsgálatot kötelesek lefolytatni annak meghatározására, hogy az adott MI rendszer milyen és mennyi ideig van hatással a magánszemélyek alapvető jogaira, és ezen kockázatok bekövetkezése esetén hogyan lehet a következményeket kezelni.
Melyek a legfontosabb határidők, amiket észben kell tartania a cégeknek?
A rendelet a kihirdetését követő huszadik napon lép hatályba. Általános jelleggel ezt követően két év múlva kell alkalmazni, de bizonyos részei már előbb is alkalmazandóvá válnak: az általános rendelkezések és a tiltott mesterséges intelligenciákra vonatkozó szabályok hat hónap után alkalmazandóak lesznek, míg a hatóságok kijelölése, az EU MI Testületének megalapítása, az általános célú MI-re vonatkozó rendelkezések és a szankciók a hatálybalépést követő egy év múlva lesznek alkalmazandók. Azok a szabályok azonban, amelyek olyan magas kockázatú rendszerekre vonatkoznak, amelyek más szabályok alapján megfelelőségvizsgálatnak vannak alávetve, a hatálybalépést követően pusztán 36 hónap múlva lesznek alkalmazandók.
Tipikusan milyen okból marasztalhatnak el egy céget, és mekkora bírságösszegre számíthat, aki nem felel meg a szabályokban előírtaknak?
A bírságok összege jelentős, legsúlyosabb esetekben a GDPR bírságokénál is magasabb összeg:
az elfogadhatatlan kockázatot jelentő MI rendszerekre vonatkozó szabályok megsértése esetén a bírság összege 35 millió euró vagy az előző évi globális forgalom 7%-a lehet, amelyik magasabb.
Egyéb esetekben a bírság mértéke 15 millió euró vagy 3%, a hatóságoknak téves vagy hiányos adatszolgáltatás esetén pedig 7,5 millió euró vagy 1% lehet a bírság. KKV-k és start-up-ok esetén a fenti bírságok közül mindig az alacsonyabb összeget kell majd alkalmazni.
A bírságok mellett a tagállamok egyéb szankciókat is bevezethetnek. Ilyenek lehetnek például eltiltás az adott tevékenységtől, a szabályok betartására kötelezés illetőleg a nyilvánosságra hozatal is.
Egyes vélemények szerint a szabályozás gátolja az innovációt, rontja Európa nemzetközi versenyképességét a területen, mert túl szigorú. Mit gondol erről?
A jogi szabályozás természeténél fogva mindig egy kicsit a társadalmi-gazdasági folyamatok, változások mögött kullog. Jó esetben igyekszik leképezni ezeket a folyamatokat, de főleg egy olyan rohamosan változó területen, mint a digitalizáció, az új technológiák alkalmazása, a jogalkotás folyamatos lépéshátrányban van. A mesterséges intelligencia, bár már évtizedek óta jelen van az életünkben és napi szinten használjuk is, forradalmi változásokon ment keresztül az elmúlt években. Azzal, hogy immár nemcsak az emberek által használt gépek, eszközök, alkalmazások, hanem az emberek milliárdjai napi szinten közvetlenül is használják a mesterséges intelligenciát, a technológiai fejlődés új korszakba lépett.
Az európai jogalkotók olyan átfogó szabályozásra törekednek, amely ennek ellenére időtálló, ezért például technikai részletek és sok konkrét szabályozás kimaradt a rendeletből. Gondoljunk itt például az MI szerzői jogi aspektusaira, melyek az egyik legproblematikusabb területét jelentik ennek a területnek. Nemcsak a bevitt adatok jogszerű felhasználása, hanem az MI által generált "művek" szellemi tulajdonra vonatkozó kérdései jelentenek jogilag egyelőre megoldatlan helyzetet.
Az EU-t sokszor éri az a vád, hogy a túlszabályozás miatt versenyhátrányban van a globális piac egyéb szereplőivel szemben. Ilyen aggály merült fel a GDPR megalkotásakor és most az AI rendelet elfogadása kapcsán is. A kérdést a rendelet alkalmazása és alkalmazkodóképessége fogja megválaszolni – bizonyos esetekben a rendelet felhatalmazáson alapuló jogi aktusokkal és végrehajtási jogi aktusokkal módosítható, melyek bizonyos fajta rugalmasságot jelentenek. Mindenesetre a jogalkotó szándéka szerint a rendelet javítja majd a belső piac működését és támogatja az innovációt, egyben mintaként is szolgál más jogrendszerek mesterséges intelligencia szabályozása részére.
Címlapkép forrása: Getty Images
