Wprowadzenie do aktu UE w sprawie sztucznej inteligencji

Aktualizacja z dnia 11 lipca 2025 r.: Po opublikowaniu ukończonego tekstu Kodeksu postępowania dotyczącego AI ogólnego przeznaczenia przedstawiamy przegląd naszego podejścia do wejścia w życie przepisów dotyczących modeli AI ogólnego przeznaczenia, które nastąpi 2 sierpnia 2025 r. 

W zeszłym roku opublikowaliśmy niniejsze wprowadzenie do aktu UE w sprawie sztucznej inteligencji zawierające wstępną analizę sposobu, w jaki przygotowujemy się do zapewnienia zgodności z nowymi wymogami prawnymi. 

Od tego czasu aktywnie uczestniczymy we wdrażaniu tego aktu, biorąc udział w opracowywaniu Kodeksu postępowania dotyczącego AI ogólnego przeznaczenia, który stanowi ramy dla dostawców AI w zakresie zgodności z aktem UE w sprawie sztucznej inteligencji. Po wielu miesiącach wspólnych prac ekspertów, społeczeństwa obywatelskiego i przedstawicieli branży opublikowano ostateczną wersję Kodeksu. Dzisiaj ogłaszamy naszą decyzję o podpisaniu Kodeksu postępowania i stosowaniu go w celu wykazania przestrzegania przez nas obowiązków wynikającym z aktu UE w sprawie sztucznej inteligencji. 

Podpisując Kodeks, podejmujemy konkretny krok w ramach naszego szerszego planu zapewnienia zgodności z aktem UE w sprawie sztucznej inteligencji. Odzwierciedla to nasze zaangażowanie w zapewnienie ciągłości, niezawodności i zaufania w miarę wchodzenia w życie przepisów, przy jednoczesnym kontynuowaniu współpracy z europejskimi firmami i obywatelami, zapewniając im coraz bardziej zaawansowane, bezpieczne i niezawodne modele AI, które pozwolą czerpać korzyści z rewolucji AI.

Podpisanie Kodeksu stanowi potwierdzenie wielu czołowych w branży środków bezpieczeństwa i transparentności, które w ciągu ostatnich kilku lat wdrażaliśmy jako pionierzy. Byliśmy jedną z pierwszych firm, które opublikowały kompleksowy protokół bezpieczeństwa i zabezpieczeń – Ramy gotowości (2023) z naszym podejściem do bezpiecznego wdrażania pionierskich modeli AI. 

Zgodnie z naszym zobowiązaniem do ciągłego monitorowania wewnętrznych ram odpowiedzialności i nadzoru opublikowaliśmy⁠ zaktualizowaną wersję Ram gotowości w kwietniu 2025 r. 

W miarę rozwoju i wdrażania coraz bardziej zaawansowanych technologii aktywnie obserwujemy, czy nie pojawiają się nowe czynniki ryzyka i zagrożenia dotyczące bezpieczeństwa, oraz podejmujemy działania mające na celu ich ograniczenie, aby nasze modele były niezawodne i bezpieczne. Nieustannie udoskonalamy i ulepszamy te procesy. 

• Od dawna publikujemy szczegółowe karty systemu i dokumentację techniczną wraz z naszymi głównymi wydaniami. Zawierają one informacje o zdolnościach naszych modeli, czynnikach ryzyka, które przetestowaliśmy, oraz obszarach, w których wciąż zdobywamy wiedzę. 
• Centrum ocen bezpieczeństwa zapewnia publiczny dostęp do wyników ocen bezpieczeństwa naszych modeli.
• Sieć członków zespołu czerwonego składa się z ekspertów zewnętrznych testujących nasze modele
• Specyfikacja modelu zapewnia wgląd w to, w jaki sposób kształtujemy zachowania modeli, by odzwierciedlały wartości ludzi i normy demokratyczne.

Powyższe działania miały łącznie kluczowe znaczenie dla ustanowienia standardów bezpieczeństwa w branży i opracowania praktycznego Kodeksu postępowania opartego na najlepszych praktykach branżowych. Nieustannie pracujemy nad stworzeniem bezpiecznej i odpowiedzialnej AI. Nadal będziemy stopniowo ulepszać nasze podejście do bezpieczeństwa, by zagwarantować odpowiedzialne korzystanie z naszej technologii z korzyścią dla wszystkich, niezależnie od tego, gdzie się znajdują.

Będziemy ściśle współpracować z Urzędem UE ds. AI, odpowiednimi organami i naszymi klientami w trakcie wdrażania aktu w sprawie sztucznej inteligencji w nadchodzących miesiącach i latach, abyśmy mogli wspólnie zapewnić korzyści płynące z AI społeczeństwu i gospodarce Europy.

Aktualizacja: 25 września 2024 r. podpisaliśmy trzy podstawowe zobowiązania zawarte w Pakcie UE na rzecz sztucznej inteligencji.

1. Przyjęcie strategii zarządzania AI na potrzeby upowszechnienia AI w organizacji i dążenie do zapewnienia zgodności z aktem w sprawie sztucznej inteligencji w przyszłości.
2. Przeprowadzenie w możliwe najszerszym zakresie mapowania systemów AI dostarczanych lub stosowanych w obszarach, które zgodnie z aktem w sprawie sztucznej inteligencji uznano by za obszary wysokiego ryzyka.
3. Promowanie świadomości i umiejętności korzystania z AI wśród pracowników i innych osób mających kontakt z systemami AI w ich imieniu z uwzględnieniem ich wiedzy technicznej, doświadczenia, wykształcenia i szkoleń oraz kontekstu, w jakim systemy AI mają być używane, a także z uwzględnieniem osób lub grup osób, na które wpływa użycie systemów AI.

Uważamy, że koncentracja Paktu na rzecz sztucznej inteligencji na umiejętności korzystania z AI, jej upowszechnianiu i zarządzaniu nią to właściwe podejście gwarantujące, że korzyści z AI zostaną szeroko rozpowszechnione. Ponadto jest to zgodne z naszą misją zapewniania bezpiecznych i najnowocześniejszych technologii, które przynoszą korzyści wszystkim.

Akt UE w sprawie sztucznej inteligencji⁠(otwiera nowe okno) to istotne ramy regulacyjne dotyczące zarządzania rozwojem, wdrażaniem i stosowaniem AI w całej Europie. Kładzie on duży nacisk na bezpieczeństwo w celu upowszechniania godnej zaufania AI w Europie z zachowaniem ochrony zdrowia, bezpieczeństwa i praw podstawowych. Wprowadza nowe wymogi oparte na czynnikach ryzyka dotyczących systemów AI ze szczególnym uwzględnieniem przypadków wysokiego ryzyka i niedopuszczalnych zastosowań, a także specjalne obowiązki dotyczące modeli i systemów AI ogólnego przeznaczenia (General Purpose AI, GPAI). 

Chociaż proces legislacyjny został zakończony, a przepisy wejdą w życie w sierpniu 2024 r., konieczne będą dalsze wytyczne i przepisy dotyczące wdrażania na potrzeby określenia zakresu stosowania przepisów, zwłaszcza w odniesieniu do modeli GPAI, takich jak model OpenAI. 

W OpenAI jesteśmy zaangażowani w zachowanie zgodności z aktem nie tylko dlatego, że jest to obowiązek prawny, ale także dlatego, że jego cel jest zgodny z naszą misją dotyczącą opracowywania i wdrażania bezpiecznej AI z korzyścią dla całej ludzkości. Z dumą udostępniamy modele, które są liderami w branży zarówno pod względem zdolności, jak i bezpieczeństwa. Wierzymy w zrównoważone i naukowe podejście, w ramach którego środki bezpieczeństwa⁠ są włączone w proces rozwoju od samego początku. Nasze zespoły zajmują się szerokim spektrum działań technicznych dotyczących wyzwań związanych z bezpieczeństwem AI, w tym przeprowadzaniem ocen modeli w ramach naszych Ram gotowości⁠ przed wdrożeniem, testowaniem z udziałem wewnętrznych i zewnętrznych członków zespołu czerwonego⁠, monitorowaniem⁠ po wdrożeniu pod kątem nadużyć, programu Bug Bounty⁠ i Cybersecurity Grant⁠, wkładem w standardy autentyczności⁠ i nie tylko. 

Będziemy ściśle współpracować z Urzędem UE ds. AI i innymi właściwymi organami w trakcie wdrażania nowych przepisów w nadchodzących miesiącach. Mamy nadzieję, że zdobyta przez nas wiedza specjalistyczna pomoże w realizacji celów aktu dotyczących wdrażania bezpiecznej i przynoszącej korzyści AI.  

Ten wpis zawiera omówienie niektórych kluczowych zagadnień w akcie w sprawie sztucznej inteligencji ze szczególnym uwzględnieniem przypadków zakazanych zastosowań i zastosowań wysokiego ryzyka.

Akt w sprawie sztucznej inteligencji wejdzie w życie 1 sierpnia 2024 r., 20 dni po opublikowaniu w Dzienniku Urzędowym UE. Chociaż większość postanowień aktu zacznie obowiązywać dopiero po upływie 24 miesięcy od daty wejścia aktu w życie, należy pamiętać o kilku ważnych terminach: 

• Ograniczenia dotyczące zakazanych praktyk zaczną obowiązywać 6 miesięcy po wejściu aktu w życie (luty 2025 r.). 
• Kodeks postępowania, który będzie zawierał wiele szczegółów wdrożenia niezbędnych do zapewnienia zgodności z ustawą, musi zostać sfinalizowany w ciągu 9 miesięcy od wejścia aktu w życie (maj 2025 r.). 
• Większość obowiązków dotyczących AI ogólnego przeznaczenia zacznie obowiązywać 12 miesięcy po wejściu aktu w życie (sierpień 2025 r.). 
• Obowiązki dotyczące większości systemów AI wysokiego ryzyka zaczną obowiązywać 24 miesiące po wejściu aktu w życie (sierpień 2026 r.). 

Istniejące systemy GPAI, które nie zostały poddane istotnym modyfikacjom, oraz niektóre systemy AI wchodzące w skład wielkoskalowych systemów informatycznych wymienionych w załączniku X do aktu w sprawie sztucznej inteligencji będą miały dłuższy termin wdrożenia wynoszący 36 miesięcy (sierpień 2027 r.).

Akt w sprawie sztucznej inteligencji ma przede wszystkim zastosowanie do „systemów AI”, które w akcie zdefiniowano jako „system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne”.  Ta definicja jest w dużej mierze zgodna z definicją „systemów AI” wydaną przez organizację OECD w 2023 r. oraz definicją używaną w rozporządzeniu wykonawczym nr 14110 administracji Bidena dotyczącym bezpiecznego, chronionego i godnego zaufania rozwoju i wykorzystania AI.  

Co ważne, akt w sprawie sztucznej inteligencji rozróżnia dostawców i podmioty stosujące systemy AI. Dostawcy to podmioty, takie jak OpenAI, które opracowują system AI lub model AI ogólnego przeznaczenia. To pojęcie obejmuje również podmioty, które opracowały system AI lub model AI ogólnego przeznaczenia i wprowadziły go na rynek albo udostępniły system AI pod własną nazwą lub własnym znakiem towarowym za opłatą lub nieodpłatnie. 

Podmioty stosujące to klienci lub partnerzy, którzy używają systemów lub modeli we własnych aplikacjach, na przykład integrując model GPT‑4o z konkretnym zastosowaniem. Chociaż większość obowiązków wynikających z aktu w sprawie sztucznej inteligencji spoczywa na dostawcach, a nie na podmiotach stosujących, należy zauważyć, że podmiot stosujący, który integruje model AI z własnym systemem AI, może stać się dostawcą w rozumieniu tego aktu, na przykład używając własnego znaku towarowego w systemie AI lub modyfikując system AI w sposób niezgodny z intencjami dostawcy.

Organizacje spoza UE nadal będą musiały przestrzegać aktu w sprawie sztucznej inteligencji na różnych warunkach, które mogą mieć dość szeroki zakres.  Na przykład akt ma zastosowanie w następujących przypadkach: 

• Dostawca wprowadza system AI lub model GPAI na rynek UE niezależnie od tego, czy firma ma siedzibę w UE, czy w innym kraju. 
• Podmioty stosujące system AI mają siedzibę lub są zlokalizowane w UE. 
• Dostawcy i podmioty stosujące systemy AI mają siedzibę lub są zlokalizowani w państwie trzecim, ale dane wyjściowe generowane przez system AI są wykorzystywane w UE.

Szeroki zakres eksterytorialny aktu w sprawie sztucznej inteligencji oznacza, że firmy spoza Europy będą musiały zachować zgodność z tym aktem, aby świadczyć usługi klientom z UE niezależnie od tego, czy mają siedzibę w UE.

Akt w sprawie sztucznej inteligencji został opracowany przy uwzględnieniu podejścia opartego na analizie ryzyka i zawiera szczegółowe wymogi dotyczące systemów AI wysokiego ryzyka i niedopuszczalnego ryzyka. Akt nakłada na przedsiębiorstwa obowiązek klasyfikacji poziomu ryzyka ich systemów AI w celu ustalenia odpowiednich obowiązków wynikających z przepisów oraz określa różne kategorie lub poziomy systemów AI, z których każdy wiąże się z innymi obowiązkami.

Niektóre praktyki dotyczące AI, które uznaje się za stwarzające niedopuszczalne ryzyko dla praw osób fizycznych, są całkowicie zabronione. Praktyki te obejmują:   

• Stosowanie technik podprogowych, manipulacyjnych lub wprowadzających w błąd w celu zmiany zachowania i utrudnienia podejmowania świadomych decyzji, co wyrządza znaczną szkodę. 
• Wykorzystywanie słabości związanych z wiekiem, niepełnosprawnością lub sytuacją społeczno-ekonomiczną w celu zmiany zachowania, co wyrządza znaczną szkodę. 
• Systemy kategoryzacji biometrycznej, które wnioskują o wrażliwych atrybutach, takich jak rasa, poglądy polityczne, przynależność do związków zawodowych, przekonania religijne lub filozoficzne, życie seksualne lub orientacja seksualna (z ograniczeniami dotyczącymi oznaczania lub filtrowania zestawów danych uzyskanych zgodnie z prawem oraz egzekwowania prawa) 
• Systemy scoringu społecznego, takie jak systemy oceniające lub klasyfikujące osoby fizyczne lub grupy na podstawie zachowań społecznych lub cech osobistych, wyrządzające szkodę tym osobom. 
• Ocena ryzyka popełnienia przestępstwa przez daną osobę wyłącznie na podstawie profilowania lub cech osobowości (z nielicznymi wyjątkami) 
• Tworzenie baz danych służących rozpoznawaniu twarzy poprzez nieukierunkowane pozyskiwanie wizerunków twarzy z internetu lub nagrań z kamer CCTV
• Wyciąganie wniosków na temat emocji w miejscach pracy lub instytucjach edukacyjnych 
• Zdalna identyfikacja biometryczna w czasie rzeczywistym w miejscach publicznych na potrzeby organów ścigania (z pewnymi wyjątkami).

Akt nakłada ścisłe obowiązki na systemy, które uznano za stwarzające poważne zagrożenie dla zdrowia, bezpieczeństwa lub podstawowych praw osób fizycznych i które zaklasyfikowano jako AI wysokiego ryzyka (High-Risk AI, HRAI). Są to między innymi: a) systemy stanowiące elementy związane z bezpieczeństwem produktu podlegającego innym przepisom UE oraz b) szczególne przypadki zastosowania, takie jak systemy służące do określania dostępu do instytucji edukacyjnych, rekrutacji lub selekcji pracowników albo monitorowania wyników pracowników, określania uprawnień do pomocy publicznej, zdolności kredytowej, oceny uprawnień do ubezpieczenia zdrowotnego i ustalania wysokości składek na ubezpieczenie zdrowotne.  

Systemy HRAI muszą spełniać rygorystyczne wymogi regulacyjne, na przykład dotyczące ustanowienia systemu zarządzania ryzykiem w celu ciągłej oceny ryzyka i strategii ograniczających ryzyko w całym cyklu życia systemu HRAI, kompleksowych środków administrowania danymi na potrzeby testowania i oceny ryzyka stronniczości, przygotowania szczegółowej dokumentacji technicznej przed wprowadzeniem systemu na rynek oraz obowiązków w zakresie bieżącego monitorowania. 

Inne systemy AI, które nie stwarzają niedopuszczalnego lub wysokiego ryzyka, podlegają jedynie ograniczonym wymogom, takim jak obowiązek zapewnienia transparentności. Na przykład w akcie określono, że osoby fizyczne powinny być powiadamiane o tym, że wchodzą w interakcję z systemem AI, takim jak chatbot, oraz że sztucznie zmanipulowane obrazy, treści audio lub wideo muszą być wyraźnie oznaczone. Większość systemów AI dostępnych na rynku prawdopodobnie należy do tej kategorii.

Szczególne wymagania mają zastosowanie do dostawców modeli i systemów AI ogólnego przeznaczenia, takich jak OpenAI, dotyczą poniższe wymogi: 

• Opracowanie szczegółowej dokumentacji technicznej modelu i przekazanie jej Urzędowi ds. AI na żądanie.
• Stworzenie dokumentacji dla podmiotów stosujących model GPAI na potrzeby opracowywania własnych systemów AI
• Wdrożenie zasad dotyczących przestrzegania przepisów UE w zakresie praw autorskich
• Udostępnienie podsumowania treści użytych do wytrenowania modelu GPAI 

Ponadto dostawcy modeli GPAI o dużym oddziaływaniu, które uznaje się za stwarzające „ryzyko systemowe” (np. modele trenowane na dużej mocy obliczeniowej, technicznie definiowanej jako 10^25 FLOP), są objęci poniższymi wymogami: 

• Przeprowadzenie ocen modeli w celu zidentyfikowania i ograniczenia czynników ryzyka systemowego oraz ciągła ocena i ograniczanie czynników ryzyka
• Poinformowanie Komisji Europejskiej o modelach spełniających kryteria tej kategorii
• Monitorowanie i zgłaszanie poważnych incydentów 
• Wdrożenie odpowiednich środków cyberbezpieczeństwa w odniesieniu do modelu i jego infrastruktury fizycznej

Dostawcy modeli GPAI będą mogli polegać na kodeksie postępowania w celu potwierdzenia zgodności z wymogami aktu w sprawie sztucznej inteligencji. Kodeksy postępowania prawdopodobnie będą stanowić podstawę dla szczegółowych przepisów dotyczących wdrażania przedstawionych tutaj obowiązków i z niecierpliwością czekamy na współpracę z Urzędem UE ds. AI w trakcie opracowywania tych dokumentów przez najbliższe 9 miesięcy. 

Firma OpenAI zobowiązuje się do zachowania zgodności z aktem UE w sprawie sztucznej inteligencji i będzie ściśle współpracować z nowym Urzędem UE ds. AI w trakcie wdrażania przepisów. W nadchodzących miesiącach będziemy kontynuować prace nad dokumentacją techniczną i innymi wytycznymi dla dostawców i podmiotów stosujących nasze modele GPAI, jednocześnie zwiększając bezpieczeństwo i zabezpieczenia modeli, które wydajemy na rynek europejski i inne rynki.   

Jeśli organizacja próbuje określić sposób zachowania zgodności z aktem w sprawie sztucznej inteligencji, najpierw należy spróbować sklasyfikować wszystkie systemy AI objęte tym aktem. Należy zidentyfikować stosowane systemy GPAI i inne systemy AI, sklasyfikować je i rozważyć obowiązki wynikające z zastosowań. Należy również ustalić, czy pełniona rola to dostawca, czy podmiot stosujący w odniesieniu do systemów AI objętych tym aktem. Związane z tym kwestie mogą być złożone, dlatego w razie pytań należy skonsultować się z doradcą prawnym.