Rozporządzenie to konstruuje pierwsze w historii ramy prawne dotyczące sztucznej inteligencji w Europie i na świecie. Ma zagwarantować bezpieczeństwo i prawa podstawowe obywateli i przedsiębiorstw w tym zakresie. Dokument ma na celu m.in. wprowadzenie zakazu praktyk sztucznej inteligencji, które stwarzają niedopuszczalne ryzyko; listy aplikacji wysokiego ryzyka, obowiązków podmiotów wdrażających i dostawców aplikacji AI wysokiego ryzyka, przepisów sankcjonujących i egzekwujących po wprowadzeniu danego systemu sztucznej inteligencji na rynek oraz struktur zarządzania na poziomie europejskim i krajowym.
Jednym z ważniejszych rozwiązań wprowadzonych w tym dokumencie jest stworzenie czterech kategorii poziomów ryzyka w sztucznej inteligencji:
- niedopuszczalnego (nieakceptowalnego) – np. systemy scoringu społecznego (oceny osób obywatelskich), manipulacyjna sztuczna inteligencja, automatyczna identyfikacja biometryczna;
- wysokiego, np. systemy związane z ochroną zdrowia, ale także bezpieczeństwem, aspektami prawnymi czy ochroną środowiska naturalnego;
- ograniczonego np. chatboty i deepfakes;
- minimalnego (braku) ryzyka np. gry wideo wykorzystujące sztuczną inteligencję , filtry spamu.
Większość obowiązków wynikających z AI Act spoczywa na dostawcach (producentach lub programistach) systemów AI wysokiego ryzyka.
Regulacje dla „wdrażających” systemy wykorzystujące AI są mniej restrykcyjne i polegają w większości na zapewnieniu gwarancji, że dane systemy AI będą stosowane zgodnie z ich przeznaczeniem.
Ponadto, na twórcach i dostawcach systemów AI wysokiego ryzyka spoczywa obowiązek wprowadzenia nadzoru człowieka nad urządzeniem (tj. tak aby osoba fizyczna mogła zrozumieć ograniczenia urządzenia i zinterpretować dane wyjściowe).
W praktyce wiele produktów oraz procesów, wykorzystujące Sztuczną Inteligencję, komercjalizowanych np. przez spółki z sektora bio-medycznego, transportu, edukacji, finansowego, kredytowego, zajmującego się kwestiami migracyjnymi, etc. zostanie zaliczonych do kategorii generującej wysokie ryzyko. Wyjątek stanowią tutaj systemy wykorzystywane wyłącznie na potrzeby badań naukowych i prac B+R.
W artykułach od 8 do 29 AI Act scharakteryzowane zostały wymogi dotyczące dostarczania, wdrażania i stosowania systemów wysokiego ryzyka:
- wprowadzenie i stosowanie systemu zarządzania ryzykiem w całym cyklu życia produktu wykorzystującego AI;
- zarządzanie danymi w taki sposób aby zapewnić, że zbiory danych szkoleniowych, walidacyjnych i testowych są odpowiednie, wystarczająco reprezentatywne oraz, w miarę możliwości, wolne od błędów i kompletne zgodnie z zamierzonym celem;
- sporządzenie dokumentacji technicznej w celu wykazania zgodności (compliance) i umożliwienia oceny tej zgodności, co jest szczególnie istotne dla firm z sektora biomedycznego;
- przygotowanie szczegółowych instrukcji obsługi dla podmiotów wdrażających produkty wykorzystujące AI;
- kwestie cyberbezpieczeństwa;
- wprowadzenie systemu zarządzania jakością.
- rejestrowanie działań w celu zapewnienia identyfikowalności wyników;
- szczegółowa dokumentacja zawierająca wszystkie niezbędne informacje na temat systemu i jego przeznaczenia, aby organy mogły ocenić jego zgodność.
W praktyce proces zgłaszania systemu wysokiego ryzyka przez dostawców wygląda następująco:
- Ocena zgodności systemu wysokiego ryzyka – spełnienie wymagań AI. W przypadku niektórych systemów konieczne jest także zaangażowanie w ten proces jednostki notyfikowanej.
- Rejestracja systemów samodzielnych w bazie UE. Należy podpisać deklarację zgodności, a system AI powinien posiadać oznakowanie CE.
- System może zostać wprowadzony na rynek.
W ramach tworzenia AI Act uwzględniono zarówno systemy sztucznej inteligencji zajmujące się określonymi zadaniami, jak i tzw. generatywną sztuczną inteligencję, obejmującą różnorodne modele językowe (np. ChatGPT, Gemini) oraz generatory grafiki.
Rozporządzenie wejdzie w życie dwadzieścia dni po publikacji w Dzienniku Urzędowym, a w pełni obowiązywać będzie za dwa lata. Niemniej jednak istnieją pewne wyjątki w tym zakresie, zwłaszcza w odniesieniu do przepisów dotyczących systemów wysokiego ryzyka, które wejdą w życie dopiero po 36 miesiącach od ogłoszenia. To oznacza, że państwa członkowskie powinny jak najszybciej przystąpić do działań mających na celu wdrożenie tych przepisów.