- 03/01/2023
AI Act – Αλλαγές του Συμβουλίου της Ε.Ε.
Γράφει ο Στέργιος Κωνσταντίνου
Στις 6 Δεκεμβρίου 2022, το Συμβούλιο της ΕΕ (εφεξής το «Συμβούλιο) προχώρησε σε τροποποιήσεις επί του Κανονισμού για την τεχνητή νοημοσύνη (AI Act).
Η γενική προσέγγιση του Συμβουλίου ολοκληρώνει μήνες εσωτερικών διαπραγματεύσεων και προσφέρει σε γενικές γραμμές μια πιο φιλική προς τις επιχειρήσεις προσέγγιση του AI Act σε σχέση με την πρόταση της Ευρωπαϊκής Επιτροπής. Ο ορισμός του συστήματος Τεχνητής Νοημοσύνης και το πεδίο εφαρμογής AI Act περιορίζονται ελαφρώς και προστίθεται ένα συμπληρωματικό κριτήριο στον ορισμό της «υψηλού κινδύνου» ΤΝ, έτσι ώστε να εξαιρούνται τα συστήματα που διαφορετικά θα ήταν υψηλού κινδύνου, αλλά χρησιμοποιούνται μόνο ως αρωγοί της σχετικής λήψης αποφάσεων. Οι υποχρεώσεις των παρόχων συστημάτων ΤΝ υψηλού κινδύνου παραμένουν παρόμοιες, αλλά ορισμένες απαιτήσεις καθίστανται πιο τεχνικά εφικτές και λιγότερο επαχθείς. Ο κατάλογος των απαγορευμένων συστημάτων επεκτείνεται και περιορίζεται σε διάφορους τομείς και οι κυρώσεις τροποποιούνται υπέρ των μικρών και μεσαίων επιχειρήσεων (ΜΜΕ). [1]
Ιστορικό
Η τεχνητή νοημοσύνη και η ρύθμισή της αποτελούν κορυφαία προτεραιότητα για την ΕΕ. Μετά τη δημοσίευση των κατευθυντήριων γραμμών δεοντολογίας για αξιόπιστη τεχνητή νοημοσύνη[2] το 2019, η Ευρωπαϊκή Επιτροπή ξεκίνησε μια τριπλή νομική προσέγγιση για τη ρύθμιση της τεχνητής νοημοσύνης. Μαζί με το AI Act, οι νέοι και αναθεωρημένοι κανόνες περί αστικής ευθύνης[3] και η αναθεωρημένη τομεακή νομοθεσία, όπως ο κανονισμός για τη γενική ασφάλεια των προϊόντων[4] επιδιώκουν να προσφέρουν ένα νομοθετικό πλαίσιο για τη στήριξη της αξιόπιστης τεχνητής νοημοσύνης στην ΕΕ. Ο νόμος για την τεχνητή νοημοσύνη θα λειτουργεί επίσης παράλληλα με άλλους υφιστάμενους και προτεινόμενους κανονισμούς που σχετίζονται με τα δεδομένα, συμπεριλαμβανομένων του Γενικού Κανονισμού Προστασίας Δεδομένων[5], του νόμου για τις ψηφιακές υπηρεσίες[6] του προτεινόμενου νόμου για τα δεδομένα[7] και της προτεινόμενης πράξης για την ανθεκτικότητα στον κυβερνοχώρο[8].
Πρόταση της Επιτροπής
Τον Απρίλιο του 2021, η Ευρωπαϊκή Επιτροπή δημοσίευσε το σχέδιο του AI Act. Το σχέδιο υιοθετεί μια διατομεακή προσέγγιση βάσει κινδύνου που εφαρμόζεται σε όλους τους παρόχους και χρήστες συστημάτων ΤΝ που βρίσκονται στην αγορά της ΕΕ, ανεξάρτητα από τον τόπο εγκατάστασής τους. Οι εφαρμογές τεχνητής νοημοσύνης που θεωρούνται πιο επιβλαβείς θα απαγορευτούν, ενώ ένας καθορισμένος κατάλογος συστημάτων τεχνητής νοημοσύνης «υψηλού κινδύνου» θα πρέπει να συμμορφώνεται με αυστηρές απαιτήσεις. Η πλειονότητα των υποχρεώσεων του σχεδίου βαρύνει τους παρόχους συστημάτων ΤΝ υψηλού κινδύνου. Οι απαιτήσεις διαφάνειας θα ισχύουν για τα συστήματα ΤΝ με περιορισμένους κινδύνους, ενώ εκείνα που διατρέχουν χαμηλό ή ελάχιστο κίνδυνο δεν θα υπόκεινται σε καμία υποχρέωση. Οι εθνικές ρυθμιστικές αρχές θα επιφορτιστούν με την επίβλεψη της συμμόρφωσης με το AI Act, η οποία θα εποπτεύεται από ένα νεοσυσταθέν «συμβούλιο τεχνητής νοημοσύνης της ΕΕ». Οι εταιρείες θα μπορούσαν να αντιμετωπίσουν πρόστιμα έως και 30.000.000 ευρώ ή έξι τοις εκατό συνολικού παγκόσμιου ετήσιου κύκλου εργασιών.
Βασικές αλλαγές που επέφερε το Συμβούλιο
- Το πεδίο εφαρμογής είναι περιορισμένο[9]. Τα συστήματα τεχνητής νοημοσύνης που αναπτύσσονται αποκλειστικά για σκοπούς έρευνας και ανάπτυξης, καθώς και για σκοπούς άμυνας και εθνικής ασφάλειας εξαιρούνται από το πεδίο εφαρμογής. Τα συστήματα τεχνητής νοημοσύνης που χρησιμοποιούνται για καθαρά προσωπικές, μη επαγγελματικές δραστηριότητες θα υπόκεινται μόνο σε ορισμένες απαιτήσεις διαφάνειας.
- Νέος ορισμός του «συστήματος ΤΝ»[10]. Το Συμβούλιο προσφέρει έναν νέο, ελαφρώς περιορισμένο ορισμό των συστημάτων ΤΝ, ο οποίος απαιτεί το σύστημα να λειτουργεί με «στοιχεία αυτονομίας» που συνάγουν τον τρόπο επίτευξης ενός δεδομένου συνόλου στόχων χρησιμοποιώντας «μηχανική μάθηση ή/και λογικές και προσεγγίσεις που βασίζονται στη γνώση». Η Ευρωπαϊκή Επιτροπή μπορεί να εκδώσει περαιτέρω κανονισμό για τον προσδιορισμό των τεχνικών στοιχείων των «λογικών και βασισμένων στη γνώση προσεγγίσεων»[11].
- Ορισμένες απαγορευμένες πρακτικές τεχνητής νοημοσύνης περιορίζονται, ενώ άλλες διευρύνονται[12]. Τα συστήματα τεχνητής νοημοσύνης που χρησιμοποιούν επιβλαβείς «υποσυνείδητες τεχνικές» χειρισμού ή εκμεταλλεύονται τα τρωτά σημεία ενός καθορισμένου καταλόγου συγκεκριμένων ομάδων εξακολουθούν να απαγορεύονται. Το Συμβούλιο προσθέτει συγκεκριμένες κοινωνικές και οικονομικές ομάδες στον κατάλογο των ευάλωτων ομάδων και επεκτείνει την απαγόρευση της κοινωνικής βαθμολόγησης για να καλύψει τη χρήση από οργανισμούς του ιδιωτικού τομέα. Το Συμβούλιο διευρύνει επίσης τις εξαιρέσεις από την απαγόρευση των συστημάτων αναγνώρισης προσώπου σε πραγματικό χρόνο από τις αρχές επιβολής του νόμου σε δημόσια προσβάσιμους χώρους.
- Εξαίρεση από την ταξινόμηση υψηλού κινδύνου για αμιγώς βοηθητικά συστήματα ΤΝ[13]. Τα συστήματα τεχνητής νοημοσύνης που διαφορετικά θα ήταν υψηλού κινδύνου αλλά είναι καθαρά βοηθητικά σε σχετικές αποφάσεις ή δράσεις θα εξαιρούνται από την ταξινόμηση υψηλού κινδύνου. Εντός ενός έτους από την έναρξη ισχύος του νόμου για την τεχνητή νοημοσύνη, η Ευρωπαϊκή Επιτροπή θα αποσαφηνίσει τις περιστάσεις κατά τις οποίες τα συστήματα τεχνητής νοημοσύνης είναι αμιγώς βοηθητικά.
- Τροποποιημένος κατάλογος κατηγοριών τεχνητής νοημοσύνης υψηλού κινδύνου[14]. Τα συστήματα τεχνητής νοημοσύνης θα ταξινομούνται ως υψηλού κινδύνου εάν σχετίζονται με προϊόντα για τα οποία απαιτείται ήδη αξιολόγηση της συμμόρφωσης τρίτου μέρους βάσει της νομοθεσίας της ΕΕ για την υγεία και την ασφάλεια (π.χ. ιατρικές συσκευές, ραδιοεξοπλισμός και αυτοκίνητα) ή χρησιμοποιούνται για σκοπό που ορίζεται στον νόμο. Το Συμβούλιο βασίζεται στους σκοπούς που προτείνει η Ευρωπαϊκή Επιτροπή, όπως η εξ αποστάσεως βιομετρική ταυτοποίηση, η πρόσληψη, η αξιολόγηση της πιστοληπτικής ικανότητας και προσθέτει συστήματα τεχνητής νοημοσύνης που χρησιμοποιούνται σε κρίσιμες ψηφιακές υποδομές ή που αξιολογούν τους κινδύνους και την τιμολόγηση σε σχέση με τις ασφάλειες ζωής και υγείας. Εν τω μεταξύ, ο εντοπισμός βαθιάς παραποίησης από τις αρχές επιβολής του νόμου, η ανάλυση εγκλημάτων και ο έλεγχος ταυτότητας ταξιδιωτικών εγγράφων έχουν αφαιρεθεί από τον κατάλογο της τεχνητής νοημοσύνης υψηλού κινδύνου.
- Τροποποιήσεις στις υποχρεώσεις διαφάνειας και λογοδοσίας που σχετίζονται με την τεχνητή νοημοσύνη υψηλού κινδύνου. Το Συμβούλιο τελειοποιεί τις διατάξεις για την τήρηση αρχείων[15], τις λεπτομέρειες των πληροφοριών που πρέπει να παρέχονται στους χρήστες τεχνητής νοημοσύνης υψηλού κινδύνου[16], και προσθέτει κάποια ευελιξία για τις ΜΜΕ όσον αφορά την επίδειξη τεχνικής τεκμηρίωσης[17]. Οι απαιτήσεις για τα συστήματα διαχείρισης κινδύνων προσαρμόζονται έτσι ώστε οι εταιρείες να πρέπει να εντοπίζουν κινδύνους για την υγεία, την ασφάλεια και τα θεμελιώδη δικαιώματα των ατόμων, οι οποίοι είναι πιθανότερο να προκύψουν όταν το σύστημα ΤΝ χρησιμοποιείται για τον σκοπό για τον οποίο προορίζεται[18]. Εξαιρούνται οι κίνδυνοι που θα μπορούσαν να προκύψουν από «εύλογα προβλέψιμη κατάχρηση» του συστήματος ΤΝ. Τα συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου που υπόκεινται επίσης σε υποχρεώσεις διαχείρισης της ποιότητας βάσει άλλων ρυθμίσεων της ΕΕ μπορούν να χρησιμοποιούν τμήματα των τρεχόντων προγραμμάτων συμμόρφωσής τους για να συμμορφώνονται με τις απαιτήσεις του νόμου περί τεχνητής νοημοσύνης[19].
- Προσαρμογές στις απαιτήσεις για δεδομένα κατάρτισης και εντοπισμός μεροληψίας. Οι πάροχοι τεχνητής νοημοσύνης υψηλού κινδύνου θα πρέπει να διασφαλίζουν «στον καλύτερο δυνατό βαθμό» ότι τα δεδομένα κατάρτισης των συστημάτων τους είναι πλήρη, συναφή, αντιπροσωπευτικά και χωρίς σφάλματα[20]. Το Συμβούλιο περιορίζει επίσης τις προκαταλήψεις που πρέπει να εξεταστούν σε εκείνες που ενδέχεται να επηρεάσουν την υγεία και την ασφάλεια των ατόμων ή να οδηγήσουν σε διακρίσεις[21]. Οι πάροχοι τεχνητής νοημοσύνης υψηλού κινδύνου πρέπει να εξαλείψουν ή να μειώσουν όσο το δυνατόν περισσότερο τον κίνδυνο μεροληπτικής παραγωγής που επηρεάζει τους βρόχους ανάδρασης[22]..
- Νέο όριο προστίμων για τις μικρές και μεσαίες επιχειρήσεις και διευρυμένο πεδίο εφαρμογής του συμβουλίου της ΕΕ για την τεχνητή νοημοσύνη. Το Συμβούλιο διατηρεί το ανώτατο όριο προστίμου, στο υψηλότερο επίπεδο των 30 εκατομμυρίων ευρώ ή έξι τοις εκατό του παγκόσμιου ετήσιου κύκλου εργασιών, για εταιρείες με περισσότερους από 250 υπαλλήλους και κύκλο εργασιών 50 εκατομμυρίων ευρώ και άνω[23]. Οι περιστάσεις στις οποίες θα μπορούσαν να επιβληθούν μέγιστα πρόστιμα περιορίζονται σε περιπτώσεις μη συμμόρφωσης όσον αφορά απαγορευμένα συστήματα ΤΝ[24]. Για τις ΜΜΕ δημιουργείται χωριστό όριο έως και τριών τοις εκατό ετήσιου παγκόσμιου κύκλου εργασιών[25]. Τα πρόστιμα αυτά θα επιβάλλονται από τις εθνικές ρυθμιστικές αρχές, με ένα νέο συμβούλιο τεχνητής νοημοσύνης της ΕΕ που θα διασφαλίζει τη συνέπεια και τον συντονισμό της επιβολής. Οι δραστηριότητες και οι εξουσίες του νέου συμβουλίου τεχνητής νοημοσύνης της ΕΕ κλιμακώνονται ώστε να περιλαμβάνουν τη δημιουργία ομάδων εμπειρογνωμόνων σε σχετικούς τομείς και την παροχή συμβουλών στην Ευρωπαϊκή Επιτροπή σχετικά με τις διεθνείς πτυχές της ρύθμισης της τεχνητής νοημοσύνης. [26]
Επόμενο βήμα
Το Κοινοβούλιο πρέπει τώρα να οριστικοποιήσει τις τροπολογίες του στο σχέδιο του AI Act πριν από την έναρξη της επόμενης φάσης της νομοθετικής διαδικασίας, των διοργανικών διαπραγματεύσεων (οι λεγόμενοι «τριμερείς διάλογοι»). Περισσότερες από 3.000 τροπολογίες συζητούνται επί του παρόντος από τα μέλη του Κοινοβουλίου. Αναμένεται να ψηφίσουν επί των τροπολογιών το πρώτο εξάμηνο του 2023 και οι τριμερείς διάλογοι θα μπορούσαν να ξεκινήσουν λίγο αργότερα. Είναι πιθανό ο Κανονισμός να τεθεί σε ισχύ έως το τέλος του 2023, πριν από τις επόμενες Ευρωεκλογές του 2024. Μόλις το κείμενο έχει τυπική ισχύ, οι εταιρείες πιθανότατα θα έχουν δύο έως τρία χρόνια για να συμμορφωθούν[27].
Παράλληλα, οι εξελίξεις με AI εφαρμογές γίνονται όλο πιο προσιτές και γνωστές στο κοινό. Συγκεκριμένα, το ChatGPT chatbot και το Dall.e 2 του Open AI δημοσιεύθηκαν πρόσφατα[28] και έχουν ήδη προσελκύσει εκατομμύρια χρήστες. Καθώς οι δυνατότητες και οι προκλήσεις που συνδέονται με την τεχνητή νοημοσύνη έρχονται στο προσκήνιο του δημόσιου διαλόγου, θα είναι ενδιαφέρον να δούμε πώς οι πρόσφατες εξελίξεις διαμορφώνουν τις διαπραγματεύσεις στο Κοινοβούλιο και τους τριμερείς διαλόγους.
Για τη «ΝΙΚΟΛΑΣ ΚΑΝΕΛΛΟΠΟΥΛΟΣ – ΧΑΡΑ ΖΕΡΒΑ & ΣΥΝΕΡΓΑΤΕΣ
ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ» – NKLaw Firm
Υπεύθυνη Προστασίας Δεδομένων Ε.Ε.Α.
Στέργιος Κωνσταντίνου
Senior Associate, Advanced LLM (IP & ICT Law)
CIPP/E, CIPM, FIP
[1] Οι εταιρείες με ετήσιο κύκλο εργασιών κάτω των 50 εκατομμυρίων ευρώ και με λιγότερους από 250 υπαλλήλους θα κατατάσσονται ως ΜΜΕ
[2] https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai
[3] Πρόταση ΟΔΗΓΙΑΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ σχετικά με την ευθύνη λόγω ελαττωματικών προϊόντων, https://single-market-economy.ec.europa.eu/system/files/2022-09/COM_2022_495_1_EN_ACT_part1_v6.pdf.
Πρόταση ΟΔΗΓΙΑΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ σχετικά με την προσαρμογή των κανόνων περί εξωσυμβατικής αστικής ευθύνης στην τεχνητή νοημοσύνη (οδηγία για την ευθύνη λόγω τεχνητής νοημοσύνης), https://commission.europa.eu/system/files/2022-09/1_1_197605_prop_dir_ai_en.pdf.
[4] 1025/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και για την κατάργηση της οδηγίας 87/357/ΕΟΚ του Συμβουλίου και της οδηγίας 2001/95/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, https://www.europarl.europa.eu/RegData/docs_autres_institutions/commission_europeenne/com/2021/0346/COM_COM(2021)0346_EN.pdf.
[5] Ο ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
[6] ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2022/2065 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ, της 19ης Οκτωβρίου 2022, σχετικά με την ενιαία αγορά ψηφιακών υπηρεσιών και την τροποποίηση της οδηγίας 2000/31/ΕΚ (πράξη για τις ψηφιακές υπηρεσίες), found at https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2065&from=EN
[7] Πρόταση ΚΑΝΟΝΙΣΜΟΥ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ σχετικά με εναρμονισμένους κανόνες για τη δίκαιη πρόσβαση στα δεδομένα και τη χρήση τους (πράξη για τα δεδομένα), η οποία βρίσκεται στη διεύθυνση https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52022PC0068&from=EN
[8] Πρόταση ΚΑΝΟΝΙΣΜΟΥ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ σχετικά με οριζόντιες απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία και για την τροποποίηση του κανονισμού (ΕΕ) 2019/1020, η οποία βρίσκεται στη διεύθυνση https://eur-lex.europa.eu/resource.html?uri=cellar:864f472b-34e9-11ed-9c68-01aa75ed71a1.0023.02/DOC_1&format=PDF
[9] Άρθρο 2 Γενική προσέγγιση του Συμβουλίου
[10] Άρθρο 3 παράγραφος 1 Γενική προσέγγιση του Συμβουλίου
[11] Άρθρο 4 Γενική προσέγγιση του Συμβουλίου
[12] Άρθρο 5 Γενική προσέγγιση του Συμβουλίου
[13] Άρθρο 6 Γενική προσέγγιση του Συμβουλίου
[14] Παράρτημα III Γενική προσέγγιση του Συμβουλίου
[15] Άρθρο 12 Γενική προσέγγιση του Συμβουλίου
[16] Άρθρο 13 Γενική προσέγγιση του Συμβουλίου
[17] Άρθρο 11 Γενική προσέγγιση του Συμβουλίου
[18] Άρθρο 9 Γενική προσέγγιση του Συμβουλίου
[19] Άρθρο 17 Γενική προσέγγιση του Συμβουλίου
[20] Άρθρο 10 παράγραφος 3 Γενική προσέγγιση του Συμβουλίου
[21] Άρθρο 10 παράγραφος 2 Γενική προσέγγιση του Συμβουλίου
[22] Άρθρο 15 Γενική προσέγγιση του Συμβουλίου
[23] Άρθρο 71 παράγραφος 3 Γενική προσέγγιση του Συμβουλίου
[24] Άρθρο 71 παράγραφος 3 Γενική προσέγγιση του Συμβουλίου
[25] Άρθρο 71 παράγραφος 3 Γενική προσέγγιση του Συμβουλίου
[26] Άρθρα 56 και 58 Γενική προσέγγιση του Συμβουλίου
[27] Άρθρο 85 Η γενική προσέγγιση του Συμβουλίου επιτρέπει 36 μήνες μεταξύ της έναρξης ισχύος και της εφαρμογής, ενώ το άρθρο 85 της πρότασης της Επιτροπής επιτρέπει 24 μήνες
[28] «Αυτό το chatbot AI κυριαρχεί στα μέσα κοινωνικής δικτύωσης με τα τρομακτικά καλά δοκίμιά του» (CNN, 2022-12-05), που βρέθηκαν στο https://edition.cnn.com/2022/12/05/tech/chatgpt-trnd/index.html