A tanulmány a mesterséges intelligenciáról szóló törvény (AIA) legfontosabb jellemzőit és következményeit tárgyalja az európai termékbiztonsági szabályozás összefüggésében. E tekintetben kiemeli a termékbiztonságra vonatkozó olyan közös jellemzőket, mint a kockázatalapú megközelítés, a megfelelőségértékelés, az incidensek jelentése és a szabványokra vonatkozó vélelmek. Az AIA a nagy kockázatú mesterséges intelligenciára összpontosít, elismerve, hogy a kockázatokat nem tudja teljesen kiküszöbölni.
The text discusses the key features and implications of the Artificial Intelligence Act (AIA) in the context of European product safety regulation. It emphasizes the risk-based approach, compliance assessment, incident reporting, and presumptions about standards as integral parts of the regulation. The focus of the AIA is on high-risk AI, with an emphasis on ensuring safe use through registration requirements and compliance procedures. The AIA aims to ensure that high-risk AI systems comply with security and fundamental rights requirements, acknowledging that it cannot completely eliminate risks.
Termékbiztonság-szabályozás ennyire még nem került az érdeklődés középpontjába, mint az Európai Unió Mesterséges Intelligencia Törvénye, rövidebb elnevezéssel élve AIA, pedig termékbiztonság-szabályozás 1992 óta létezik az EU-ban.[1] Ehhez nyilván szükség volt egy olyan technológiára, mint a mesterséges intelligencia - MI -, és azon belül is a generatív modellekre, amelyek jelentősége az Internet megjelenéséhez mérhető.
Az Európai Bizottság - Bizottság - 2021 áprilisában nyújtotta be rendeletjavaslatát[2] a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról. Ezt megelőzte egy Fehér Könyv.[3] 2023. december 8-án az Európai Parlament és a Tanács politikai megállapodásra jutott az Európai Unió mesterséges intelligenciáról szóló törvényéről.[4] Jelen tanulmány az Európai Parlament által 2024. március 13-án jóváhagyott legutóbbi szövegváltozatra épül.[5] A terjedelmi keretek nem teszik lehetővé a többszáz oldalas jogszabályszöveg részletes ismertetését, ezért a tanulmány a legfontosabb, a szabályozás mozgatórugóját adó koncepcionális tárgyköröket mutatja be.
A jog technológiai fejlődéssel kapcsolatos kettős alapállása az AIA-ban is megjelenik, amely szerint a jog célja, hogy elősegítse az emberközpontú és megbízható mesterséges intelligencia elterjedését, támogatva az innovációt, egyúttal biztosítva az egészség, a biztonság és az alapvető jogok magas szintű védelmét, beleértve a demokráciát, a jogállamiságot és a káros környezeti hatásokat.[6] Ennek jegyében az AIA arányos, az általános adatvédelmi rendelet - GDPR - megalkotása során is alkalmazotthoz hasonló kockázatalapú megközelítést követ.[7] A kockázat a kár bekövetkezésének valószínűsége és a kár súlyossága kombinációja.[8] A kockázat akkor elfogadható, tolerálható, ha a jelen társadalmának értékítélete alapján annak minősül.[9] A biztonság szabályozása tehát nem jelenti a kockázatok teljes kiküszöbölését - ez lehetetlen is lenne -, hanem a kockázatok társadalmilag elfogadható szintre csökkentését; lásd légiközlekedés vagy nukleáris biztonság. A biztonság az olyan technológiák esetében, mint az MI, kulcsfontosságú a technológia elterjedéséhez szükséges bizalom kialakítása érdekében. A Bizottság Fehér Könyve számos előnyét azonosítja az MI-nek,[10] de annak érdekében, hogy ezek előálljanak, keretek, mert azok alááshatják a bizalmat.[11] A biztonsági szabályok végrehajtása piacfelügyeleti szabályok alkalmazásával történik,[12] amelyek a nem szabályszerű termékek forgalmazásának leállításával vagy szabályszerűvé tételével biztosítják a fogyasztóvédelmet.[13] A biztonságot és az alapvető jogok védelmét biztosító AIA csökkenteni fogja a kockázatokat, de nem szünteti meg teljes mértékben.[14] A biztonsági előírások ellenére bekövetkezett kár esetére a termékfelelősség szabályai lesznek alkalmazandók.[15] A termékbiztonság és a termékfelelősség ezért kiegészítő mechanizmusok.
Az AIA a kockázatalapú megközelítést alkalmazva az MI-rendszereket a bennük megtestesülő kockázat mérlegelése alapján négy csoportba sorolja. Az első csoportba az elfogadhatatlan kockázattal, a második csoportba a nagy vagy magas kockázattal, a harmadik csoportba a korlátozott kockázattal, míg a negyedik csoportba a minimális kockázattal járó MI-rendszerek tartoznak.[16] Ez utóbbi MI-rendszerek szolgáltatóit - például videójátékokban, spam-szűrőkben alkalmazott MI - ösztönözni kell olyan magatartási kódexek létrehozására, amelyek elősegítik a nagy kockázatú MI-rendszerekre vonatkozó
- 3/4 -
kötelező követelmények önkéntes alkalmazását, mint például környezeti fenntarthatóság, a fogyatékossággal élő személyek számára biztosított akadálymentesség.[17]
Az általános célú MI - GPAI - jelentősége okán egyfajta szektorális kiemelést kapott az AIA-ban, ezért fenti horizontális kockázat alapú megközelítés a GPAI szabályozásában leképeződik, amikor megkülönbözteti az általános és a rendszerkockázattal járó GPAI-kra meghatározott szabályozási elvárásokat. A nagyobb szabályozási teher az igazán tőkeerős GPAI-ra fog vonatkozni (lényegében jelenleg a ChatGPT-re). Ez a kérdés az AIA véglegesítésekor kifejezetten felmerült, amikor Franciaország és Németország azt próbálta elérni, hogy a GPAI-ra legfeljebb kötelező önszabályozás körébe tartozó szabályok vonatkozzanak, hogy ne kösse meg túlságosan az európai start-up-ok kezét.[18]
A csoportosításnak kiemelkedő jelentősége van, ez képezi ugyanis a szabályozás alapját. Az arányosság elvének érvényesülése, elkerülése érdekében az AIA az egyes csoportokhoz eltérő szabályozási rezsimeket rendel.[19] Minél nagyobb kockázatot jelent egy MI-rendszer a személyek testi, lelki egészségére vagy az alapvető jogaikra, annál szigorúbb szabályozás vonatkozik az adott rendszerre.[20]
Az MI-rendszer egy olyan gépi alapú rendszer, amelyet úgy terveztek, hogy különböző szintű autonómiával működjön, és amely a telepítés után alkalmazkodóképességet mutathat, továbbá explicit vagy implicit célok esetén a kapott bemenetből arra következtet, hogy hogyan kell olyan kimeneteket generálni, mint például az előrejelzések, tartalmak, ajánlások vagy döntések, amelyek befolyásolhatják a fizikai vagy virtuális környezetet.[21] Az AIA összhangba hozza az MI-rendszer meghatározását a nemzetközi definíciókkal, nevezetesen az OECD-ével,[22] hangsúlyozva azt a képességet, hogy az egyszerű szabályalapú műveleteken túlmenően is képesek kimenetekre következtetni az adatokból. Az MI-rendszereket az különbözteti meg a hagyományos szoftverektől, hogy képesek tanulni, érvelni vagy modellezni a bemeneti adatokból.
Az AIA nem vonatkozik a katonai, védelmi vagy nemzetbiztonsági célokra használt MI-rendszerekre.[23] Az AIA nem terjed ki az olyan MI-rendszerekre és modellekre, valamint azok eredményeire, amelyeket kifejezetten a tudományos kutatás és fejlesztés előmozdítása érdekében hoztak létre.[24] A mentesség azonban nem vonatkozik a valós körülmények között végzett tesztelésre.[25]
Az AIA mentesíti továbbá a MI-rendszereket személyes, nem szakmai tevékenységre használó természetes személyeket a rendelet kötelezettségei alól.[26] Az ingyenes és nyílt forráskódú licencek alapján kibocsátott MI-rendszerekre annyiban vonatkozik az AIA, amennyiben azokat magas kockázatúnak minősítették[27] vagy ha az MI-rendszert rendszerkockázatú GPAI-ként jelölték meg.[28]
Az AIA 5. cikk tiltja az olyan MI-rendszerek használatát, amelyek:
- tudatalatti vagy manipulatív technikákat alkalmaznak, hogy lényegesen torzítsák egy személy viselkedését, és rontsák a tájékozott döntéshozatali képességét;
- kihasználják az egyének életkoron, fogyatékosságon vagy meghatározott társadalmi vagy gazdasági helyzeten alapuló sebezhetőségét;
- biometrikus kategorizáló rendszerként működnek olyan érzékeny személyes adatokra alapozottan, mint a faj, a politikai vélemények vagy a szexuális irányultság. Ugyanakkor egyértelművé teszi, hogy ez a tilalom nem terjed ki a biometrikus adatok jogszerű megszerzésére és kategorizálására a bűnüldözés területén. Az elsődleges kereskedelmi szolgáltatáshoz képest másodlagos, önállóan nem használható biometrikus kategorizáló rendszerek nem tartoznak az AIA hatálya alá,[29] mint például közösségi hálózati szolgáltatások, amelyek lehetővé teszik a felhasználók számára fényképek vagy videók szűrőkkel történő szerkesztését; ezek a fő szolgáltatáshoz kapcsolódó kiegészítő jellemzőknek minősülnek;
- egyének vagy csoportok társadalmi viselkedésük vagy személyes jellemzőik alapján történő értékelésére vagy osztályozására szolgál. Ez magában foglalja a társadalmi pontszámok használatát, amelyek az egyének vagy csoportok diszkriminatív vagy igazságtalan bánásmódját eredményezhetik olyan társadalmi összefüggésekben, amelyek nem kapcsolódnak az eredetileg gyűjtött adatokhoz;
- "valós idejű" távoli biometrikus azonosítási rendszereknek minősülnek. Használatuk nyilvánosan hozzáférhető helyeken bűnüldözési célból tilos, kivéve emberrablás, emberkereskedelem és a szexuális kizsákmányolás konkrét áldozatainak felkutatására, valamint az eltűnt személyek felkutatására. A technológia az egyének életét vagy testi biztonságát fenyegető konkrét és közvetlen fenyegetés megelőzésére, illetve valódi és előrelátható terrortámadások megelőzésére is használható. Ezenkívül felhasználható a bűncselekményben érintett gyanúsított azonosítására és felkutatására, amennyiben a cselekmény legalább négy év szabadságvesztéssel büntetendő;
- a természetes személyekről kockázatértékelést készítenek annak érdekében, hogy előre jelezzék a bűncselekmény elkövetésének valószínűségét, pusztán a profilalkotás vagy a személyiségjegyeik értékelése alapján. Ez a tilalom azonban nem vonatkozik az olyan MI-rendszerekre, amelyeket arra használnak, hogy alátámasszák egy személy bűncselekményben való részvételének emberi értékelését, amennyiben az objektív és ellenőrizhető tényeken alapul. Nem tilos a nem egyéni profilalkotáson alapuló kockázatelemzés, például a pénzügyi csalás vagy a kábítószer-kereskedelem felderítésére használt kockázatelemzés;
- arcfelismerő adatbázisokat hoznak létre vagy bővítenek, az internetről készült képek vagy CCTV felvételek céltalan felhasználásával;
- 4/5 -
- természetes személyek érzelmeinek - például boldogság, szomorúság, harag - kikövetkeztetése[30] a munkahelyen és az oktatási intézményekben, kivéve egészségügyi vagy biztonsági okokból. Nem tiltott az érzelmek felismerése a bűnüldözés, a migrációs/menekültstátusz értékelése kapcsán.[31] Szintén nem esnek a szabályozás hatálya alá például a hivatásos pilóták vagy járművezetők fáradtságának észlelésére tervezett rendszerek a balesetek megelőzése érdekében. Ezenkívül az AIA egyértelművé teszi, hogy a nyilvánvaló kifejezések és gesztusok puszta észlelése nem tartozik e meghatározás hatálya alá, kivéve, ha azokat érzelmekre való következtetésre használják.
Mesterséges intelligenciára vonatkozó tilalom be nem tartása esetére hozott tagállami intézkedéssel szemben az 5. cikk vonatkozásában másik tagállam piacfelügyeleti hatósága harminc napon belül emelhet kifogást.[32] A Bizottság konzultál az érintett piacfelügyeleti hatósággal és a piaci szereplőkkel a nemzeti intézkedés értékelése érdekében. Ha az intézkedést indokoltnak ítélik, minden tagállamnak megfelelő korlátozó intézkedéseket kell tennie a szóban forgó MI-rendszerrel szemben. Ha az intézkedést indokolatlannak ítélik, a tagállamnak vissza kell vonnia azt.[33]
Az MI-rendszerek nagy kockázatúként való besorolása az MI-rendszer rendeltetésén alapul,[34] összhangban a meglévő termékbiztonsági jogszabályokkal. Ezért a nagy kockázatúként való besorolás nemcsak az MI-rendszer által ellátott funkciótól függ, hanem attól is, hogy a rendszert milyen konkrét célra és módokon használják.[35] Az AIA a nagy kockázatú MI-rendszerek két fő kategóriáját határozza meg:[36]
1) A mesterséges intelligencia olyan termékként vagy egy termék biztonsági összetevőjeként való felhasználásra szánták,
a) amelyre kiterjed az AIA I. Mellékletébe foglalt valamely uniós jogszabály - például a polgári repülés, a járművédelem, a tengeri felszerelések, a játékok, a felvonók - és
b) az I. Mellékletben felsorolt uniós harmonizációs jogszabályok értelmében harmadik fél által végzett megfelelőségértékelésen kell átesnie az adott termék forgalomba hozatala vagy üzembe helyezése céljából.[37]
Ebben az esetben a szolgáltatónak követnie kell a megfelelő megfelelőségértékelést az említett jogi aktusok szerint.[38] Emellett a VII. cím 3. fejezetben meghatározott lenti követelmények vonatkoznak az ilyen magas kockázatú MI-rendszerekre is.[39] A folyamatok egyszerűsítése és a további terhek minimalizálása érdekében a szolgáltatók dönthetnek úgy, hogy a termékeikhez szükséges tesztelést, jelentéstételt és dokumentációt beépítik az uniós harmonizációs jogszabályok által előírt meglévő eljárásokba.[40] Amennyiben erre a beépítésre - integrációra - sor kerül, akkor az AIA szabályozói homokozóra vonatkozó szabályai alkalmazhatók.[41]
2) A III. Mellékletben felsorolt önálló MI-rendszerek, amelyek az egészségre, biztonságra, környezetre vagy alapvető jogokra nézve jelentős veszélyt jelentenek.[42] Az alábbiakban erről lesz szó részleteiben.
Az önálló MI-rendszerek az AIA III. mellékletének felsorolása alapján az alábbiak:
- természetes személyek távoli biometrikus azonosítására vagy biometrikus kategorizálását szolgáló MI-rendszerek technikai pontatlansága torzított eredményekhez vezethet, és diszkriminatív hatásokat eredményezhet;[43]
- MI-rendszerek, amelyeket biztonsági összetevőként használnak a kritikus digitális infrastruktúra, a közúti forgalom, valamint a víz-, gáz-, fűtés- és villamosenergia-ellátásban;
- az oktatásban vagy szakképzésben használt MI-rendszerek - különösen is: felvételi, vizsgáztatás -, mert ezek meghatározhatják az adott személy életének oktatási és szakmai pályáját, és ezáltal hatással lehetnek megélhetésük biztosítására való képességükre;
- foglalkoztatás - például felvétel, előléptetés, felmentés, feladatkiosztás, nyomonkövetés;
- az alapvető magánszolgáltatásokhoz - például hitelképesség -, valamint az alapvető közszolgáltatásokhoz és juttatásokhoz való hozzáférés;
- bűnüldözéssel összefüggésben használni kívánt MI-rendszer, amelyek pontossága, megbízhatósága és átláthatósága különösen fontos a kedvezőtlen hatások elkerülése, a közvélemény bizalmának megőrzése érdekében, például büntetőeljárásokban a bizonyítékok megbízhatóságának értékelésére, a tényleges vagy potenciális bűncselekmények elkövetésének vagy megismétlődésének természetes személyek bűnözői profilalkotásán, illetve a személyiségjegyek, tulajdonságok, valamint természetes személyek vagy csoportok múltbeli bűnöző magatartásának értékelésén alapuló előrejelzésére;[44]
- migrációkezelés, a menekültügy és a határigazgatás;
- az igazságszolgáltatásra és a demokratikus folyamatok irányítására szánt egyes MI-rendszerek, figyelembe véve a demokráciára, a jogállamiságra, az egyéni szabadságokra, valamint a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogra gyakorolt potenciálisan jelentős hatásukat. A minősítés azonban nem terjedhet ki azokra az MI-rendszerekre, amelyeket olyan - tisztán járulékos -adminisztratív tevékenységekre szánnak, melyek az egyedi esetekben nem befolyásolják a tényleges igazságszolgáltatást. Ilyen tevékenységek például a bírósági határozatok, dokumentumok vagy adatok anonimizálása;[45]
- a DSA[46] szerinti online óriásplatformok által használt ajánlórendszer, ha közösségi média használja.[47]
Az AIA által nem tiltott biometrikus azonosítókat és érzelemfelismerő rendszereket tehát magas kockázatúnak kell minősíteni.[48] A nem tiltott érzelemfelismerő rendszer vagy biometrikus kategorizáló rendszer forgalomba hozói kötelesek tájékoztatni a rendszer műkö-
- 5/6 -
déséről az annak kitett természetes személyeket, kivéve amelyeknek jogszabály lehetővé teszi a bűncselekmények felderítését, megelőzését és kivizsgálását, a harmadik felek jogainak és szabadságainak megfelelő biztosítékai mellett, összhangban az uniós joggal.[49]
Az AIA fentiektől eltérve kivételt enged azon MI-rendszerekre - amelyek ennél fogva nem tekinthetők magas kockázatúnak -, ha nem jelentenek jelentős kockázatot a természetes személyek egészségére, biztonságára vagy alapvető jogaira nézve, beleértve azt is, hogy nem befolyásolják lényegesen a döntéshozatal eredményét, ezt derogációnak nevezzük. Ez az eset áll fenn, ha az alábbi kritériumok közül egy vagy több teljesül:[50]
- az MI-rendszer célja a döntéshozatali minták vagy a korábbi döntéshozatali mintáktól való eltérések észlelése - például a tanárok osztályozási következetlenségei -, és
- nem helyettesíti vagy befolyásolja a korábban elvégzett emberi értékelést megfelelő emberi felülvizsgálat nélkül; vagy az MI-rendszer a III. Mellékletben felsorolt használati esetek szempontjából releváns értékelés előkészítő feladatának elvégzésére szolgál.
Ezen kivételek ellenére egy MI-rendszert mindig magas kockázatúnak kell tekinteni, ha az természetes személyek profilalkotását végzi.
Az a szolgáltató,[51] aki úgy ítéli meg, hogy a III. Mellékletben említett MI-rendszer nem jelent magas kockázatot, a rendszer forgalomba hozatala vagy üzembe helyezése előtt dokumentálja értékelését. Az ilyen szolgáltatóra az 49. cikk (1) bekezdésben meghatározott regisztrációs kötelezettség vonatkozik. Ha a piacfelügyeleti hatóság felfedezi, hogy a szolgáltató szándékosan tévesen minősítette az MI-rendszert a követelményeknek való megfelelés elkerülése érdekében, a szolgáltató pénzbírsággal sújtható.[52]
Az AIA a magas kockázatú mesterséges intelligencia kapcsán az MI értéklánc különböző szintjének szereplőire - szolgáltató, üzembe helyező, forgalmazó - eltérő követelményeket állít.
A magas kockázatú mesterséges intelligenciával rendelkező rendszerekkel kapcsolatos forgalmazásban, importálásban, telepítésben vagy egyéb tevékenységekben részt vevő bármely harmadik fél szolgáltatónak minősül, és ugyanolyan kötelezettségek vonatkoznak rá, mint az eredeti szolgáltatóra a 16. cikk szerint, amennyiben:[53] a nevét vagy védjegyét nagy kockázatú MI-rendszerre helyezi, jelentős módosításokat hajt végre egy meglévő, nagy kockázatú mesterséges intelligenciával rendelkező rendszeren, vagy ha egy nem nagy kockázatú mesterséges intelligenciával rendelkező rendszer rendeltetését úgy módosítja, hogy az nagy kockázatúvá váljon. Ilyen esetekben az eredeti szolgáltatót már nem tekintik az adott mesterséges intelligenciával kapcsolatos rendszer szolgáltatójának - kivéve, ha a módosítás a nagy kockázatú minősítést nem érinti -,[54] és köteles szorosan együttműködni az új szolgáltatóval, továbbá a rendelet szerinti kötelezettségek teljesítéséhez szükséges információkat, technikai hozzáférést biztosítani. Ez azonban nem vonatkozik arra az esetre, ha az eredeti szolgáltató kifejezetten kizárta az ilyen változást és a dokumentációs kötelezettséget.
A szolgáltatónak vannak a legátfogóbb feladatai, ezek az alábbiak:
- a magas kockázatú MI-re vonatkozó - III. cím 2. fejezetben foglalt -[55] követelményeknek való megfelelés biztosítása;
- a rendszeren vagy a csomagoláson/dokumentáción fel kell tüntetni a nevet és a címet;
- mikrovállalatok kivételével[56] rendelkeznie kell minőségirányítási rendszerrel - megfelel a 17. cikknek;[57]
- dokumentáció - 18. cikk -[58] és naplók - 20. cikk -[59] vezetése;
- a forgalomba hozatal vagy üzembe helyezés előtt alá kell vetnie magát a magas kockázatú MI-re vonatkozó - III. cím 2. fejezetben foglalt - megfelelő megfelelőségértékelési eljárásnak - 43. cikk;
- elkészíti az EU-megfelelőségi nyilatkozatot - 48. cikk -[60] és elhelyezi a CE-jelölést - 49. cikk;
- megfelel a nyilvántartásba vételi kötelezettségeknek - 51. cikk (1) bekezdés;[61]
- meg kell tennie a szükséges korrekciós intézkedéseket és tájékoztatást kell nyújtania - 21. cikk;[62]
- az illetékes nemzeti hatóság kérésére igazolja a magas kockázatú MI-re vonatkozó, III. cím 2. fejezetben foglalt megfelelőséget - 23. cikk;
- felhatalmazott képviselő kijelölése - 25. cikk.[63]
A szolgáltató feladata a nagy kockázatú MI-re vonatkozó, III. cím 2. fejezetben foglalt követelményeknek való megfelelés biztosítása. Ezeknek a kötelezettségeknek az elmulasztása az MI termékfelelősségi irányelv alapján kárfelelősségi vélelmet keletkeztet. Ennek érdekében a forgalomba hozatal vagy üzembe helyezés előtt alá kell vetnie magát a magas kockázatú MI-re vonatkozó megfelelőségértékelési eljárásnak a 43. cikk szerint. A már megfelelőségértékelési eljáráson átesett nagy kockázatú MI-rendszereknek új megfelelőségértékelési eljáráson kell átesnie, amikor lényegesen módosulnak.[64] Azon nagy kockázatú MI-rendszerek esetében változások, amelyek a forgalomba hozatalt vagy üzembe helyezést követően tovább tanulnak, és amelyeket a szolgáltató a kezdeti megfelelőségértékelés pillanatában előre meghatározott és a műszaki dokumentációban szereplő információk részét képezik, nem minősülnek lényeges módosításnak.[65]
A nem termékekhez kapcsolódó nagy kockázatú MI-rendszerek megfelelőségértékelését főszabályként a szolgáltatónak kell elvégeznie - kivéve a biometrikus és érzelemfelismerő MI-rendszereket - a forgalomba hozatal, üzembe helyezés előtt saját felelősségére.
Azokat a magas kockázatú MI-rendszereket vagy GPAI-modelleket, amelyek megfelelnek a harmonizált, Európai Unió Hivatalos Lapjában közzétett szabványoknak, úgy kell tekinteni, hogy megfelelnek a III. cím 2. fejezetben foglalt nagy kockázatú MI-re vagy GPAI-ra
- 6/7 -
vonatkozó követelményeknek, melyek a kockázatkezelés és tesztelés, adatkormányzás és adatkezelés, technikai dokumentáció, eseményrögzítés, átláthatóság és az üzembe helyezők tájékoztatása, emberi felügyelet, pontosság, robusztusság és kiberbiztonság.[66]
A III. Melléklet 1. pontban felsorolt nagy kockázatú MI-rendszerek - távoli biometrikus azonosító rendszerek, biometrikus kategorizáló rendszerek, érzelemfelismerő rendszerek - esetében, ha a szolgáltató az Európai Unió Hivatalos Lapjában közzétett harmonizált szabványokat alkalmazta a nagy kockázatú MI-rendszer e III. cím 2. fejezetben meghatározott, fentebb már említett követelményeknek való megfelelés alátámasztása érdekében, akkor az ilyen szolgáltatóknak két lehetőségük van: (i) választhatják a belső ellenőrzésen alapuló megfelelőségértékelési, VI. Melléklet szerinti eljárást, vagy (ii) választhatják a minőségirányítási rendszer és a műszaki dokumentáció értékelésén alapuló, VII. Melléklet szerinti eljárást egy bejelentett szervezet bevonásával.[67] Ha azonban a harmonizált szabványok vagy ennek hiányában a Bizottság által meghatározott közös előírások sem léteznek, vagy a szolgáltató csak részben alkalmazta azokat, akkor a VII. Mellékletben meghatározott megfelelőségértékelési eljárást kell követni. Ehhez az eljáráshoz a szolgáltatók bármelyik bejelentett szervezetet választhatják, de azokban az esetekben, amikor az MI-rendszert bűnüldözési, bevándorlási vagy menekültügyi hatóságoknak, illetve uniós intézményeknek, szerveknek vagy ügynökségeknek szánják, a piacfelügyeleti hatóságnak minősülő adatvédelmi hatóság - EU intézményei tekintetében az Európai Adatvédelmi Biztos - jár el bejelentett szervezetként.[68]
A III. Melléklet 2-8. pontjában felsorolt magas kockázatú MI-rendszerek esetében - kritikus infrastruktúrákban biztonsági összetevőként használt mesterséges intelligencia, valamint az oktatásban, foglalkoztatásban, hitelbírálatban, bűnüldözésben, migrációban és az igazságszolgáltatásban, demokratikus folyamatokban használt mesterséges intelligencia - a szolgáltatóknak a VI. Mellékletben említett belső ellenőrzésen alapuló megfelelőségértékelési eljárást kell követniük, amely nem írja elő bejelentett szervezet bevonását.[69]
Kivételes körülmények között a piacfelügyeleti hatóság közbiztonsági okokból, az élet és egészség védelme, környezetvédelem, valamint a kulcsfontosságú ipari és infrastrukturális javak védelme céljából engedélyezheti meghatározott, nagy kockázatot jelentő MI-rendszerek forgalomba hozatalát vagy üzembe helyezését.[70] Ez az engedély ideiglenes, és a szükséges megfelelőségértékelési eljárásokat haladéktalanul el kell végezni. Sürgős esetekben a bűnüldöző vagy polgári védelmi hatóságok ilyen különleges engedély nélkül használhatnak magas kockázatú MI-rendszert, de ezt utólag be kell kérniük, és az engedély elutasítása esetén le kell állítaniuk az MI-rendszer használatát.[71] A piacfelügyeleti hatóságnak tájékoztatnia kell a Bizottságot és a többi tagállamot minden kiadott engedélyről, és foglalkoznia kell a tagállamok vagy a Bizottság által emelt kifogásokkal.[72]
Az alapvető jogok védelmének biztosítása érdekében a magas kockázatú mesterséges intelligencia rendszerek használata során a rendszer telepítőinek alapos hatásvizsgálatot kell végezniük a rendszer telepítése előtt. Az értékelés során meg kell határozni a rendszer által valószínűleg érintett személyek kategóriáit is, valamint az őket érintő konkrét ártalmi kockázatokat. Az értékelésben fel kell vázolni a kockázatok kezelésére szolgáló humánfelügyeleti intézkedéseket és protokollokat is. Ezek a kötelezettségek a rendszer első használatára vonatkoznak és az üzembe helyező hasonló esetekben támaszkodhat a szolgáltató által korábban elvégzett alapjogi hatásvizsgálatokra.[73] Az alapvető jogokra vonatkozó hatásvizsgálat elvégzését követően az üzembe helyezőnek értesítenie kell a piacfelügyeleti hatóságot.[74] Ha az alapvető jogokra vonatkozó hatásvizsgálatra vonatkozó követelményeket az adatvédelmi hatásvizsgálat kielégíti, akkor a FIRA azzal összhangban is teljesíthető.[75]
Az uniós piacon forgalomba hozott, magas kockázatú MI-rendszerek vonatkozó szolgáltatói kötelesek jelenteni minden súlyos incidenst azon tagállamok piacfelügyeleti hatóságainak, ahol az esemény bekövetkezett.[76] A bejelentés időtartama az esemény súlyosságától függően változhat. Általában azt követően kell megtenni, hogy az MI-rendszer és az incidens között okozati összefüggést állapítottak meg, de legkésőbb tizenöt nappal azután, hogy tudomást szereztek róla.[77] Széles körben elterjedt jogsértés vagy halált okozó súlyos incidens esetén a jelentést haladéktalanul, de legkésőbb tíz napon belül kell benyújtani.[78] Egyes esetekben egy kezdeti hiányos jelentést lehet benyújtani az időben történő jelentéstétel érdekében, amelyet egy teljes jelentés követ.[79]
Az AIA értelmében az MI-rendszerek szolgáltatói kötelesek haladéktalanul kivizsgálni a rendszereikkel előforduló súlyos eseményeket, beleértve az incidens és korrekciós intézkedések kockázatértékelését.[80]
Az AIA kimondja, hogy a szolgáltatóknak tájékoztatniuk kell az egyéneket, amikor egy MI-rendszerrel érintkeznek, kivéve, ha ez nyilvánvaló egy észszerűen tájékozott, figyelmes és körültekintő személy számára.[81] Ez a követelmény nem vonatkozik a bűncselekmények felderítésére, megelőzésére, kivizsgálására és üldözésére használt MI-rendszerekre, amennyiben megfelelő biztosítékok állnak rendelkezésre a harmadik felek jogainak és szabadságainak védelmére.
A szintetikus tartalmat előállító MI-rendszerek, köztük a GPAI-rendszerek szolgáltatóinak gondoskodniuk
- 7/8 -
kell arról, hogy a kimenetek mesterségesen előállítottként vagy géppel olvasható formátumban manipuláltként legyenek megjelölve.[82] Ez a kötelezettség azonban nem vonatkozik olyan esetre, ha azt törvény bűncselekményekkel kapcsolatban engedélyezi.
Az érzelemfelismerő rendszer vagy a biometrikus kategorizáló rendszer telepítői kötelesek tájékoztatni a rendszer működéséről azokat a személyeket, akik ki lesznek téve a működésüknek.[83] Ez a kötelezettség azonban nem vonatkozik a biometrikus kategorizálásra és érzelemfelismerésre használt MI-rendszerekre, ha törvényileg feljogosítják őket bűncselekmények felderítésére, megelőzésére és kivizsgálására.
A deep fake-nek minősülő kép-, hang- vagy videótartalmat előállító vagy manipuláló MI-rendszerek telepítőinek felelőssége, hogy nyilvánosságra hozzák, hogy a tartalom mesterségesen előállított vagy manipulált.[84] Ez a nyilvánosságra hozatal nem kötelező, ha a felhasználást a törvény engedélyezi bűncselekmények felderítésére, megelőzésére, kivizsgálására. Azokban az esetekben, amikor a tartalom nyilvánvalóan művészi, kreatív, szatirikus vagy kitalált, az átláthatósági követelmények a létrehozott vagy manipulált tartalom feltárására korlátozódnak, amely nem zavarja a mű megjelenítését vagy élvezetét.
Azok az MI-rendszerek, amelyek online óriásplatformok keresőmotorjaként vagy chatbotjaként működnek, a DSA hatálya alá tartoznak, és kötelesek azonosítani és mérsékelni a mesterségesen előállított tartalom terjesztésével kapcsolatos rendszerszintű kockázatokat.[85] Ilyen kockázatok közé tartoznak a demokratikus folyamatokra, a polgári diskurzusra és a választásokra gyakorolt esetleges negatív hatások, különösen a dezinformációval összefüggésben.
Fentiek során az érintett személyeket világos és megkülönböztethető módon kell tájékoztatni az MI-rendszerrel való első interakciójuk időpontjában.[86]
A Foundation Model - FM, alapmodell - olyan jelentőségű technológia, mint az elektromos áram vagy az internet volt. Az FM tíz év alatt hét százalékkal növelheti az éves globális GDP-t.[87] Az alapmodelleket széles körű adatokon képezték ki, ezért egyfajta alapkőként szolgálnak, amelyek sokféle downstream feladathoz adaptálhatók. Emiatt általános célú mesterséges intelligenciának is nevezik őket, mivel más MI-alkalmazások alapját képezik. Az alapmodellek többféle adattípussal működnek, ezek közül az utóbbi időkben a nagy nyelvi modellek - large-language model: LLM - kerültek az érdeklődés középpontjába. A nem nyelvi adatmódokra építő alapmodelleket multimodálisnak nevezzük. A generatív modellek egyfajta alapmodellek, amely tartalmat generálnak az adatokon és azok kontextusán belüli minták és kapcsolatok származtatásával, amelyeket a meglévő tartalomból képeznek ki és fordítanak le szöveggé. Minden generatív modell alapmodell, de nem fordítva.
A generatív MI tehát az MI-rendszerekben használt FM egy alkategóriája, kifejezetten különböző szintű autonómiával rendelkező tartalmak, például összetett szövegek, képek, hang vagy videó létrehozására szolgál.[88] Számos vezető MI-szakértő írt alá nyílt leveleket például a Future of Life Institute-tól[89] vagy a Center for AI Safety-től,[90] amelyekben fejlesztési moratórium és általában nagyobb óvatosság mellett érveltek. Az aggodalmakban közös, hogy az alapmodellek képesek önállóan megtanulni kódolni és önállóan cselekedni, elindítva az önfejlesztés és replikáció ciklusát. Szintén kockázat, hogy a mai alapmodellek némelyike aktívan megtéveszti az embereket. Ez alapvetően arra vezethető vissza, hogy a generatív AI nem érti a szöveget és annak kontextusát, amit összeállít, illetve előfordulhat, hogy a betanítás során nem pontos adatokkal is találkozott.
Az AIA szerint az általános célú MI-modell, amelyet nagy mennyiségű adaton, nagyfokú önfelügyelet mellett képeztek ki és jelentős kompetenciát mutat a feladatok széles körének végrehajtásában. A kizárólag kutatásra, fejlesztésre és prototípusgyártásra használt modellek forgalomba hozatalukig mentesülnek a szabályozás alól.[91]
Az általános célú MI-modell rendszerkockázatúnak minősül, ha megfelel bizonyos kritériumoknak.[92] Ez magában foglalja a nagy hatásképességet, amely technikai eszközök és módszerek segítségével értékelhető. A modellről akkor is vélelmezhető, hogy nagy hatásképességgel rendelkezik, ha a betanításhoz felhasznált számítások kumulatív mennyisége nagyobb, mint 10^25 FLOP.[93] Ennek a követelménynek jelenleg a ChatGPT felel meg. A Bizottság azonban jogosult módosítani ezeket a küszöbértékeket és referenciaértékeket, hogy azok tükrözzék a technológiai fejlődést.
A GPAI kapcsán az AIA egy kétszintű megközelítést foglal magába: (1) horizontális kötelezettségek, amelyek az összes GPAI-modellre vonatkoznak, és (2) további kötelezettségek a rendszerszintű kockázattal járó GPAI-modellekre. A horizontális szint tekintetében minden GPAI-modell-szolgáltatónak be kell tartania az átláthatósági követelményeket, többek között műszaki dokumentáció elkészítésével. Ezenkívül meg kell felelniük az EU szerzői jogi elvárásainak, és részletes összefoglalókat kell készíteniük a képzéshez használt tartalomról. Az alacsonyabb rétegű GPAI-modellek mentesülnek az átláthatósági követelmények alól, amíg K+F fázisban vannak, vagy ha nyílt forráskódúak. A rendszerszintű kockázattal járó GPAI-modellek tekintetében többek között fel kell mérni és mérsékelni kell a kockázatokat, kontradiktórius tesztelést kell lefolytatni - red teaming -, a Bizottságnak a súlyos incidensekről jelentést kell tenni és biztosítani kell a kiberbiztonságot.
A rendszerkockázattal járó általános célú MI-modellek szolgáltatóira az 53. cikkben felsorolt további kötelezettségek vonatkoznak:[94]
- modellértékelés elvégzése szabványosított protokollok és eszközök használatával;
- a kontradiktórius tesztelést el kell végezni és azt dokumentálni kell a rendszerkockázat azonosítása és csökkentése érdekében;
- 8/9 -
- fel kell mérni és mérsékelni kell a lehetséges uniós szintű rendszerkockázatokat;
- a szolgáltatóknak nyomon kell követniük és jelenteniük kell minden súlyos eseményt vagy korrekciós intézkedést az MI-hivatalnak és az illetékes nemzeti hatóságoknak;
- megfelelő kiberbiztonsági védelmet kell biztosítani az MI-modell és annak fizikai infrastruktúrája számára.
A rendszerkockázattal járó általános célú MI-modellek szolgáltatói eljárási kódexekre támaszkodhatnak a fenti kötelezettségek betartásának bizonyítása érdekében, amíg a harmonizált szabványt közzé nem teszik.[95] A harmonizált európai szabványnak való megfelelés biztosítja a szolgáltatók számára a megfelelőség vélelmét. A rendszerkockázattal járó általános célú MI-modellek szolgáltatóinak, akik nem tartják be a jóváhagyott gyakorlati kódexet, be kell mutatniuk az alternatív megfelelési módokat a Bizottság jóváhagyása érdekében. Az MI-hivatal ösztönzi és megkönnyíti uniós szintű magatartási kódexek kidolgozását.[96]
Az AIA tiltásai már hat hónap elteltével életbe lépnek,[97] a GPAI-modellekre vonatkozó kötelezettségek pedig tizenkét hónap elteltével.[98] A III. Mellékletben felsorolt, nagy kockázatú MI-rendszerek esetében hosszabb, 36 hónapos határidő áll rendelkezésre a megfelelésre.[99] Az AIA csak akkor vonatkozik a hatályba lépése előtt üzembe helyezett nagy kockázatú MI-rendszerek üzemeltetőire, ha e rendszerek az AIA hatálybalépése után jelentős változásokon mennek keresztül.[100] Az AIA hatályba lépése előtt forgalomba hozott GPAI-modelleknek - tizenkét hónappal a hatálybalépést követően kezdődő - két évük van a megfelelésre, függetlenül attól, hogy van-e lényeges módosítás vagy sem.[101]
Az egyes jogszabályok által létrehozott nagyméretű informatikai rendszerek alkotóelemeiként működő MI-rendszereknek 2030. végéig meg kell felelniük a rendeletnek.[102]
A Bizottság által életre hívott MI-egyezményhez[103] való csatlakozással az MI-fejlesztők önkéntesen elkötelezhetik magukat az AIA legfontosabb rendelkezéseinek végrehajtása mellett annak hatálybalépése előtt.
Az AIA követi a termékbiztonság európai szabályozásának módszertanát. Ez tetten érhető a kockázat alapú megközelítés, a megfelelés értékelés, az eseményjelzés, a szabványokkal kapcsolatos vélelmek terén.
A szabályozás döntően a magas kockázatú MI-vel kapcsolatos, hiszen ezen a területen tud a szabályozás tenni a biztonságos felhasználás biztosítása érdekében a legtöbbet. A nagy kockázatú MI szolgáltatói dönthetnek úgy, hogy a rendszer nem jelent magas kockázatot, de ilyenkor is regisztrálni kell őket éppen a jogmegkerülés kockázatának kiküszöbölése érdekében. A bűnüldözési célú MI felhasználás széles körű mentességet kapott, ami tetten érhető valós idejű távoli biometrikus azonosítási rendszerek, a természetes személyek kockázatértékelése és érzelmeinek felismerése bűnüldözési célú felhasználásának engedélyezésében. Az ilyen célú felhasználások esetében azonban meg kell felelni a magas kockázatú MI-vel szemben támasztott követelményeknek. De a bűnüldözési célú MI még a megfelelési eljárás alól is kivételesen sürgős okból mentesülhet, ahogy a transzparencia elvárás alól is.
A magas kockázatú MI-vel rendelkező rendszerekkel kapcsolatos forgalmazásban, importálásban, telepítésben vagy egyéb tevékenységekben részt vevő bármely harmadik fél szolgáltatónak minősülhet, ha jelentős módosításokat hajt végre egy meglévő, nagy kockázatú mesterséges intelligenciával rendelkező rendszeren, vagy ha egy nem nagy kockázatú mesterséges intelligenciával rendelkező rendszer rendeltetését úgy módosítja, hogy az nagy kockázatúvá váljon.
Az AIA célja annak biztosítása, hogy a magas kockázatú MI-rendszerek megfeleljenek a biztonsági és alapjogi követelményeknek. A biztonságot és az alapvető jogok védelmét biztosító AIA csökkenteni fogja a kockázatokat, de nem szüntetik meg teljes mértékben. Ebben az esetben a termékfelelősség szabályai lesznek alkalmazandók. A két szabályozás közti szinergiát mutatja, hogy az MI termékfelelősségi irányelv javaslatban az ok-okozati összefüggésre vonatkozó célzott megdönthető vélelem mellett szól, ha a szolgáltató a magas kockázatú MI esetében megsértette az AIA-ban foglalt elvárásokat, amik nevesítve az adatképzés, átláthatóság, emberi felügyelet, pontosság, robusztusság és kiberbiztonság. ■
JEGYZETEK
[1] A Tanács 1992. június 29-i 92/59/EGK irányelve az általános termékbiztonságról.
[2] Javaslat - Az Európai Parlament és a Tanács rendelete a mesterséges intelligenciára vonatkozó harmonizált szabályok (a mesterséges intelligenciáról szóló jogszabály) megállapításáról és egyes uniós jogalkotási aktusok módosításáról, (AIA javaslat), Brüsszel, 2021.04.21., COM(2021) 206 final. https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX%3A52021PC0206
[3] Fehér könyv a mesterséges intelligenciáról: a kiválóság és a bizalom európai megközelítése, Brüsszel, 2020.2.19. COM(2020) 65 final https://commission.europa.eu/document/download/d2ec4039-c5be-423a-81ef-b9e44e79825b_hu?filename=commission-white-paper-artificial-intelligence-feb2020_hu.pdf
[4] https://ec.europa.eu/commission/presscorner/detail/hu/ip_23_6473
[5] https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_HU.pdf
[7] Marco Almada - Nicolas Petit: The EU AI Act: Between Product Safety and Fundamental Rights. https://doi.org/10.2139/ssrn.4308072
[9] Jonas Schuett: Risk Management in the Artificial Intelligence Act. European Journal of Risk Regulation, 2023. 1-19. https://doi.org/10.1017/err.2023.1
[10] A polgárok szempontjából: javíthatja az egészségügyi ellátást, biztonságosabbá teheti a gépjárműveket; az üzleti élet szempontjából: lehetővé teheti a mezőgazdasági termelők számára a természeti erőforrások hatékonyabb felhasználását; a közszféra szempontjából: segíthet a csalások és a kiberbiztonsági fenyegetések észlelésében, a bűnüldöző hatóságok számára a bűnözés elleni hatékonyabb fellépésben.
- 9/10 -
[11] Nem világos döntéshozatali folyamat, az esetleges diszkrimináció, és az illetéktelen kezekbe kerülés miatti fenyegetettség által; az algoritmusok nem teljes - és ezért nem megbízható - adatok alapján is hozhatnak döntéseket, kibertámadás célpontjaivá válhatnak, döntéseik pedig torzulhatnak, vagy egyszerűen tévesek lehetnek. A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának: Az emberközpontú mesterséges intelligencia iránti bizalom növelése. Brüsszel, 2019.4.8. COM(2019) 168 final 1. https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:52019DC0168
[12] Tatjana Evas: The EU Artificial Intelligence Act: Advancing Innovation for Trustworthy AI, AIRe, 1/20024, 98.
[13] Javaslat - Az Európai Parlament és a Tanács irányelve a hibás termékekért való felelősségről, Brüsszel, 2022.09.28., COM(2022) 495 final, 2022/0302 (COD), Indokolás 1.2. https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:52022PC0495
[14] Javaslat - Az Európai Parlament és a Tanács Irányelve a szerződésen kívüli polgári jogi felelősségre vonatkozó szabályoknak a mesterséges intelligenciához való hozzáigazításáról Brüsszel, 2022.9.28. COM(2022) 496 final 2022/0303 (COD), Indokolás 1., 3. https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX%3A52022PC0496
[15] Az MI által okozott károkra alkalmazandó európai termékfelelősségi szabályok a fenti két jogalkotási aktusban jelentek meg: Javaslat - Az Európai Parlament és a Tanács irányelve a hibás termékekért való felelősségről, Brüsszel, 2022.09.28., COM(2022) 495 final, 2022/0302 (COD), és Javaslat - Az Európai Parlament és a Tanács Irányelve a szerződésen kívüli polgári jogi felelősségre vonatkozó szabályoknak a mesterséges intelligenciához való hozzáigazításáról Brüsszel, 2022.9.28. COM(2022) 496 final 2022/0303 (COD).
[16] Mauritz Kop: EU Artificial Intelligence Act: The European Approach to AI. Stanford - Vienna Transatlantic Technology Law Forum. 2021/2. https://futurium.ec.europa.eu/sites/default/files/2021-10/Kop_EU%20Artificial%20Intelligence%20Act%20-%20The%20European%20Approach%20to%20AI_21092021_0.pdf
[17] AIA 165. preambulumbekezdés.
[19] Almada - Petit: i. m. (7. vj.)
[20] Schuett: i. m. (9. vj.)
[21] AIA 3. cikk (1) bekezdés.
[22] https://oecd.ai/en/ai-principles
[23] AIA 2. cikk (3) bekezdés.
[24] AIA 2. cikk (6) bekezdés.
[25] AIA 2. cikk (8) bekezdés.
[26] AIA 2. cikk (10) bekezdés.
[27] AIA 2. cikk (12) bekezdés.
[28] AIA 104. preambulumbekezdés.
[29] Biometrikus kategorizálás az egyének biometrikus adatai - például a nem, az életkor, a hajszín, a szemszín, a tetoválás és a viselkedési jellemzők, valamint az olyan érzékeny tulajdonságok, mint a nyelv, a vallás, valamint a szexuális vagy politikai irányultság - alapján meghatározott kategóriákba sorolásának folyamata. AIA 3. cikk 40. pont.
[30] Az érzelemfelismerő rendszer célja a természetes személyek érzelmei vagy szándékai biometrikus adatai alapján történő azonosítása vagy következtetése az AIA 3. cikk (39) bekezdése alapján. Ez olyan érzelmekre vagy szándékokra vonatkozik, mint a boldogság, szomorúság, harag, meglepetés, undor, zavar, izgalom, szégyen, megvetés, elégedettség és szórakozás. Nem tartoznak bele a fizikai állapotok, például a fájdalom vagy a fáradtság. Például a hivatásos pilóták vagy járművezetők fáradtságának észlelésére használt rendszerekre vonatkozik a balesetek megelőzése céljából. AIA 18. preambulumbekezdés.
[31] AIA 5. cikk (1) bekezdés (h) pont (iii.).
[32] AIA 81. cikk (1) bekezdés.
[33] AIA 81. cikk (2) bekezdés.
[34] AIA 8. cikk (1) bekezdés.
[35] Claudio Novelli - Federico Casolari - Antonio Rotolo - Mariarosaria Taddeo - Luciano Floridi: Taking AI Risks Seriously: a new assessment model for the AI Act. AI & Society, Springer, Vol.38, N. 3, 2023. https://doi.org/10.1007/s00146-023-01723-z
[36] AIA 2. cikk (2) bekezdés.
[37] AIA 6. cikk (1) bekezdés.
[38] AIA 43. cikk (3) bekezdés.
[39] Teljes hozzáférés a képzési, érvényesítési és tesztelési adatkészletekhez; a bejelentett szervezet további bizonyítékokat vagy teszteket írhat elő; szükség esetén hozzáférés biztosítható a képzéshez és a betanított modellekhez; az MI-rendszer betanításához használt adatokkal kapcsolatos jogsértés újbóli képzést igényel.
[40] AIA 8. cikk (2) bekezdés.
[41] AIA 2. cikk (2) bekezdés.
[42] AIA 6. cikk (2) bekezdés.
[43] Ez a tilalom nem terjed ki a biometrikus hitelesítésre szánt mesterséges intelligencia rendszerekre, amelyek célja a természetes személy személyazonosságának megerősítése szolgáltatáshoz való hozzáférés, eszköz zárolásának feloldása érdekében. AIA 54. preambulumbekezdés.
[44] AIA 59. preambulumbekezdés.
[45] AIA 61. preambulumbekezdés.
[46] Az Európai Parlament és a Tanács (EU) 2022/2065 rendelete.
[47] AIA III. Melléklet 8. pont (a)-(b).
[48] AIA 54. preambulumbekezdés.
[49] AIA 50. cikk (3) bekezdés.
[50] AIA 6. cikk (3) bekezdés.
[51] Aki vagy amely MI-rendszert vagy általános célú MI-modellt fejleszt vagy fejleszttet és forgalomba hoz, és vagy saját neve vagy védjegye alatt üzembe helyezi a rendszert, akár fizetés ellenében, akár ingyenesen. AIA 3. cikk (3) bekezdés.
[52] AIA 80. cikk (7) bekezdés.
[53] AIA 25. cikk (1) bekezdés.
[54] AIA 25. cikk (2) bekezdés.
[55] Kockázatkezelés és tesztelés, adatkormányzás és adatkezelés, technikai dokumentáció, eseményrögzítés, átláthatóság és az üzembe helyezők tájékoztatása, emberi felügyelet, pontosság, robusztusság és kiberbiztonság.
[56] AIA 63. cikk (1) bekezdés.
[57] A nagy kockázatú mesterséges intelligenciával kapcsolatos rendszerek szolgáltatóinak minőségirányítási rendszert kell létrehozniuk, amely biztosítja a rendelet rendelkezéseinek való megfelelést. Ennek a rendszernek tartalmaznia kell a jogszabályoknak való megfelelés stratégiáját, a tervezés, fejlesztés és minőségellenőrzés technikáit és eljárásait, valamint a vizsgálati, tesztelési és validálási eljárásokat. Ezenkívül meg kell határoznia a műszaki előírásokat, az adatkezelési eljárásokat és a kockázatkezelési protokollokat. A szolgáltatóknak rendelkezniük kell a forgalomba hozatal utáni nyomon követés és a súlyos incidensek jelentésének rendszerével is.
- 10/11 -
[58] A MI-rendszer szolgáltatója köteles a rendszer forgalomba hozatalát vagy üzembe helyezését követő tíz évig különböző dokumentációkat az illetékes nemzeti hatóságok rendelkezésére bocsátani. Ez magában foglalja a műszaki dokumentációt, a minőségirányítási rendszer dokumentációját és a bejelentett szervezetek által jóváhagyott módosításokat. A szolgáltatónak meg kell őriznie az EU-megfelelőségi nyilatkozatot is.
[59] A MI-rendszer rendeltetésének megfelelő ideig, legalább hat hónapig kell megőrizni.
[60] Az EU-megfelelőségi nyilatkozat egy írásos dokumentum, amelyet a szolgáltatónak kell elkészítenie minden egyes magas kockázatú MI-rendszerhez. Ezt a dokumentumot tíz évig meg kell őrizni, és kérésre az illetékes nemzeti hatóságok rendelkezésére kell bocsátani. A nyilatkozatnak tartalmaznia kell, hogy a magas kockázatú MI-rendszer megfelel a III. cím 2. fejezetében meghatározott követelményeknek.
[61] Az AIA 51. cikk előírja, hogy a szolgáltatók vagy meghatalmazott képviselők minden, a III. Mellékletben felsorolt magas kockázatú mesterséges intelligenciarendszert regisztráljanak, mielőtt forgalomba hoznák vagy üzembe helyeznék azokat. Ez vonatkozik azokra is, amelyet derogáltak. A bűnüldözés, a migráció, a menekültügy és a határellenőrzés területén a regisztrációs folyamat az EU-adatbázis biztonságos, nem nyilvános részében történik, és csak a szükséges információkat tartalmazza.
[62] Ez magában foglalhatja a rendszer megfelelővé tételét, visszavonását, letiltását vagy visszahívását.
[63] Az Unión kívül letelepedett szolgáltatóknak ki kell jelölniük egy uniós meghatalmazott képviselőt, mielőtt rendszereiket a piacon elérhetővé tennék.
[64] AIA 43. cikk (4) bekezdés.
[65] AIA 43. cikk (4) bekezdés.
[66] AIA 40. cikk (1) bekezdés.
[67] AIA 43. cikk (1) bekezdés.
[68] AIA 43. cikk (1) bekezdés.
[69] AIA 43. cikk (2) bekezdés.
[70] AIA 46. cikk (1) bekezdés.
[71] AIA 46. cikk (2) bekezdés.
[72] AIA 46. cikk (3) bekezdés.
[73] AIA 27. cikk (2) bekezdés.
[74] AIA 27. cikk (3) bekezdés.
[75] AIA 27. cikk (4) bekezdés.
[76] AIA 73. cikk (1) bekezdés.
[77] AIA 73. cikk (2) bekezdés.
[78] AIA 73. cikk (5) bekezdés.
[79] AIA 73. cikk (6) bekezdés.
[80] AIA 73. cikk (2) bekezdés.
[81] AIA 50. cikk (1) bekezdés.
[82] AIA 50. cikk (2) bekezdés.
[83] AIA 50. cikk (3) bekezdés.
[84] Hasonlóképpen, mikor a cél a nyilvánosság közérdekű kérdésekről tájékoztatása. AIA 50. cikk (4) bekezdés.
[85] AIA (120) preambulumbekezdés.
[86] AIA 50. cikk (6) bekezdés.
[87] Jan Hatzius - Joseph Briggs - Devesh Kodnani - Giovanni Pierdomenico: The Potentially Large Effects of Artificial Intelligence on Economic Growth. Global Economics Analyst, 2023. https://www.gspublishing.com/content/research/en/reports/2023/03/27/d64e052b-0f6e-45d7-967b-d7be35fabd16.html
[88] AIA 25. cikk (3) bekezdés.
[89] https://futureoflife.org/open-letter/pause-giant-ai-experiments/
[90] https://www.safe.ai/statement-on-ai-risk#open-letter
[91] AIA 3. cikk (49) bekezdés b) pont.
[92] AIA 51. cikk (1) bekezdés.
[93] AIA 51. cikk (2) bekezdés.
[94] AIA 55. cikk (1) bekezdés.
[95] AIA 55. cikk (2) bekezdés.
[96] AIA 56. cikk (1) bekezdés.
[97] AIA 113. cikk (a) pont.
[98] AIA 113. cikk (b) pont.
[99] AIA 113. cikk (c) pont.
[100] AIA 111. cikk (2) bekezdés.
[101] AIA 111. cikk (3) bekezdés.
[102] AIA 111. cikk (1) bekezdés.
[103] https://digital-strategy.ec.europa.eu/en/policies/ai-pact
Visszaugrás
