Dekorativní pozadí stránky

Nová evropská regulace umělé inteligence – ekosystém jednotlivých hráčů na regulovaném poli AI – část druhá

Nová evropská regulace umělé inteligence – ekosystém jednotlivých hráčů na regulovaném poli AI – část druhá

Jak jsme již informovali v minulém příspěvku, Evropská komise („Komise“) v dubnu 2021 představila návrh nařízení o stanovení harmonizovaných pravidel pro umělou inteligenci („Návrh“). Struktura Návrhu není na první pohled jednoduchá. Inovátoři, kteří plánují svůj AI systém uvádět na trh nebo do provozu v Evropské unii („Unie“ nebo „EU“), mohou v labyrintu Návrhu složitě hledat, co všechno musí splnit a pod jakou definici konkrétních subjektů dle Návrhu spadají. Pokud jste takový inovátor zaměřující se na tzv. vysoce rizikové AI systémy[1] a chcete se v bludišti subjektů a povinností ve vztahu k AI lépe zorientovat, připravili jsme shrnutí nového evropského ekosystému jednotlivých hráčů:

Poskytovatel: Subjekt, který AI systém vyvinul za účelem jeho uvedení na trh nebo do provozu pod svým vlastním jménem nebo ochrannou známkou a který může být usazen jak v Unii, tak mimo území Unie.

Mezi jeho hlavní povinnosti ve vztahu k vysoce rizikovým AI systémům patří:

  • zajistit posouzení shody před uvedením na trh nebo do provozu
  • používat označení CE
  • zajistit registraci v evropské databázi
  • interně zavést systém řízení kvality
  • vypracovat technickou dokumentaci
  • zajistit uchování logů
  • přijímat nezbytná nápravná opatření, pokud není AI systém v souladu s požadavky Návrhu
  • informační povinnost a povinnost spolupráce vůči příslušným vnitrostátním orgánům.

 

Výrobce produktu: Pokud se výrobce vyjmenovaných produktů (příloha II Návrhu) rozhodne zakomponovat AI jiného poskytovatele do svých produktů a uvádět je pod svým jménem, přebírá výrobce odpovědnost za soulad tohoto AI systému s Návrhem a ve vztahu k tomuto AI systému stejné povinnosti jako poskytovatel.

 

Dovozce: Dovozce je s přihlédnutím k univerzální aplikovatelnosti Návrhu na poskytovatele tak trochu dvojí zárukou compliance, neboť se musí ujistit, že poskytovatel (či výrobce):

  • provedl posouzení shody a systém je tak označen
  • vypracoval technickou dokumentaci a systém je jí doprovázen včetně návodu k použití.

 

Zplnomocněný zástupce: pro případy, kdy nelze určit dovozce (nejčastěji tedy půjde o přímé poskytovatele mimo EU), bude poskytovatel povinen zvolit si osobu usazenou v EU, aby jeho jménem plnila některé povinnosti stanovené Návrhem:

  • uchovávat kopii prohlášení o shodě a technickou dokumentaci
  • spolupracovat s dozorovými orgány.

 

Distributor: Distributorem je osoba jiná než poskytovatel nebo dovozce, která dodává systém AI na unijní trh „aniž by ovlivňovala jeho vlastnosti“ – přesto však má podobné povinnosti jako dovozce, čímž se nám záruka za compliance rozšiřuje o třetí subjekt. Distributor tedy odpovídá za to, že:

  • AI systém je opatřen označením CE a je k němu přiložena dokumentace a návod k použití
  • poskytovatel a dovozce případně splnili svoje povinnosti dle Návrhu, v opačném případě je povinen na to upozornit poskytovatele a případně dovozce
  • spolupracuje s dozorovými orgány.

 

Uživatel: Osoba užívající AI systém s výjimkou případů, kdy je systém používán v rámci osobní neprofesionální činnosti. Povinností uživatelů má být především:

  • používat AI systém v souladu s jeho návodem k použití,
  • zajištění lidského dohledu nad systémem
  • zajištění relevance vstupních dat či monitorování provozu systému a uchování jeho logů
  • informovat poskytovatele nebo distributora v případě vzniku rizikových jevů, či dokonce přerušit užívání při vážných incidentech či chybách.

 

Provozovatel: Jedná se o shrnující definici, která zahrnuje poskytovatele, uživatele, zplnomocněného zástupce, dovozce a distributora. Ačkoli lze chápat užití shrnující definice pro více subjektů, v Návrhu se daný pojem objevuje velmi sporadicky a je otázka, zda nepřináší chaos již do tak složité struktury zainteresovaných subjektů.

K výše uvedenému je třeba uvést jedno velké upozornění: bez notné dávky zjednodušení bychom nebyli schopni takto stručně všechny hráče popsat a definovat – ne vždy jednotlivé rozdíly a vazby mezi nimi dávají podle Návrhu smysl, kterého jsme snad v zájmu srozumitelnosti mohli dosáhnout právě oním zjednodušením. Různé výjimky či další podmínky k definicím a rolím dle našeho názoru budou vyžadovat zpřesnění v rámci legislativního procesu.

Jako příklad (a pokud jej nepotřebujete, přeskočte tento odstavec) si dovolíme uvést článek 28, dle kterého se na uživatele, distributora nebo dovozce vztahují stejné povinnosti jako na poskytovatele ve třech vyjmenovaných případech, tj. pokud (i) uvádějí vysoce rizikový AI systém na trh nebo do provozu pod svým jménem nebo ochrannou známkou, (ii) mění určený účel vysoce rizikového AI systému již uvedeného na trh nebo do provozu, nebo (iii) provedou podstatnou změnu vysoce rizikového AI systému. Pokud dojde k případům podstatné změny nebo změny účelu vysoce rizikového AI systému, je poskytovatel, který původně uvedl vysoce rizikový AI systém na trh nebo do provozu, zbaven odpovědnosti, dle Návrhu ani „není považován za poskytovatele“, a hlavní odpovědnost za splnění povinností poskytovatele se tak přenáší na konkrétního uživatele, distributora nebo dovozce. Ačkoli lze chápat úmysl zákonodárce přenést odpovědnost za splnění hlavních povinností dle Návrhu na subjekt, který s vysoce rizikovým AI systémem manipuluje, v praxi se může jednat o složitou situaci. Provedení změny v AI systému se může složitě prokazovat a v časovém vakuu prokazování se rozvine spor o odpovědnost za AI systém, ve kterém se jak poskytovatel, tak uživatel/dodavatel/distributor budou chtít odpovědnosti zbavit.

 

Správa a veřejnoprávní dohled

Návrh zřizuje správní systémy (i) na úrovni Unie a (ii) na úrovni jednotlivých členských států.

Unijní úroveň = Komise + Evropská rada pro umělou inteligenci

Na úrovni Unie Návrh zřizuje Evropskou radu pro umělou inteligenci („Rada“) složenou ze zástupců vnitrostátních dozorových orgánů členských států a Komise. Rada má přispívat k posílení spolupráce vnitrostátních dozorových orgánů a Komise, poskytovat rady a odborné znalosti Komisi a shromažďovat a sdílet osvědčené postupy.

 

Vnitrostátní úroveň = vnitrostátní dozorový orgán + oznamující orgán + oznámený subjekt (subjekt posuzování shody)

Na vnitrostátní úrovni budou členské státy povinny pro účely dohledu nad uplatňováním a prováděním nařízení určit vnitrostátní dozorový orgán. Vnitrostátní dozorový orgán je odpovědný za provádění a uplatňování nařízení. Dále funguje jako jednotné kontaktní místo pro Komisi a zastupuje členský stát v Radě.

Členský stát bude dále povinen jmenovat nebo určit oznamující orgán odpovědný za oznamování vnitrostátních subjektů posuzování shody, které budou na vnitrostátní úrovni vykonávat činnosti posuzování shody ve vztahu k vysoce rizikovým AI systémům před jejich uvedením na trh, včetně testování, certifikace a inspekce. Na tyto vnitrostátní subjekty posuzování shody (resp. oznámené subjekty) se budou obracet poskytovatelé AI systémů s žádostmi o posouzení shody, ohledně certifikace AI systému apod.

 

Infografika interakcí mezi jednotlivými hráči na regulovaném poli AI

PDF ke stažení

 

Závěr

Jak je vidět, struktura hráčů působících na poli AI dle Návrhu je velmi složitá. Ačkoli lze na jedné straně rozumět snaze Komise o zachycení všech možných situací, maximální pokrytí odpovědnosti za AI systém a nastavení provazeb mezi subjekty z hlediska míry odpovědnosti, může přílišná složitost vytvořit jak účinný repelent pro inovátory, tak mezery pro nepoctivé dravce především ze zemí mimo EU, jejichž systémy si stejně najdou své příznivce a možná nejen v soukromé sféře (viz též výjimka z působnosti Návrhu zejména na úrovni státních institucí). Složitost lze tolerovat u regulace, která může narážet na různé tradice v jednotlivých členských státech – tento argument ale nedává smysl u předpisu, který má zjevně regulovat to, o co se ještě nikdo v EU nepokusil. Zkusme tedy jednou doufat, že heslo “v jednoduchosti je síla” bude uplatněno při zkrocení něčeho, co jednoduché nikdy nebylo a rozhodně už ani nebude.

 

Příště téma odlehčíme a poreferujeme o live systémech biometrické identifikace na dálku.

 

[1] Vysoce rizikové AI systémy jsou dle Návrhu buď (i) systémy AI určené k použití jako bezpečnostní součást výrobku nebo jsou sami výrobkem, na který se vztahují harmonizační právní předpisy Unie uvedené v seznamu přílohy II Návrhu (např. v oblasti strojních zařízení, bezpečnosti hraček, výbušnin, radiových a tlakových zařízení, vozidel, letectví apod.); nebo (ii) systémy AI či produkty, jejichž je daný systém AI bezpečnostní součástí, a na které se vztahuje povinnost posouzení shody třetí stranou za účelem jejich uvedení na trh nebo do provozu podle harmonizačních právních předpisů Unie uvedených v seznamu přílohy II; nebo (iii) systémy AI v oblastech uvedených v příloze III Návrhu (např. biometrická identifikace na dálku „v reálném čase“; kritická infrastruktura; systémy hodnocení ve vzdělání (např. hodnocení zkoušek); systémy užívané v bezpečnostních součástech výrobků (např. aplikace AI v robotické chirurgii); systémy pro zaměstnávání a řízení pracovníků (např. software pro nábor a hodnocení kandidátů); systémy pro přístup k základním soukromým a veřejným službám (např. systémy pro hodnocení úvěruschopnosti, systémy k vyhodnocení udělení či neudělení sociálních dávek)) aj.

 

Zdroje článku

Související články
Jak chránit digitální produkty proti padělkům?
Radek Riedl, Lucie Šímová

Jak chránit digitální produkty proti padělkům?

Prodej a šíření padělků a neoprávněný přístup k originálním produktům je rostoucí problém, se kterým se potýkají značky napříč odvětvími. Zdaleka nejde jen o dovoz „fejkových“ kabelek a prodej napodobenin obrazů vydávaných za originály slavných mistrů. EUIPO na platformě ACAPT (Anti-Counterfeiting a