Článek
Nejdřív, proč je EU AI Act vlastně tak zásadní. Znamená totiž přelomový počin v oblasti nastavení pravidel pro vývoj a užívání umělé inteligence. Pravidla jsou koncipována tak, aby z AI mělo užitek co nejvíce lidí i firem, ale abychom zároveň minimalizovali její nechtěný dopad na uživatele AI i celou společnost. Nutno také dodat, že jde o nařízení, takže se aplikuje přímo. Zákonem v jednotlivých členských zemích se už budou implementovat pouze pravidla marginálnějšího charakteru - např. jaká instituce bude dodržování nařízení vymáhat.
A teď už k té časové ose: EU AI Act začne sice platit už na začátku srpna, ale na jeho účinnost si ještě nějaký čas počkáme. Jednotlivé části nařízení budou účinné až postupně, v řádu půl roku až tří let. Nejpozději po 36 měsících, tedy 2. srpna 2027, nabydou účinnost některá pravidla ke klasifikaci vysoce rizikových AI systémů (čl. 6 odst. 1 nařízení). Pro představu, mohou to být například autonomní systémy nouzového brzdění.
1) Za 6 měsíců
Za půl roku od platnosti nařízení, tj. dne 2. února 2025, začnou platit první obecná ustanovení (články 1–5). Vyžadují například, aby firmy školily své zaměstnance v oblasti AI gramotnosti. Ale specifikují také praktiky, které budou v oblasti AI zakázané – patří mezi ně třeba ovlivňování lidského chování, hromadné získávání (scrapování) fotografií osob z internetu a z CCTV nebo rozpoznávání lidských emocí v práci i vzdělávacích institucích.
Zakázán bude také prediktivní policejní dohled, tedy umělá inteligence, která vyhodnocuje pravděpodobnost, že daná osoba spáchá nějaký trestný čin. Pokud vaše firma na některých z těchto systémů pracuje a plánuje je nasazovat do produkce, doporučuji najít si rychle jiný business model. :-)
2) Za 12 měsíců
Od 2. srpna 2025 nabyde účinnosti řada dalších článků, např. také povinnosti pro poskytovatelé základních modelů AI. Tyto povinnosti budou dopadat např. na společnost OpenAI provozující ChatGPT. Vedle toho také nabydou účinnosti sankce a další opatření k vynucení regulace v rámci EU AI Actu. Za provádění zakázaných AI praktik (uvedených v článku 5, některé z nich jsem vyjmenoval výše) tak firmám hrozí pokuta až do výše 35 milionů euro nebo 7 % jejich celkového celosvětového ročního obratu za předchozí finanční rok. Přitom platí pravidlo, že se uplatní vyšší ze dvou částek.
Z tohoto ustanovení je zřejmé, že to EU s vymáháním dodržování zákazů v oblasti umělé inteligence a ochrany občana myslí vážně. Dalo by se říct, že dokonce mnohem vážněji než s vymáháním pravidel dle GDPR, kde je pokuta „pouhých“ 10 milionů eur nebo 2 % celosvětového obratu.
3) Za 24 měsíců
O rok později, tedy 2. srpna 2026, nabyde účinnosti i článek 101, který definuje finanční sankce pro poskytovatele základních modelů AI, pokud poruší pravidla regulace. Jedná se o pokuty do výše 15 milionů euro nebo 3 % jejich celkového celosvětového ročního obratu. Nižší sazbou EU ukazuje, že zakázané praktiky v oblasti AI jsou pro ni závažnějším tématem než nedodržení regulace v oblasti základních modelů. I tyto pokuty jsou ale stále vysoké a poskytovatele mají hodně zabolet.
4) Za 36 měsíců
Zbývající část EU AI Act nabyde účinnosti až po 36měsíčním přechodném období, tedy 2. srpna 2027. Obecně se jedná o pravidla pro AI systémy, které jsou bezpečností součástí jiného výrobku, nebo podléhají bezpečnostní produktové regulaci. Připomeňme si, že se jedná například o autonomní brzdové systémy.
Detailní struktura regulačního rámce i výše sankcí ukazují, jak je důležité, že se jeho nastavení ujala právě EU. Nejenže je nařízení zpracováno na vysoké odborné úrovni, ale je také kompromisem mezi celou sedmadvacítkou. Díky jeho přímé aplikovatelnosti (narozdíl od EU směrnic) také přináší jednotná pravidla pro celou EU a tedy výhody pro firmy, které budou vyvíjet a dodávat AI systémy do vícero EU zemí.
Sankce budou jednotné, jen příslušné úřady, které budou nařízení v jednotlivých zemích vymáhat, se budou lišit. Troufám si také říct, že s ohledem na komplexnost nařízení a jeho vysoký standard pro ochrany práv, bude EU AI Act inspirací i pro mimounijní státy podobně jako GDPR.