Miről is szól az EU AI Act?
Első olvasatra jogosan merülhet fel bárkiben az a feltételezés, hogy az EU mesterséges intelligenciát szabályozó rendelete szükségtelenül korlátok közé szorítja az AI rendszerek használatát, amivel versenyhátrányba juttatja az európai AI ipart és vele együtt a teljes gazdaságot, azonban a valóságban korántsem ennyire rossz a helyzet.
A rendelet kockázatalapú, és „tiltott”, „magas kockázatú”, „korlátozott kockázatú” és „minimális kockázatú” AI-kategóriákat vezet be. Extraterritoriális, vagyis, ha az EU-ban használják az AI-kimenetet, akkor nem EU-s szolgáltatók is a hatálya alá eshetnek.
Személyi hatály
Két csoportra osztja a szolgáltatókat: egyrészt azokra, akik MI-rendszert vagy modellt fejlesztenek, forgalomba hoznak, üzembe helyeznek és mindezt saját nevükkel vagy védjegyük alatt teszik, valamint az alkalmazókra, akik a felügyeletük alatt álló rendszert szakmai tevékenységük során használják. A rendeletben megjelennek további szereplők is, ilyennek az importőrök, a forgalmazók, a termékgyártók és a meghatalmazott képviselők. Esetükben szintén kiindulási alapként az elsődleges szereplőkre vonatkozó fogalomrendszer irányadó, azonban tartalmaznak speciális elemeket.
Mi tilos?
Tilos a manipulatív vagy szubliminális technikák; kiszolgáltatott csoportok „kihasználása”; szociális pontozás; pusztán profilozásra épülő bűnözési kockázatbecslés; arcképadatbázisok tömeges, cél nélküli kaparása; érzelemfelismerés a munkahelyen és oktatásban; biometrikus kategorizálás érzékeny jellemzők szerint. A rendőrségi, valós idejű arcfelismerés nyilvános térben általában tiltott, néhány szűk kivétellel és garancia mellett.
Mi számít magas kockázatnak?
Két nagy csoport sorolható ide: egyrészt a termékbiztonsági jog alá tartozó, termékbiztonsági komponenseként működő AI; illetve a rendelet által meghatározott speciális területek, ilyen a biometria; kritikus infrastruktúra; oktatás; foglalkoztatás; alapvető szolgáltatások (pl. hitelbírálat); bűnüldözés; migráció, határellenőrzés; igazságszolgáltatás és demokratikus folyamatok.
Ide tartozik továbbá a magas kockázatú rendszerekhez kapcsolódó minőségirányítás, kockázatkezelés, adatkormányzás, műszaki dokumentáció és naplózás, emberi felügyelet, kiberbiztonság, és gyakorlatilag minden terület, ahol kell CE jelölés.
Korlátozott kockázat: fő szempont a transzparencia
Chatbotnál, deepfake-nél, érzelemfelismerésnél, biometrikus kategorizálásnál alapkövetelmény a tájékoztatás és a megjelölés, azaz a felhasználó tudja, hogy AI-val kommunikál, vagy AI által generált tartalmat lát.
Végrehajtás és bírságok
Röviden az EU AI Office koordinál, a tagállami hatóságok pedig felügyelnek. A bírság plafon pedig: 35 millió € vagy a globális árbevétel 7%-a (amelyik magasabb) a legsúlyosabb, főleg tiltott jogsértéseknél.
A szankciók gyakorlati alkalmazása ugyanakkor várhatóan fokozatosan alakul ki. Bár a bírságplafonok már most egyértelműek, a hatósági gyakorlat még formálódik, és a kezdeti időszakban inkább egy óvatosabb, edukatívabb megközelítés várható – hasonlóan a GDPR bevezetéséhez.
Alkalmazási ütemezés és jelenlegi helyzet
A rendelet lépcsőzetesen vált alkalmazandóvá:
- 2024. augusztus 1. – Hatálybalépés
- 2025. február 2. – A tiltott AI-gyakorlatok tilalma és az AI-val kapcsolatos írásbeliségi kötelezettségek
- 2025. augusztus 2. – A magas kockázatú rendszerekre és az általános célú AI (GPAI) modellekre vonatkozó kötelezettségek
- 2027. augusztus 2. – A szabályozott termékekbe épülő AI-rendszerek teljes körű szabályozása
2026 tavaszára a legfontosabb kötelezettségek már hatályba léptek. A tiltott AI-gyakorlatokat ki kellett vezetni, és a transzparenciára, valamint az írásbeliségre vonatkozó elvárásoknak is meg kell felelni. A magas kockázatú rendszerek és az általános célú modellek esetében pedig már nem a „felkészülés”, hanem a működő megfelelés a fókusz.
Ugyanakkor ez nem egy lezárt történet: a 2027-es határidő még előttünk van, különösen a szabályozott termékekbe épülő AI-rendszerek esetében. Emellett a hatósági gyakorlat is most alakul, ami mozgásteret ad a vállalatoknak arra, hogy strukturáltan és üzletileg is fenntartható módon rendezzék a folyamataikat.
Összefoglalva, az AI Act alapvetően az EU már eddig is létező „CE-jelölését” viszi át a szoftveres környezetbe. A legfőbb előnye, hogy jogbiztonságot ad azoknak, akik a pályán maradnak. Aki időben és tudatosan rendezi a folyamatait, nemcsak a megfelelés miatt kerül előnybe, hanem azért is, mert bizalom nélkül ma már nem lehet AI-t élesben futtatni.
Mi a teendőnk?
Annak a cégnek, aki szolgáltatóként van jelen a piacon, két kulcslépése van: a kockázati szint besorolása, illetve az adatmegismerés és adatkormányzás kiépítése.
A gyakorlatban ez azt jelenti, hogy aki eddig nem tette meg ezeket a lépéseket, annak most érdemes strukturáltan végigmenni rajtuk. A megfelelés nem egy egyszeri projekt, hanem egy üzleti működésbe épülő folyamat, amely hosszú távon versenyelőnyt is jelenthet.
Ezt követően az átláthatósági és felelősségi kérdések tisztázására kell hangsúlyt fektetni.
A szolgáltatóknak mindig egy „hármas szabályozási rendszert” kell alkalmazniuk, amelynél az uniós termékfelelősségi irányelvre, az egyéb, nemzeti felelősségi szabályokra, valamint az AI-val kapcsolatos felelősségről szóló irányelvre irányuló javaslatra kell figyelemmel lenni.
Továbbá kiemelt figyelmet kell fordítani a szellemi tulajdonra és az üzleti titokra, valamint a hozzáférési és társadalmi elvekre, azaz az adatvédelemre, a számonkérhetőségre, a méltányosságra, a megbízhatóságra és az inkluzivitásra.
Az alkalmazóknak pedig elsősorban a felelősségi kérdésekre kell majd figyelemmel lenniük.