2024.07.30.

Megérkezett az EU AI rendelete: kinek, mit és meddig kell teljesítenie?

Szerző:

Kategóriák:

Az Európai Parlament és a Tanács 2024/1689 rendelete a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról (AI Act) 2024. július 12-én került publikálásra az EU Hivatalos Lapjában, és 2024. augusztus 1. napján lép hatályba.

Dr. Horváth Katalin, a CMS Hungary Ügyvédi Iroda technológiai, banktech partnere átfogó szakmai cikkben mutatta be az AI rendelet legfontosabb pilléreit.

Az új AI Act fokozatosan lesz majd alkalmazandó, lépésekben kell majd eljutni a teljes megfelelésig. Nézzük, hogy mikor, kinek, milyen megfelelési lépéseket kell megtennie a következő 3 évben:

Forrás: A CMS Hungary és a FinTechZone szerkesztése

2025. február 1.: tiltott AI és AI jártasság

Az első bűvös szám, amit meg kell jegyezni az AI Act-el kapcsolatban, az a 6 hónapos határidő, amely 2025. február 1. napján jár le. Eddig a napig kell felmérniük az AI-t alkalmazó vagy szolgáltató cégeknek, hogy:

  • az alkalmazott/fejlesztett szoftverek, megoldások közül melyik minősül az AI Act szerinti AI rendszernek (már ez az alapvető kérdés is bizonytalanságokhoz vezet); és
  • ha van ilyen AI rendszerük, akkor az a rendelet szerinti tiltott AI-nak minősül-e; és
  • ha véletlenül tiltott AI kategóriájába esik, akkor február 1-ig meg kell szüntetni annak használatát, fejlesztését, forgalmazását; és
  • biztosítani kell, hogy a cég munkatársai megfelelő jártassággal rendelkeznek az AI használatában, vagyis képzést kell részükre biztosítani, hogy megismerjék az AI lehetőségeit, kockázatait és az általuk okozható károkat (AI jártasság).

A fenti kötelezettség eldöntéséhez fontos tudni, mi minősül tiltott AI-nak: főszabály szerint azok, amelyek alapvető jogokat sértenek. Ide tartoznak az alábbiak:

  • mindazon technikák, például videók, hangok, amik szubliminális vagy célzottan manipulatív, megtévesztő technikákat alkalmaznak és ezáltal jelentősen gyengítik a döntéshozatali képességet (például politikai véleményt, vásárlási szokásokat);
  • azok az AI megoldások, amik kihasználják személyek vagy csoportok sebezhetőségét, például betegségét, életkorát, szociális vagy gazdasági helyzetét, és jelentős károsodást okoznak vagy okozhatnak;
  • social scoring;
  • bűncselekmény elkövetését előrejelző AI, amely profilozza, értékeli ilyen szempontból a természetes személyeket;
  • arcfelismerő adatbázisokat létrehozó AI rendszerek, ahol az arcképek internetről vagy zártláncú CCTV felvételekből származnak;
  • érzelemfelismerő AI rendszerek munkahelyen és oktatási intézményekben;
  • biometria alapú kategorizálási rendszerek arra, hogy kikövetkeztessék valakinek a faji hovatartozását, politikai véleményét, egyéb különleges adatait;
  • valós idejű távoli biometrikus azonosító rendszerek használata a nyilvánosság számára hozzáférhető helyeken bűnüldözési célokból.

2025. augusztus 1.: GPAI és rendszerszintű kockázat

Egy év áll rendelkezésre arra, hogy az általános célú AI rendszerek (General Purpose AI – GPAI) szolgáltatói megvizsgálják, hogy az általuk fejlesztett GPAI rendszerszintű kockázatot jelent-e.

Ehhez először azzal kell tisztába jönni, hogy a fejlesztett AI egy általános célú AI modell-e, vagyis olyan, ami különféle feladatok széles körének elvégzésére képes és többféle rendszerbe integrálható.

Az ilyen GPAI pedig akkor jelent rendszerszintű kockázatot, ha nagy hatású képességekkel rendelkezik, így például, ha a tanításához használt, lebegőpontos műveletekben mért, összesített számítási összege nagyobb, mint 1025, vagy ha az EU Bizottság annak minősíti.

Ha a GPAI ezek alapján rendszerszintű kockázatot jelent, azt ezen egy éves határidőben be kell jelenteni az EU Bizottságnak.

Nem áll meg azonban a bejelentésnél a GPAI szolgáltatók feladata, azt is biztosítaniuk kell, hogy minden, GPAI-ra vonatkozó kötelezettségüknek eleget tettek.

Ide tartozik például a műszaki dokumentáció elkészítése, szerzői jogi belső szabályzat elfogadása, összefoglaló készítése és közzététele a GPAI tanításához használt tartalomról.

Az EU-n kívüli GPAI szolgáltatóknak ki kell nevezniük egy EU-s meghatalmazott képviselőt is.

A rendszerszintű kockázatot jelentő GPAI szolgáltatóknak pedig további kötelezettségeik is vannak: modellértékelést kell végezniük a kockázatok azonosítására, kockázatenyhítő intézkedéseket fogadnak el és kiberbiztonsági intézkedéseket kell bevezetniük.

2026. augusztus 1.: nagy kockázatú AI rendszerek

2026. augusztusától az egész AI Act alkalmazandó lesz, vagyis egyetlen kivétellel a nagy kockázatú AI rendszerek alkalmazóinak, szolgáltatóinak, forgalmazóinak és importőreinek is biztosítania kell addigra a teljes megfelelést.

Ezen időpontot követően pedig az AI Act szerinti szankciók is alkalmazhatók lesznek a kötelezettségek elmulasztása esetén.

Ahhoz, hogy értelmezni lehessen, hogy kire, mire vonatkozik ez a megfelelési szabály, először tudni kell, mikor minősül egy AI rendszer nagy kockázatúnak: általánosságban azok az AI rendszerek tartoznak ide, amelyek jelentős kockázatot jelentenek természetes személyek egészségére, biztonságára vagy alapvető jogaira, többek között azáltal, hogy lényegesen befolyásolják a döntéshozatalt.

Az AI rendszerek közül nagy kockázatúnak minősülnek az alábbiak:

  • Ha az AI rendszert termék biztonsági alkatrészeként használják, vagy az AI rendszer önmagában ilyen termék.
  • Távoli biometrikus azonosító rendszerek, amik nem hoznak döntést automatikusan.
  • Érzelemfelismerő AI rendszerek (kivéve munkahelyen és oktatásban, mert ott tiltott).
  • Biztonsági alkatrészként használt AI rendszerek kritikus digitális infrastruktúrák, közúti forgalom, közmű szolgáltatások irányításában és működtetésében.
  • Oktatásban AI rendszerek használata felvételi során, tanulási eredmények értékelésében, oktatás színvonalának felmérésében, vizsgákon tiltott tanulói magatartás észlelésében, megfigyelésében.
  • Foglalkoztatásban AI használata a kiválasztásban, toborzásban, előléptetések, munkaviszony megszüntetés során, teljesítményértékelésben, magatartás megfigyelésében.
  • AI használata alapvető magán- és közszolgáltatásokhoz való hozzáférés és igénybe vétel elbírálásában (például sürgősségi ellátásban triázsolás AI-vel, egészség- és életbiztosításban kockázatértékeléshez, árazáshoz; természetes személyek hitel scoringja során; állami közszolgáltatásokhoz való hozzáférésben, jogosultság elbírálásában).
  • Bűnüldözési célú AI használata, például bűncselekmény áldozatává válás előrejelzése, poligráf, bizonyítékok megbízhatóságának értékelése, bűncselekmények felderítése, profilalkotás.
  • AI migrációban, menekültügyben, határigazgatásban.
  • AI az igazságszolgáltatásban és a demokratikus folyamatokban (például választások, népszavazásokon eredmény megállapításához).

Milyen kötelezettségeket kell 2 évben belül teljesítenie a nagy kockázatú AI rendszerek szolgáltatóinak, forgalmazóinak, importőreinek és alkalmazóinak?

A nagy kockázatú AI rendszerek szolgáltatóinak sokféle kötelezettséget ír elő az új EU AI Act. Fő kötelezettségként kockázatkezelési rendszert kell létrehozni, amelynek részeként az alábbi fő intézkedéseket kell megtennie az AI rendszer szolgáltatójának:

  • Kockázatértékelés: kockázatértékelést kell végezni és dokumentálni, és ezen kockázatértékelés alapján megfelelő kockázatcsökkentési intézkedéseket kell alkalmazni.
  • Tesztelés: a nagy kockázatú AI rendszereket tesztelni kell.
  • Megfelelő minőségű adatok: megbízható, reprezentatív, kiegyensúlyozott, teljes, hibamentes és sokszínű adatkészleteket kell biztosítani az AI rendszer tanítására, validálására és tesztelésére, amelyet adatvédelmi intézkedésekkel védeni kell és biztosítani kell, hogy az AI rendszer működése ne legyen diszkriminatív, előítéletes.
  • Műszaki dokumentáció: az AI rendszer szolgáltatója köteles műszaki dokumentációt készíteni a forgalomba vagy üzembe helyezés előtt a rendeletben meghatározott kötelező tartalommal.
  • Naplózás: az AI rendszerek működését a szolgáltató köteles folyamatosan naplózni.
  • Átláthatóság, tájékoztatás: az AI rendszer szolgáltatója köteles úgy kialakítani az AI rendszert, hogy működése átlátható legyen és használati útmutatót kell készíteni az AI rendszer alkalmazói számára.
  • Emberi felügyelet: Az AI rendszer szolgáltatója köteles úgy fejleszteni az AI rendszert, hogy működése folyamatosan ember által felügyelhető legyen és az AI rendszert emberi beavatkozással le lehessen állítani, vagy abba be lehessen avatkozni.
  • Pontosság, kiberbiztonság: A nagy kockázatú AI rendszereket úgy kell megtervezni és fejleszteni, hogy megfelelő szintű pontosságot, stabilitást és kiberbiztonságot érjenek el.
  • Minőségirányítási rendszer: a nagy kockázatú AI rendszer szolgáltatójának minőségirányítási rendszerrel kell rendelkezniük.
  • Megfelelőségértékelés: a forgalomba helyezés, üzembe helyezés előtt le kell folytatni az AI rendszerre a megfelelőségértékelési eljárást és EU- megfelelőségi nyilatkozatot kell kiadni, valamint el kell helyezni a CE-jelölést az AI rendszer csomagolásán, illetve dokumentációjában.
  • Nyilvántartásba vétel: a nagy kockázatú AI rendszert a szolgáltató köteles bejelenteni az EU AI nyilvántartásba.
  • Akadálymentesítés: meg kell feleni az EU-s akadálymentesítési követelményeknek is.

A nagy kockázatú AI rendszerek importőreinek csak korlátozottabb kötelezettségeik vannak, ők azt kötelesek ellenőrizni, hogy a szolgáltató elvégezte-e a megfelelőségértékelést, elkészítette-e a műszaki dokumentációt, van-e CE jelölés, EU megfelelőségi nyilatkozat és használati utasítás, továbbá fel kell tüntetniük a kereskedelmi nevüket, védjegyüket az AI rendszeren, meg kell őrizniük a tanúsítványt, a használati útmutatót és az EU megfelelőségi nyilatkozatot.

A nagy kockázatú AI rendszerek forgalmazóinak ellenőriznie kell, hogy az importőr feltüntetésre került-e, megvan-e az EU megfelelőségi nyilatkozat és a használati utasítás.

A nagy kockázatú AI rendszerek alkalmazóinak az a kötelezettsége, hogy a használati útmutatónak megfelelően használják az AI rendszert, emberi felügyeletet biztosítsanak az AI rendszer működése során, megőrizzék a naplókat és biztosítsák, hogy a bemeneti adatok relevánsak és reprezentatívak, jó minőségűek legyenek.

A fenti követelményeken felül további tájékoztatási kötelezettségek vonatkoznak a virtuális asszisztensekre, chatbotokra, személyre szabott ajánlórendszerekre, diagnosztikai eszközökre, szintetikus tartalmat létrehozó AI rendszerekre, érzelemfelismerő AI rendszerekre és deepfake-et létrehozó AI megoldásokra.

2027. augusztus 1.: AI mint egyes termékek biztonsági alkotórésze

Ha az AI rendszert bizonyos EU jogszabályok hatálya alá tartozó termék biztonsági alkotórészeként kívánják használni, vagy az AI rendszer önmagában ilyen termék, akkor egyben nagy kockázatú AI-nak is minősül.

Ide tartoznak például a játékok, hobby vízi járművek, liftek, orvostechnikai eszközök, légi járművek, gépjárművek és egyéb motoros és nem motoros járművek, vasút. Ezekre ugyanazok a kötelezettségek vonatkoznak, mint a többi nagy kockázatú AI rendszerre azzal, hogy itt a megfelelést a termékgyártónak kell teljesítenie, és csak 2027. augusztus 1.-ig.

Címlapfotó: stock.adobe.com | Licenc: FinTech Group Kft.

Címkék: