2024.07.30.

Megérkezett az EU AI rendelete: kinek, mit és meddig kell teljesítenie?

Kategóriák:

Hazai és EU-s jogszabályok | mesterséges intelligencia | Összes hír | Szabályozás

Az Európai Parlament és a Tanács 2024/1689 rendelete a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról (AI Act) 2024. július 12-én került publikálásra az EU Hivatalos Lapjában, és 2024. augusztus 1. napján lép hatályba.

Dr. Horváth Katalin, a CMS Hungary Ügyvédi Iroda technológiai, banktech partnere átfogó szakmai cikkben mutatta be az AI rendelet legfontosabb pilléreit.

Az új AI Act fokozatosan lesz majd alkalmazandó, lépésekben kell majd eljutni a teljes megfelelésig. Nézzük, hogy mikor, kinek, milyen megfelelési lépéseket kell megtennie a következő 3 évben:

Forrás: A CMS Hungary és a FinTechZone szerkesztése

2025. február 1.: tiltott AI és AI jártasság

Az első bűvös szám, amit meg kell jegyezni az AI Act-el kapcsolatban, az a 6 hónapos határidő, amely 2025. február 1. napján jár le. Eddig a napig kell felmérniük az AI-t alkalmazó vagy szolgáltató cégeknek, hogy:

az alkalmazott/fejlesztett szoftverek, megoldások közül melyik minősül az AI Act szerinti AI rendszernek (már ez az alapvető kérdés is bizonytalanságokhoz vezet); és
ha van ilyen AI rendszerük, akkor az a rendelet szerinti tiltott AI-nak minősül-e; és
ha véletlenül tiltott AI kategóriájába esik, akkor február 1-ig meg kell szüntetni annak használatát, fejlesztését, forgalmazását; és
biztosítani kell, hogy a cég munkatársai megfelelő jártassággal rendelkeznek az AI használatában, vagyis képzést kell részükre biztosítani, hogy megismerjék az AI lehetőségeit, kockázatait és az általuk okozható károkat (AI jártasság).

A fenti kötelezettség eldöntéséhez fontos tudni, mi minősül tiltott AI-nak: főszabály szerint azok, amelyek alapvető jogokat sértenek. Ide tartoznak az alábbiak:

mindazon technikák, például videók, hangok, amik szubliminális vagy célzottan manipulatív, megtévesztő technikákat alkalmaznak és ezáltal jelentősen gyengítik a döntéshozatali képességet (például politikai véleményt, vásárlási szokásokat);
azok az AI megoldások, amik kihasználják személyek vagy csoportok sebezhetőségét, például betegségét, életkorát, szociális vagy gazdasági helyzetét, és jelentős károsodást okoznak vagy okozhatnak;
social scoring;
bűncselekmény elkövetését előrejelző AI, amely profilozza, értékeli ilyen szempontból a természetes személyeket;
arcfelismerő adatbázisokat létrehozó AI rendszerek, ahol az arcképek internetről vagy zártláncú CCTV felvételekből származnak;
érzelemfelismerő AI rendszerek munkahelyen és oktatási intézményekben;
biometria alapú kategorizálási rendszerek arra, hogy kikövetkeztessék valakinek a faji hovatartozását, politikai véleményét, egyéb különleges adatait;
valós idejű távoli biometrikus azonosító rendszerek használata a nyilvánosság számára hozzáférhető helyeken bűnüldözési célokból.

2025. augusztus 1.: GPAI és rendszerszintű kockázat

Egy év áll rendelkezésre arra, hogy az általános célú AI rendszerek (General Purpose AI – GPAI) szolgáltatói megvizsgálják, hogy az általuk fejlesztett GPAI rendszerszintű kockázatot jelent-e.

Ehhez először azzal kell tisztába jönni, hogy a fejlesztett AI egy általános célú AI modell-e, vagyis olyan, ami különféle feladatok széles körének elvégzésére képes és többféle rendszerbe integrálható.

Az ilyen GPAI pedig akkor jelent rendszerszintű kockázatot, ha nagy hatású képességekkel rendelkezik, így például, ha a tanításához használt, lebegőpontos műveletekben mért, összesített számítási összege nagyobb, mint 1025, vagy ha az EU Bizottság annak minősíti.

Ha a GPAI ezek alapján rendszerszintű kockázatot jelent, azt ezen egy éves határidőben be kell jelenteni az EU Bizottságnak.

Nem áll meg azonban a bejelentésnél a GPAI szolgáltatók feladata, azt is biztosítaniuk kell, hogy minden, GPAI-ra vonatkozó kötelezettségüknek eleget tettek.

Ide tartozik például a műszaki dokumentáció elkészítése, szerzői jogi belső szabályzat elfogadása, összefoglaló készítése és közzététele a GPAI tanításához használt tartalomról.

Az EU-n kívüli GPAI szolgáltatóknak ki kell nevezniük egy EU-s meghatalmazott képviselőt is.

A rendszerszintű kockázatot jelentő GPAI szolgáltatóknak pedig további kötelezettségeik is vannak: modellértékelést kell végezniük a kockázatok azonosítására, kockázatenyhítő intézkedéseket fogadnak el és kiberbiztonsági intézkedéseket kell bevezetniük.

2026. augusztus 1.: nagy kockázatú AI rendszerek

2026. augusztusától az egész AI Act alkalmazandó lesz, vagyis egyetlen kivétellel a nagy kockázatú AI rendszerek alkalmazóinak, szolgáltatóinak, forgalmazóinak és importőreinek is biztosítania kell addigra a teljes megfelelést.

Ezen időpontot követően pedig az AI Act szerinti szankciók is alkalmazhatók lesznek a kötelezettségek elmulasztása esetén.

Ahhoz, hogy értelmezni lehessen, hogy kire, mire vonatkozik ez a megfelelési szabály, először tudni kell, mikor minősül egy AI rendszer nagy kockázatúnak: általánosságban azok az AI rendszerek tartoznak ide, amelyek jelentős kockázatot jelentenek természetes személyek egészségére, biztonságára vagy alapvető jogaira, többek között azáltal, hogy lényegesen befolyásolják a döntéshozatalt.

Az AI rendszerek közül nagy kockázatúnak minősülnek az alábbiak:

Ha az AI rendszert termék biztonsági alkatrészeként használják, vagy az AI rendszer önmagában ilyen termék.
Távoli biometrikus azonosító rendszerek, amik nem hoznak döntést automatikusan.
Érzelemfelismerő AI rendszerek (kivéve munkahelyen és oktatásban, mert ott tiltott).
Biztonsági alkatrészként használt AI rendszerek kritikus digitális infrastruktúrák, közúti forgalom, közmű szolgáltatások irányításában és működtetésében.
Oktatásban AI rendszerek használata felvételi során, tanulási eredmények értékelésében, oktatás színvonalának felmérésében, vizsgákon tiltott tanulói magatartás észlelésében, megfigyelésében.
Foglalkoztatásban AI használata a kiválasztásban, toborzásban, előléptetések, munkaviszony megszüntetés során, teljesítményértékelésben, magatartás megfigyelésében.
AI használata alapvető magán- és közszolgáltatásokhoz való hozzáférés és igénybe vétel elbírálásában (például sürgősségi ellátásban triázsolás AI-vel, egészség- és életbiztosításban kockázatértékeléshez, árazáshoz; természetes személyek hitel scoringja során; állami közszolgáltatásokhoz való hozzáférésben, jogosultság elbírálásában).
Bűnüldözési célú AI használata, például bűncselekmény áldozatává válás előrejelzése, poligráf, bizonyítékok megbízhatóságának értékelése, bűncselekmények felderítése, profilalkotás.
AI migrációban, menekültügyben, határigazgatásban.
AI az igazságszolgáltatásban és a demokratikus folyamatokban (például választások, népszavazásokon eredmény megállapításához).

Milyen kötelezettségeket kell 2 évben belül teljesítenie a nagy kockázatú AI rendszerek szolgáltatóinak, forgalmazóinak, importőreinek és alkalmazóinak?

A nagy kockázatú AI rendszerek szolgáltatóinak sokféle kötelezettséget ír elő az új EU AI Act. Fő kötelezettségként kockázatkezelési rendszert kell létrehozni, amelynek részeként az alábbi fő intézkedéseket kell megtennie az AI rendszer szolgáltatójának:

Kockázatértékelés: kockázatértékelést kell végezni és dokumentálni, és ezen kockázatértékelés alapján megfelelő kockázatcsökkentési intézkedéseket kell alkalmazni.
Tesztelés: a nagy kockázatú AI rendszereket tesztelni kell.
Megfelelő minőségű adatok: megbízható, reprezentatív, kiegyensúlyozott, teljes, hibamentes és sokszínű adatkészleteket kell biztosítani az AI rendszer tanítására, validálására és tesztelésére, amelyet adatvédelmi intézkedésekkel védeni kell és biztosítani kell, hogy az AI rendszer működése ne legyen diszkriminatív, előítéletes.
Műszaki dokumentáció: az AI rendszer szolgáltatója köteles műszaki dokumentációt készíteni a forgalomba vagy üzembe helyezés előtt a rendeletben meghatározott kötelező tartalommal.
Naplózás: az AI rendszerek működését a szolgáltató köteles folyamatosan naplózni.
Átláthatóság, tájékoztatás: az AI rendszer szolgáltatója köteles úgy kialakítani az AI rendszert, hogy működése átlátható legyen és használati útmutatót kell készíteni az AI rendszer alkalmazói számára.
Emberi felügyelet: Az AI rendszer szolgáltatója köteles úgy fejleszteni az AI rendszert, hogy működése folyamatosan ember által felügyelhető legyen és az AI rendszert emberi beavatkozással le lehessen állítani, vagy abba be lehessen avatkozni.
Pontosság, kiberbiztonság: A nagy kockázatú AI rendszereket úgy kell megtervezni és fejleszteni, hogy megfelelő szintű pontosságot, stabilitást és kiberbiztonságot érjenek el.
Minőségirányítási rendszer: a nagy kockázatú AI rendszer szolgáltatójának minőségirányítási rendszerrel kell rendelkezniük.
Megfelelőségértékelés: a forgalomba helyezés, üzembe helyezés előtt le kell folytatni az AI rendszerre a megfelelőségértékelési eljárást és EU- megfelelőségi nyilatkozatot kell kiadni, valamint el kell helyezni a CE-jelölést az AI rendszer csomagolásán, illetve dokumentációjában.
Nyilvántartásba vétel: a nagy kockázatú AI rendszert a szolgáltató köteles bejelenteni az EU AI nyilvántartásba.
Akadálymentesítés: meg kell feleni az EU-s akadálymentesítési követelményeknek is.

A nagy kockázatú AI rendszerek importőreinek csak korlátozottabb kötelezettségeik vannak, ők azt kötelesek ellenőrizni, hogy a szolgáltató elvégezte-e a megfelelőségértékelést, elkészítette-e a műszaki dokumentációt, van-e CE jelölés, EU megfelelőségi nyilatkozat és használati utasítás, továbbá fel kell tüntetniük a kereskedelmi nevüket, védjegyüket az AI rendszeren, meg kell őrizniük a tanúsítványt, a használati útmutatót és az EU megfelelőségi nyilatkozatot.

A nagy kockázatú AI rendszerek forgalmazóinak ellenőriznie kell, hogy az importőr feltüntetésre került-e, megvan-e az EU megfelelőségi nyilatkozat és a használati utasítás.

A nagy kockázatú AI rendszerek alkalmazóinak az a kötelezettsége, hogy a használati útmutatónak megfelelően használják az AI rendszert, emberi felügyeletet biztosítsanak az AI rendszer működése során, megőrizzék a naplókat és biztosítsák, hogy a bemeneti adatok relevánsak és reprezentatívak, jó minőségűek legyenek.

A fenti követelményeken felül további tájékoztatási kötelezettségek vonatkoznak a virtuális asszisztensekre, chatbotokra, személyre szabott ajánlórendszerekre, diagnosztikai eszközökre, szintetikus tartalmat létrehozó AI rendszerekre, érzelemfelismerő AI rendszerekre és deepfake-et létrehozó AI megoldásokra.

2027. augusztus 1.: AI mint egyes termékek biztonsági alkotórésze

Ha az AI rendszert bizonyos EU jogszabályok hatálya alá tartozó termék biztonsági alkotórészeként kívánják használni, vagy az AI rendszer önmagában ilyen termék, akkor egyben nagy kockázatú AI-nak is minősül.

Ide tartoznak például a játékok, hobby vízi járművek, liftek, orvostechnikai eszközök, légi járművek, gépjárművek és egyéb motoros és nem motoros járművek, vasút. Ezekre ugyanazok a kötelezettségek vonatkoznak, mint a többi nagy kockázatú AI rendszerre azzal, hogy itt a megfelelést a termékgyártónak kell teljesítenie, és csak 2027. augusztus 1.-ig.

Címlapfotó: stock.adobe.com | Licenc: FinTech Group Kft.

Címkék:

AI | AI Act | mesterséges intelligencia

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description