Az Európai Unió új AI szabályozása 2. rész: a nagy kockázatú és az általános célú AI rendszerekre vonatkozó új szabályok

CMS AI Academy cikksorozatunk második részében azokat a szabályokat járjuk körbe, amelyek a nagy kockázatú AI rendszerekre és az általános célú AI rendszerekre vonatkoznak.

A cikksorozat első részben már érintettük az EU AI Act hatályát, a tiltott AI rendszereket, ezekről itt olvashat bővebben. 

Milyen AI rendszerek minősülnek nagy kockázatúnak? 

Általánosságban nagy kockázatúnak azok az AI rendszerek minősülnek, amelyek jelentős kockázatot jelentenek természetes személyek egészségére, biztonságára vagy alapvető jogaira, többek között azáltal, hogy lényegesen befolyásolják a döntéshozatalt. 

Az AI Act III. melléklete tartalmazza azon AI rendszerek listáját, amelyeket minden esetben nagy kockázatúnak kell tekinteni. Ha egy szolgáltató úgy ítéli meg, hogy a rendelet mellékletében felsorolt AI rendszer mégsem nagy kockázatú, akkor külön értékelést kell készítenie dokumentáltan erről, és ebben az esetben is be kell jelentenie az AI rendszert az EU AI nyilvántartásba. 

Az AI rendszerek közül nagy kockázatúnak minősülnek az alábbiak: 

• Ha az AI Rendszert bizonyos EU jogszabályok hatálya alá tartozó termék biztonsági alkatrészeként kívánják használni, vagy az AI rendszer önmagában ilyen termék. Ide tartoznak például a játékok, hobby vízi járművek, liftek, orvostechnikai eszközök, légi járművek, gépjárművek és egyéb motoros és nem motoros járművek, vasút. 

• Távoli biometrikus azonosító rendszerek, amik nem hoznak döntést automatikusan. 

• Érzelemfelismerő AI rendszerek (kivéve munkahelyen és oktatásban, mert ott tiltott). 

• Biztonsági alkatrészként használt AI rendszerek kritikus digitalis infrastruktúrák, közúti forgalom, közmű szolgáltatások irányításában és működtetésében (például AI vezérelt közlekedési lámpák, AI-val irányított villamos energia szolgáltatás). 

• Oktatásban AI rendszerek használata felvételi során, tanulási eredmények értékelésében, oktatás színvonalának felmérésében, vizsgákon tiltott tanulói magatartás észlelésében, megfigyelésében. 

• Foglalkoztatásban AI használata a kiválasztásban, toborzásban, előléptetések, munkaviszony megszüntetés során, teljesítményértékelésben, magatartás megfigyelésében. 

• AI használata alapvető magán- és közszolgáltatásokhoz való hozzáférés és igénybe vétel elbírálásában (például sürgősségi ellátásban triázsolás AI-vel, egészség- és életbiztosításban kockázatértékeléshez, árazáshoz; természetes személyek hitel scoringja során; állami közszolgáltatásokhoz való hozzáférésben, jogosultság elbírálásában). 

• Bűnüldözési célú AI használata, például bűncselekmény áldozatává válás előrejelzése, poligráf, bizonyítékok megbízhatóságának értékelése, bűncselekmények felderítése, profilalkotás. 

• AI migrációban, menekültügyben, határigazgatásban. 

• AI az igazságszolgáltatásban és a demokratikus folyamatokban (például választások, népszavazásokon eredmény megállapításához).  

Milyen kötelezettségeik vannak a nagy kockázatú AI rendszerek szolgáltatóinak, forgalmazóinak, importőreinek és alkalmazóinak? 

A nagy kockázatú AI rendszerek szolgáltatóinak sokféle kötelezettséget ír elő az új EU AI Act. Fő kötelezettségként kockázatkezelési rendszert kell létrehozni, fenntartani és dokumentálni. 

A kockázatkezelési rendszer részeként az alábbi fő intézkedéseket kell megtennie az AI rendszer szolgáltatójának:  

• Kockázatértékelés: a nagy kockázatú AI rendszerekre kockázatértékelést kell végezni és dokumentálni, és ezen kockázatértékelés alapján megfelelő kockázatcsökkentési intézkedéseket kell alkalmazni, már a tervezés és fejlesztés során, beépítetten, a nem csökkenthető/nem megszüntethető kockázatokat pedig folyamatosan ellenőrizni kell. 

• Tesztelés: a nagy kockázatú AI rendszereket rendszeresen tesztelni kell. 

• Megfelelő minőségű adatok: megbízható, reprezentatív, kiegyensúlyozott, teljes, hibamentes és sokszínű adatkészleteket kell biztosítani az AI rendszer tanítására, validálására és tesztelésére, amelyek figyelembe veszik a földrajzi, kontextuális, magatartási és funkcionális környezetet, amelyben működnek, amelyet adatvédelmi intézkedésekkel védeni kell és biztosítani kell, hogy az AI rendszer működése ne legyen diszkriminatív, előítéletes. 

• Műszaki dokumentáció: az AI rendszer szolgáltatója köteles műszaki dokumentációt készíteni a forgalomba vagy üzembe helyezés előtt a rendeletben meghatározott kötelező tartalommal. 

• Naplózás: az AI rendszerek működését a szolgáltató köteles folyamatosan naplózni és meg kell őrizni az automatikusan generált naplókat legalább 6 évig. 

• Átláthatóság, tájékoztatás: az AI rendszer szolgáltatója köteles úgy kialakítani az AI rendszert, hogy működése átlátható legyen és használati útmutatót kell készíteni az AI rendszer alkalmazói számára. 

• Emberi felügyelet: Az AI rendszer szolgáltatója köteles úgy fejleszteni, kialakítani az AI rendszert, hogy működése folyamatosan emberi erőforrással felügyelhető legyen és az AI rendszer működését emberi beavatkozással le lehessen állítani, vagy abba be lehessen avatkozni. 

• Pontosság, kiberbiztonság: A nagy kockázatú MI-rendszereket úgy kell megtervezni és fejleszteni, hogy megfelelő szintű pontosságot, stabilitást és kiberbiztonságot érjenek el, és ezek tekintetében teljes életciklusuk során következetesen teljesítsenek. 

• Minőségirányítási rendszer: a nagy kockázatú AI rendszer szolgáltatójának minőségirányítási rednszerrel kell rendelkezniük a rendelet szabályainak megfelelően. 

• Dokumentáció: az AI rendszer dokumentációját 10 évig meg kell őrizni. 

• Megfelelőségértékelés: a forgalomba helyezés, üzembe helyezés előtt le kell folytatni az AI rendszerre a megfelelőségértékelési eljárást és EU- megfelelőségi nyilatkozatot kell kiadni, valamint elk ell helyezni a CE-jelölést az AI rendszer csomagolásán, illetve dokumentációjában. 

• Nyilvántartásba vétel: a nagy kockázatú AI rendszert  a szolgáltató köteles bejelenteni az EU AI nyilvántartásba. 

• Akadálymentesítés: meg kell feleni az EU-s akadálymentesítési követelményeknek is. 

A nagy kockázatú AI rendszerek importőreinek csak korlátozottabb kötelezettségeik vannak, ők azt kötelesek ellenőrizni, hogy a szolgáltató elvégezte-e a megfelelőségértékelést, elkészítette-e a műszaki dokumentációt, van-e CE jelölés, EU megfelelőségi nyilatkozat és használati utasítás, továbbá fel kell tüntetniük a kereskedelmi nevüket, védjegyüket at AI rendszeren, meg kell őrizniük a tanúsítványt, a használati útmutatót és az EU megfelelőségi nyilatkozatot.  

A nagy kockázatú AI rendszerek forgalmazóinak ellenőriznie kell, hogy az importőr feltüntetésre került-e, megvan-e az EU megfelelőségi nyilatkozat és a használati utasítás. 

 A nagy kockázatú AI rendszerek alkalmazóinak az a kötelezettsége, hogy a használati útmutatónak megfelelően használják az AI rendszert, emberi felügyeletet biztosítsanak az AI rendszer működése során, megőrizzék a naplókat és biztosítsák, hogy a bemeneti adatok relevánsak é, reprezentatívak, jó minőségúek legyenek. 

A fenti követelményeknek való megfelelésre az AI Act 2 éves időtartamot biztosít.  

Speciális követelmények egyes nagy kockázatú AI modellekre 

A fenti követelményeken felül további tájékoztatási kötelezettségek vonatkoznak a virtuális asszisztensekre, chatbotokra, személyre szabott ajánlórendszerekre, diagnosztikai eszközökre, szintetikus tartalmat létrehozó AI rendszerekre, érzelemfelismerő AI rendszerekre és deefake-et létrehozó AI megoldásokra. 

Mi az általános célú AI rendszer, és milyen külön szabályok vonatkoznak rá? 

Az olyan AI modellek szolgáltatóinak, amelyek sokféle feladat ellátására képesek, és sokféle rendszerbe integrálhatók (általános célú AI modellek – GPAI), külön kötelezettségeknek kell eleget tenniük. Így például a műszaki dokumentáció tartalmára külön szabályok vonatkoznak, külön információt és dokumentációt kell biztosítani azok számára, akik a GPAI modellt be kívánják építeni alkalmazásukba, szerzői jogi szabályzattal kell rendelkezniük a modell tanításához használt tartalomhoz részletes összefoglalót kell készíteniük. 

Szankciók az AI Act megsértése esetén 

Az EU AI Act megsértése esetén magas bírságokra számíthatnak a szolágltatók, importőrök, forgamazók és alkalmazók is. Tiltott AI használatáért kiszabható bírság maximuma 35 millió euro, vagy az éves globális árbevétel 7%-a, AZ AI Act egyéb megsértéséért és a GPAI-ra vonatkozó szabályok megsértéséért 15 millió euro bírság szabható ki, vagy az éves globális árbevétel 3%-a a maximális bírságösszeg. A félrevezető információk közléséért kiszabható bírság maximuma az éves globális árbevétel 1%-a vagy 7,5 millió euro. 

A cikk szerzői:

• dr. Petrányi Dóra  Partner – a CMS Globális Technológia-, Média- és Telekommunikációs Csoportjának Társvezetője
• dr. Horváth Katalin Partner –  CMS Technológia, Média és Telekommunikáció

 

 

---