Komisja Europejska opublikowała projekt wytycznych dotyczących zakazanych praktyk w sztucznej inteligencji. Dokument ten dostarcza wskazówek w zakresie praktycznego stosowania przepisów Aktu o sztucznej inteligencji, jednak nie ma mocy wiążącej. Jakie są kluczowe założenia wytycznych i co oznaczają one dla firm korzystających z AI?

Nowe wytyczne KE w zakresie zakazanych praktyk AI

Dnia 4 lutego 2025 r. Komisja Europejska opublikowała projekt wytycznych dotyczących praktycznego wdrażania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. (Aktu o sztucznej inteligencji, AI Act) w zakresie zakazanych praktyk w stosowaniu systemów sztucznej inteligencji, o których mowa w art. 5 (art. 96 ust. 1 lit. b) AI Act.

Czym jest Akt o sztucznej inteligencji?

Akt o sztucznej inteligencji (AI Act) wszedł w życie 1 sierpnia 2024 r., wprowadzając jednolite przepisy dotyczące wprowadzania do obrotu, wdrażania i stosowania sztucznej inteligencji w Unii Europejskiej. Regulacja ta ma na celu wspieranie innowacji oraz zapewnienie wysokiego poziomu ochrony zdrowia, bezpieczeństwa i praw podstawowych, w tym demokracji i praworządności.

AI Act wprowadza podejście oparte na ryzyku, klasyfikując systemy AI według stopnia zagrożenia. Szczególnie istotne są praktyki uznane za niedopuszczalne, które na mocy art. 5 są całkowicie zakazane.

Zakres nowych wytycznych Komisji Europejskiej

Projekt wytycznych ma na celu zwiększenie przejrzystości prawa i ułatwienie interpretacji przepisów. Dokument koncentruje się na praktykach takich jak:

  • nieetyczna manipulacja,
  • punktowe ocenianie społeczne,
  • zdalna identyfikacja biometryczna w czasie rzeczywistym.

Wytyczne zawierają wyjaśnienia prawne oraz praktyczne przykłady, które pomagają firmom dostosować swoje działania do wymagań AI Act.

Lista zakazanych praktyk AI w UE: Co dokładnie jest nielegalne według Art. 5?

Przepisy dotyczące zakazanych praktyk, obowiązujące od lutego 2025 roku, nie są przypadkowym zbiorem reguł. Łączy je wspólny mianownik: ochrona ludzkiej autonomii, godności i praw podstawowych przed najbardziej inwazyjnymi formami technologicznego nadzoru i manipulacji. AI Act pozycjonuje się w ten sposób jako regulacja chroniąca obywatela, a nie wyłącznie ograniczająca biznes. Artykuł 5 wymienia osiem kategorii praktyk, które stwarzają niedopuszczalne ryzyko i są bezwzględnie zakazane na terenie Unii Europejskiej.  

1. Manipulacja podprogowa i techniki wprowadzające w błąd

Definicja: Zakazane jest wprowadzanie do obrotu, oddawanie do użytku lub wykorzystywanie systemów AI, które stosują techniki podprogowe, będące poza świadomością danej osoby, lub celowe techniki manipulacyjne bądź wprowadzające w błąd. Celem lub skutkiem takich działań musi być dokonanie znaczącej zmiany zachowania osoby w sposób, który wyrządza lub może wyrządzić tej osobie, innej osobie lub grupie osób poważną szkodę.

Przykłady:

  • Systemy reklamowe emitujące w treściach wideo lub audio niesłyszalne dla ludzkiego ucha komunikaty, które mają skłonić konsumentów do nieświadomego zakupu produktu.  
  • Interfejsy użytkownika w aplikacjach finansowych (tzw. „dark patterns”) zaprojektowane przez AI w taki sposób, aby celowo utrudniać podjęcie świadomej decyzji i nakłaniać do wyboru mniej korzystnych opcji kredytowych.  
  • Zaawansowany monitor zdrowia, który za pomocą niesłyszalnych bodźców skłania użytkownika do częstszego korzystania z płatnych funkcji premium.

2. Wykorzystywanie słabości wrażliwych grup osób

Definicja: Zakaz dotyczy systemów AI, które wykorzystują słabości osoby fizycznej lub określonej grupy osób ze względu na ich wiek, niepełnosprawność lub szczególną sytuację społeczną lub ekonomiczną. Podobnie jak w poprzednim punkcie, celem lub skutkiem musi być znacząca zmiana zachowania prowadząca do poważnej szkody. 

Przykłady:

  • Aplikacje pożyczkowe, które za pomocą AI identyfikują i targetują osoby w trudnej sytuacji finansowej, oferując im produkty o nieproporcjonalnie wysokim oprocentowaniu.  
  • Systemy sprzedażowe, które celowo wykorzystują mniejszą biegłość cyfrową osób starszych, aby wprowadzić je w błąd i skłonić do dokonania niekorzystnych zakupów.  
  • Gry online skierowane do dzieci, wykorzystujące mechanizmy AI do maksymalizacji zaangażowania i nakłaniania do mikropłatności w sposób wykorzystujący ich niedojrzałość.

3. Ocena społeczna (Social Scoring)

Definicja: Zakazane jest wykorzystywanie systemów AI na potrzeby oceny lub klasyfikacji osób fizycznych lub grup osób na podstawie ich zachowania społecznego lub znanych bądź przewidywanych cech osobistych. Zakaz ma zastosowanie, gdy taka ocena (scoring) prowadzi do krzywdzącego lub niekorzystnego traktowania w kontekstach społecznych, które nie są związane z pierwotnym celem zbierania danych.  

Przykłady:

  • System państwowy, który na podstawie analizy aktywności obywatela w mediach społecznościowych, jego kontaktów czy historii zakupów, przyznaje mu punkty wpływające na dostęp do usług publicznych, edukacji czy opieki zdrowotnej.  
  • System bankowy, który odmawia kredytu nie tylko na podstawie danych finansowych, ale również na podstawie oceny „wiarygodności społecznej” wygenerowanej przez AI na podstawie danych pozyskanych z internetu.  

4. Zdalna identyfikacja biometryczna w czasie rzeczywistym w przestrzeni publicznej

Definicja: Co do zasady, zakazane jest wykorzystywanie przez organy ścigania systemów zdalnej identyfikacji biometrycznej „w czasie rzeczywistym” (np. rozpoznawania twarzy) w przestrzeniach publicznie dostępnych.  

Wyjątki: Prawo przewiduje bardzo wąskie i ściśle regulowane wyjątki od tego zakazu. Użycie takich systemów jest dopuszczalne tylko wtedy, gdy jest to bezwzględnie konieczne do osiągnięcia jednego z celów: ukierunkowanego poszukiwania ofiar przestępstw (np. porwań), zapobiegania konkretnemu i bezpośredniemu zagrożeniu terrorystycznemu lub lokalizowania sprawców poważnych przestępstw. Kluczowe jest, że wyjątki te nie mają zastosowania do celów komercyjnych.  

5. Tworzenie baz danych przez scraping wizerunków twarzy

Definicja: Zakazane jest wprowadzanie do obrotu, oddawanie do użytku lub wykorzystywanie systemów AI, które tworzą lub rozbudowują bazy danych służące rozpoznawaniu twarzy poprzez nieukierunkowane pozyskiwanie (tzw. scraping) wizerunków twarzy z internetu (np. z mediów społecznościowych) lub nagrań z telewizji przemysłowej (CCTV).  

Przykłady:

  • Działalność firm, które budują globalne bazy danych wizerunków poprzez masowe pobieranie zdjęć profilowych z portali społecznościowych bez zgody użytkowników, jest w UE nielegalna.  
  • Firma, która chciałaby wykorzystać taką technologię do weryfikacji tożsamości swoich klientów lub tworzenia ich profili ryzyka na podstawie zdjęć z internetu, naruszyłaby ten zakaz.  

6. Rozpoznawanie emocji w miejscu pracy i edukacji

Definicja: Zakazane jest wykorzystywanie systemów AI do wyciągania wniosków na temat emocji osoby fizycznej w miejscu pracy lub w instytucjach edukacyjnych.  

Wyjątki: Zakaz nie ma zastosowania, gdy system jest wdrażany ze względów medycznych (np. w celach terapeutycznych) lub bezpieczeństwa.  

Przykłady:

  • Oprogramowanie monitorujące mimikę i ton głosu pracowników call center w celu oceny ich zaangażowania lub poziomu stresu.  
  • Systemy wbudowane w platformy e-learningowe, które analizują twarze studentów podczas egzaminów online, aby rzekomo wykrywać oszustwa na podstawie ich emocji.  

7. Kategoryzacja biometryczna na podstawie danych wrażliwych

Definicja: Zakazane jest wykorzystywanie systemów kategoryzacji biometrycznej, które indywidualnie kategoryzują osoby fizyczne w oparciu o ich dane biometryczne (np. wizerunek twarzy, głos), aby wydedukować lub wywnioskować informacje na temat ich rasy, poglądów politycznych, przynależności do związków zawodowych, przekonań religijnych lub światopoglądowych, życia seksualnego lub orientacji seksualnej.  

Przykłady:

  • System reklamowy, który na podstawie analizy wizerunku twarzy automatycznie przypisuje użytkownika do określonej grupy etnicznej lub o określonych poglądach politycznych w celu targetowania spersonalizowanych reklam politycznych.  
  • Aplikacja telemedyczna, która podczas wideokonsultacji analizuje wygląd pacjenta i przekazuje lekarzowi automatycznie wywnioskowane dane wrażliwe, mogące wpłynąć na jego osąd.  

8. Prognozowanie ryzyka popełnienia przestępstwa (predictive policing)

Definicja: Zakazane jest wykorzystywanie systemów AI do przeprowadzania ocen ryzyka w odniesieniu do osób fizycznych, by ocenić lub przewidzieć ryzyko popełnienia przez nie przestępstwa, wyłącznie na podstawie profilowania tej osoby lub oceny jej cech osobistych lub cech osobowości.  

Przykłady:

  • Algorytm policyjny, który na podstawie takich danych jak miejsce zamieszkania, pochodzenie etniczne, historia zatrudnienia czy krąg znajomych, klasyfikuje daną osobę jako „potencjalnego przestępcę” i kieruje na nią wzmożone działania prewencyjne organów ścigania. 

Sankcje za stosowanie zakazanych technologii AI: Jakie kary finansowe grożą firmom?

AI Act wprowadza jeden z najbardziej rygorystycznych reżimów sankcji finansowych w historii globalnych regulacji technologicznych. Struktura kar, opierająca się na wysokich progach kwotowych lub znaczącym procencie od globalnego rocznego obrotu, jest bezpośrednim nawiązaniem do modelu znanego z RODO (GDPR). To wyraźny sygnał, że Unia Europejska stosuje spójną i długoterminową strategię regulacyjną, której celem jest skuteczne odstraszanie od naruszeń poprzez dotkliwe konsekwencje finansowe. Dla przedsiębiorstw oznacza to, że zgodność z regulacjami cyfrowymi musi stać się centralnym elementem strategii zarządzania ryzykiem korporacyjnym.

Za naruszenie zakazów określonych w Artykule 5 AI Act, czyli za wprowadzanie na rynek lub stosowanie systemów o niedopuszczalnym ryzyku, grożą najwyższe możliwe kary.

Rodzaj NaruszeniaMaksymalna Kara PieniężnaMaksymalny Procent Obrotu
Stosowanie zakazanych praktyk (Art. 5)35 000 000 EUR7% całkowitego rocznego światowego obrotu
Niezgodność systemu wysokiego ryzyka z obowiązkami15 000 000 EUR3% całkowitego rocznego światowego obrotu
Podanie nieprawdziwych lub wprowadzających w błąd informacji7 500 000 EUR1% całkowitego rocznego światowego obrotu

Kto odpowiada za wdrożenie zakazów AI w firmie? Podział obowiązków

AI Act odchodzi od modelu, w którym cała odpowiedzialność spoczywa na jednym podmiocie. Zamiast tego tworzy łańcuch obowiązków i współodpowiedzialności, który obejmuje wszystkich uczestników cyklu życia systemu AI – od jego twórcy po końcowego użytkownika biznesowego.  

Kluczowe role zdefiniowane w rozporządzeniu to:

  • Dostawca: Podmiot, który opracowuje system AI i wprowadza go na rynek unijny pod własną nazwą lub znakiem towarowym. Dostawca ponosi największą odpowiedzialność za zapewnienie zgodności systemu z prawem już na etapie projektowania, w tym za przeprowadzenie oceny zgodności, przygotowanie dokumentacji technicznej i wdrożenie systemu zarządzania ryzykiem.  
  • Podmiot Stosujący: Każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot wykorzystujący system AI na własną odpowiedzialność w ramach swojej działalności zawodowej. Obowiązki podmiotu stosującego obejmują m.in. używanie systemu zgodnie z instrukcją, zapewnienie odpowiedniego nadzoru ludzkiego, monitorowanie działania systemu oraz, w przypadku niektórych systemów wysokiego ryzyka, przeprowadzenie oceny skutków dla praw podstawowych (FRIA).  
  • Importer i Dystrybutor: Podmioty te działają jako pośrednicy w łańcuchu dostaw. Importer wprowadza na rynek UE system AI pochodzący z państwa trzeciego, a dystrybutor udostępnia go na rynku. Ich głównym obowiązkiem jest weryfikacja, czy dostawca dopełnił swoich kluczowych obowiązków formalnych, np. czy system posiada oznakowanie CE i wymaganą dokumentację.  

Z tego podziału ról wynika fundamentalna konsekwencja dla biznesu: odpowiedzialności za zgodność z AI Act nie da się w pełni outsourcować. Nawet jeśli firma kupuje gotowe rozwiązanie AI od renomowanego zewnętrznego dostawcy, jako „podmiot stosujący” nadal ponosi znaczącą, odrębną odpowiedzialność za jego prawidłowe wdrożenie, nadzór i wykorzystanie. Ignorowanie tej współodpowiedzialności stanowi poważne ryzyko prawne i finansowe. Taka konstrukcja prawna wymusza na przedsiębiorstwach przeprowadzanie dogłębnej analizy due diligence swoich partnerów technologicznych oraz uwzględnianie klauzul zgodności z AI Act w umowach handlowych, co ma znaczący wpływ na procesy zakupowe i działy prawne.

Czy wytyczne są wiążące?

Komisja Europejska zatwierdziła projekt wytycznych, ale nie przyjęła ich jeszcze formalnie. Oznacza to, że nie są one prawnie wiążące, a autorytatywne interpretacje przepisów AI Act są zastrzeżone dla Trybunału Sprawiedliwości Unii Europejskiej (TSUE).

Wytyczne Komisji Europejskiej są jednak istotnym wsparciem dla firm, pomagając w interpretacji obowiązujących regulacji oraz wdrażaniu sztucznej inteligencji zgodnie z przepisami UE.

Podsumowanie

Wytyczne Komisji Europejskiej dotyczące zakazanych praktyk AI mają kluczowe znaczenie dla firm wdrażających rozwiązania oparte na sztucznej inteligencji. Choć nie są prawnie wiążące, stanowią cenny materiał pomocniczy. Organizacje wykorzystujące AI powinny na bieżąco śledzić rozwój prawa i dostosowywać swoje działania do nadchodzących regulacji.

Sprawdź pełne wytyczne:

https://ec.europa.eu/newsroom/dae/redirection/document/112366

https://ec.europa.eu/newsroom/dae/redirection/document/112367

Skontaktuj się z nami już dziś!