Indító blogbejegyzésemben hírül adtam, hogy elkészült a mesterséges intelligencia szabályozását célzó átfogó EU-s rendeletszöveg. Ígéretet tettem, hogy a kódex rendelkezéseit részleteiben ismertetem, és – csak az érdekesség kedvéért – közben a korábbi, MI-ről szóló blogbejegyzés-sorozat előrejelzéseinek helyességét is ellenőrzöm. A sorozat első részében azt jártam körbe, hogy hogyan definiálja a kódex az MI-t. Ebben a második részben a kódex hatályának kérdésével foglalkozom: kikre, milyen szervezetekre, szereplőkre, (személyi hatály) és milyen rendszerekre (tárgyi hatály) vonatkozik a jogszabály.
A kódex hatálya
A rendelet nemcsak az MI rendszereket fejlesztő cégekre és az ezeket forgalomba hozókra vonatkozik, hanem személyi hatálya kiterjed az üzembe helyezőkre és a felhasználókra is. Miről van szó? Ha például egy igazágügyi területen működő rendszerről beszélünk – tegyük fel, egy határrendészetben használt, drónra szerelt képi felismerő rendszerről –, akkor a rendszer fejlesztője, a rendszert installáló, konfiguráló, (üzembe helyező) cég és a határrendészeti szerv egyaránt köteles lesz a kódex szabályait betartani. Természetesen ez nem azt jelenti, hogy minden szabály mindenkire vonatkozik. A 16–29. cikkek például kifejezetten olyan kötelezettségeket tartalmaznak, amelyek csak a szolgáltatókra és a felhasználókra, vagy esetleg kizárólag csak a rendszerek felhasználóira vonatkoznak.
A személyi körön kívül fontos, hogy mennyiben vonatkoznak a szabályok az EU-n kívül letelepedett cégekre, jogalanyokra. Fontos, hogy a forgalomba hozók és az üzembe helyezők esetén a szabályok az EU-n kívüli cégekre is vonatkoznak, míg főszabály szerint a felhasználók esetén csak az EU-n belüli felhasználókra. Kivétel azonban az az eset, amikor a felhasználó is az EU-n kívüli, de „a rendszer által előállított kimenetet” az EU-ban használják. Ilyen eset például az, amikor egy EU-n kívüli bank (mint felhasználó) egy hitelbírálatot végző MI javaslatát EU-s polgárokra vonatkozóan használja fel.
A rendelet tárgyi hatálya (milyen rendszerekre vonatkozik) már szorosan összefügg a következő blogbejegyzésekben taglalt különböző kockázati besorolású MI-kel. A rendelet szerint az MI-ket három kategóriába kell sorolni: a tiltott, a magas kockázatú és a „normál” MI kategóriáiba, amelyeken belül azonban további alkategóriák vannak. A meglehetősen bonyolult rendszer táblázatos formában így néz ki:
Kategória | Alkategória | Al-alkategória | Definíció, felsorolás helye | Példa | Mi vonatkozik rá? |
Tiltott MI-k | – | – | 5. cikk | Tudatalatti manipulációt megvalósító MI-k | Teljes jogszabály |
Nagy kockázatú MI-k | Termékek | Nagyon magas kockázatú termékek | 2 (2) cikk ; II. melléklet B. szakasz | Légijárművek | csak 84. cikk |
Nagy kockázatú MI-k | – | Alacsonyabb kockázatú termékek | II. melléklet A. szakasz | Gépek, játékok biztonsági rendszerei | Teljes jogszabály |
Nagy kockázatú MI-k | Egyéb rendszerek | 6(2) cikk; III. melléklet | Biometrikus azonosító rendszerek | Teljes jogszabály | |
Egyéb MI-k | Tájékoztatási kötelezettséggel együttjáró MI-k | 52. cikk | Chatbotok | csak 52. cikk | |
Egyéb MI-k | A jogszabály által nem érintett MI-k | – | – | Minden egyéb MI (pl. platformok rendező algoritmusai) | – |
A tiltott kategória a legegyszerűbb eset, ez egy négyes felsorolás, amelyet a következő blogbejegyzésben részletezek majd.
Jóval komplikáltabb a helyzet a nagy kockázatú rendszerekkel, amelyek két fő kategóriát tartalmaznak: az egyébként is az uniós jogharmonizáció hatálya alá tartozó termékeket (mint például a gépek, a játékok, a légijárművek és a járművek, a vasúti járművek és a mezőgazdasági gépek), és a külön mellékletben felsorolt „egyéb” szoftvereket és rendszereket.
Hogy a helyzet még kacifántosabb legyen, a termékeken belül is két kategória van. Az első termékkategória hét termékcsoportot tartalmaz, ezek a legveszélyesebb és a korábban is igen részletes termékmegfelelőségi szabályokkal „sújtott” termékek, mint az autók vagy a repülőgépek. Ezekre a kódex lényegében nem vonatkozik, hiszen a 2. cikk (2) bekezdése szerint csak a Bizottság által végzett értékelés és felülvizsgálat szabályait (84. cikk) kell rájuk alkalmazni. A második termékkategóriára (a „sima” gépektől a játékokon keresztül az orvosdiagnosztikai eszközökig) azonban a kódex minden rendelkezését alkalmazni kell.
A kockázatos kategória második alkategóriája tehát az „egyéb” MI rendszereket foglalja magába. IIyenek például a természetes személyek biometrikus azonosítására és kategorizálására használt rendszerek, a kritikus infrastruktúrák, (pl. közművek) működtetésében használt rendszerek, az oktatásban, a foglalkoztatás egyes területein, bizonyos magánszolgáltatásokhoz, így a banki hitelbírálathoz használt rendszerek és minden MI rendszer a bűnüldözés, a migrációkontroll és az igazságszolgáltatás területén.
Végezetül a nem kockázatos rendszereket ismét két kategóriára lehet bontani: azokra, amelyek esetén bizonyos minimális átláthatósági (tájékoztatási) kötelezettsége áll fenn a (jellemzően) üzembentartóknak, és a teljesen szabályozatlan rendszerekre. (Természetesen a kódex kontextusában szabályozatlan, más szabályok vonatkozhatnak rájuk!)
Az előbbibe tartoznak az ügyfelekkel közvetlenül kapcsolatban álló rendszerek, például a chatbotok, amelyek esetén az ügyfeleket tájékoztatni kell, hogy géppel állnak kapcsoltban, de ebbe a kategóriába esnek az ún. deepfake videók is, amelyeknek „magukról” közölniük kell, hogy tartalmuk hamis vagy manipulált.