Kodėl AI Act apskritai egzistuoja ir ko jis nori iš jūsų
Europos Sąjunga jau seniai mėgsta reguliuoti. GDPR, NIS2, DORA – sąrašas ilgas. Dabar eilė dirbtinio intelekto. 2024 metų rugpjūtį oficialiai įsigaliojo AI Act – pirmasis pasaulyje išsamus teisinis dokumentas, skirtas dirbtinio intelekto sistemoms reguliuoti. Ir nors daugelis verslininkų vis dar galvoja, kad tai kažkas tolimo ir abstraktaus, realybė tokia: laikrodis jau tiksi.
Pagrindinis AI Act logikos principas – rizika. Reguliavimas nėra vienodas visiems. Kuo didesnė žala, kurią gali padaryti AI sistema, tuo griežtesnės taisyklės. Tai skamba protingai, bet praktikoje reiškia, kad verslas turi suprasti, į kurią rizikos kategoriją patenka jo naudojamos ar kuriamos sistemos. O tai – ne visada akivaizdu.
Svarbu suprasti, kad AI Act taikomas ne tik tiems, kurie kuria AI sistemas. Jis liečia ir tuos, kurie jas naudoja verslo procesuose. Taigi jei jūsų įmonė naudoja automatizuotą CV atranką, kredito sprendimų priėmimo algoritmą ar net tam tikrus chatbotus – esate šio reglamento lauke.
Rizikos kategorijos: nuo draudimų iki laisvos erdvės
AI Act skirsto sistemas į keturias kategorijas. Supaprastintai – nuo „tai visiškai draudžiama” iki „daryk ką nori”. Tarp jų – dvi pilkos zonos, kuriose verslas turės daugiausiai galvos skausmo.
Nepriimtina rizika – tai sistemos, kurios yra tiesiog uždraustos. Čia patenka socialinio reitingavimo sistemos (kaip Kinijoje), biometrinė masinio stebėjimo technologija viešose erdvėse (su tam tikromis išimtimis teisėsaugai), sistemos, manipuliuojančios žmonėmis pasąmoniniais metodais, ir AI, išnaudojantis pažeidžiamas grupes. Jei jūsų verslas kažką panašaus naudoja – laikas rimtai susimąstyti.
Aukšta rizika – čia reikalai įdomesni ir sudėtingesni. Ši kategorija apima sistemas, naudojamas:
- Kritinėje infrastruktūroje (energetika, vandentiekis, transportas)
- Švietime ir profesiniame mokyme (pvz., egzaminų vertinimas)
- Darbo rinkoje (CV atranka, darbuotojų stebėjimas)
- Esminėse viešosiose ir privačiose paslaugose (kredito vertinimas, draudimas)
- Teisėsaugoje ir migracijos valdyme
- Teisingume ir demokratiniuose procesuose
Aukštos rizikos sistemoms taikomi griežti reikalavimai: rizikos valdymo sistema, duomenų kokybės standartai, techninė dokumentacija, žmogaus priežiūra, skaidrumas. Tai ne biurokratija dėl biurokratijos – tai realūs įsipareigojimai, kuriems reikia laiko ir resursų.
Ribota rizika – pavyzdžiui, chatbotai. Čia pagrindinis reikalavimas: vartotojas turi žinoti, kad kalba su AI, ne žmogumi. Skamba paprastai, bet ne visi verslai tai šiandien daro tinkamai.
Minimali rizika – spam filtrai, AI žaidimuose, rekomendacinės sistemos (su tam tikromis išimtimis). Čia reguliavimo beveik nėra, bet savanoriški elgesio kodeksai skatinami.
Bendrosios paskirties AI ir kodėl GPT tipo modeliai – atskira istorija
AI Act turi atskirą skyrių, skirtą vadinamiesiems GPAI (General Purpose AI) modeliams. Tai – didelės kalbos modeliai, multimodaliniai modeliai, iš esmės viskas, ką galima naudoti labai įvairiems tikslams. OpenAI GPT, Google Gemini, Anthropic Claude – visi jie patenka į šią kategoriją.
Šiems modeliams taikomi skaidrumo reikalavimai: kūrėjai turi pateikti techninę dokumentaciją, laikytis autorių teisių taisyklių, viešinti mokymo duomenų santraukas. Modeliams, kurie laikomi „sisteminės rizikos” modeliais (grubiai tariant – labai galingiems, kurių mokymo skaičiavimų kiekis viršija tam tikrą slenkstį), reikalavimai dar griežtesni: adversarial testai, incidentų ataskaitų teikimas, kibernetinio saugumo priemonės.
Verslo požiūriu tai reiškia štai ką: jei jūs naudojate tokį modelį per API ir integruojate į savo produktą, jūs tampate „diegėju” (deployer). Ir turite savo atsakomybes. Negalima tiesiog pasakyti „OpenAI atsakingas, ne mes”. Jūs atsakote už tai, kaip sistema naudojama jūsų kontekste.
Laiko juosta: kada ir kas įsigalioja
Vienas dažniausių klausimų – „kada man reikia būti pasiruošus?” Atsakymas nėra vienas skaičius, nes AI Act įsigalioja etapais:
2025 m. vasaris – įsigalioja draudimai (nepriimtinos rizikos sistemos). Jei jūsų verslas naudoja ką nors iš tos kategorijos – tai jau praeitis, reikėjo keisti.
2025 m. rugpjūtis – GPAI modeliams taikomi reikalavimai. Tiekėjai turi pateikti dokumentaciją, laikytis skaidrumo taisyklių.
2026 m. rugpjūtis – aukštos rizikos sistemoms (Annex III sąraše) taikomi visi reikalavimai. Tai – pagrindinis terminas daugumai verslo subjektų.
2027 m. rugpjūtis – aukštos rizikos sistemos, kurios patenka į kitus ES produktų saugos teisės aktus (pvz., medicinos prietaisai).
Praktinis patarimas: nežiūrėkite į 2026 metus kaip į tolimą horizontą. Jei sistema patenka į aukštos rizikos kategoriją, dokumentacijos rengimas, rizikos vertinimas, žmogaus priežiūros mechanizmų kūrimas – tai mėnesiai darbo, ne savaitės.
Ką konkrečiai turi daryti verslas – be teorijos
Teorija gražu, bet verslininkams reikia konkretumo. Štai ką reikia daryti dabar, nepriklausomai nuo įmonės dydžio:
1. Inventorizuokite savo AI sistemas. Nuskenuokite visus procesus – nuo HR iki finansų, nuo klientų aptarnavimo iki tiekimo grandinės. Kur naudojamas automatizuotas sprendimų priėmimas? Kur yra algoritmai, kurie daro įtaką žmonėms? Daugelis įmonių šio žingsnio nepadaro ir vėliau nustemba, kad jų „paprastas” įrankis iš tikrųjų patenka į aukštos rizikos kategoriją.
2. Klasifikuokite pagal rizikos lygį. Tai – ne trivialus uždavinys. Rekomenduojama pasitelkti teisininką, turintį patirties su AI reguliavimu, arba bent jau naudoti Europos Komisijos skelbiamus gaires ir klausimynus. Europos AI biuras (AI Office) taip pat skelbia papildomus paaiškinimus.
3. Aukštos rizikos sistemoms – pradėkite dokumentaciją. Techninė dokumentacija turi aprašyti sistemos paskirtį, veikimo principus, apribojimus, mokymo duomenis, testavimo rezultatus. Tai nėra vieno puslapio dokumentas – tai rimtas techninis ir organizacinis darbas.
4. Peržiūrėkite sutartis su tiekėjais. Jei naudojate trečiųjų šalių AI sprendimus, jūsų sutartyse turi atsispindėti atsakomybių pasidalijimas. Tiekėjas privalo pateikti reikiamą dokumentaciją, o jūs – užtikrinti tinkamą naudojimą. Dabar daugelio SaaS sutarčių šiuo klausimu yra tuščia vieta.
5. Mokykite darbuotojus. AI Act reikalauja, kad žmonės, dirbantys su aukštos rizikos sistemomis, turėtų pakankamą „AI raštingumą”. Tai oficialus reikalavimas, ne rekomendacija. Kas tai yra praktikoje – dar formuojasi, bet bent jau bazinis supratimas apie sistemos veikimą ir apribojimus yra būtinas.
6. Nustatykite atsakingą asmenį. Kaip GDPR atveju buvo DPO (duomenų apsaugos pareigūnas), AI Act kontekste reikia kažko, kas koordinuoja atitiktį. Nebūtinai atskiras etatinis darbuotojas (ypač mažoms įmonėms), bet aiški atsakomybė.
Baudos ir priežiūra – ar tai rimta
Skeptikai sako: „GDPR irgi gąsdino, bet bausdavo mažai.” Iš dalies tiesa – GDPR vykdymas buvo nevienodas. Bet AI Act turi keletą skirtumų.
Baudos yra didelės: už draudžiamų sistemų naudojimą – iki 35 milijonų eurų arba 7% pasaulinės apyvartos (kas daugiau). Už kitus pažeidimus – iki 15 milijonų arba 3%. Mažoms įmonėms – mažesnės absoliučios sumos, bet proporcingai – vis tiek skausmingos.
Priežiūros struktūra: kiekviena ES valstybė narė turi paskirti nacionalinę priežiūros instituciją. Lietuva šiuo metu sprendžia, kuri institucija tai bus – tikėtina, kad Ryšių reguliavimo tarnyba arba nauja struktūra. Europos lygiu veikia AI Office, kuris prižiūri GPAI modelius ir koordinuoja.
Svarbus niuansas: AI Act numato, kad mažos ir vidutinės įmonės bei startuoliai gauna lengvatinę prieigą prie testavimo aplinkų (regulatory sandboxes), supaprastintą dokumentacijos formatą ir kitas priemones, padedančias sumažinti atitikties naštą. Tai – ne atleidimas nuo reikalavimų, bet pagalba juos įvykdyti.
Startuoliai ir AI kūrėjai: specifiniai iššūkiai
Jei kuriate AI produktą – ne tik naudojate – situacija sudėtingesnė. Jūs esate „tiekėjas” (provider) pagal AI Act terminiją, ir tai reiškia daugiausia atsakomybės.
Tiekėjai aukštos rizikos sistemoms turi: atlikti atitikties vertinimą prieš pateikiant rinkai, registruoti sistemą ES duomenų bazėje, pateikti ES atitikties deklaraciją, ženklinti CE ženklu (tam tikrais atvejais), turėti kokybės valdymo sistemą.
Startuoliams tai skamba kaip košmaras. Ir iš dalies – yra. Bet yra ir gerų naujienų: reguliavimo smėlio dėžės (sandboxes) leidžia testuoti sistemas prieš pilną atitiktį. Kelios ES valstybės jau kuria tokias aplinkas. Ispanija, Lietuva, Latvija – aktyvios šioje srityje.
Praktinis patarimas startuoliams: nuo pat pradžių projektuokite sistemą su „privacy by design” ir „safety by design” principais. Vėliau pridėti atitikties sluoksnius ant jau sukurtos architektūros – daug brangiau ir sudėtingiau nei tai padaryti iš karto. Dokumentuokite sprendimus kūrimo proceso metu – tai vėliau taps jūsų techninės dokumentacijos pagrindu.
AI Act kaip konkurencinis pranašumas, o ne tik našta
Galima žiūrėti į AI Act kaip į biurokratinę naštą – ir daugelis taip žiūri. Bet yra ir kitas kampas.
Europos rinka – didelė. Ir verslas, kuris gali įrodyti, kad jo AI sistemos atitinka AI Act reikalavimus, turi aiškų pranašumą prieš konkurentus, kurie to negali. Ypač B2B segmente, kur pirkėjai (dažnai didelės korporacijos ar viešasis sektorius) patys turi atitikties reikalavimų ir ieško tiekėjų, kurie jiems nekels papildomos rizikos.
Be to, AI Act reikalavimai – skaidrumas, žmogaus priežiūra, rizikos valdymas – iš esmės yra geros inžinerinės praktikos principai. Sistemos, kurios juos atitinka, paprastai yra patikimesnės, mažiau linkusios į klaidas ir lengviau valdomos. Tai naudinga ne tik reguliatoriui, bet ir pačiam verslui.
Galiausiai – pasaulinė tendencija. JAV, Jungtinė Karalystė, Kanada, Japonija – visos šios šalys kuria savo AI reguliavimo sistemas. Jos skiriasi detalėmis, bet principai panašūs. Verslas, kuris išmoksta dirbti su AI Act, iš esmės mokosi dirbti su ateities pasaulio standartais. Tai investicija, ne tik išlaidos.
Taigi – jei dar nepradedate, pradėkite dabar. Ne todėl, kad reguliatorius jau beldžiasi į duris (dar ne), bet todėl, kad laiko mažiau, nei atrodo. Inventorizacija, klasifikacija, dokumentacija – tai darbas, kurio negalima atlikti per vieną dieną. O verslas, kuris šiuos žingsnius padarys anksčiau, turės ir daugiau laiko koreguoti kursą, jei kas nors paaiškės netikėtai. AI Act – tai ne apokalipsė ir ne formalumas. Tai nauja žaidimo taisyklė, ir geriau ją suprasti dabar, kol dar yra laiko žaisti pagal ją, o ne prieš ją.
