Az EU Mesterséges Intelligencia Rendelete a gyakorlatban 2. rész: Hogyan állapítsuk meg, hogy a jogszabály hatálya alá tartozunk-e?

Ez az AI-technológiát szabályozó, nemzetközi viszonylatban is mérföldkőnek számító EU-s AI Rendelet gyakorlati kérdéseit feldolgozó cikksorozat második része. Míg az első részben a Rendelet hibrid, termékbiztonsági és alapjogi szabályozási szempontokat egyaránt szem előtt tartó jellegéről, a technológia jogi szabályozásának nehézségeiről volt szó, a lenti cikkben azt a kérdést járjuk körbe, hogy hogyan tudjuk meghatározni, hogy a cégünk AI technológiával kapcsolatos tevékenysége az új jogszabály hatálya alá tartozik-e.

• Mit szabályoz a Rendelet?
• A szabályozás tárgya: mi számít AI rendszernek, illetve általános célú AI-modellnek?
• A felelősök: pontosan kire, milyen szereplőkre vonatkozik a Rendelet?
• Milyen szabályok vonatkoznak a Rendelet által szabályozott AI rendszerek és modellek szolgáltatóira és felhasználóira?

Mit szabályoz a Rendelet?

A Rendelet alapvetően azt határozza meg, hogy

• milyen szabályokat kell betartania az AI rendszereket (pl. ChatGPT) forgalomba hozó, üzembe helyező vagy használó cégeknek és személyeknek;
• milyen előírásoknak kell megfelelnie az egyes AI rendszerek lényegi részét képező és működéséért felelős ún. általános célú AI-modelleket (pl. Claude, Grok, Gemini) fejlesztő és értékesítő cégeknek;
• melyek azok a tevékenységek, amelyek olyan mértékben sérthetik az emberek alapvető jogait (pl. társadalmi pontozás, káros manipuláció révén), hogy az azokat lehetővé tevő AI rendszerek értékesítését és használatát tiltani kell; és
• milyen következményekkel számolhat az, aki megszegi a Rendelet szabályait.

Annak érdekében, hogy megállapítsuk, a cégünk, tevékenységünk, szolgáltatásunk a Rendelet alá tartozik-e, először is a kulcsfogalmakat kell közelebbről megvizsgálnunk.

A szabályozás tárgya: mi számít AI rendszernek, illetve általános célú AI-modellnek?

A fentiek alapján alapvető fontosságú annak eldöntése, hogy az általunk fejlesztett, általunk megrendelt, forgalmazott, vagy leginkább használt technológiai megoldások közül mi minősül a Rendelet szerinti AI rendszernek, vagy általános célú AI-modellnek.

Az informatikai megoldásokat szabályozó jogi előírásokkal kapcsolatban alapvető (nem mindig teljesülő) elvárás, hogy az technológia-semleges, és kellően általános, illetve átgondolt legyen. Ez különösen igaz a definíciókra is, mivel ezeknek az alapvető fogalmaknak az értelmezése alapján fogjuk tudni megállapítani azt, hogy a jogszabály egyáltalán vonatkozik-e ránk, vagy sem. Mivel a jogi megfelelés komoly idő, energia, - és pénzráfordítást igényel, nagyon nem mindegy, hogy milyen következtetésre jutunk.

Az AI rendszer fogalma

Az AI rendszer fogalma a Rendelet első tervezetéről a végleges szöveg elfogadásáig sok változáson esett át. Egy dolog viszont nem változott; a diskurzus végig akörül folyt, hogy melyek azok a gépi technológiával, azaz nem ember által, emberi módon meghozott döntések, tevékenységek és ezt lehetővé tevő megoldások, amelyek veszélyt jelenthetnek az egészségünkre, biztonságunkra, és az alapvető jogainkra, és amelyeket ezért jogilag szabályozni kell.

A Rendelet alapján AI rendszernek lényegében az olyan gépi alapú, azaz szoftverből és hardverből álló rendszerek minősülnek, amelyek különböző mértékben automatizált, azaz a kezelőjétől független működésre képesek, és amely a kapott bemenetből (adatok, utasítások stb.) a kikövetkeztetés módszerét alkalmazva előrejelzéseket (pl. ingatlanárak várható változása), tartalmakat (pl. cikkek, képek, videók), ajánlásokat (pl. milyen zenéket hallgassunk) vagy döntéseket (pl. munkaerőpiaci toborzás során kit vegyünk fel) hoznak létre, amelyek hatással lehetnek a fizikai vagy virtuális környezetünkre.

A fenti jellemzőkből egy olyan elemre hívnám fel a figyelmet, aminek a megléte folytán egyértelműen a jogilag szabályozott AI rendszerek közé sorolható az adott megoldás, és aminek a mentén többé-kevésbé elhatárolhatóak a Rendelet hatálya alá nem tartozó technológiák is.

Ez a jellemző az adatokból történő tanulásra épülő, következtetést lehetővé tevő technika, amely alapvetően a gépi tanulásra (machine learning) utal. A gépi tanulásnak sok fajtája van, ilyen például a felügyelt tanulás, amikor a rendszer címkézett adatokból tanul, vagy akár a mindezidáig legfejlettebb számítógépnek, az emberi agynak a működését szimuláló, neurális hálózatokra épülő mélytanulás. Ilyen algoritmusokat használhatnak például az AI alapú fordítóprogramok és szolgáltatások (pl. Deepl), az ügyfelekkel folytatott kommunikáció automatizálására használt, mindenféle weboldalakon megtalálható chatbotok, vagy akár a közösségi médiákban (pl. Facebook, LinkedIn) használt ajánló algoritmusok, amelyek nagy mennyiségű adatokból képesek önállóan mintázatokat felismerni, és előrejelzéseket készíteni vagy akár javaslatokat megfogalmazni. Ha elmegyünk egy orvosi rendelőbe, ott egy ilyen gépet használó orvos valószínűleg nagyobb hatásfokkal tudja megállapítani egy felvételről a szóban forgó betegség (pl. rák) fennállását, mivel az adott eszköz által használt modellt rengeteg hasonló tünettel kapcsolatos diagnózissal "tanították be", és amely emiatt hatékonyabban ismeri fel a betegség tüneteit.

Elhatárolási kérdések

Az ilyen következtetési képesség hiánya esetén az adott eszköz nem minősíthető AI rendszernek, és ez egy jó elhatárolási szempont lehet. Ennek mentén a fent említett, gépi tanulásra épülő technikától könnyen elhatárolható egy sima orvosi képalkotó eljáráshoz használatos, hagyományos szoftvert futtató eszköz (pl. röntgen), amivel az állapotunkat eredetileg diagnosztizálták, és amely önmagában nem képes a fent említett következtetések levonására (persze az igazsághoz hozzátartozik, hogy már sok esetben az ilyen eszközök is használhatnak AI technológiát többek között a képek minőségének feljavítására).

Ez azért lényeges, mert az AI rendszer fogalmának természetesen van egy negatív tartománya is, és az elhatárolás szempontjából legalább ilyen fontos, hogy mi nem tartozik az AI rendszerek fogalma alá. Értelemszerűen nem minősülnek ilyennek a hagyományos szoftverek, az emberek által meghatározott szabályokat végrehajtó, gépi tanulásra, önálló kikövetkeztetésre és adaptivitásra nem képes megoldások, mint például az ún. szakértői rendszerek, vagy éppen az AI-funkciók nélkül használt Microsoft Excel, vagy Word.

A fentieket követően levonhatjuk azt a következtetést is, hogy a szinte már mindenki által használt, olyan generatív AI megoldások, mint a ChatGPT, a Perplexity, a Microsoft Copilot, a Gemini mind a Rendelet szerinti AI rendszernek minősülnek, mivel a működésük megfelel a fenti leírásoknak; az általuk használt, nagy mennyiségű különféle adattal betanított modellek segítségével a tanításukhoz felhasznált, a szöveges utasításként (prompt) betáplált, és egyéb (pl. RAG-technológiával a közcélú internetről behivatkozott) adatokból különféle tartalmakat, javaslatokat, előrejelzéseket vagy döntéseket generálhatunk.

AI rendszerek beazonosítása

Az egyéb, nem generatív AI megoldások jogszabály szerinti minősítése és kategorizálása sok esetben komplex, interdiszciplináris megközelítést, és a releváns szaktudással rendelkező szakértők (IT, compliance, jog stb.) szoros együttműködését igényli.

Itt már nemcsak arról van szó, mint a GDPR idején, hogy megnézzük a személyes adatok áramlásának és felhasználásának folyamatait, a jogszabály alapján értékeljük a folyamatokban résztvevő személyek szerepét, és a jogszabály egyértelműen kidobja az irányadó kötelezettségeket.

Itt az egyes technológiai megoldások AI rendszerként történő azonosítása, az egyes AI rendszerek egymástól történő elhatárolása, a harmadik személyek által nyújtott, vagy az azokra ráépülő szolgáltatások AI elemeinek az azonosítása és az ezzel kapcsolatban a cégünket terhelő kötelezettségek azonosítása sokkal komolyabb munkát igényel. Sok esetben a besorolást megkönnyíti az adott termékkel kapcsolatban a szolgáltató által adott tájékoztatás is: ha valamit AI-címkével kínálnak számunkra, akkor többé-kevésbé biztosak lehetünk abban, hogy az adott megoldás a Rendelet szerint is AI rendszernek minősül. Ilyen esetben valószínűleg nem hibázunk nagyot, ha ezeket alapból AI rendszernek tekintjük és ekként regisztráljuk az ezzel kapcsolatos nyilvántartásunkban.

Részletes jogi kérdőív, vagy online kiértékelés

Amennyiben úgy érezzük, hogy mi magunk, vagy a cégünk nem rendelkezik a besoroláshoz szükséges szaktudással, akkor érdemes akár többirányú (pl. jogi, informatikai) szakmai tanácsot is kérni.

Miután több ilyen megkeresést kaptam, én az ügyfeleimnek az egyszerűség kedvéért kidolgoztam egy rendkívül részletes olyan kérdőívet, aminek a kitöltésével egyértelműen megállapítható, illetve eldönthető, hogy egy adott rendszer a Rendelet szerinti AI rendszernek minősül-e, vagy sem, és ha igen, milyen kockázatú besorolással rendelkezik, és annak alapján milyen kötelezettségei lehetnek az adott cégnek.

Én ezt a megközelítést jobbnak találom az interneten elérhető hasonló ellenőrző eszközöknél, két okból is. Egyrészt, az online eszközök használata feltételezi a Rendelet alapvető fogalmainak és szabályozási logikájának ismeretét, amivel nem mindenki rendelkezik; ezzel szemben az általam összeállított kérdőív tartalmazza ezeknek a közérthető módon történő összefoglalását, ami így lényegesen megkönnyíti a kiértékelés elvégzését. A másik lényeges különbség, hogy az online eszközök által kiadott besorolás vagy értékelés csak tájékoztató jelleggel bír, és nem minősül jogi tanácsnak, márpedig egy rossz besorolás esetén akár többmillió eurós kockázattal fenyegető kérdésben nem javasolt ilyen alapon döntést hozni.

További tájékoztató anyagok

Aki ennél bővebben is szeretne elmerülni az AI rendszerek fogalmi útvesztőiben, és esetleg a saját felhasználási esetének a minősítésével kapcsolatban további iránymutatásra van szüksége, annak érdemes tanulmányoznia az Európai Bizottság témában kiadott útmutatóját is. A témában segítségül hívhatóak még a következő források is: az AI koncepciókról és terminológiáról szóló ISO/IEC 22989:2022-es szabvány, vagy akár a gépi tanulást használó AI rendszerek keretrendszeréről szóló ISO/IEC 23053:2022-es szabvány szövege is.

Mi minősül a Rendelet szerint általános célú AI modellnek?

A Rendelet másik szabályozott tárgyát az AI rendszerek mellett az ún. általános célú AI modellek képezik.

A jogszabály szerint azok a modellek tartoznak ide, amelyek általánosak, sokféle feladat elvégzésére (pl. tartalom generálására, előrejelzések adására) képesek, nagy adatmennyiséggel, nagy léptékű önfelügyelet mellett kerültek betanításra, többféle AI rendszerbe integrálhatóak, és amelyek alkalmasak szöveg vagy hanganyag, szövegből kép, vagy képből video létrehozására. Ilyennek minősülnek például a legtöbb generatív AI rendszerben (pl. ChatGPT, Perplexity) használt Grok, Claude, Gemini vagy éppen a GPT modellek különböző verziói is.

Elhatárolási szempontból fontos megjegyezni, hogy ez a fogalom nem terjed ki azokra az AI modellekre, amelyeket a forgalomba hozatalukat megelőzően kutatási, fejlesztési vagy prototípus-alkotási tevékenységekre használtak.

A felelősök: pontosan kire, milyen szereplőkre vonatkozik a Rendelet?

Tekintsük át, hogy kik azok a főbb szereplők, akik a Rendelet hatálya alá tartoznak, ugyanis csak ezeknek a fogalmaknak a tisztázásával fogjuk tudni megállapítani, hogy ránk is vonatkozik-e a Rendelet, és ha igen, milyen kötelezettségeink vannak annak alapján.

Aki létrehozza, forgalmazza és eladja: a szolgáltató

Az AI rendszerek és szolgáltatások értéklánca alapvetően nem különbözik a hagyományos technológiai megoldásokétól. A szoftverek piacán is van egy fejlesztő, aki a saját maga által fejlesztett vagy mással fejlesztetett termékét a piacra dobja, van olyan nagykereskedő, aki a szoftvert viszonteladóknak értékesíti, akik aztán azt kiskereskedelmi forgalomban továbbadják a végfelhasználóknak, és van aki importálja az ilyen megoldásokat.

Hasonló logika szerint a Rendelet alapján az, aki saját maga által fejlesztett vagy mással fejlesztetett AI rendszert vagy általános célú AI modellt forgalomba hoz az EU területén akár pénzért, akár ingyenesen, függetlenül attól, hogy milyen módon (felhőből, böngészőből, letöltés útján, API-n keresztül) teszi azt, szolgáltatónak fog minősülni, és alkalmazandóak lesznek rá a Rendelet szabályai. Ugyanígy minősül az is, aki ezeket a rendszereket üzembe helyezi, azaz egy felhasználó számára közvetlenül használatba adja.

Ennek még csak az sem feltétele, hogy a cég vagy személy Unión belüli legyen, mert ha az AI rendszer eredményét (pl. munkavállalók teljesítményértékelése) az EU-n belül használják fel, akkor az ilyen rendszerek szolgáltatóira akkor is alkalmazandó lesz a Rendelet, ha harmadik országban letelepedett cégekről van szó. Ha például egy nemzetközi cégcsoportban globális HR működik, és a cégcsoport magyar leányvállalatának munkavállalóira vonatkozó teljesítményértékelést egy amerikai AI rendszer segítségével végzik el Indiában, akkor a Rendelet hatálya az amerikai AI rendszer szolgáltatójára is kiterjed.

Ennek megfelelően, ha üzleti célú hasznosítás céljából AI rendszert, általános célú AI modellt, vagy ilyen megoldást magában foglaló megoldást (pl. egy AI modell(eke)t használó chatbotot) fejlesztünk, fejlesztetünk, forgalmazunk vagy értékesítünk mások részére, akkor jó eséllyel a Rendelet alapján szolgáltatónak fogunk minősülni, és számolhatunk az ezzel járó, az adott szabályozási elem (AI rendszer vagy modell) kockázati szintjéhez igazodó mértékű kötelezettségekkel.

Természetesen, mint mindig és mindenhol, itt is vannak kivételek, például ha az általunk fejlesztett AI rendszert kizárólag tudományos kutatás vagy fejlesztés céljára, vagy éppen valamilyen open source licenc alapján értékesítjük, akkor megúszhatjuk a jogi szabályozás követelményrendszerét, de ügyelnünk kell arra is, hogy a Rendelet sok esetben a "főszabály/kivétel/kivétel alóli kivétel által a főszabály alá visszautalás" logikája szerint működik, így ha egyértelműen szeretnénk meggyőződni a szabályozási státuszunkról, akkor körültekintően olvassuk el a jogszabály releváns rendelkezéseit.

Aki használja: az alkalmazó

A Rendelet szerint alkalmazónak minősül minden olyan cég, aki a Rendelet által szabályozott AI rendszert használ szakmai jellegű tevékenysége során. Ennek megfelelően minden olyan cég, ahol céges előfizetéssel vagy anélkül például ChatGPT-t, Microsoft Copilot-ot használnak a kollégák a munkavégzésük részeként, a Rendelet hatálya alá tartozik.

Ez egy jelentős, az AI jogi szabályozásához kapcsolódó "game changer". A hagyományos, illetve a Rendelet alapját képező termékbiztonsági szabályozástól eltérően a jogalkotó itt nemcsak az értéklánc hagyományos szereplőire, de gyakorlatilag a végfelhasználóra, azaz az AI rendszert csak simán használókra is konkrét kötelezettségeket ró. Ez mindenképpen újdonság.

Amíg a cégek évtizedek óta hozzászoktak ahhoz, hogy külön jogi kötelezettségektől mentesen mindenféle új technológiát használjanak és vezessenek be a munkafolyamataik egyszerűbbé tételéhez és/vagy automatizálásához, pl. írógép helyett szövegszerkesztő szoftvert, a hagyományos levelezés helyett e-mailt, a lexikonok helyett internetes keresést használjanak, most egy másik új technológia, az AI használatával gyakorlatilag egy speciális, konkrét megfelelési kötelezettségeket előíró jogszabály hatálya alá kerülnek be.

Ez nemcsak azért lényeges, mert a Rendelet már a legegyszerűbb, a kockázati alapú besorolás alapján minimális kockázatúnak minősülő AI rendszerek (pl. ChatGPT, Microsoft Copilot) használata esetén is előír bizonyos kötelezettségeket. A szabályozott környezetbe kerülés jelen esetben annak a kockázatát is jelenti, hogy bizonyos körülmények előfordulása esetén a felhasználó akár szolgáltatóvá is átminősülhet. Ez megtörténhet, ha például egy kockázatosabb felhasználási esetre használunk egy sima generatív AI megoldást, amit nem arra terveztek, például Copilot-tal szűrjük meg, vagy rangsoroljuk az álláspályázatunkra jelentkezők önéletrajzait.

Egy ilyen lépés jelentősen nagyobb kitettséget és komolyabb előírások betartásának a kötelezettségét eredményezheti a cégünkre nézve, így az AI technológiákkal kapcsolatos belső rendszereink kialakításakor érdemes szem előtt tartani, hogy már egy egyszerű, alacsony kockázatú rendszer céges szinten történő bevezetése is kinyithatja a kaput a szigorúbb minősítés, a céggel szemben támasztható munkavállalói, - vagy ügyféligények, és magasabb bírságok kiszabása előtt.

A személyes használat nem tartozik az alkalmazói kategóriába

A teljesség kedvéért érdemes megjegyezni, hogy bár a Rendelet a GDPR-hoz hasonlóan tartalmaz egy kivételt, miszerint a Rendelet nem terjed ki az AI rendszereket csak személyes, és nem szakmai tevékenység során használó természetes személyekre és AI használatára, ennek a kivételnek az alkalmazhatósága rendkívül korlátozott.

Ha valaki a munkavégzésétől függetlenül kizárólag saját célokra használ ilyen, saját maga által előfizetett vagy ingyenes megoldásokat (pl. információszerzésre, tartalom gyártására, utazás megszervezésére stb.), akkor erre nem fog kiterjedni a Rendelet. Ha viszont ugyanez a személy ezt az eszközt már a munkájához kapcsolódóan (is) használja (pl. az ügyvéd jogi kutatásra, a HR-es munkavállalói teljesítményértékelésre, a mérnök számolásra), vagy a munkahelye által biztosított AI rendszereket használ a munkájához kapcsolódóan, akkor ezekre az esetekre nem fog kiterjedni ez a kivétel, és a munkáltató ebben az esetben a Rendelet szerinti alkalmazónak minősül.

Az AI modellek önállóan nem, csak AI rendszerek részeként használhatóak, így az AI modellek felhasználási eseteit itt nem tárgyaljuk.

Egyéb szereplők

A Rendelet a hagyományos értékláncok egyéb szereplőire, pl. forgalmazókra és importőrökre is előír bizonyos kötelezettségeket, de mivel ezek lényegében csak az ún. nagy kockázatú AI rendszerekre vonatkoznak, ezeket majd az erről szóló külön részben fogom ismertetni.

A kötelezettségek: milyen szabályok vonatkoznak a Rendelet által szabályozott AI rendszerek és modellek szolgáltatóira és felhasználóira?

A megfelelési folyamat következő lépcsője az adott technológia AI rendszerként vagy általános célú modellként történő minősítését, és az azzal kapcsolatos szerepünk meghatározását követően az érintett rendszer vagy modell kockázati besorolása lesz.

A kockázat alapú megközelítés fontossága

Ennek segítségével fogjuk tudni ugyanis meghatározni, hogy pontosan melyek azok a kötelezettségek, amelyeket egy AI rendszer, vagy általános célú AI modell szolgáltatójaként vagy csak sima felhasználójaként (alkalmazójaként) be kell tartanunk, mivel ezt elsősorban az adott rendszer vagy modell kockázati besorolása fogja meghatározni. A Rendelet által alkalmazott kockázat alapú megközelítésről a cikksorozat következő részében lesz szó.

Mivel a hasonló megoldást alkalmazó GDPR szabályainak való megfelelés során ezt sokan félreértették, talán érdemes előre leszögezni, hogy a kockázati szintű szabályozói megoldás nem az AI technológiát értékesítő vagy használó cégeknek a megfeleléssel vagy annak hiányával kapcsolatos kockázataira, hanem az ilyen megoldások által az érintett személyekre (ügyfelekre, munkavállalókra, egyéb természetes személyekre) gyakorolt hatásokra utal. Általánosságban elmondható, hogy minél magasabb a gépi technológia ezen védett értékekre gyakorlat tényleges vagy lehetséges hatása, annál szigorúbbak és számosabbak lesznek az irányadó jogszabályi kötelezettségek is.

Kérdés?

A fentiekkel kapcsolatban bármilyen kérdés esetén szívesen állok bárki rendelkezésére az itt található elérhetőségeimen, akár egy ingyenes konzultáció keretében is.