Κανονισμός για την ΤΝ: Υποχρεώσεις Φορέων Εφαρμογής και Κυρώσεις
Σε προηγούμενη αρθρογραφία μας επιχειρήσαμε την προσέγγιση δύο εξαιρετικά σημαντικών θεμάτων: το πρώτο αφορά τον Κανονισμό για την Τεχνητή Νοημοσύνη (ΤΝ) και το δεύτερο τις κατηγορίες κινδύνου συστημάτων ΤΝ. Ο Κανονισμός προβλέπει σειρά υποχρεώσεων ανάλογα με την ιδιότητα όσων εμπλέκονται (λ.χ. Πάροχοι Συστημάτων ΤΝ, Φορείς Εφαρμογής, Εισαγωγείς και Διανομείς, εξουσιοδοτημένοι Αντιπροσώποι)-όπως τις επιμέρους ιδιότητες γνωρίσαμε στην προαναφερθείσα αρθρογραφία μας. Οι υποχρεώσεις των επιμέρους εμπλεκομένων διακρίνονται με βάση την κατηγοριοποίηση των συστημάτων. Καθώς τα Συστήματα Υψηλού Κινδύνου αποτελούν το βασικό αντικείμενο του Κανονισμού, αναγκαίο είναι να προσεγγίσουμε τις σχετικές υποχρεώσεις των Φορέων Εφαρμογής˙ και τις επαπειλούμενες, επίσης, κυρώσεις για την περίπτωση της παραβίασής τους.
Υποχρεώσεις Φορέων Εφαρμογής
(1) Υποχρέωση γραμματισμού-AI literacy (άρ. 4)
Ο Φορέας Εφαρμογής οφείλει να μεριμνά, ώστε τα πρόσωπα που θα αναλάβουν την ανθρώπινη εποπτεία του συστήματος να είναι κατάλληλα εκπαιδευμένα και καταρτισμένα. Ειδικότερα, τα πρόσωπα αυτά θα πρέπει να είναι σε θέση: (α) να κατανοούν τις δυνατότητες και τους περιορισμούς του συστήματος, (β) να παρακολουθούν τη λειτουργία του και να ερμηνεύουν τα αποτελέσματά του, (γ) να αποφασίζουν να μην το χρησιμοποιήσουν ή να παρακάμπτουν τα outputs του και (δ) να το διακόπτουν με ασφάλεια (π.χ. μέσω μηχανισμού «stop»).
(2) Υποχρέωση ανθρώπινης εποπτείας (άρ. 14 και 26 §2)
Ο Φορέας Εφαρμογής συστημάτων υψηλού κινδύνου υποχρεούται να εφαρμόζει μέτρα ανθρώπινης εποπτείας, τα οποία προσδιορίζονται από τον Πάροχο πριν από τη διάθεση του συστήματος ΤΝ στην αγορά ή τη θέση του σε λειτουργία.
Η ανθρώπινη εποπτεία πρέπει να εντοπίζεται σε όλα τα στάδια χρήσης του συστήματος ΤΝ και να είναι ουσιαστική και αποτελεσματική, ώστε να διασφαλίζεται η πρόληψη ή η ελαχιστοποίηση των κινδύνων που ενδέχεται να προκύψουν, αλλά και η δυνατότητα παρέμβασης, τροποποίησης ή αναστολής της λειτουργίας του συστήματος.
Ειδικότερα, στο πλαίσιο συμμόρφωσης με την υποχρέωση αυτή προτείνονται:
(α) Ορισμός υπευθύνων εποπτών.
(β) Δυνατότητα ουσιαστικής παρέμβασης.
(γ) Εκ των προτέρων εντοπισμός κρίσιμων σημείων απόφασης˙ θα πρέπει να έχουν, δηλ., εκ των προτέρων, προσδιοριστεί τα στάδια της διαδικασίας, στα οποία απαιτείται ανθρώπινη παρέμβαση πριν ληφθεί δεσμευτική απόφαση.
(δ) Κατάλληλο περιβάλλον εποπτείας˙ τα δεδομένα εξόδου (outputs) θα πρέπει, δηλ., να είναι δεκτικά αξιολόγησης, όσον αφορά την αξιοπιστία τους.
(ε) Αποφυγή «automation bias», δηλ., να μην βασίζονται σε μεγάλο βαθμό σε αυτοματοποιημένα συστήματα.
(στ) Τεκμηρίωση της εποπτείας˙ δηλ., τα στάδια στα οποία παρενέβησαν οι επόπτες και οι λόγοι παράκαμψης του συστήματος πρέπει να καταγράφονται (π.χ. σε audit logs), ώστε να αποδεικνύεται ότι η εποπτεία ασκήθηκε στην πράξη.
(3) Υποχρέωση λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων (άρ. 26 §§1 & 13)
Το σύστημα ΤΝ υψηλού κινδύνου θα πρέπει να χρησιμοποιείται από τον Φορέα Εφαρμογής αποκλειστικά σε συμφωνία με τις οδηγίες χρήσης που παρέχονται από τον Πάροχο. Θα πρέπει, επίσης, να λαμβάνονται όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφαλή και νόμιμη χρήση του (π.χ. πρόσβαση μόνο σε εξουσιοδοτημένα στελέχη, έλεγχος των εκδόσεων/updates του συστήματος, διασταύρωση με τις πολιτικές προστασίας δεδομένων). Για την ουσιαστική συμμόρφωση με την υποχρέωση αυτή δεν αρκεί η απλή ανάγνωση των οδηγιών αλλά και η ενσωμάτωσή τους σε διαδικασίες και πολιτικές.
(4) Υποχρέωση ελέγχου δεδομένων εισόδου (άρ. 25 §4)
Ο Φορέας Εφαρμογής οφείλει να διασφαλίζει ότι τα δεδομένα εισόδου είναι συναφή και επαρκώς αντιπροσωπευτικά σε σχέση με τον επιδιωκόμενο σκοπό.
(5) Υποχρέωση παρακολούθησης λειτουργίας και ενημέρωσης Παρόχου – αναστολής χρήσης και ενημέρωσης αρχών – αντιμετώπισης συστημάτων ΤΝ που παρουσιάζουν κίνδυνο (άρ. 26 §5, 72, 73, 79)
Ο Φορέας Εφαρμογής υποχρεούται να παρακολουθεί τη λειτουργία του συστήματος ΤΝ με βάση τις οδηγίες χρήσης και να ενημερώνει, κατά περίπτωση, τον Πάροχο και τις Αρμόδιες Αρχές Εποπτείας.
Όταν υπάρχει λόγος να θεωρηθεί ότι η χρήση του συστήματος ΤΝ σύμφωνα με τις οδηγίες μπορεί να έχει ως αποτέλεσμα να συνιστά κίνδυνο για την υγεία, την ασφάλεια ή τα θεμελιώδη δικαιώματα ο Φορέας Εφαρμογής είναι υποχρεωμένος σε άμεση ενημέρωση του Παρόχου ή του Διανομέα και των Αρμόδιων Αρχών εποπτείας της αγοράς˙ είναι, επίσης, υποχρεωμένος να αναστείλει τη χρήση του συστήματος ΤΝ. Αντίστοιχη ενημέρωση προς τον Πάροχο και στην συνέχεια στον Εισαγωγέα ή στον Διανομέα και στις Αρμόδιες Αρχές εποπτείας οφείλεται και όταν εντοπίζεται κάποιο σχετικό, σοβαρό, περιστατικό.
Επιπλέον, ο Φορείς Εφαρμογής, φέρουν, ως φορείς εκμετάλλευσης, την υποχρέωση να λαμβάνουν διορθωτικά μέτρα όταν χρησιμοποιούν ένα σύστημα ΤΝ που παρουσιάζει κίνδυνο και διαπιστώνεται μη συμμόρφωσή του (του συστήματος ΤΝ) με τον Κανονισμό. Τα μέτρα μπορεί να περιλαμβάνουν προσαρμογή του συστήματος ΤΝ, προσωρινή αναστολή, απόσυρση ή ακόμη και ανάκληση του συστήματος από τη χρήση.
(6) Υποχρέωση συνεργασίας με τις αρμόδιες αρχές (άρ. 26 §12)
Ο Φορέας Εφαρμογής υποχρεούται να συνεργάζεται πλήρως με τις Αρμόδιες εποπτικές Αρχές, παρέχοντας κάθε αναγκαία πληροφορία και πρόσβαση που ζητείται για την αξιολόγηση της συμμόρφωσης.
(7) Τήρηση αρχείων καταγραφής-logs (άρ. 26 §6)
Ο Φορέας Εφαρμογής οφείλει να τηρεί αρχεία καταγραφής (logs), εφόσον αυτά παράγονται αυτόματα από το σύστημα στο βαθμό που αυτά βρίσκονται στον έλεγχό του. Η διατήρηση των αρχείων απαιτείται για εύλογο χρονικό διάστημα (όχι μικρότερο από έξι μήνες), με την επιφύλαξη ειδικότερων προβλέψεων της εθνικής ή ευρωπαϊκής νομοθεσίας (π.χ. GDPR). Η υποχρέωση αυτή συνδέεται με την αρχή της λογοδοσίας (accountability), η οποία αποτελεί βασική αρχή τόσο του AI Act όσο και του GDPR.
(8) Υποχρέωση διαφάνειας (άρ. 50)
Πρόκειται για ειδικές υποχρεώσεις ενημέρωσης με σαφή και διακριτό τρόπο από μέρους του Φορέα Εφαρμογής, όταν χρησιμοποιούνται συστήματα ανάλυσης συναισθημάτων, συστήματα βιομετρικής κατηγοριοποίησης ή συστήματα που παράγουν ή χειρίζονται περιεχόμενο εικόνας, ήχου ή βίντεο που αποτελεί προϊόν βαθυπαραποίησης (deepfake).
(9) Υποχρέωση επεξήγησης (άρ. 86)
Ο Κανονισμός θεμελιώνει το δικαίωμα των φυσικών προσώπων να λαμβάνουν επεξήγηση για τον ρόλο του συστήματος ΤΝ στη διαδικασία λήψης απόφασης που τους αφορά καθώς και για τα βασικά, επίσης, στοιχεία της απόφασης. Και τούτο εφόσον πρόκειται για απόφαση η οποία παράγει έννομα αποτελέσματα ή επηρεάζει σημαντικά το εν λόγω πρόσωπο με παρόμοιο τρόπο, ώστε να θεωρεί ότι υφίσταται δυσμενείς συνέπειες για την υγεία, την ασφάλεια και τα θεμελιώδη δικαιώματά του.
Σημειώνεται ότι βάσει της αιτιολογικής σκέψης 93, ο Φορέας Εφαρμογής συνιστάται να ενημερώνει το φυσικό πρόσωπο σχετικά με το δικαίωμα επεξήγησης που του παρέχεται σύμφωνα με τον AI Act.
(10) Υποχρεώσεις με περιορισμένο πεδίο εφαρμογής
Η υποχρέωση διενέργειας εκτίμησης επιπτώσεων στα θεμελιώδη δικαιώματα (άρθρα 26 § 9 και 27) έχει περιορισμένο προσωπικό πεδίο εφαρμογής, δηλαδή υφίσταται για Φορείς Εφαρμογής που είναι οργανισμοί δημόσιου δικαίου ή ιδιωτικές οντότητες που παρέχουν δημόσιες υπηρεσίες και Φορείς Εφαρμογής συγκεκριμένων συστημάτων ΤΝ υψηλού κινδύνου (Παρ. III, σημείο 5, στοιχεία β. & γ.).
Η υποχρέωση εγγραφής, επιλογής του συστήματος και καταχώρισης της χρήσης του στη βάση δεδομένων της ΕΕ [η οποία αναφέρεται στο άρ. 71 (άρ. 26 §8 και 49 §3)], υφίσταται για Φορείς Εφαρμογής που είναι δημόσιες αρχές, θεσμικά και λοιπά όργανα ή οργανισμοί της Ένωσης ή πρόσωπα που ενεργούν για λογαριασμό τους, πριν από τη θέση σε λειτουργία ή τη χρήση συγκεκριμένων συστημάτων ΤΝ υψηλού κινδύνου.
Κυρώσεις (άρ. 99)
Ο Κανονισμός προβλέπει τα όρια των χρηματικών κυρώσεων, τις οποίες θα πρέπει να προσδιορίσουν τα κράτη-μέλη ανάλογα με την παράβαση. Ειδικότερα:
Η παραβίαση της απαγόρευσης χρήσης συστημάτων «μη αποδεκτού κινδύνου (άρ. 5) επισύρει διοικητικά πρόστιμα ύψους έως 35.000.000 €. Στην περίπτωση που ο παραβάτης είναι επιχείρηση, το διοικητικό πρόστιμο θα πρέπει να ισούται με το μεγαλύτερο από τα ακόλουθα: (α) ποσό έως 35.000.000€ ή (β) έως το 7% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της για το προηγούμενο οικονομικό έτος.
Η μη συμμόρφωση με οποιεσδήποτε από τις υποχρεώσεις που αμέσως, στη συνέχεια, αναφέρονται επισύρει διοικητικά πρόστιμα ύψους έως 15.000.000€. Στην περίπτωση που ο παραβάτης είναι επιχείρηση, το διοικητικό πρόστιμο θα πρέπει να ισούται με το μεγαλύτερο από τα ακόλουθα: ποσό έως 15.000.000€ ή έως το 3% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της για το προηγούμενο οικονομικό έτος. Συγκεκριμένα:
(α) Των κατά τα άνω (υπό 5, 6 και 7-αρ.26) υποχρεώσεων των Φορέων Εφαρμογής.
(β) Της κατά τα άνω (υπό 8-αρ. 50) υποχρέωσης Διαφάνειας για Παρόχους και Φορείς εφαρμογής.
Η παραβίαση της υποχρέωσης για παροχή ανακριβών, ελλιπών ή παραπλανητικών πληροφοριών σε κοινοποιημένους οργανισμούς ή εθνικές αρμόδιες αρχές κατά την απάντηση σε αίτημα επισύρει διοικητικά πρόστιμα ύψους έως 7.500.000€. Στην περίπτωση που ο παραβάτης είναι επιχείρηση, το διοικητικό πρόστιμο θα πρέπει να ισούται με το μεγαλύτερο από τα ακόλουθα: (α) ποσό έως 7.500.000€ ή (β) έως το 1% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της για το προηγούμενο οικονομικό έτος.
Σημειώνεται ότι στην περίπτωση ΜΜΕ, συμπεριλαμβανομένων των νεοφυών επιχειρήσεων, κάθε πρόστιμο που αναφέρεται στο άρθρο 99 ανέρχεται έως τα αναφερόμενα ποσά ή ποσοστά, ανάλογα με το ποιο από αυτά είναι μικρότερο.
Σημειώνεται, πάντως, ότι δεν έχει υπάρξει, προσώρας, σχετικός προσδιορισμός τόσο του ύψους όσο και, εν γένει, του πλαισίου επιβολής των κυρώσεων από τον Έλληνα νομοθέτη.
Τα Συστήματα Τεχνητής Νοημοσύνης Υψηλού Κινδύνου είναι εκείνα με τα οποία περισσότερο ασχολείται, και δικαίως, ο σχετικός Ευρωπαϊκός Κανονισμός. Η χρήση τους αξιώνει ιδιαίτερη προσοχή-προδήλως γιατί η κοινή λογική και η υποχρέωση προστασίας βασικών αξιών και ανθρώπινων δικαιωμάτων το επιβάλλει˙ επιπρόσθετα, όμως, γιατί οι επαπειλούμενες κυρώσεις μπορούν να αποδειχθούν δραματικές για τις επιχειρήσεις που παραβιάζουν τις συναφείς υποχρεώσεις τους. Ουδεμία, λοιπόν, αμφιβολία χωρεί πως δεν αρκεί η εύρεση των βέλτιστων, σχετικών, συστημάτων αλλά, προεχόντως, η ευλαβική τήρηση των (όχι αμελητέων) υποχρεώσεων που βαρύνουν εκείνους που θα τα χρησιμοποιήσουν.
Managing Partner
Koumentakis and Associates Law Firm
Σημ.: Το παρόν άρθρο αποτελεί τμήμα ευρύτερης ενότητας αρθρογραφίας της Δικηγορικής μας για την Τεχνητή Νοημοσύνη και τις Επιχειρήσεις. Στην ενότητα αυτή επιχειρούμε την προσέγγιση των βασικών, σχετικών, υποχρεώσεων υπό το πρίσμα του Κανονισμού (ΕΕ) 2024/1689.