สรุป 14 ประเด็น EU AI Act กฎหมายปัญญาประดิษฐ์ฉบับแรกของโลก
เมื่อเร็วๆนี้ ทางสภาสมาชิกของสหภาพยุโรปได้ผ่านร่างกฎหมาย EU AI Act บทความนี้ได้สรุปประเด็นสำคัญของพ.ร.บ.นี้ไว้แล้วใน 14 ข้อ
EU AI Act คืออะไร?
EU AI Act หรือ EU Artificial Intelligence Act คือกฎหมายปัญญาประดิษฐ์ของสหภาพยุโรปที่ได้รับการอนุมัติจากรัฐสภายุโรป เป็นชุดแนวทางการกำกับดูแลที่สร้างสรรค์สำหรับเทคโนโลยีปัญญาประดิษฐ์ (AI) กฎหมายนี้จัดแบ่งระดับความเสี่ยงของ AI ตั้งแต่ "ไม่สามารถยอมรับได้" ไปจนถึงความเสี่ยงต่ำ โดยมีข้อบังคับที่เข้มงวดตามลำดับ
ทำไม EU AI Act จึงมีความสำคัญ?
กฎหมาย EU AI Act มีความสำคัญเนื่องจากเป็นกรอบกฎหมายครอบคลุมสำหรับเทคโนโลยี AI เพื่อให้มั่นใจว่าจะมีการพัฒนาและนำไปใช้อย่างมีความรับผิดชอบ ในขณะเดียวกันก็คุ้มครองสิทธิขั้นพื้นฐาน มุ่งสร้างความสมดุลระหว่างนวัตกรรมกับการปกป้องผู้บริโภคและธุรกิจ โดยตั้งมาตรฐานสากลสำหรับการกำกับดูแล AI
พ.ร.บ. EU AI Act จะมีผลบังคับใช้เมื่อใด?
กฎหมาย EU AI Act จะมีผลบังคับใช้ในช่วงเดือน พ.ค. 2567 และนำมาปรับใช้ในกฎหมายของแต่ละประเทศใน EU แต่ด้วยความหลากหลายของเศรษฐกิจ กฎหมาย และระบอบการปกครองที่แตกต่างกันในแต่ละประเทศ เป็นไปได้ว่าจะสามารถใช้ได้จริงนับตั้งแต่ปี 2568 เป็นต้นไป โดยธุรกิจจะต้องปฏิบัติตามข้อกำหนด กฎหมาย EU AI Act ครอบคลุมพื้นที่สหภาพยุโรป แต่อย่างไรก็ตามการมีผลบังคับด้านกฏหมายในสหภาพยุโรป ย่อมส่งผลกระทบไปทั่วโลกอย่าง เพิ่มแรงผลักดันให้มีการควบคุมกำกับดูแล AI อย่างรับผิดชอบในระดับสากล ซึ่งอาจกระตุ้นให้ประเทศอื่นๆ นำมาตรการควบคุมที่คล้ายคลึงกันมาใช้
สรุป 14 ประเด็นสำคัญ พ.ร.บ. EU AI Act
1. EU AI Act มีการแบ่งประเภทของ AI ตามระดับความเสี่ยงออกเป็น 4 ระดับ ได้แก่ 1.) ความเสี่ยงที่ยอมรับไม่ได้ (Unacceptable risk) 2.) ความเสี่ยงสูง (High risk) 3.) ความเสี่ยงจำกัด (Limited risk) และ 4.) ความเสี่ยงน้อยที่สุด (Minimal risk)
2. AI ที่มีความเสี่ยงที่ยอมรับไม่ได้ (Unacceptable risk) คือ AI ที่มีความเสี่ยงสูงเกินไปจนถูกห้ามใช้โดยสิ้นเชิง ตัวอย่างเช่น ระบบการให้คะแนนทางสังคม (social scoring), AI ที่ใช้เทคนิคการจูงใจแบบแอบแฝงเพื่อบิดเบือนพฤติกรรมของมนุษย์ และการใช้ AI เพื่อระบุตัวตนบุคคลแบบเรียลไทม์ในพื้นที่สาธารณะ ยกเว้นในกรณีเพื่อความมั่นคงเร่งด่วนหรือเพื่อติดตามตัวบุคคลที่ถูกลักพาตัว และต้องได้รับการอนุญาตล่วงหน้า
3. AI ที่มีความเสี่ยงสูง (High risk) เป็นประเภทที่ EU AI Act ให้ความสำคัญในการกำกับดูแลมากที่สุด ซึ่งได้แก่ AI ที่ใช้ในบริบทต่อไปนี้ ไบโอเมตริกซ์ (ยกเว้นที่ถูกห้ามใช้ตามข้อ 2), สาธารณูปโภค, การศึกษา, การจ้างงาน, โครงสร้างพื้นฐาน, กฎหมาย, การย้ายถิ่นฐาน และกระบวนการยุติธรรมและประชาธิปไตย
4. ผู้พัฒนา AI ประเภทความเสี่ยงสูงจะต้องดำเนินการประเมินความสอดคล้อง (conformity assessment) ซึ่งรวมถึงการจัดเก็บเอกสาร การจัดทำระบบบริหารความเสี่ยง และการออกแบบ AI ให้มีความแม่นยำและความปลอดภัย ในขณะที่ผู้ใช้งานก็มีข้อบังคับบางประการที่ต้องปฏิบัติตาม แม้ว่าจะน้อยกว่าผู้พัฒนาก็ตาม เช่น การใช้งาน AI ตามวัตถุประสงค์และตามคู่มือที่ผู้พัฒนากำหนดไว้
5. กระบวนการประเมินความสอดคล้อง (Conformity assessment) คือ เป็นการประเมินเพื่อแสดงให้เห็นว่าระบบ AI มีคุณสมบัติที่สอดคล้องกับข้อกำหนดของ EU AI Act โดยผู้ประเมินจะต้องเป็นบุคคลที่สามที่มีความเป็นกลางและได้รับการรับรอง ซึ่งจะทำการประเมินทั้งในด้านเทคนิค เอกสารที่เกี่ยวข้อง และกระบวนการต่าง ๆ
6. AI ที่มีความเสี่ยงจำกัด (Limited risk) เช่น แชทบอทหรือดีปเฟก ผู้พัฒนาและผู้ใช้จะต้องทำให้ผู้ใช้ตระหนักว่ากำลังโต้ตอบกับ AI เช่น การใส่ข้อความแจ้งเตือน (disclaimer) หรือลายน้ำ (watermark) บนผลลัพธ์ที่ได้จากดีปเฟก
7. AI ที่มีความเสี่ยงน้อยที่สุด (Minimal risk) คือ AI ส่วนใหญ่ที่มีจำหน่ายในตลาดของสหภาพยุโรป เช่น AI ในวิดีโอเกมหรือตัวกรองสแปม ซึ่งจะไม่ถูกควบคุมโดย EU AI Act
8. AI อเนกประสงค์ (General Purpose AI หรือ GPAI) คือแบบจำลอง AI ที่มีความสามารถหลากหลายและสามารถปรับใช้กับงานได้หลายประเภท เช่น ใช้ในการสร้างข้อความ ภาพ วิดีโอ หรือใช้เป็นส่วนหนึ่งของระบบอื่น ๆ ได้ ซึ่ง GPAI ก็อาจถือเป็น AI ที่มีความเสี่ยงสูงได้เช่นกัน
9. กฎหมายให้ความสำคัญกับ GPAI เป็นพิเศษ โดย GPAI ที่ใช้พลังการประมวลผลในการฝึกฝนมากกว่า 10^25 FLOPS จะถูกพิจารณาว่ามีความเสี่ยงเชิงระบบ (systemic risk)
10. ผู้พัฒนา GPAI จะต้องจัดทำเอกสารคู่มือทางเทคนิค กำหนดนโยบายลิขสิทธิ์ เปิดเผยรายงานสรุปข้อมูลที่ใช้ในการฝึกฝน และปฏิบัติตามหลักปฏิบัติ (code of practice) จนกว่าจะมีมาตรฐานกลางออกมา
11. ผู้พัฒนา GPAI ที่มีความเสี่ยงเชิงระบบจะต้องปฏิบัติตามข้อกำหนดเพิ่มเติม ได้แก่ 1.) ทดสอบแบบจำลองเพื่อระบุและลดความเสี่ยงเชิงระบบ 2.) เตรียมวิธีจัดการความเสี่ยงเชิงระบบที่อาจเกิดขึ้น 3.) รายงานเหตุการณ์ร้ายแรงต่อหน่วยงานกำกับดูแล AI (AI Office) ที่จะจัดตั้งขึ้นโดยสหภาพยุโรป และ 4.) รักษาระดับความปลอดภัยทางไซเบอร์
12. GPAI แบบโอเพนซอร์ส หากไม่เข้าข่ายความเสี่ยงเชิงระบบ จะได้รับการผ่อนปรนข้อบังคับลงเหลือเพียงการปฏิบัติตามกฎหมายลิขสิทธิ์และการเปิดเผยข้อมูลสรุปที่ใช้ในการฝึกฝนเท่านั้น
13. หน่วยงานกำกับดูแล AI (AI Office) จะถูกจัดตั้งขึ้นภายใต้คณะกรรมาธิการยุโรปเพื่อตรวจสอบการปฏิบัติตามกฎระเบียบของผู้พัฒนา GPAI โดยสามารถเข้าไปตรวจประเมินแบบจำลองได้โดยตรง
14. หลังจากที่กฎหมายมีผลบังคับใช้ ข้อกำหนดต่าง ๆ จะทยอยมีผลในช่วงเวลาที่แตกต่างกัน เช่น ข้อกำหนดสำหรับ AI ที่ห้ามใช้จะมีผลภายใน 6 เดือน ข้อกำหนดสำหรับ GPAI จะมีผลภายใน 1 ปี และข้อกำหนดสำหรับ AI ความเสี่ยงสูงจะมีผลภายใน 2-3 ปี
ท้ายที่สุดแล้ว EU AI Act จะเป็นต้นแบบสำหรับหลายประเทศในการร่างกฎหมาย AI ของตนเอง ซึ่งรวมถึงประเทศไทยด้วย ที่คงต้องศึกษาและปรับใช้ให้เหมาะสมกับบริบทของประเทศ แต่น่าจะเน้นในเรื่องการแบ่งประเภท AI ตามระดับความเสี่ยงและการให้ความสำคัญกับ GPAI อย่าง ChatGPT และ Bard อย่างแน่นอน