regulacje AIEU AI Actprawo AIjurysdykcjagovernance AI

Trzy lata po ChatGPT i nadal zero wiążących umów AI: kto rządzi AI?

Model językowy opracowany w San Francisco przez OpenAI (spółka Delaware, siedziba Kalifornia), uruchomiony na infrastrukturze Azure w centrum danych w Singapurze, przetwarzający zapytanie od pracownika banku w Warszawie zawierające dane osobowe klienta z Berlina. Które prawo reguluje tę transakcję?

Krótka odpowiedź: kilka jednocześnie, w różnych zakresach, z różnymi mechanizmami egzekucji, bez żadnej instancji która miałaby całościowy nadzór.

To nie jest problem prawników. To problem każdego CTO który wdraża systemy AI w globalnej organizacji.

Mapa regulacyjna 2026

Trzy lata po premieze ChatGPT mamy trzy główne bloki regulacyjne:

EU AI Act — wszedł w życie sierpień 2024, aplikacja etapami. System klasyfikacji ryzyka: nieakceptowalne (zakaz), wysokie (wymogi compliance), ograniczone (transparentność), minimalne (bez wymogów). Dotyczy systemów AI “wprowadzanych na rynek UE lub do użytku w UE” — eksterytorialność podobna do GDPR. Sankcje: do 35 milionów EUR lub 7% globalnego obrotu za naruszenia wysokiego ryzyka.

US Executive Order on AI (październik 2023, modyfikowany) — skupia się na bezpieczeństwie narodowym, wymogach raportowania dla modeli powyżej progu compute, voluntary commitments od Big Tech. Zasadniczo nie-bindujące dla sektora prywatnego poza kontraktami federalnymi.

China AIGC Regulation — Interim Measures for Generative AI Services (lipiec 2023), wymagania: weryfikacja użytkowników, zakaz treści “podważających władzę”, wymóg rejestracji modeli w chińskim regulatorze, dostosowanie do “wartości socjalistycznych”. De facto bariera wejścia na rynek chiński dla firm które nie chcą spełniać tych wymogów.

Poza tymi trzema: Brasil ma Projeto de Lei 2338, który wzoruje się na EU AI Act. India Responsible AI Guidelines. UK post-Brexit podejście sektorowe zamiast horyzontalnego. 40+ innych krajów z inicjatywami legislacyjnymi w różnym stadium.

Jurysdykcja EUEU AI Act, GDPRJurysdykcja USACLOUD Act, EOJurysdykcja CNAIGC, PIPLTwoja firmaoperuje tutajwszystkie trzy naraz

Konkretny problem jurysdykcyjny

Firma polska, klient europejski, model American, infra azjatycka. Które przepisy stosujemy?

GDPR / EU AI Act — stosuje się ze względu na lokalizację podmiotu danych (klient europejski) niezależnie od lokalizacji przetwarzania. Wymaga Data Processing Agreement z dostawcą modelu, ocena EU AI Act compliance jeśli system jest “wysokiego ryzyka”.

CLOUD Act (USA) — pozwala US organom ścigania żądać danych od US-based firm (OpenAI, Microsoft, Google) niezależnie od tego gdzie dane są przechowywane fizycznie. Teoretycznie w konflikcie z GDPR. W praktyce mechanizm “data transfer framework” (EU-US Data Privacy Framework, przyjęty 2023) ma to regulować. Ale DPF był już raz unieważniony przez Schrems II w 2020.

Singapur — Personal Data Protection Act, wymogi lokalne dla przetwarzania danych. Plus Singapur ma umowę o wzajemnym uznawaniu z EU w zakresie adequacy decision.

China — jeśli dane chińskich obywateli gdziekolwiek w tym łańcuchu, stosuje się PIPL (Personal Information Protection Law) z wymogami lokalizacji i security assessment dla cross-border transfers.

Wynik: do jednej transakcji może potencjalnie stosować się 4-5 różnych zestawów przepisów. Żaden z nich nie ma pierwszeństwa. Żaden regulator nie ma pełnego widoku.

Jak firmy faktycznie to nawigują

Szczerze? Z różnym stopniem zaangażowania.

Duże firmy (enterprise global) mają dedykowane zespoły legal/compliance, external counsel specializing w data law, budget na dostosowanie. Zwykle wybierają najsurowszy standard (GDPR + EU AI Act) jako baseline i dostosowują gdzie muszą dla lokalnych wymogów.

Średnie firmy zazwyczaj mają DPA z głównym dostawcą AI, zakładają że to wystarczy na GDPR, ignorują AI Act compliance (bo nie wiedzą że ich system może być klasyfikowany jako “wysokiego ryzyka”) i nie mają planu na CLOUD Act conflict.

Małe firmy używają API, klikają “I agree” w terms of service i mają nadzieję że regulatorzy zajmą się ważniejszymi sprawami.

Gdzie się łamie

Brak egzekucji cross-jurisdictional jest kluczowym problemem. Gdy GDPR był łamany przez US firm, europejskie DPA mogły nakładać kary — i robiły to (Meta: 1.2 miliarda EUR w 2023). Ale gdy systemem AI jest “model US na infrastrukturze Singapore używany przez EU firmę” i coś pójdzie źle, nie ma jasnej ścieżki egzekucji.

EU regulatorzy mogą nakładać kary na EU firmę. Ale nie na US modelprovider który nie ma presence w EU. US regulator nie ma kompetencji do egzekucji EU przepisów. Singapore ma własne przepisy, ale nie GDPR.

W rezultacie compliance staje się często opcjonalny dla podmiotów które nie mają znaczącej EU presence.

Co się zmieni

Kilka trendów które ukształtują regulacyjną mapę w kolejnych 2-3 latach:

AI Treaty Council of Europe — w maju 2024 Rada Europy przyjęła Framework Convention on Artificial Intelligence — pierwszą wiążącą umowę międzynarodową dotyczącą AI. Sygnatariusze to głównie kraje europejskie plus USA, UE, UK, Japonia. To nie jest globalny traktat (Chiny nie podpisały), ale to precedens.

Bilateralne umowy — analogicznie jak z ochroną danych, kraje będą budować “adequacy decisions” dla AI compliance wzajemnie. To fragmentaryzuje rynek ale daje jakiś framework.

Race to bottom vs. Brussels Effect — pytanie czy firmy będą dostosowywać do najsurowszego standardu (jak po GDPR) czy budować EU-avoidance w architekturze.

Dla firm operujących dziś: map your AI systems against risk categories in EU AI Act (szczególnie Annex III), upewnij się że DPA z dostawcami AI covers EU requirements, zidentyfikuj gdzie CLOUD Act exposure może być w konflikcie z GDPR, i śledź EU AI Act official timeline.

Regulacyjna mapa AI w 2026 jest jak mapa Europy w 1848 — wiele podmiotów, wiele roszczeń, żadnego ostatecznego ładu. Różnica: w 1848 prawnicy mieli czas na wypracowanie zasad. W AI sprawa rozgrywa się w czasie rzeczywistym.

← wszystkie posty