AI Act w działalności kancelarii prawnych

Spis treści:

1. AI Act a zawody prawnicze
2. Podejście funkcjonalne i oparte na ryzyku
3. System wysokiego ryzyka w kancelarii
4. Role w AI Act – gdzie znajduje się kancelaria
5. Modele AI ogólnego przeznaczenia a codzienna praktyka
6. Obowiązki transparentności istotne dla kancelarii
7. Jak uporządkować podejście do AI Act

Unijny AI Act nie wprowadza odrębnych regulacji dla zawodów prawniczych, jednak znajduje zastosowanie w działalności kancelarii przez sposób wykorzystania systemów sztucznej inteligencji. Kluczowe znaczenie ma kwalifikacja systemu pod względem ryzyka – to ona determinuje zakres obowiązków, a nie sam fakt korzystania z technologii.

Rozwiązania technologiczne wykorzystujące sztuczną inteligencję w krótkim czasie stały się elementem codziennej pracy wielu prawników. Narzędzia te wspierają kancelarie prawne w szerokim zakresie – od przygotowywania projektów pism i analiz, przez wyszukiwanie orzecznictwa, obsługę klienta, po porządkowanie informacji czy automatyzację wybranych procesów. Wraz z ich rosnącym znaczeniem pojawia się pytanie o to, czy korzystanie z systemów sztucznej inteligencji przez prawników podlega regulacji na gruncie AI Act, a jeżeli tak, to w jakim zakresie.

AI Act a zawody prawnicze

W treści AI Act nie znajdziemy regulacji przeznaczonych ani dla radców prawnych, ani adwokatów czy innych podmiotów świadczących usługi prawne. Rozporządzenie nie różnicuje sytuacji podmiotów ze względu na charakter prowadzonej działalności bądź przynależność do określonej profesji.

Brak bezpośredniego odniesienia do zawodów prawniczych nie prowadzi do ich wyłączenia spod działania rozporządzenia. Przeciwnie – oznacza konieczność oceny każdej sytuacji przez pryzmat funkcji, jaką pełni dany system, ryzyka, jakie się z tym wiążą, oraz roli podmiotu, który z niego korzysta.

Taki sposób ukształtowania regulacji sprawia, że zastosowanie AI Act w praktyce pracy kancelarii nie jest oczywiste na pierwszy rzut oka. Wymaga każdorazowo analizy konkretnego przypadku, a w szczególności ustalenia, czy i w jakim zakresie dane wykorzystanie systemu zostało objęte zakresem obowiązków przewidzianych w AI Act.

Podejście funkcjonalne i oparte na ryzyku

AI Act został oparty na podejściu funkcjonalnym i risk-based, znanym już chociażby z rodo. Oznacza to, że zakres obowiązków nie jest jednolity, lecz zależy od poziomu ryzyka związanego z wykorzystaniem systemu sztucznej inteligencji i jego zastosowaniem.

Prawodawca unijny w przepisach rozporządzenia wyróżnia cztery podstawowe kategorie systemów:

• systemy zakazane,
• systemy wysokiego ryzyka,
• systemy ograniczonego ryzyka,
• systemy minimalnego ryzyka.

Podział ten bezpośrednio przekłada się na zakres obowiązków regulacyjnych. Im większe potencjalne ryzyko dla jednostki lub społeczeństwa, tym bardziej rozbudowane wymagania znajdują zastosowanie.

Najdalej idące ograniczenia dotyczą systemów zakazanych. Chodzi o rozwiązania stwarzające niedopuszczalne ryzyko naruszenia praw podstawowych, zwłaszcza poprzez manipulację zachowaniem, wykorzystywanie słabości określonych grup czy stosowanie określonych form identyfikacji biometrycznej.

Szczególne miejsce w praktyce stosowania AI Act mają jednak systemy wysokiego ryzyka. Są to rozwiązania, które mogą w istotny sposób wpływać na zdrowie, bezpieczeństwo lub prawa podstawowe osób fizycznych. To właśnie wobec nich rozporządzenie przewiduje najbardziej rozbudowane obowiązki.

Poza systemami wysokiego ryzyka w rozporządzeniu przewiduje się także kategorię systemów o ograniczonym ryzyku, dla których głównym obowiązkiem jest zapewnienie przejrzystości, oraz systemów minimalnego ryzyka, wobec których, co do zasady, nie przewiduje się szczególnych wymogów regulacyjnych.

Tak ukształtowane podejście oznacza, że AI Act nie reguluje technologii jako takiej, lecz jej zastosowanie. Kluczowe znaczenie ma więc nie sam fakt korzystania z narzędzi opartych na sztucznej inteligencji, lecz sposób ich wykorzystania oraz wpływ, jaki wywierają na sytuację osób fizycznych.

System wysokiego ryzyka w kancelarii

Systemy wysokiego ryzyka w rozumieniu AI Act to takie systemy sztucznej inteligencji, których zastosowanie wiąże się z istotnym ryzykiem dla zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych. Jedną z podstaw ich kwalifikacji jest przypisanie do określonych obszarów zastosowań wskazanych szczegółowo w AI Act i załącznikach.

Do tej kategorii należą przede wszystkim systemy wykorzystywane w obszarach wyjątkowo wrażliwych z perspektywy jednostki, takich jak:

• biometria (np. zdalna identyfikacja osób);
• infrastruktura krytyczna (zarządzanie energią, transportem);
• edukacja (ocena uczniów);
• zatrudnienie (selekcja kandydatów i ocena pracowników);
• dostęp do usług (np. ocena zdolności kredytowej);
• egzekwowanie prawa;
• zarządzanie migracją;
• wybrane zastosowania w wymiarze sprawiedliwości, w tym systemy wspierające podejmowanie decyzji.

Wspólnym mianownikiem tych zastosowań jest ich potencjalny wpływ na sytuację osoby fizycznej, w tym w zakresie dostępu do praw, usług lub możliwości życiowych. To właśnie ten wpływ, a nie sama technologia, jest podstawą uznania danego systemu za system wysokiego ryzyka.

U podstaw tej kwalifikacji leży ryzyko naruszenia wartości chronionych przez prawo, takich jak zdrowie, bezpieczeństwo i prawa podstawowe, ryzyko dyskryminacji, naruszenia prywatności bądź ograniczenia dostępu do usług. Jeżeli system AI zostanie uznany za system wysokiego ryzyka, podlega rozbudowanemu reżimowi, obejmującemu m.in. obowiązek wdrożenia systemu zarządzania ryzykiem, zapewnienia jakości danych, dokumentacji technicznej, nadzoru człowieka, monitorowania działania systemu oraz przeprowadzenia procedury oceny zgodności przed jego wdrożeniem lub wprowadzeniem do obrotu.

W codziennej praktyce kancelarii kontakt z systemami wysokiego ryzyka będzie, co do zasady, ograniczony. Samo korzystanie z narzędzi generatywnych czy systemów wspierających analizę dokumentów nie prowadzi automatycznie do takiej kwalifikacji.

Nie oznacza to jednak, że takie sytuacje nie występują. Mogą się pojawić głównie w obszarze zatrudnienia i zarządzania współpracą. Dotyczy to systemów wykorzystywanych do selekcji kandydatów, filtrowania aplikacji, oceny osób ubiegających się o zatrudnienie lub współpracę, a także narzędzi wspierających decyzje dotyczące awansu, przydziału zadań czy zakończenia współpracy. Jeżeli system nie ogranicza się do funkcji technicznej, lecz realnie wpływa na decyzję wobec konkretnej osoby, może zostać uznany za system wysokiego ryzyka. Podobne ryzyko może pojawić się w przypadku systemów biometrycznych, wykorzystywanych np. do identyfikacji lub kontroli dostępu. Ten obszar wymaga szczególnej ostrożności, ponieważ niektóre zastosowania biometrii mogą wchodzić nie tylko w zakres systemów wysokiego ryzyka, ale również praktyk zakazanych.

Role w AI Act – gdzie znajduje się kancelaria

Kluczowe znaczenie dla stosowania AI Act ma ustalenie roli, w jakiej występuje podmiot korzystający z systemu sztucznej inteligencji. Rozporządzenie nie operuje kategoriami branżowymi, lecz posługuje się pojęciami funkcjonalnymi, takimi jak dostawca, podmiot stosujący system, importer czy dystrybutor.

W większości przypadków podmiot świadczący usługi prawne będzie kwalifikowany jako podmiot stosujący system AI w ramach działalności zawodowej. Dotyczy to zarówno korzystania z narzędzi generatywnych, jak i systemów wspierających analizę dokumentów lub wyszukiwanie informacji. W takiej sytuacji nie dochodzi do tworzenia systemu ani jego wprowadzania do obrotu, lecz wyłącznie do korzystania z rozwiązania dostarczonego przez inny podmiot.

Z perspektywy ryzyka regulacyjnego ważniejsze jest jednak ustalenie, kiedy podmiot może zostać uznany za dostawcę systemu AI. Zgodnie z AI Act może stać się nim podmiot, który opracowuje system lub wprowadza go do obrotu pod własną nazwą lub marką. W praktyce taka sytuacja może wystąpić podczas tworzenia własnych narzędzi, np. systemów do analizy umów lub rozwiązań wspierających klientów, oraz ich dalszego udostępniania. Podobne ryzyko może powstać w przypadku istotnej modyfikacji istniejącego systemu, która wpływa na jego funkcjonowanie i prowadzi do jego dalszego oferowania.

Granica pomiędzy tymi rolami nie zawsze jest oczywista. W praktyce coraz częściej spotykane są rozwiązania, w których narzędzia oparte na sztucznej inteligencji stanowią element usług oferowanych klientom, w tym w modelach cyfrowych lub abonamentowych. Wówczas może dojść do sytuacji, w której podmiot formalnie korzystający z systemu zaczyna faktycznie występować w roli jego dostawcy.

Sama kwalifikacja jako dostawcy nie przesądza jeszcze o zakresie obowiązków. W praktyce to kwalifikacja systemu pod względem ryzyka determinuje ich zakres. Rola podmiotu wpływa natomiast na zakres obowiązków dopiero w ramach danego reżimu regulacyjnego.

Modele AI ogólnego przeznaczenia a codzienna praktyka

Prawodawca unijny w AI Act wprowadza odrębny reżim regulacyjny dotyczący modeli AI ogólnego przeznaczenia. Są to modele, które nie są projektowane do jednego, konkretnego zastosowania, lecz mogą być wykorzystywane w wielu różnych kontekstach i integrowane z innymi systemami. W praktyce to właśnie z tej kategorii rozwiązań w kancelariach korzysta się najczęściej. Dotyczy to głównie dużych modeli językowych (LLM), wykorzystywanych do pracy na tekstach, przygotowywania projektów dokumentów, analiz czy wsparcia researchu.

Modele ogólnego przeznaczenia nie są kwalifikowane jako systemy wysokiego ryzyka same w sobie, ponieważ AI Act przypisuje kwalifikację ryzyka na poziomie konkretnego systemu AI i jego zastosowania. Kluczowe znaczenie ma zatem sposób ich wykorzystania. Jeżeli model zostaje użyty jako element systemu AI spełniającego przesłanki określone dla systemów wysokiego ryzyka, wówczas cały taki system podlega rygorystycznym wymogom przewidzianym w AI Act.

W przypadku wykorzystywania LLM istnieje również ryzyko uznania kancelarii za dostawcę systemu AI, zwłaszcza gdy narzędzie to jest integrowane z oferowaną usługą prawną, udostępniane klientom lub funkcjonuje pod własną marką podmiotu.

Obowiązki transparentności istotne dla kancelarii

W praktyce większość kancelarii korzystających z narzędzi opartych na sztucznej inteligencji nie będzie objęta najbardziej rygorystycznymi obowiązkami przewidzianymi dla systemów wysokiego ryzyka. Nie oznacza to jednak braku obowiązków regulacyjnych. W wielu przypadkach zastosowanie znajdą obowiązki transparentności określone w art. 50 AI Act, który zacznie obowiązywać od 2 sierpnia 2026 r. Mają one charakter horyzontalny i są niezależne od poziomu ryzyka systemu. Ich istotą jest zapewnienie, aby odbiorca nie był wprowadzany w błąd co do tego, czy ma do czynienia z człowiekiem, czy z systemem AI, a także co do pochodzenia treści. Regulacja nie wymaga ogólnego informowania o wykorzystywaniu sztucznej inteligencji w działalności, lecz nakłada obowiązek w konkretnych sytuacjach, w których brak takiej informacji mógłby wpływać na sposób postrzegania komunikacji lub podejmowania decyzji przez odbiorcę.

Z perspektywy kancelarii obowiązki te mogą znaleźć zastosowanie w kilku typowych scenariuszach.

1. Gdy kancelaria wykorzystuje system AI do bezpośredniej interakcji z osobami fizycznymi – w postaci chatbota na stronie internetowej, wirtualnego asystenta obsługującego zapytania klientów czy automatycznych systemów komunikacji. W takich przypadkach, co do zasady, konieczne jest poinformowanie użytkownika, że komunikuje się z systemem AI, chyba że jest to dla niego oczywiste w danych okolicznościach.
2. Obowiązki transparentności – mogą dotyczyć sytuacji, w których kancelaria wykorzystuje modele generatywne (np. LLM) do tworzenia treści kierowanych do klientów lub publikowanych na zewnątrz, np. odpowiedzi e-mailowe, materiały informacyjne, wpisy na blogu czy inne formy komunikacji. Jeżeli charakter tych treści mógłby sugerować, że zostały przygotowane wyłącznie przez człowieka, a w rzeczywistości są wynikiem działania systemu AI, konieczne może być ujawnienie tego faktu.
3. Regulacja obejmuje bardziej szczególne przypadki – takie jak generowanie lub modyfikowanie treści (w tym deepfake’ów) bądź wykorzystywanie systemów rozpoznawania emocji lub kategoryzacji biometrycznej, choć zastosowania te w praktyce będą występowały rzadziej.

AI Act określa sposób realizacji tych obowiązków. Informacja powinna być przekazana w sposób jasny, wyraźny i zrozumiały dla odbiorcy, najpóźniej w momencie pierwszej interakcji lub pierwszego zastosowania systemu. Powinna być także dostosowana do kontekstu i odbiorcy, w tym uwzględniać wymogi dostępności.

Jak uporządkować podejście do AI Act

Z perspektywy działalności kancelarii kluczowe znaczenie ma nie tylko znajomość AI Act, lecz przede wszystkim jego praktyczne zastosowanie. Nawet przy ograniczonym zakresie obowiązków konieczne jest przyjęcie uporządkowanego podejścia do korzystania z narzędzi AI.

Podstawowym krokiem jest identyfikacja wykorzystywanych rozwiązań i określenie sposobu ich użycia. To właśnie kontekst wykorzystania decyduje o kwalifikacji systemu i zakresie obowiązków, w szczególności o tym, czy narzędzie pełni funkcję wyłącznie pomocniczą czy też wpływa na proces podejmowania decyzji. Istotne jest także ustalenie roli w rozumieniu AI Act. W większości przypadków kancelaria występuje jako podmiot stosujący system, jednak przy tworzeniu, modyfikowaniu lub udostępnianiu rozwiązań może pojawić się ryzyko uznania jej za dostawcę.

---

Autor

Dominika Królik

Autorka jest adwokatką, założycielką Kancelarii Adwokackiej Królik Legal, specjalizującej się w prawie dla biznesu, w tym prawie nowych technologii, własności intelektualnej, e-commerce oraz ochronie danych osobowych. Wspiera firmy w bezpiecznym i zgodnym z prawem wdrażaniu rozwiązań opartych na AI, w tym zgodnie z AI Act i standardem ISO/IEC 42001:2023.