Legislativní projednávání návrhu AIA se odhaduje na 3-5 let. Jako myšlenka je obecně přijímáno převážně kladně. Za přínosnější, než debatovat o smyslu a nutnosti regulace jako takové, považujeme konkrétní a konstruktivní výtky k jednotlivým bodům návrhu.
Shrnout by se daly takto: lze jen přivítat regulatorní přístup na základě posuzování rizik (risk based assesment). Současně je však sporné, zda má být postaveno na takové míře posuzování sebe sama (self enforcement), s jakou návrh AIA pracuje. Výhrady lze mít i k některým dílčím aspektům návrhu, které se zdají nepřesné a neberou v potaz celkový přístup. A konečně samostatným a velmi komplexním tématem je už samotná definice umělé inteligence či systémů s ní pracujících.
Software, který je vyvinut pomocí jedné nebo více technik a přístupů uvedených v příloze I, a který může pro danou sadu cílů definovaných člověkem generovat výstupy, jako je například obsah, predikce, doporučení nebo rozhodnutí ovlivňující prostředí, s nimiž komunikují.
Návrh AIA reguluje a definuje „AI systémy“, aniž by určil, čím se odlišují od samotné „AI“. Definice AI systémů je navíc pojatá tak široce, že může zahrnovat celé spektrum „obyčejných“ počítačových programů. To může vést k přílišné regulaci systémů nepracujících na bázi strojového učení a tedy nespojených s některými jeho riziky (namátkou komplexnost, závislost na datech, autonomní prvky či netransparentnost). Návrh také pomíjí, že dané systémy se mohou skládat z komponent různých původců či zpřístupněných v odlišných časech a podmínkách.
Nařízení se vztahuje na poskytovatele, kteří uvádějí na trh nebo do provozu systémy UI v Unii bez ohledu na to, zda jsou tito poskytovatelé usazeni v Unii nebo ve třetí zemi.
Teritoritoriální princip AIA lze obecně uvítat. Je však vhodné specifikovat, co přesně se myslí „umístěním“ v EU (ideálně vztažením k zúčastněným osobám, a ne systému samotnému). Lze tak zabránit některým spekulacím a obcházení úpravy.
Kromě toho návrh AIA (na rozdíl třeba od GDPR) nepřipouští výjimku pro výzkumné účely či neupravuje open source software.
Dostatečně vyřešená není ani možnost odlišné (přísnější) úpravy jednotlivých členských států.
Je jistě vhodné zcela vyloučit některé škodlivé praktiky v čele s těmi manipulativními a záměrně škodlivými, AIA by však měl řádně specifikovat, co se myslí některými pojmy („podprahové techniky“, či ty „podstatně zkreslující chování“). Nežádoucí je naopak omezení zákazu social scoringu či biometrické identifikace pouze na veřejný sektor, či nezahrnutí zákazu jiných typů rozpoznávání a kategorizace (biometrické BCS či emoční ERS).
Kategorie vysoce rizikových AI systémů jako hlavního předmětu regulace AIA by si také zasloužila důkladnější definici. A to včetně vyřešení otázky, zda je možné stanovit zakázané či vysoce rizikové systémy dodatečně.
Návrh AIA se na jednu stranu omezuje na regulaci jen některých fází při strojovém učení (trénování, validaci a testování) data setů. Zároveň však od nich vyžaduje naprostou bezchybnost a úplnost, což je prakticky nemožné a navíc zcela pomíjí jiná kritéria pro jejich kvalitu.
Založen na posouzení rizik, návrh AIA směřuje povinnost posouzení výhradně na poskytovatele (vývojáře) a (opět na rozdíl od GDPR) pomíjí uživatele. Ty navíc dostatečně neidentifikuje, když například vůbec neřeší situace, kdy bude osob užívajících AI systém celá řada (a ne vždy v úplně srovnatelném postavení).
Neřeší ani vztah k pojmu „fyzické osoby“ (používaném například v rámci požadavku transparentnosti). Uvedené souvisí i s nedostatečným důrazem na účel a způsob užití AI systému v situacích, nad kterými již poskytovatel nemá kontrolu či poskytováním AI jako služby (AI as a Service).
Nevhodným se zdá také pouhý všeobecný důraz na základní práva, nikoliv konkrétní práva jednotlivců. Zároveň však ale pomíjí i určitá kolektivní práva. Chybí v něm totiž možnost kontrolních mechanismů veřejnosti včetně možnosti podání stížností či námitek. Návrh AIA zkrátka nestanoví žádná nová práva, jen vybrané povinnosti.
Ačkoliv si AIA do značné míry bere za vzor zmíněné GDPR, v několika aspektech volí (neodůvodněně) odlišný přístup. Nejasné zůstává také zařazení AIA do širšího rámce nových předpisů týkajících se digitalizace a dat. Především ale vztah k úpravě soukromoprávní odpovědnosti v čele s PLD směrnicí (v této souvislosti aktuálně probíhá konzultace budoucí úpravy ohledně nových technologií).
Výše uvedené závěry vychází především z detailního rozboru členů Robotics and AI Law Society. Rozboru opatření proti možné společenské újmě způsobené AI se široce věnuje například článek Nathalie A. Smuha.