W maju 2024 r. zostało podpisane długo oczekiwane rozporządzenie unijne określane jako AI Act. To pierwszy akt prawny za pomocą którego unijny ustawodawca postanowił uregulować obszar sztucznej inteligencji towarzyszącej nam w coraz większej liczbie obszarów na co dzień. Jak przygotować swoją organizację na wejście w życie AI Act i o czym warto pamiętać?
Czego dotyczą przepisy rozporządzenia AI Act?
Przepisy rozporządzenia AI Act mają na celu ustanowienie ujednoliconych reguł projektowania, atestowania i korzystania ze sztucznej inteligencji. Warto jednak zwrócić uwagę, że unijny ustawodawca klasyfikuje systemy AI według stopnia ingerencji w prawa i wolności człowieka. Pod tym względem można wyróżnić cztery grupy oprogramowania:
- stwarzające minimalne ryzyko;
- stwarzające ograniczone ryzyko;
- będące źródłem wysokiego ryzyka;
- będące źródłem ryzyka niedozwolonego.
Jeżeli organizacja już korzysta (lub ma zamiar zacząć w niedługim czasie wykorzystywać) algorytmy AI, należy w pierwszej kolejności zakwalifikować je do jednej z powyższych grup. Jest to o tyle istotne, że rozporządzenie skupia się przede wszystkim na high-risk AI oraz unacceptable risk AI. W pierwszym przypadku na podmiot dostarczający rozwiązania nałożony został szereg wymagań. W drugim korzystanie z takich systemów jest po prostu niedozwolone.
W przypadku sztucznej inteligencji, która generuje ryzyko określone jako minimal albo limited, przepisy rozporządzenia nie znajdują zastosowania. Problem polega jednak na tym, że rozpoznanie z jakim systemem na do czynienia firma nie zawsze będzie proste.
Kto powinien przygotować się na wejście w życie AI Act?
Wejście w życie AI Act powinno zainteresować wszystkie firmy, które w swojej działalności implementują algorytmy sztucznej inteligencji. Mogą to być np. firmy audytorskie, zakłady ubezpieczeń, banki, operatorzy telekomunikacyjni, agencje zajmujące się headhuntingiem czy kliniki medyczne wspierające diagnozę działaniem maszyn. Zakres oddziaływania AI Act jest bardzo szeroki, a w miarę rozwój technologii będzie stawał się jeszcze szerszy.
Kiedy można korzystać ze sztucznej inteligencji?
Na pytanie czy można korzystać z rozwiązań sztucznej inteligencji trzeba odpowiedzieć – to zależy. Przyjrzyjmy się w pierwszej kolejności ograniczeniom nakładanym przez rozporządzenie AI Act.
Jak rozumieć AI generujące ryzyko niedopuszczalne?
Unijny ustawodawca wprost zakazuje stosowania tzw. niedozwolonych praktyk w zakresie sztucznej inteligencji. Chodzi o systemy wymienione w art. 5 AI Act, które m.in.:
- stosują techniki podprogowe będące poza świadomością danej osoby w celu istotnego zniekształcenia zachowania tej osoby, które może powodować szkodę fizyczną lub psychiczną;
- wykorzystują dowolną słabość określonej grupy osób, np. ze względu na wiek, niepełnosprawność ruchową lub zaburzenia psychiczne;
- identyfikują obywateli biometrycznie w czasie rzeczywistym;
- na polecenie władzy dokonują scoringu obywatela, czyli oceny jego wiarygodności na podstawie jego cech osobistych lub cech osobowości.
Jeżeli firma korzysta z algorytmów pozwalających na osiągnięcie przynajmniej jednego spośród wymienionych wyżej rezultatów, jest to działanie niezgodne z prawem, które może skutkować nałożeniem bardzo wysokiej kary finansowej. W tym przypadku nie pomoże wykazanie, że wszystkie wymagania wskazane w rozporządzeniu zostały spełnione.
O ile w przypadku AI niedozwolonego ryzyka jest mało prawdopodobne, aby tego rodzaju narzędzia były wykorzystywane w państwie demokratycznym (social scoring ma miejsce m.in. w Chinach), w przypadku AI wysokiego ryzyka sprawy wyglądają zupełnie inaczej. To pojęcie jest bardzo szerokie i obejmuje cały szereg systemów. To, czy dana organizacja wykorzystuje AI wysokiego ryzyka, zależy przede wszystkim od przeznaczenia software’u:
- system sztucznej inteligencji jest elementem systemu bezpieczeństwa objętego ustawodawstwem harmonizacyjnym (np. maszyny przemysłowe, zabawki, jednostki pływające, urządzenia dźwignicowe);
- system sztucznej inteligencji został uznany za wysokiego ryzyka na mocy kryteriów wymienionych w załączniku nr III do rozporządzenia.
Warto przyjrzeć się zwłaszcza temu drugiemu zakresowi, który obejmuje m.in. :
- identyfikację i kategoryzację biometryczną osób fizycznych;
- zarządzanie infrastrukturą krytyczną oraz jej eksploatacją;
- kształcenie i szkolenie zawodowe;
- zatrudnienie, zarządzanie pracownikami oraz dostęp do samozatrudnienia (np. analizę aplikacji przez system rekrutacyjny);
- dostęp do podstawowych usług prywatnych oraz usług i świadczeń publicznych (np. ocena zdolności kredytowej, zarządzanie kryzysowe, ustalanie priorytetów służb ratunkowych);
- ściganie przestępstw;
- zarządzanie migracją, azylem i kontrolą graniczną.
Należy spodziewać się, że z biegiem czasu za systemy AI wysokiego ryzyka będzie uznawane coraz więcej algorytmów tym bardziej, że rozporządzenie uprawnia Komisję Europejską do poszerzenia załącznika nr III. W praktyce oznacza to, że organizacja, która ewoluuje, nie może przeprowadzić audytu w sprawie compliance sztucznej inteligencji raz, ale powinna ponawiać go za każdym razem, kiedy mieni wykorzystywaną infrastrukturę lub przepisy ewoluują.
Kiedy można korzystać z systemów wysokiego ryzyka?
Rozporządzenie AI Act wprowadza cały szereg wymagań, jakie muszą zostać spełnione przed oddaniem systemu do użytku. Niedopatrzenia na typ etapie w najlepszym razie sprawią, że software nie przejdzie procedury notyfikacyjnej. W najgorszym zaś powstaje ryzyko dotkliwej sankcji. Unijny ustawodawca kładzie nacisk na:
- opracowanie systemu zarządzania ryzykiem;
- właściwe procedury zbierania i walidacji danych, z których będzie korzystał system AI;
- obszerną dokumentację techniczną;
- wprowadzenie mechanizmu rejestrowania zdarzeń;
- transparentność i udostępnianie kluczowych informacji użytkownikom;
- zapewnienie możliwości nadzoru AI ze strony człowieka;
- dokładność, solidność i odpowiednio wysoki poziom bezpieczeństwa AI;
- obowiązek współpracy z jednostką notyfikowaną.
Choć na pierwszy rzut oka może się wydawać, że warunki korzystania z AI zamykają się w kilku punktach, są one rozbudowane i wiążą się z koniecznością implementacji odpowiednich rozwiązań na płaszczyźnie informatycznej, ale też biznesowej.
Co może zrobić organizacja, aby przygotować się do AI Act?
Pierwszym krokiem po wejściu w życie rozporządzenia powinno być znalezienie odpowiedzi na pytanie, czy dana organizacja podlega w ogóle pod reżim AI Act. Załącznik nr I do rozporządzenia wyczerpująco określa techniki i podejścia, które są uznawane za sztuczną inteligencję.
Jeżeli na powyższe pytanie uzyskamy twierdzącą odpowiedź, trzeba ustalić z jakiego rodzaju AI korzysta organizacja. Być może okaże się, że jest to oprogramowanie najniższego ryzyka i problem związany z compliance w ogóle nie powstanie. W przeciwnym jednak razie trzeba zadbać o spełnienie wymagań względem oprogramowania.
Wejście w życie AI Act wiąże się z wieloma wątpliwościami występującymi po stronie przedsiębiorców. Rozporządzenia nakłada liczne obowiązki w zakresie zapewnienia transparentności i bezpieczeństwa za systemy sztucznej inteligencji, które muszą zostać spełnione już na etapie projektowym. Obecnie trwają prace rządowe nad wyłonieniem organu notyfikującego, którego zadaniem miałoby być weryfikowanie czy dany system spełnia wymagania wymienione w AI Act. Nie wiadomo jeszcze w jaki sposób taka procedura notyfikacyjna będzie przebiegała, ani też – kto będzie uprawniony do certyfikacji w tym zakresie.
W praktyce należy liczyć się z koniecznością wprowadzenia daleko idących zmian w zakresie wewnętrznych procedur, a także dostosowania już wykorzystywanych systemów informatycznych do aktualnych wymagań.
Można też obawiać się niespójności regulacyjnej. Nowy akt prawny wprowadza całą masę pojęć, które nie były wcześniej stosowane w europejskim porządku prawnym. Oznacza to ryzyko odmiennej wykładni przepisów przez organy poszczególnych państw członkowskich i potencjalne trudności przy współpracy na międzynarodową skalę.
Duże znaczenie dla organizacji czy dostawców oprogramowania mogą mieć tzw. piaskownice regulacyjne. To odizolowane środowiska informatyczne, które pozwalają na testowanie opracowanych rozwiązań bez ryzyka wyrządzenia szkody innym podmiotom. Z pewnością warto z nich skorzystać, kiedy tylko się pojawią. To mniejsze koszty i ryzyko sankcji.
Można spodziewać się, że rząd będzie dążył do wypracowania porozumienia z dostawcami (oraz użytkownikami) oprogramowania co do zasad stosowania AI. Z pewnością ułatwiłoby to wprowadzenie na rynek produktów bezpiecznych, również przez mniejsze podmioty. Obecnie jednak nie są znane szczegóły takich konsultacji.
Już teraz warto zadbać o wprowadzenie zmian chociażby w regulaminie pracy poprzez uregulowanie możliwości wykorzystywania narzędzi AI przez pracowników. Trzeba też pamiętać o edukacji osób zatrudnionych. Nie wszyscy zdajemy sobie sprawę, że np. sporządzenie raportu finansowego przy użyciu ogólnodostępnego narzędzia AI może prowadzić do wycieku danych o strategicznym znaczeniu.
AI ACT – Kancelaria Linke Kulicki
Zadbaj o zgodność narzędzi AI z nowymi przepisami. W dniu 21 maja 2024 r. zatwierdzono rozporządzenie AI Act. Zacznie ono obowiązywać po upływie 2 lat od wejścia w życie. Dla przedsiębiorców oznacza to, że czas na analizę wykorzystywanej infrastruktury drastycznie się skrócił. Jeśli w Twojej firmie wykorzystywane są modele sztucznej inteligencji, ale nie jesteś pewien, czy dzieje się to zgodnie z nowymi standardami, zachęcamy do kontaktu.
Kancelaria Linke Kulicki od lat wspiera przedsiębiorców działających w sektorze NewTech. Doskonale znamy nowe technologie oraz przepisy, które regulują ich działanie. Pomożemy Twojej organizacji przygotować się na wejście w życie AI Act i zadbamy o bezpieczeństwo firmy.