O sztucznej inteligencji pisaliśmy już wcześniej (tutaj). Dlaczego jednak ten temat powinien interesować nie tylko Elliota Aldersona i twórców visual arts, ale wszystkich użytkowników internetu, a w sposób szczególny – przedsiębiorców?
1 sierpnia 2024 roku weszło w życie rozporządzenie 2024/1689 (AI Act, AIA). Dla większości postanowień obowiązuje 24-miesięczny okres przejściowy, ale część regulacji, tj. przepisy ogólne oraz zakazy dot. systemów AI nieakceptowalnego ryzyka, będą stosowane już od 2 lutego 2025 roku.
AI Act będzie mieć wpływ na większość przedsiębiorstw działających w UE. Przepisy dotyczą bowiem nie tylko twórców i dystrybutorów systemów AI – część z nich wiąże również użytkowników. Warto w tym miejscu przypomnieć, że wykorzystanie algorytmów sztucznej inteligencji nie jest domeną jedynie branż wysokich technologii. Mogą być, i są, powszechnie stosowane we wszystkich gałęziach przemysłu, np. przy planowaniu produkcji, czy w HR – przy procesach rekrutacyjnych i restrukturyzacyjnych, aby wymienić tylko kilka.
Co więcej, regulacje te będą mogły obowiązywać również podmioty spoza UE. Powielono bowiem rozwiązanie dot. eksterytorialnej aplikacji przepisów – jak np. w rozporządzeniu 2016/679 (RODO). Przepisy będą mieć zastosowanie w każdym przypadku, gdy systemy oparte na sztucznej inteligencji są używane w UE, niezależnie od tego, gdzie operatorzy mają siedzibę. Jak więc efektywnie wykorzystać okno czasowe zagwarantowane przez unijnego prawodawcę i przygotować swój biznes wobec AIA?
IDENTYFIKACJA
Aby zrozumieć konsekwencje unijnej regulacji, firmy powinny najpierw zbadać, czy korzystają z narzędzi wykorzystujących sztuczną inteligencję lub planują zakup takowych od zewnętrznych dostawców. To pierwszy krok do przystosowania swojego biznesu do nowej rzeczywistości prawnej. Wydaje się on oczywisty, ale scenariusz, w którym pracownicy używają ogólnodostępnych i darmowych narzędzi zasilanych AI bez wiedzy i nadzoru kierownictwa, jest bardziej niż prawdopodobny.
Rozeznanie warto rozpocząć od sprawdzenia używanych oprogramowań – naprawdę wiele z nich jest zasilanych AI. Nawet jeśli sztuczna inteligencja nie jest obecnie wykorzystywana, jest bardzo prawdopodobne, że zmieni się to w nadchodzących latach.
KLASYFIKACJA RYZYKA
Podstawowym założeniem AIA jest to, że korzystanie ze sztucznej inteligencji jest obarczone ryzykiem. W zależności od jego natężenia rozporządzenie dywersyfikuje zakres regulacji. Koniecznym jest więc ocena, w jakiej z tych kategorii znajdują się narzędzia, z których firma korzysta/zamierza korzystać.
Grafika: źródło
Systemy, które stwarzają niedopuszczalne ryzyko, są całkowicie zabronione (rozdział II AIA). Nieakceptowalny jest np. social-scoring na wzór chińskiego Systemu Zaufania Społecznego. Zakazane nie zostały natomiast programy sztucznej inteligencji do określania i przydzielania świadczeń oraz usług publicznych, choć, co ciekawe, mają tożsamy z nim model działania. Polegają bowiem na przyznawaniu punktów na podstawie szerokiego zakresu gromadzonych danych osobowych, w tym tych wrażliwych, celem oceny wiarygodności (potencjalnych) beneficjentów danego świadczenia. Takie algorytmy wykorzystuje np. francuski CAF (Kasa Świadczeń Rodzinnych) czy polskie PUPy.
Ww. systemy zakwalifikowano do systemów wysokiego ryzyka (aneks III, punkt 5 AIA). O kontrowersjach związanych z ich wykorzystywaniem więcej tutaj i tutaj.
Systemy wysokiego ryzyka są dozwolone, ale muszą spełniać wiele wymagań i przejść proces oceny zgodności z nimi. Zaliczają się do nich, oprócz wspomnianych wyżej algorytmów profilowania, m.in. powszechnie używane systemy nadzoru pracowników i technologie wykorzystywane przy rekrutacji. Jednak zdecydowana większość obowiązków dot. systemów wysokiego ryzyka, o których alarmują różne artykuły i posty informacyjne, obciąża tylko ich dostawców.
Użytkownicy, czyli podmioty stosujące, zobowiązani są m.in. informować swoich pracowników o ich stosowaniu, wykorzystywać systemy zgodnie z instrukcją obsługi, monitorować ich działanie i sprawować nad nimi ludzki nadzór.
Podmiot stosujący ma zapewniać również adekwatność i wystarczającą reprezentatywność danych wejściowych, w zakresie, w jakim sprawuje on nad nimi kontrolę. Kwestia algorytmicznej dyskryminacji jest żywotnym problemem wykorzystywania AI w środowisku pracy oraz w sektorze usług publicznych (szczególnie dotyczy to świadczeń zdrowotnych i socjalnych). Obowiązuje bowiem mylne przekonanie o wyższości algorytmu nad ludzką oceną, która obarczona jest wieloma, nawet nieuświadomionymi, uprzedzeniami. Ponieważ jednak to nadal ludzie programują algorytmy to ich tendencyjność i wartości są w nie wbudowane np. właśnie przez wybór niereprezentatywnych danych treningowych [Citron & Pasquale, 2014]. Nie dziwi więc regulacja art. 10 AIA, która przedstawia dobre praktyki w zakresie zarządzania danymi i zaleca badanie systemów pod kątem ewentualnej stronniczości lub dyskryminacji.
Co istotne, ww. wymogi nie znajdą zastosowania do systemów wysokiego ryzyka wprowadzonych przed 02.08.2026 r., chyba że po tej dacie wprowadzone w nich będą „istotne zmiany”. Powstaje więc zagrożenie prób wprowadzenia przed tą datą możliwie największej ilości systemów potencjalnie ryzykownych dla obywateli.
Ograniczone ryzyko systemów AI odnosi się do zagrożeń związanych z brakiem przejrzystości w korzystaniu ze sztucznej inteligencji. Ustawa o sztucznej inteligencji wprowadza szczególne obowiązki w tym zakresie. Na przykład przy korzystaniu z chatbota, użytkownik powinien zostać uświadomiony, że jest on zasilany przez AI. Dotyczy to również deep-fake’ów (ale tylko tych, które nie są uważane za wysoce ryzykowne – te klasyfikowane są jako zakazane). W ich przypadku odbiorca zawsze musi wiedzieć, że zostały wygenerowane z pomocą sztucznej inteligencji. Obowiązek sprowadza się więc do adekwatnego informowania, gdy użytkownik wchodzi w interakcję z maszyną lub używa jej wytworów.
Korzystanie ze sztucznej inteligencji o minimalnym ryzyku nie zostało uregulowane i tym samym charakteryzuje się największą swobodą. Do tej kategorii należą gry wideo lub filtry antyspamowe wykorzystujące AI. Zdecydowana większość systemów sztucznej inteligencji stosowanych obecnie w UE należy do tej kategorii.
WDROŻENIE
Niezależnie od tego czy firma tworzy narzędzia AI, czy tylko z nich korzysta, to musi upewnić się, że jej praktyki w zakresie sztucznej inteligencji są zgodne z nowymi przepisami. Obecnie odpowiedzialność za implementację sztucznej inteligencji jest w dużej mierze rozproszona, co wiąże się z rozproszoną odpowiedzialnością za jej zgodność z prawem. W związku z tym większe przedsiębiorstwa powołują ciała, które kompleksowo mają dbać o te kwestie, np. rady ds. AI, rady ds. etyki AI lub dyrektorzy ds. AI (Chief AI Officers).
Kary za nieprzestrzeganie AIA są znaczące i mogą mieć poważny wpływ na działalność dostawcy lub podmiotów stosujących. Wynoszą one od 7,5 mln euro do 35 mln euro lub od 1% do 7% rocznego obrotu, w zależności od wagi naruszenia. Istotne jest więc, aby przedsiębiorcy upewnili się, że w pełni rozumieją ustawę o sztucznej inteligencji i przestrzegają jej przepisów.
AIA POMOSTEM NAD DIGITAL SKILLS GAP?
Prawie wszystkie ankietowane polskie firmy (94%), które wdrożyły sztuczną inteligencję, osiągnęło wzrost przychodów; 88% wskazało na poprawę innowacyjności, a 81% stwierdziło, że sztuczna inteligencja usprawniła procesy biznesowe. Wszystkie te wskaźniki są wyższe niż wyniosła średnia europejska [Raport Strand Parners dla Amazon Web Services, 2024]. Jednocześnie nadal jedna czwarta badanych przedsiębiorstw twierdzi, że zapewnianie zgodności z prawem i niepewność prawna powstrzymują je przed wykorzystaniem sztucznej inteligencji. W tym kontekście AIA powinna zapewnić klarowność i zachęcić do proaktywnej postawy względem, już nieuniknionej, transformacji technologicznej.
Ewa Wójcik
asystentka prawna