Sztuczna inteligencja staje się kluczowym narzędziem wykorzystywanym w biznesie i codziennym życiu. Ale stawia też fundamentalne pytania o etykę, bezpieczeństwo danych i kontrolę nad technologią. W odpowiedzi na nie Unia Europejska wprowadza AI Act. Czy to wystarczy, by ochronić nasze podstawowe wartości, którymi, jako Europa, tak bardzo się szczycimy?
Fundamentalne prawa człowieka stanowią podstawę Unii Europejskiej i zapisane są m.in. w Karcie Praw Podstawowych Unii Europejskiej. Obejmują szeroki zakres wartości, takich jak godność ludzka, prawo do prywatności i ochrony danych osobowych, niedyskryminacja, wolność słowa, prawo do sprawiedliwego procesu, prawo do edukacji, pracy czy dostęp do opieki zdrowotnej.
W kontekście sztucznej inteligencji ochrona tych praw staje się kluczowa. Systemy AI, ze względu na swoją autonomię, złożoność i zdolność do przetwarzania ogromnych ilości danych, mogą potencjalnie dyskryminować, naruszać prywatność, podejmować decyzje oparte na niejasnych kryteriach czy naruszać wolność słowa.
Ryzyko wzmacniania uprzedzeń?
AI Act, czyli Akt o sztucznej inteligencji, to rozporządzenie Unii Europejskiej, które reguluje zasady rozwoju, wprowadzania na rynek oraz korzystania z systemów sztucznej inteligencji (AI). Ma zagwarantować, że systemy AI rozwijane i używane w UE są bezpieczne, przejrzyste, odpowiedzialne i respektują wartości etyczne.
W Polsce, za nadzór i egzekwowanie przepisów AI Act odpowiadać będzie Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRIBSI).
”Algorytmy AI mogą nieumyślnie lub celowo powielać i wzmacniać istniejące uprzedzenia społeczne. To z kolei może prowadzić do dyskryminacji w procesie rekrutacji czy udzielania kredytów. Dodatkowo systemy AI często przetwarzają dane osobowe na dużą skalę, stwarzając ryzyko naruszenia prywatności i profilowania bez świadomej zgody użytkownika”– mówi Michał Gołębiewski, Cloud Business Unit Director w Integrity Partners.
Systemy AI mogą być również wykorzystywane do manipulowania informacjami, tworzenia deepfake’ów czy automatycznej cenzury, co zagraża wolności wypowiedzi i demokratycznej debacie. AI Act ma zapobiegać tym zagrożeniom, narzucając konieczność dostosowania systemów AI do odpowiednich wymogów.
Kogo dotyczy AI Act?
Przede wszystkim firm i organizacji, które są dostawcami narzędzi opartych na sztucznej inteligencji, czyli tworzą je i wprowadzają na rynek, lub podmiotami je stosującymi, czyli używającymi tych narzędzi w swojej działalności.
Użytkownicy prywatni, korzystający z systemów AI w ramach osobistej działalności pozazawodowej, nie są bezpośrednio objęci przepisami AI Act.
Co istotne, rola dostawcy nie ogranicza się jedynie do wielkich firm technologicznych.
Każda firma, która wewnętrznie tworzy i wdraża rozwiązania oparte na AI, może zostać uznana za dostawcę.
Przykład? Jak podkreśla w podkaście „NIEbezpieczne rozmowy” na kanale IntegriTV Michał Jaworski, National Technology Officer w Microsoft, jeśli bank czy na przykład starostwo powiatowe przygotowało z pomocą narzędzi AI, otrzymanych na przykład z Microsoftu, jakąś aplikację, to te podmioty stają się dostawcą.
Wpływ AI Act na firmy tworzące narzędzia AI i korzystające z nich
AI Act będzie miał znaczący wpływ na obie wspomniane grupy firm.
- Dostawcy
Dostawcy będą musieli przede wszystkim sklasyfikować swoje systemy AI pod kątem ryzyka. AI Act dzieli systemy AI na cztery kategorie ryzyka, a wymagania regulacyjne rosną wraz ze wzrostem jego poziomu.
Niedopuszczalne ryzyko (Unacceptable Risk):
Systemy AI, które stwarzają wyraźne zagrożenie dla bezpieczeństwa, życia lub praw podstawowych ludzi, są w pełni zakazane. Ich użycie jest sprzeczne z wartościami Unii Europejskiej. Np. systemy „punktacji społecznej” (social scoring) stosowane przez rządy, oceniające zachowanie obywateli i prowadzące do dyskryminacji.
Wysokie ryzyko (High Risk):
Systemy AI, które mogą negatywnie wpływać na bezpieczeństwo lub prawa podstawowe, ale ich korzyści dla społeczeństwa są na tyle znaczące, że dopuszcza się ich użycie pod warunkiem spełnienia rygorystycznych wymogów. Np. systemy AI wykorzystywane w procesach rekrutacji (choćby do analizy CV, oceny kandydatów), w medycynie (diagnozowanie chorób) czy służące do oceny zdolności kredytowej lub przyznawania świadczeń socjalnych.
Ograniczone ryzyko (Limited Risk):
Systemy AI, które wymagają spełnienia pewnych obowiązków w zakresie przejrzystości, aby użytkownicy byli świadomi, że wchodzą w interakcję z AI lub że ich treści są generowane przez AI. Np. chatboty, z którymi użytkownicy wchodzą w interakcje na stronie internetowej.
Minimalne ryzyko (Minimal Risk):
Większość systemów AI zalicza się do tej kategorii. Uważa się, że stwarzają minimalne lub żadne ryzyko dla praw podstawowych lub bezpieczeństwa. Np. gry AI, systemy rekomendacji czy filtry antyspamowe.
70% AI Act dotyczy systemów wysokiego ryzyka, które podlegają najbardziej rygorystycznym wymogom. Dla takich systemów wymagana jest obszerna dokumentacja, testowanie, nadzór ludzki i zapewnienie przejrzystości.
- Podmioty stosujące
Podmioty stosujące muszą mieć świadomość, że mogą stać się dostawcami, jeśli rozwijają własne aplikacje oparte na AI, nawet z wykorzystaniem gotowych narzędzi.
“Firmy, które korzystają z narzędzi opartych na sztucznej inteligencji, muszą upewnić się, że te narzędzia są zgodne z przepisami AI Act, szczególnie w przypadku systemów wysokiego ryzyka. Niewiedza lub brak oceny ryzyka może prowadzić do poważnych konsekwencji. Warto więc współpracować ze sprawdzonymi partnerami. Pomogą oni wybrać profesjonalne technologie, dostarczane przez firmy godne zaufania i na pewno działające w zgodzie z prawem. Dodatkowo podmioty stosujące są zobowiązane m.in. do szkolenia pracowników korzystających z AI” – wyjaśnia Michał Gołębiewski z Integrity Partners.
Używać czy nie używać?
AI Act to akt prawny o charakterze „szkieletowym”, co oznacza, że jego szczegóły będą doprecyzowywane przez liczne instrukcje i wytyczne. To może rodzić wiele pytań i skłaniać firmy do refleksji, czy w ogóle warto wdrażać systemy oparte na sztucznej inteligencji.
“Obawy przed nieznanymi przepisami i potencjalnymi konsekwencjami prawnymi są zrozumiałe. Jednak rezygnacja z AI w firmie byłaby błędem. Sztuczna inteligencja to potężne narzędzie, które może znacząco przyspieszyć pracę, zautomatyzować rutynowe zadania i usprawnić wiele procesów biznesowych, przyczyniając się do wzrostu efektywności i innowacyjności. Kluczem jest jednak odpowiedzialne i świadome korzystanie z jej możliwości” – komentuje Michał Gołębiewski z Integrity Partners.
Aby zminimalizować ryzyko, firmy powinny pamiętać o kilku kluczowych zasadach:
- Korzystanie ze sprawdzonych i certyfikowanych narzędzi
Należy wybierać dostawców AI, którzy aktywnie pracują nad zgodnością z AI Act i innymi regulacjami, takimi jak RODO. Warto zwracać uwagę na rozwiązania, które oferują wbudowane funkcje compliance i bezpieczeństwa, a ich zgodność jest potwierdzona certyfikatami (np. ISO/IEC 42001).
- Ograniczanie ryzyka uczenia modelu na danych firmowych
Każda firma powinna upewnić się, że używane narzędzia AI nie wykorzystują wprowadzanych przez pracowników danych do uczenia ogólnych modeli, co mogłoby prowadzić do wycieku poufnych informacji. Istotne jest stosowanie rozwiązań, które gwarantują prywatność danych i ich separację.
- Zwracanie uwagi na uprawnienia użytkowników
Administratorzy IT powinni starannie zarządzać uprawnieniami dostępu do systemów AI w firmie. Zapewnienie, że pracownicy mają dostęp tylko do tych funkcji i danych, które są im niezbędne do wykonywania obowiązków, minimalizuje ryzyko nieuprawnionego użycia lub naruszenia bezpieczeństwa.
- Szkolenie pracowników korzystających z AI
Kluczowe jest edukowanie personelu z zakresu bezpiecznego i zgodnego z polityką firmy korzystania z narzędzi AI. Pracownicy muszą rozumieć zarówno korzyści, jak i potencjalne ryzyka związane z AI, a także zasady odpowiedzialnego korzystania z technologii, szczególnie w kontekście ochrony danych i prywatności.
- Monitorowanie użycia nieautoryzowanych narzędzi
Warto zwracać uwagę także na to, z jakich narzędzi AI korzystają pracownicy. Wiele dostępnych publicznie rozwiązań AI nie spełnia standardów bezpieczeństwa i prywatności wymaganych w środowisku biznesowym. Dlatego tak ważne jest wprowadzenie jasnych zasad dotyczących użycia zatwierdzonych narzędzi AI i monitorowanie ich przestrzegania.
