Podstawą AI Act’u jest tzw. risk-based approach, czyli podejście oparte na ryzyku. W znacznym uproszczeniu, risk-based approach należy rozumieć jako możliwość elastycznego podejścia do sposobu stosowania systemów sztucznej inteligencji, o ile tylko podejście to odpowiada występującym poziomom ryzyka. Oznacza to, że bardziej ryzykowne operacje bądź czynności dokonywane przy pomocy systemów AI będą wymagały bardziej zaawansowanych środków ochrony, podczas gdy mniej ryzykowne operacje będą mogły być zabezpieczone w sposób mniej restrykcyjny.
Brzmi znajomo? Zapewne tak, bo na ryzyku opieramy się już od kilku lat, wdrażając procedury ochrony danych osobowych w zgodzie z RODO. W ramach tych wdrożeń przeprowadzamy Data Protection Impact Assessment (DPIA), czyli ocenę tego, jak procesujemy dane osobowe, czy robimy to w sposób bezpieczny i zrównoważony oraz czy podejmujemy niezbędne środki organizacyjne i techniczne w celu zabezpieczenia praw i wolności osób, których te dane dotyczą. Przeprowadzenie DPIA jest zatem kluczowe dla ustalenia, czy w danej organizacji zachodzą zgodne z przepisami procesy przetwarzania i ochrony danych.
Działając w zgodzie z zasadą rozliczalności, powinniśmy podobny proces przeprowadzić przy wdrażaniu wymogów AI Act’u do naszej działalności (tj. o ile używamy w niej systemy sztucznej inteligencji). Proces ten, nazywany AI Impact Assessment (AIIA), możemy podzielić na kilka składowych. Jedną z ważniejszych, od której powinniśmy rozpocząć wszelkie analizy, jest analiza ryzyka systemu AI (AI Risk Assessment – AIRA), dzieląca się dalej na dwa etapy:
- analizę ryzyk wynikających z korzystania z AI,
- klasyfikację systemów AI w zależności od poziomu ryzyka.
Poczynając od pierwszego etapu, możemy wyróżnić następujące ryzyka: stronniczość, brak transparentności (tzw. problem black box’a w procesie decyzyjnym AI), dyskryminacja, naruszenie prywatności, niewłaściwe wykorzystanie danych osobowych, nadwyrężanie zaufania do systemu. [1]
Przechodząc do drugiego, powinniśmy wskazać na:
- systemy minimalnego i ograniczonego ryzyka,
- systemy wysokiego ryzyka,
- systemy nieakceptowalnego
AI Act zezwala na swobodne korzystanie ze sztucznej inteligencji minimalnego ryzyka. Systemy te to w szczególności aplikacje takie jak gry wideo lub filtry antyspamowe korzystające z usprawnień AI. [2] Idąc dalej, systemy ograniczonego ryzyka to systemy charakteryzujące się brakiem przejrzystości w korzystaniu ze sztucznej inteligencji. Ich dostawcy powinni upewnić się, że treści generowane przez te systemy, tj. generowane przez AI, są możliwe do zidentyfikowania, np. poprzez stosowne oznaczenie. Do tej kategorii wliczamy np. ChatGPT od OpenAI. [3] Sytuacja komplikuje się przy systemach wysokiego ryzyka. Tutaj prawodawca unijny jednoznacznie wskazuje, że systemy AI wysokiego ryzyka powinny być wprowadzane do obrotu w Unii, oddawane do użytku lub użytkowane wyłącznie wtedy, gdy spełniają określone obowiązkowe wymogi. [4] Tego rodzaju systemy zostały opisane w treści Załącznika III do AI Act’u – są to chociażby:
- systemy służące do kategoryzacji biometrycznej (choć nie wszystkie),
- systemy wykorzystywane w procesach zatrudniania, zarządzania pracownikami i dostępie do samozatrudnienia (np. oprogramowanie służące do sortowania CV na potrzeby procedur rekrutacyjnych, do umieszczania ukierunkowanych ogłoszeń o pracę etc.),
- systemy służące do egzekwowania prawa, mogące ingerować w podstawowe prawa ludzi (np. ocena wiarygodności dowodów).
AI Act zakazuje natomiast wykorzystywania systemów AI nieakceptowalnego ryzyka. Są to systemy obejmujące m.in. social scoring (klasyfikowanie ludzi na podstawie zachowania, statusu społeczno-ekonomicznego lub cech osobistych) czy systemy zdalnej identyfikacji w czasie rzeczywistym, takie jak rozpoznawanie twarzy, przez pobieranie obrazów twarzy z Internetu lub nagrań CCTV (podchodzące pod masową inwigilację).
Przeprowadzenie AIRA umożliwi ustalenie, jakie obowiązki, zarówno prawne, jak i organizacyjne, spoczywają na podmiocie posługującym się (w rozumieniu AI Act’u) systemami sztucznej inteligencji. Jego celem jest zidentyfikowanie, jakim poziomem ryzyka charakteryzuje się AI, z którego dany biznes korzysta, oraz określenie środków zapewniających, że rozwój technologii AI zachodzi w sposób minimalizujący ewentualne szkody dla społeczeństwa. Przykładowo w przypadku, gdy dane przedsiębiorstwo korzysta z AI wysokiego ryzyka, niezbędne będzie wprowadzenie odpowiednich środków bezpieczeństwa, takich jak posiadanie szczegółowej dokumentacji zawierającej wszystkie niezbędne informacje na temat systemu i jego przeznaczenia, środków nadzoru ludzkiego, wysokiej jakości zbiorów danych zasilających AI czy też rejestrowania działań w celu zapewnienia kontroli wyników. Jeżeli natomiast okaże się, że wykorzystywany system sztucznej inteligencji wpisuje się w kategorię nieakceptowalnego ryzyka, niezbędne będzie albo wprowadzenie stosownych zmian do jego funkcjonalności, albo całkowite zaprzestanie jego użytkowania.
Ale dlaczego jest to ważne z perspektywy biznesu? Przede wszystkim dlatego, że tego oczekują klienci/kontrahenci/partnerzy biznesowi wchodzący w relacje z przedsiębiorstwem. Podmioty te oczekują, że przedsiębiorstwo wdrożyło wszelkie niezbędne procedury, zapewniające zarówno zrównoważone zarządzanie ich danymi osobowymi (RODO), niewykorzystujące ich słabości ani nienaruszających ich praw wbrew regulacjom AI Act’u czy nawet fundamentalnych praw człowieka. A przecież przedsiębiorstwu zupełnie nie opłaca się płacić wysokich kar za naruszenie przepisów czy ewentualnych odszkodowań.
Rekomendowanym działaniem jest zatem przeprowadzenie procedury AIRA: ustalenie, jak dane przedsiębiorstwo obchodzi się z AI i czy realizuje wszystkie wymogi AI Act’u. Następnie, wskazane jest wdrożenie polityki AI, w której w odpowiedni sposób skategoryzuje się wykorzystywane w biznesie systemy AI oraz opisze wynikające z nich ryzyka i zagrożenia. Nie można także zapomnieć o sprawdzeniu, czy dokumentacja aktualnie wykorzystywana w organizacji nie wymaga aktualizacji – chodzi tu przede wszystkim o regulaminy, polityki prywatności, klauzule informacyjne – a także o odpowiednim szkoleniu personelu.
Całokształt produktów prawnych dokumentujących funkcjonowanie, używanie i dopuszczenie do obrotu systemów AI składa się na tzw. AI Governance – o której więcej w następnych artykułach.
[1] “A survey of artificial intelligence risk assessment methodologies”, EY in cooperation with Trilateral Research
[2] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
[3] Ibidem
[4] Motyw 46 unijnego rozporządzenia “AI Act”
