Kodeks Postępowania w ramach AI Act

Struktura Kodeksu i priorytetowe obszary działania

Kodeks Postępowania, wprowadzony zgodnie z art. 56 AI Act, pełni funkcję wytycznych, które umożliwiają dostawcom GPAI wypracowanie zgodności z regulacjami w okresie przejściowym, zanim zostaną ustanowione bardziej szczegółowe standardy. Chociaż obecna wersja Kodeksu znajduje się na wczesnym etapie i skupia się głównie na ogólnych zasadach, jego pierwsza iteracja wyznacza sześć kluczowych zasad mających na celu wdrożenie ram dla rozwoju GPAI, a są nimi:

• zgodność z wartościami UE – zgodność z podstawowymi wartościami UE, w tym z Kartą Praw Podstawowych, demokracją oraz rządami prawa;
• wyrównanie z AI Act i podejściami międzynarodowymi – przestrzeganie wytycznych AI Act oraz, jeśli to możliwe, dostosowanie się do międzynarodowych standardów i dobrych praktyk;
• proporcjonalność do ryzyka – dostosowanie środków do poziomu ryzyka, a więc bardziej rygorystycznych w przypadku większych zagrożeń;
• dostosowanie do rozwoju technologii – możliwość aktualizacji wymogów w związku z szybkim rozwojem technologii;
• wsparcie rozwoju ekosystemu bezpieczeństwa AI – wspieranie przez Kodeks Postępowania rozwoju bezpiecznych praktyk AI w całej Unii Europejskiej, a przez to uniknięcie rozdrobnienia regulacji na poziomie krajowym;
• proporcjonalność do wielkości dostawcy – uwzględnienie wielkości dostawcy w celu chronienia mniejszych graczy przed nadmiernym obciążeniem.

Proces tworzenia Kodeksu i konsultacji

Pierwszy projekt Kodeksu jest wynikiem konsultacji z niemal 430 uczestnikami wraz ze wsparciem międzynarodowych ekspertów, którzy aktywnie uczestniczyli w warsztatach i sesjach roboczych. Każda z czterech grup roboczych koncentrowała się na innym kluczowym aspekcie regulacyjnym, w tym przejrzystości, identyfikacji i ocenie ryzyka, technicznych środkach zapobiegawczych oraz odpowiedzialności zarządczej w kontekście systemów sztucznej inteligencji z ryzykiem systemowym.

Choć projekt charakteryzuje się wysokim poziomem ogólności, jego struktura opiera się na założeniu, że z czasem zostaną wdrożone bardziej szczegółowe wskaźniki oraz „podśrodki” dla skuteczniejszej regulacji GPAI.

Kluczowe obszary Kodeksu Postępowania

Pierwszy projekt Kodeksu wyznacza priorytetowe działania w następujących obszarach:

• Przejrzystość i dokumentacja

Zgodnie z art. 53 AI Act dostawcy mają obowiązek prowadzenia dokumentacji technicznej i udostępniania jej zarówno Europejskiemu Urzędowi ds. Sztucznej Inteligencji, jak i dostawcom systemów downstream. Zapewnienie dostępności dokumentacji i informacji o modelu, takich jak polityka akceptowalnego użytkowania, architektura, liczba parametrów czy modalności wejścia i wyjścia, jest kluczowe dla przejrzystości i zgodności z regulacjami.

• Ochrona praw autorskich

Zgodnie z art. 53(1)(c) Kodeks wymaga od dostawców opracowania polityki przestrzegania prawa autorskiego, uwzględniającej przepisy unijne dotyczące wyjątków i ograniczeń w zakresie eksploracji danych (TDM).

• Identyfikacja i ocena ryzyka systemowego

Kodeks definiuje systematyczny proces identyfikacji ryzyk, a także szczegółowy plan oceny ryzyk o szczególnym znaczeniu, takich jak perswazja, dezinformacja, manipulacja. Podejście proporcjonalności sugeruje, że bardziej złożone i ryzykowne modele powinny podlegać bardziej szczegółowej analizie ryzyka.

• Techniczne środki zapobiegawcze i bezpieczeństwo

Kodeks wymaga od dostawców stosowania zaawansowanych metod testowania i raportowania w zakresie bezpieczeństwa. Szczegółowa ocena ryzyka i środków zapobiegawczych, takich jak modyfikacje zachowań modeli, zabezpieczenia technologiczne i cykliczne testowanie, są niezbędne, zwłaszcza dla modeli o wysokim poziomie ryzyka.

Wyzwania i dalsze kroki

Pierwszy projekt Kodeksu, choć oparty na założeniach, że liczba systemów GPAI z ryzykiem systemowym będzie nadal ograniczona, pozostawia miejsce na dalsze iteracje i rozwój, aby dostosować przepisy do nowych technologii i praktyk rynkowych. Przewiduje się kolejne konsultacje oraz poprawki, które mają na celu dostosowanie Kodeksu do zmieniających się potrzeb rynkowych i prawnych w miarę rozwoju AI. Kodeks ma być finalnie gotowy do 1 maja 2025 r.

Znaczenie Kodeksu Postępowania dla sektora finansowego

Dla sektora finansowego Kodeks Postępowania w ramach AI Act ma szczególne znaczenie, ponieważ wykorzystanie modeli AI ogólnego przeznaczenia (GPAI), szczególnie generatywnych systemów AI, staje się coraz bardziej powszechne w takich obszarach, jak: analiza ryzyka kredytowego, personalizacja ofert, wykrywanie oszustw czy zarządzanie relacjami z klientami. Kodeks wymaga od dostawców modeli GPAI zapewnienia pełnej dokumentacji oraz transparentności dotyczącej zastosowanych algorytmów i procesów szkoleniowych, co jest kluczowe w kontekście przestrzegania przepisów o ochronie danych i praw konsumentów. Zgodnie z AI Act instytucje finansowe będą miały dostęp do informacji o możliwościach i ograniczeniach tych modeli, dzięki czemu będą mogły w sposób odpowiedzialny włączać technologie AI w swoje systemy oraz właściwie zarządzać ryzykiem związanym z ich zastosowaniem.

Kodeks, poprzez precyzyjne wytyczne dotyczące oceny ryzyka systemowego i mechanizmów jego łagodzenia, umożliwia sektorowi finansowemu bardziej świadome podejmowanie decyzji związanych z wdrażaniem technologii GPAI. To w szczególności wymagania w zakresie dokumentacji technicznej, analizy ryzyk oraz stosowania środków zapobiegawczych, w tym audytów i monitorowania po wdrożeniu, zapewniają instytucjom finansowym narzędzia do skutecznego zarządzania ryzykiem operacyjnym i do ochrony prywatności klientów. Dodatkowo istotnym wsparciem w zapobieganiu potencjalnym nadużyciom są obowiązek zgłaszania incydentów i mechanizmy whistleblowingowe, co jest szczególnie ważne w sektorze o wysokiej wrażliwości na naruszenia danych i manipulację informacją.

Kodeks Postępowania pozwala również na harmonizację zasad w całej UE, a to eliminuje problem rozdrobnienia regulacyjnego na rynkach krajowych i zapewnia spójność standardów dla instytucji działających transgranicznie. Dzięki temu sektor finansowy zyskuje stabilne ramy regulacyjne dla wdrażania technologii AI, co sprzyja ochronie klientów i innowacyjności, przy jednoczesnym zachowaniu zgodności z przepisami.