EY zdjęcie do: Prawo i AI: Legalne labirynty sztucznej inteligencji

Prawo i AI: Legalne labirynty sztucznej inteligencji


Sztuczna inteligencja (AI) stała się kluczowym czynnikiem transformacji, tworząc możliwości zwiększenia wglądu i efektywności niemal we wszystkich branżach. Jej dynamiczny rozwój stanowi duże wyzwanie dla organizacji, które będą konfrontowane z rosnącą koniecznością doskonalenia swoich strategii zarządzania ryzykiem związanym z wdrożeniem AI. Prawidłowe zabezpieczenie implementacji rozwiązań AI od strony prawnej jest kluczowe dla bezpiecznego funkcjonowania przedsiębiorstw. 

Temat wdrażania AI w zgodności z regulacjami prawnymi był przedmiotem warsztatów podczas otwarcia EY AI Lab. W ramach sesji eksperci EY Law rozmawiali o znaczeniu regulacji prawnych w obszarze AI i wyzwaniach z tym związanych. Na spotkaniu zaprezentowane zostało także autorskie rozwiązanie automatyzujące proces badania zgodności z nowymi regulacjami – Digital Regulatory Check by EY Law.

Kolejny etap rewolucji AI: firmy testują nowe rozwiązania

Coraz częściej sztuczna inteligencja wspiera firmy w ich funkcjonowaniu. Pozwala nie tylko doskonalić procesy sprzedażowe, ale również dostosowywać produkty do profilu klientów, automatyzować obsługę kliencką, zarządzać ryzykiem czy optymalizować wewnętrzne procesy. Dynamiczny rozwój narzędzi opartych na AI wskazuje, że firmy nie tylko są zainteresowane sztuczną inteligencją, ale przeszły już do kolejnego ważnego etapu, jakim jest testowanie nowych rozwiązań. Najnowsze badania wskazują, że efektywna implementacja narzędzi AI znajduje się na szczycie biznesowych priorytetów i przez bardzo długi czas na nim pozostanie. Co więcej, z badania EY – „Jak firmy w Polsce wdrażają AI” – wynika, że 35% z nich zamierza w ciągu najbliższych 18 miesięcy zrezygnować z gotowych rozwiązań, by stworzyć własne rozwiązania technologiczne dostosowane do indywidualnych potrzeb organizacji. Z perspektywy prawnej warto zatem spojrzeć na temat sztucznej inteligencji możliwie szeroko i zastanowić się nie tylko nad celem wdrożenia rozwiązań opartych na AI, ale także zweryfikować, czy ich wykorzystanie jest w konkretnych przypadkach możliwe. Rozważenie uwarunkowań prawnych powinno nastąpić na początku drogi do implementacji nowych rozwiązań.

Raport EY: Jak polskie firmy wdrażają AI



EY AI Platform

Co chciałbyś osiągnąć dzięki sztucznej inteligencji? 

Jak odnaleźć się w gąszczu regulacji prawnych?

Unia Europejska przoduje w pracach legislacyjnych nad sztuczną inteligencją. W kwietniu 2021 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie sztucznej inteligencji [1]. Rozporządzenie ma na celu określenie ram popularyzacji rozwiązań AI, inwestycji i innowacyjności. Komisja w swojej regulacji skupiła się w głównej mierze na ryzyku. W rezultacie przyjęcia rozporządzenia systemy AI zostaną podzielone na kategorie w zależności od prezentowanego poziomu ryzyka.

W grudniu 2023 r. w Brukseli wypracowane zostało porozumienie polityczne dotyczące rozporządzenia. Obecnie akt oczekuje na uchwalenie, przewidziany dla niego został 24‑miesięczny okres vacatio legisW ciągu pierwszych 6 miesięcy od uchwalenia aktu wszystkie zakazane zastosowania sztucznej inteligencji, jak np. publiczne rozpoznawanie twarzy i publiczny scoring (systemy, które są uznane za zakazane w Unii Europejskiej), będą musiały zostać usunięte z obrotu.

Warto zatem już dzisiaj zweryfikować ryzyka, jakie przewiduje ten akt, ze szczególnym uwzględnieniem systemów sztucznej inteligencji zaliczanych do kategorii wysokiego ryzyka. Rozporządzenie w sprawie sztucznej inteligencji obejmie swoim zakresem podmioty, których usługi są oferowane na rynku europejskim. Regulacja ta obejmie szereg podmiotów, w tym dostawców rozwiązań opartych na AI, jak również podmioty wdrażające systemy sztucznej inteligencji.

Jak ocenić dojrzałość firmy do wdrożenia AI?

Odpowiedzialny proces wdrażania sztucznej inteligencji powinien uwzględniać kilka istotnych etapów. Aby wykorzystać możliwości AI i skutecznie ograniczać ryzyko w dziedzinach technicznych, społecznych i etycznych – w tym błędów w podejmowaniu decyzji i naruszenia prywatności – warto przeanalizować wewnętrzne cele i procesy organizacji. Analiza może pozwolić nie tylko na wykazanie luk i nieprawidłowości w podejściu firm do odpowiedzialnego wdrażania i rozwoju narzędzi opartych na AI, ale także do ustalenia minimalnych wymagań dla zespołów pracujących z AI.

Na przykładzie podmiotów z sektora finansowego (obarczonego największymi restrykcjami prawnymi) przedstawione zostały poniżej najważniejsze działania niezbędne do prawidłowego wdrożenia sztucznej inteligencji.

6 ważnych kroków dla firm wdrażających narzędzia oparte na sztucznej inteligencji:

  1. Określenie celu wykorzystania rozwiązania opartego na AI i procesu, w którym zostanie ono uwzględnione – w tym ocena, jakiego rodzaju dane będą przetwarzane przez sztuczną inteligencję i jakiego rodzaju procesy będą wykonywane lub wspierane przez sztuczną inteligencję.
  2. Kategoryzacja rozwiązania w odpowiedniej klasie ryzyka oraz określenie roli firmy na gruncie rozporządzenia w sprawie sztucznej inteligencji.
  3. Identyfikacja pozostałych odpowiednich przepisów i wytycznych mających zastosowanie do planowanego procesu: sektorowych, które regulują realizację procesów w instytucji finansowej (np. Prawo bankowe, DORA [1], komunikat chmurowy Komisji Nadzoru Finansowego), ogólnych (np. RODO [2]).
  4. Określenie wymogów regulacyjnych dla planowanego procesu.
  5. Określenie uwarunkowań szczegółowych dotyczących outsourcingu, jeśli wystąpi w planowanym procesie.
  6. Weryfikacja warunków, na jakich wykorzystanie sztucznej inteligencji jest możliwe w planowanym kontekście.

Przed wdrożeniem narzędzi opartych na AI każda firma powinna możliwie precyzyjnie zmapować wszystkie regulacje prawne, które mogą oddziaływać na skuteczność wdrożenia projektu. W sektorze finansowym takie regulacje to nie tylko przepisy dotyczące RODO czy cyberbezpieczeństwa, ale także komunikat chmurowy i wytyczne Komisji Nadzoru Finansów. Zwiększając prawdopodobieństwo zgodności z regulacjami prawnymi, firmy chronią interesariuszy, w tym społeczeństwo, przed ryzykiem związanym z AI.

Wewnętrzne polityki i strategie firmy muszą być zgodne z regulacjami prawnymi

Wdrożenie AI w firmie wymaga odpowiedniego dostosowania regulacji wewnętrznych oraz aktualizacji istniejących procesów, z uwzględnieniem m.in. kwestii zarządzania ryzykiem i kontroli wewnętrznej nad wykorzystaniem sztucznej inteligencji.

Coraz częściej organy regulacyjne wymagają od podmiotów oceny ryzyka związanego z wdrażanymi rozwiązaniami. Takie działania będą niezbędne do zapewnienia zgodności z rozporządzeniem o sztucznej inteligencji i regulacjami dotyczącymi cyberbezpieczeństwa. Dla firm wdrażających rozwiązania oparte na AI ważną kwestią jest również zabezpieczenie w umowach z dostawcami możliwości śledzenia, gdzie wysyłane i przechowywane są dane z systemów.

Dlaczego analiza ryzyka jest tak istotna?

Kompleksowa analiza wymogów regulacyjnych jest kluczowa w celu ustalenia potencjalnego ryzyka związanego z wdrożeniem sztucznej inteligencji. Warto zauważyć, że organy nadzorcze Unii Europejskiej dostrzegły już pewne przypadki wykorzystania sztucznej inteligencji niezgodnie z obowiązującymi przepisami. Zostały już także nałożone pierwsze kary z tego tytułu. Przykładem może być kara w wysokości 20 milionów euro nałożona za naruszenie przepisów RODO na firmę Clearview AI przez francuski organ ochrony danych (CNIL). Nakazał on Clearview AI zaprzestanie gromadzenia i wykorzystywania danych dotyczących osób fizycznych we Francji oraz usunięcie już zebranych danych, z powodu naruszenia prywatności w oprogramowaniu do rozpoznawania twarzy opartym na sztucznej inteligencji tej firmy.

Ważne zatem, aby przy wdrażaniu rozwiązań opartych na AI szeroko rozpatrywać kontekst prawny. Niezgodne z prawem wykorzystanie systemów sztucznej inteligencji może skutkować dotkliwymi karami – nie tylko na gruncie planowanego rozporządzenia w sprawie sztucznej inteligencji, ale także na gruncie przepisów już obowiązujących. 



Okiem eksperta EY

Rozważając wdrożenie nowych rozwiązań technologicznych, warto pamiętać, aby na kwestie prawne spojrzeć bardzo szeroko i skonsultować z prawnikami planowane procesy, zastosowanie obszarów, w których ma nastąpić zautomatyzowanie własnej działalności za pomocą sztucznej inteligencji. Zgodnie z zasadą mówiącą, że „nieznajomość prawa szkodzi”, taka konsultacja może uchronić organizację przed podjęciem niewłaściwej decyzji. Jednocześnie w doradztwie prawnym z zakresu nowych technologii absolutnie kluczowy jest aspekt rozumienia technologii i biznesu. Tylko połączenie tej wiedzy z doskonałą znajomością przepisów oraz usługą prawną „szytą na miarę” pozwala zapewnić bezpieczeństwo prawne, lepsze rezultaty i sukces.

Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat


Podsumowanie

Dynamiczny rozwój sztucznej inteligencji stanowi duże wyzwanie dla organizacji, które będą konfrontowane z rosnącą koniecznością doskonalenia swoich strategii zarządzania ryzykiem związanym z wdrożeniem AI. Prawidłowe zabezpieczenie implementacji rozwiązań AI od strony prawnej jest kluczowe dla bezpiecznego funkcjonowania przedsiębiorstw. 


Kontakt
Chcesz dowiedziec sie wiecej?
Skontaktuj sie z nami.

Informacje

Polecane artykuły

Raport EY 2023 – ICT Supply Chain Toolbox Whitepaper

Pobierz Raport EY 2023 – ICT Supply Chain Toolbox – niezastąpione źródło informacji dla wszystkich organizacji, które stawiają czoła wyzwaniom związanym z bezpieczeństwem łańcucha dostaw.