Prawo i AI: Legalne labirynty sztucznej inteligencji

Jak odnaleźć się w gąszczu regulacji prawnych?

Unia Europejska przoduje w pracach legislacyjnych nad sztuczną inteligencją. W kwietniu 2021 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie sztucznej inteligencji [1]. Rozporządzenie ma na celu określenie ram popularyzacji rozwiązań AI, inwestycji i innowacyjności. Komisja w swojej regulacji skupiła się w głównej mierze na ryzyku. W rezultacie przyjęcia rozporządzenia systemy AI zostaną podzielone na kategorie w zależności od prezentowanego poziomu ryzyka.

W grudniu 2023 r. w Brukseli wypracowane zostało porozumienie polityczne dotyczące rozporządzenia. Obecnie akt oczekuje na uchwalenie, przewidziany dla niego został 24‑miesięczny okres vacatio legis. W ciągu pierwszych 6 miesięcy od uchwalenia aktu wszystkie zakazane zastosowania sztucznej inteligencji, jak np. publiczne rozpoznawanie twarzy i publiczny scoring (systemy, które są uznane za zakazane w Unii Europejskiej), będą musiały zostać usunięte z obrotu.

Warto zatem już dzisiaj zweryfikować ryzyka, jakie przewiduje ten akt, ze szczególnym uwzględnieniem systemów sztucznej inteligencji zaliczanych do kategorii wysokiego ryzyka. Rozporządzenie w sprawie sztucznej inteligencji obejmie swoim zakresem podmioty, których usługi są oferowane na rynku europejskim. Regulacja ta obejmie szereg podmiotów, w tym dostawców rozwiązań opartych na AI, jak również podmioty wdrażające systemy sztucznej inteligencji.

Jak ocenić dojrzałość firmy do wdrożenia AI?

Odpowiedzialny proces wdrażania sztucznej inteligencji powinien uwzględniać kilka istotnych etapów. Aby wykorzystać możliwości AI i skutecznie ograniczać ryzyko w dziedzinach technicznych, społecznych i etycznych – w tym błędów w podejmowaniu decyzji i naruszenia prywatności – warto przeanalizować wewnętrzne cele i procesy organizacji. Analiza może pozwolić nie tylko na wykazanie luk i nieprawidłowości w podejściu firm do odpowiedzialnego wdrażania i rozwoju narzędzi opartych na AI, ale także do ustalenia minimalnych wymagań dla zespołów pracujących z AI.

Na przykładzie podmiotów z sektora finansowego (obarczonego największymi restrykcjami prawnymi) przedstawione zostały poniżej najważniejsze działania niezbędne do prawidłowego wdrożenia sztucznej inteligencji.

6 ważnych kroków dla firm wdrażających narzędzia oparte na sztucznej inteligencji:

1. Określenie celu wykorzystania rozwiązania opartego na AI i procesu, w którym zostanie ono uwzględnione – w tym ocena, jakiego rodzaju dane będą przetwarzane przez sztuczną inteligencję i jakiego rodzaju procesy będą wykonywane lub wspierane przez sztuczną inteligencję.
2. Kategoryzacja rozwiązania w odpowiedniej klasie ryzyka oraz określenie roli firmy na gruncie rozporządzenia w sprawie sztucznej inteligencji.
3. Identyfikacja pozostałych odpowiednich przepisów i wytycznych mających zastosowanie do planowanego procesu: sektorowych, które regulują realizację procesów w instytucji finansowej (np. Prawo bankowe, DORA [1], komunikat chmurowy Komisji Nadzoru Finansowego), ogólnych (np. RODO [2]).
4. Określenie wymogów regulacyjnych dla planowanego procesu.
5. Określenie uwarunkowań szczegółowych dotyczących outsourcingu, jeśli wystąpi w planowanym procesie.
6. Weryfikacja warunków, na jakich wykorzystanie sztucznej inteligencji jest możliwe w planowanym kontekście.

Przed wdrożeniem narzędzi opartych na AI każda firma powinna możliwie precyzyjnie zmapować wszystkie regulacje prawne, które mogą oddziaływać na skuteczność wdrożenia projektu. W sektorze finansowym takie regulacje to nie tylko przepisy dotyczące RODO czy cyberbezpieczeństwa, ale także komunikat chmurowy i wytyczne Komisji Nadzoru Finansów. Zwiększając prawdopodobieństwo zgodności z regulacjami prawnymi, firmy chronią interesariuszy, w tym społeczeństwo, przed ryzykiem związanym z AI.

Wewnętrzne polityki i strategie firmy muszą być zgodne z regulacjami prawnymi

Wdrożenie AI w firmie wymaga odpowiedniego dostosowania regulacji wewnętrznych oraz aktualizacji istniejących procesów, z uwzględnieniem m.in. kwestii zarządzania ryzykiem i kontroli wewnętrznej nad wykorzystaniem sztucznej inteligencji.

Coraz częściej organy regulacyjne wymagają od podmiotów oceny ryzyka związanego z wdrażanymi rozwiązaniami. Takie działania będą niezbędne do zapewnienia zgodności z rozporządzeniem o sztucznej inteligencji i regulacjami dotyczącymi cyberbezpieczeństwa. Dla firm wdrażających rozwiązania oparte na AI ważną kwestią jest również zabezpieczenie w umowach z dostawcami możliwości śledzenia, gdzie wysyłane i przechowywane są dane z systemów.

Dlaczego analiza ryzyka jest tak istotna?

Kompleksowa analiza wymogów regulacyjnych jest kluczowa w celu ustalenia potencjalnego ryzyka związanego z wdrożeniem sztucznej inteligencji. Warto zauważyć, że organy nadzorcze Unii Europejskiej dostrzegły już pewne przypadki wykorzystania sztucznej inteligencji niezgodnie z obowiązującymi przepisami. Zostały już także nałożone pierwsze kary z tego tytułu. Przykładem może być kara w wysokości 20 milionów euro nałożona za naruszenie przepisów RODO na firmę Clearview AI przez francuski organ ochrony danych (CNIL). Nakazał on Clearview AI zaprzestanie gromadzenia i wykorzystywania danych dotyczących osób fizycznych we Francji oraz usunięcie już zebranych danych, z powodu naruszenia prywatności w oprogramowaniu do rozpoznawania twarzy opartym na sztucznej inteligencji tej firmy.

Ważne zatem, aby przy wdrażaniu rozwiązań opartych na AI szeroko rozpatrywać kontekst prawny. Niezgodne z prawem wykorzystanie systemów sztucznej inteligencji może skutkować dotkliwymi karami – nie tylko na gruncie planowanego rozporządzenia w sprawie sztucznej inteligencji, ale także na gruncie przepisów już obowiązujących.