12 lutego 2024
Wszystko o unijnej Ustawie o sztucznej inteligencji
Zbliżające się przyjęcie unijnej Ustawy o sztucznej inteligencji (AI Act) jest początkiem ery transformacji w zarządzaniu sztuczną inteligencją. Kładzie ona nacisk na oparte na ryzyku podejście do regulowania wdrażania i wykorzystywania systemów sztucznej inteligencji w całej Unii Europejskiej. Ustawa ta będzie miała konsekwencje na całym świecie, ponieważ wpłynie na sposób, w jaki firmy poruszają się po świecie sztucznej inteligencji. Każda firma musi zapoznać się z AI Act, aby upewnić się, że działa zgodnie z przepisami i uniknąć kar po zakończeniu okresu karencji ustawy (ustalonego na przełomie 2025/2026 r.). Czym jest unijna Ustawa o sztucznej inteligencji, jaki jest jej zakres i jak organizacje mogą się na nią przygotować? To przybliżamy w poniższym artykule.
CZYM JEST USTAWA O SZTUCZNEJ INTELIGENCJI?
Podobnie jak ogólne rozporządzenie o ochronie danych (RODO), które wprowadziło kompleksowe przepisy dotyczące ochrony danych na terenie UE, Ustawa o sztucznej inteligencji ma na celu ustanowienie wytycznych dla technologii sztucznej inteligencji, odnosząc się do potencjalnych zagrożeń z nią związanych. Rozporządzenie to stosuje podejście oparte na ryzyku, czyli kategoryzuje systemy sztucznej inteligencji na podstawie poziomu ryzyka, jakie stwarzają.
Droga legislacyjna tego przełomowego rozporządzenia rozpoczęła się od jego propozycji w kwietniu 2021 roku. Od tego czasu przeszło ono rygorystyczne dyskusje, negocjacje i udoskonalenia w organach ustawodawczych UE. Parlament Europejski dał mu zielone światło w czerwcu 2023 r., a jego finalizacja ma nastąpić już na początku tego roku.
Po przyjęciu Ustawy o sztucznej inteligencji rozpocznie się okres przejściowy, który będzie trwał co najmniej 18 miesięcy, zanim zostanie ona w pełni wdrożona. Przez ten czas firmy i organizacje mają dostosować swoje systemy i praktyki w zakresie sztucznej inteligencji do jej wymogów.
Cel Ustawy o sztucznej inteligencji
Celem AI Act jest: ochrona zdrowia, bezpieczeństwa i praw podstawowych osób wchodzących w interakcje z systemami sztucznej inteligencji. Ustawa dąży do utrzymania zrównoważonego i sprawiedliwego środowiska dla wdrażania i wykorzystywania technologii AI.
Warto sobie wyobrazić tę ustawę jako przewodnik, który zapewnia, że systemy sztucznej inteligencji działają zgodnie z zasadami, przestrzegają wytycznych z zakresu etyki i priorytetowo traktują dobro użytkowników i społeczeństwa. Służy ona jako proaktywny środek zapobiegający przekształceniu się sztucznej inteligencji w scenariusz wprost z Dzikiego Zachodu, w którym wszystko jest dozwolone. Zamiast tego wspiera ekosystem, w którym sztuczna inteligencja działa odpowiedzialnie, etycznie i w najlepszym interesie wszystkich zaangażowanych stron.
KOGO DOKŁADNIE DOTYCZY USTAWA O SZTUCZNEJ INTELIGENCJI?
Zakres Ustawy o sztucznej inteligencji
Każdy system sztucznej inteligencji, który jest sprzedawany lub oferowany na rynku UE, wprowadzany do użytku lub wykorzystywany w granicach UE, będzie podlegał Ustawie o sztucznej inteligencji. Niezależnie od tego, czy jest to lokalny deweloper sprzedający swoje innowacyjne oprogramowanie AI, czy globalny gigant technologiczny udostępniający swoje usługi AI europejskim użytkownikom - ustawa ta zapewnia, że wszystkie przedsięwzięcia związane ze sztuczną inteligencją spełniają te same standardy etyczne i bezpieczeństwa.
Zrozumienie kategoryzacji ryzyka w Ustawie o sztucznej inteligencji
Ustawa o AI wprowadza systematyczny mechanizm kategoryzacji ryzyka, dzieląc systemy sztucznej inteligencji na 4 odrębne kategorie ryzyka. Każda z nich ma określone konsekwencje i koncentruje się na regulacjach:
Ryzyko niedopuszczalne: Systemy AI należące do tej kategorii są całkowicie zakazane. Systemy te stwarzają znaczny potencjał szkód, takich jak manipulowanie zachowaniem poprzez podświadome przesyłanie wiadomości lub wykorzystywanie słabych punktów, bazując na wieku, niepełnosprawności lub statusie społeczno-ekonomicznym. Ponadto systemy AI zaangażowane w scoring społeczny (ocenę osób na podstawie ich zachowań społecznych) są surowo zabronione.
Wysokie ryzyko: Systemy sklasyfikowane jako wysokiego ryzyka podlegają najbardziej rygorystycznym przepisom. Kategoria ta obejmuje systemy sztucznej inteligencji wykorzystywane w aplikacjach o kluczowym znaczeniu dla bezpieczeństwa (takich jak urządzenia medyczne lub identyfikacja biometryczna) oraz w określonych wrażliwych sektorach, takich jak egzekwowanie prawa, edukacja i dostęp do podstawowych usług. Regulacje kładą nacisk na zapewnienie zgodności z wcześniej określonymi standardami, przejrzystość, nadzór ludzki i praktyki dokumentacyjne w celu ograniczenia potencjalnego ryzyka.
Ograniczone ryzyko: Systemy AI o ograniczonym potencjale manipulacji - chociaż nie są one tak ściśle regulowane, jak systemy wysokiego ryzyka, muszą przestrzegać standardów w zakresie przejrzystości. Przykładem są systemy AI, w których interakcja z użytkownikami musi zostać ujawniona (np. chatboty), zapewniając jasność i zrozumienie zaangażowania AI w proces.
Minimalne/niskie ryzyko: Kategoria ta obejmuje systemy sztucznej inteligencji stwarzające minimalne ryzyko lub brak ryzyka dla osób fizycznych (np. niektóre gry wideo i filtry antyspamowe). Systemy te wymagają mniejszej liczby regulacji w porównaniu z innymi kategoriami. W przypadku tych systemów Ustawa o sztucznej inteligencji nie nakazuje szerokiego nadzoru ani ścisłych środków zgodności ze względu na ich znikomy wpływ na zdrowie, bezpieczeństwo lub prawa podstawowe.
Zrozumienie kategoryzacji ma fundamentalne znaczenie dla organizacji, aby dokładnie ocenić swoje systemy AI. Dzięki temu zapewnia się zgodność z postanowieniami ustawy, umożliwiając firmom przyjęcie niezbędnych środków i strategii zgodności związanych z konkretną kategorią ryzyka ich systemów AI.
SZCZEGÓLNE WYMOGI DOTYCZĄCE SYSTEMÓW SZTUCZNEJ INTELIGENCJI WYSOKIEGO RYZYKA
Systemy AI wysokiego ryzyka mają najwięcej obowiązków wynikających z Ustawy o sztucznej inteligencji. Wymagana jest tu zgodności z kompleksowym zestawem norm w celu zapewnienia bezpieczeństwa, dokładności i ochrony praw podstawowych obywateli UE. Szczegółowe wymogi dotyczące tych systemów obejmują:
Zarządzanie ryzykiem, zarządzanie danymi i praktyki dokumentacyjne
Deweloperzy systemów AI wysokiego ryzyka muszą ustanowić solidne protokoły zarządzania ryzykiem. Obejmuje to systematyczną ocenę potencjalnego ryzyka związanego z wdrożeniem systemu AI, praktyk zarządzania danymi zapewniających jakość danych oraz prowadzenie szczegółowej dokumentacji przedstawiającej rozwój, funkcję i działanie systemu AI.
Przejrzystość, nadzór ludzki i standardy dokładności
Systemy AI wysokiego ryzyka muszą dostarczać jasnych informacji, zwłaszcza podczas interakcji z użytkownikami, umożliwiając im zrozumienie i potwierdzenie, że wchodzą w interakcję z systemem AI. Dodatkowo ludzki nadzór jest niezbędny do monitorowania i interweniowania w razie potrzeby. Standardy dokładności również odgrywają ważną rolę, gdyż zapewniają niezawodność i poprawność wyników systemu AI.
Rejestracja w ogólnounijnej publicznej bazie danych
Systemy AI w kategorii wysokiego ryzyka muszą być również zarejestrowane w ogólnounijnej publicznej bazie danych, co pozwala na lepszy nadzór, identyfikowalność i odpowiedzialność w ramach regulacji UE.
Unikalne standardy cyberbezpieczeństwa
Deweloperzy zajmujący się systemami sztucznej inteligencji wysokiego ryzyka muszą wdrożyć środki cyberbezpieczeństwa, aby przeciwdziałać unikalnym lukom w zabezpieczeniach. Obejmuje to obronę przed próbami "zatruwania danych", które uszkadzają dane szkoleniowe, ochronę przed "przykładami przeciwników", mającymi na celu oszukanie sztucznej inteligencji, oraz eliminowanie nieodłącznych wad modelu.
STRATEGIE ZGODNOŚCI I PRZYGOTOWANIA DLA ORGANIZACJI
W miarę jak Ustawa o sztucznej inteligencji zbliża się do przyjęcia, organizacje muszą proaktywnie oceniać swoje systemy AI, aby zapewnić zgodność z wymogami ustawy.
Przepisy Ustawy o sztucznej inteligencji mogą stanowić wyzwanie dla firm, szczególnie w sektorach silnie uzależnionych od technologii AI. Zgodność wymaga znacznych dostosowań do istniejącego zarządzania sztuczną inteligencją, praktyk zarządzania ryzykiem i procedur dokumentacyjnych.
Mateusz Piątek
senior product manager Safetica / Holm Security / Senhasegura
Masz pytania?
Skontaktuj się ze mną:
piatek.m@dagma.pl
532 570 255
Skuteczna ochrona przed wyciekiem danych