Sztuczna inteligencja staje się kluczowym narzędziem wykorzystywanym w biznesie i codziennym życiu. Jednocześnie stawia przed nami fundamentalne pytania o etykę, bezpieczeństwo danych i kontrolę nad technologią. W odpowiedzi na nie Unia Europejska wprowadza AI Act, czyli rozporządzenie, które ma uregulować systemy AI. Czym dokładnie jest AI Act, kogo dotyczy i jakie wyzwania stawia przed firmami oraz użytkownikami?
Czym jest AI Act i o co w nim chodzi?
AI Act, czyli Akt o sztucznej inteligencji, to rozporządzenie Unii Europejskiej, które reguluje zasady rozwoju, wprowadzania na rynek oraz korzystania z systemów sztucznej inteligencji (AI). Ma zagwarantować, że systemy AI rozwijane i używane w UE są bezpieczne, przejrzyste, odpowiedzialne i respektują wartości etyczne.
W Polsce, za nadzór i egzekwowanie przepisów AI Act odpowiadać będzie nowo powołana instytucja. To Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRIBSI).
Jak podkreśla w podkaście „NIEbezpieczne rozmowy” na kanale IntegriTV Michał Jaworski, National Technology Officer w Microsoft – celem AI Act, tak jak i innych europejskich praw, jest ochrona fundamentalnych praw człowieka. To ważne w przypadku sztucznej inteligencji, bo jest to technologia, która może wpływać na to, jak człowiek jest postrzegany, w jaki sposób zdobywa pracę czy jest oceniany. Ważne jest to, aby te procesy spełniały pewne warunki, żeby ta ocena była fair i żeby nie było dyskryminacji. Liczy się także możliwość zdobycia informacji, co wpłynęło na taką, a nie inną ocenę.
Fundamentalne prawa człowieka a sztuczna inteligencja
Fundamentalne prawa człowieka stanowią podstawę Unii Europejskiej i zapisane są m.in. w Karcie Praw Podstawowych Unii Europejskiej. Obejmują szeroki zakres wartości, takich jak godność ludzka czy prawo do prywatności i ochrony danych osobowych. Dodatkowo niedyskryminacja, wolność słowa, prawo do sprawiedliwego procesu, prawo do edukacji, pracy czy dostęp do opieki zdrowotnej.
W kontekście sztucznej inteligencji ochrona tych praw staje się kluczowa, ponieważ systemy AI, ze względu na swoją autonomię, złożoność i zdolność do przetwarzania ogromnych ilości danych, mogą potencjalnie dyskryminować, naruszać prywatność, podejmować decyzje oparte na niejasnych kryteriach czy naruszać wolność słowa.
– Algorytmy AI mogą nieumyślnie lub celowo powielać i wzmacniać istniejące uprzedzenia społeczne. To z kolei może prowadzić do dyskryminacji w procesie rekrutacji czy udzielania kredytów. Dodatkowo systemy AI często przetwarzają dane osobowe na dużą skalę, stwarzając ryzyko naruszenia prywatności i profilowania bez świadomej zgody użytkownika – mówi Michał Gołębiewski, Cloud Business Unit Director w Integrity Partners.
Systemy AI mogą być również wykorzystywane do manipulowania informacjami, tworzenia deepfake’ów czy automatycznej cenzury, co zagraża wolności wypowiedzi i demokratycznej debacie. AI Act ma zapobiegać tym zagrożeniom, narzucając konieczność dostosowania systemów AI do odpowiednich wymogów.
Kogo dotyczy AI Act?
AI Act reguluje działalność gospodarczą i publiczną związaną ze sztuczną inteligencją. Oznacza to, że dotyczy przede wszystkim firm i organizacji, które są dostawcami narzędzi opartych na sztucznej inteligencji. Czyli tworzą je i wprowadzają na rynek, lub podmiotami je stosującymi, czyli używającymi tych narzędzi w swojej działalności.
Użytkownicy prywatni, korzystający z systemów AI w ramach osobistej działalności pozazawodowej, nie są bezpośrednio objęci przepisami AI Act.
Co istotne, rola dostawcy nie ogranicza się jedynie do wielkich firm technologicznych.
– Jeżeli jestem bankiem albo starostwem powiatowym i przygotowałem z pomocą narzędzi AI, otrzymanych na przykład z Microsoftu, jakąś aplikację, staję się dostawcą. Obowiązki, które są nakładane na dostawców, przechodzą również na mnie – podkreśla Michał Jaworski w rozmowie.
Oznacza to, że każda firma, która wewnętrznie tworzy i wdraża rozwiązania oparte na AI, może zostać uznana za dostawcę. A to wiąże się z koniecznością dostosowania rozwiązania do odpowiednich wymogów unijnych.
Wpływ AI Act na firmy tworzące narzędzia AI i korzystające z nich
AI Act będzie miał znaczący wpływ na obie wspomniane grupy firm.
Dostawcy
Dostawcy będą musieli przede wszystkim sklasyfikować swoje systemy AI pod kątem ryzyka. AI Act dzieli systemy AI na cztery kategorie ryzyka, a wymagania regulacyjne rosną wraz ze wzrostem jego poziomu.
Niedopuszczalne ryzyko (Unacceptable Risk):
Systemy AI, które stwarzają wyraźne zagrożenie dla bezpieczeństwa, życia lub praw podstawowych ludzi, są w pełni zakazane. Ich użycie jest sprzeczne z wartościami Unii Europejskiej. Np. systemy „punktacji społecznej” (social scoring) stosowane przez rządy, oceniające zachowanie obywateli i prowadzące do dyskryminacji.
Wysokie ryzyko (High Risk):
Systemy AI, które mogą negatywnie wpływać na bezpieczeństwo lub prawa podstawowe, ale ich korzyści dla społeczeństwa są na tyle znaczące, że dopuszcza się ich użycie pod warunkiem spełnienia rygorystycznych wymogów. Np. systemy AI wykorzystywane w procesach rekrutacji (choćby do analizy CV, oceny kandydatów), a także w medycynie (diagnozowanie chorób). Lub też służące do oceny zdolności kredytowej lub przyznawania świadczeń socjalnych.
Ograniczone ryzyko (Limited Risk):
Systemy AI, które wymagają spełnienia pewnych obowiązków w zakresie przejrzystości, aby użytkownicy byli świadomi, że wchodzą w interakcję z AI lub że ich treści są generowane przez AI. Np. chatboty, z którymi użytkownicy wchodzą w interakcje na stronie internetowej.
Minimalne ryzyko (Minimal Risk):
Większość systemów AI zalicza się do tej kategorii. Uważa się, że stwarzają minimalne lub żadne ryzyko dla praw podstawowych lub bezpieczeństwa. Np. gry AI, systemy rekomendacji czy filtry antyspamowe.
70% AI Act dotyczy systemów wysokiego ryzyka, które podlegają najbardziej rygorystycznym wymogom. Takie systemy wymagają obszernej dokumentacji, testowania, nadzoru ludzkiego i zapewnienia przejrzystości.
– Jeżeli tylko zweryfikujecie, że jesteście systemem wysokiego ryzyka, to od razu wykonajcie telefon do prawników. I róbcie wszystko zgodnie z tym, co oni powiedzą – przestrzega Michał Jaworski.
Podmioty stosujące
Podmioty stosujące muszą mieć świadomość, że mogą stać się dostawcami, jeśli rozwijają własne aplikacje oparte na AI, nawet z wykorzystaniem gotowych narzędzi.
– Firmy, które korzystają z narzędzi opartych na sztucznej inteligencji, muszą upewnić się, że te narzędzia są zgodne z przepisami AI Act, szczególnie w przypadku systemów wysokiego ryzyka. Niewiedza lub brak oceny ryzyka może prowadzić do poważnych konsekwencji. Warto więc współpracować ze sprawdzonymi partnerami. Pomogą oni wybrać profesjonalne technologie, dostarczane przez firmy godne zaufania i na pewno działające w zgodzie z prawem. Dodatkowo podmioty stosujące są zobowiązane m.in. do szkolenia pracowników korzystających z AI – wyjaśnia Michał Gołębiewski z Integrity Partners.
Narzędzia AI w firmie – używać czy nie używać?
AI Act to akt prawny o charakterze „szkieletowym”, co oznacza, że jego szczegóły będą doprecyzowywane przez liczne instrukcje i wytyczne. To może rodzić wiele pytań i skłaniać firmy do refleksji, czy w ogóle warto wdrażać systemy oparte na sztucznej inteligencji.
– Obawy przed nieznanymi przepisami i potencjalnymi konsekwencjami prawnymi są zrozumiałe. Jednak rezygnacja z AI w firmie byłaby błędem. Sztuczna inteligencja to potężne narzędzie, które może znacząco przyspieszyć pracę, zautomatyzować rutynowe zadania i usprawnić wiele procesów biznesowych. Dzięki temu przyczynia się do wzrostu efektywności i innowacyjności. Kluczem jest jednak odpowiedzialne i świadome korzystanie z jej możliwości – komentuje Michał Gołębiewski z Integrity Partners.
Aby zminimalizować ryzyko, firmy powinny pamiętać o kilku kluczowych zasadach:
Korzystanie ze sprawdzonych i certyfikowanych narzędzi
Należy wybierać dostawców AI, którzy aktywnie pracują nad zgodnością z AI Act i innymi regulacjami, takimi jak RODO. Warto zwracać uwagę na rozwiązania, które oferują wbudowane funkcje compliance i bezpieczeństwa, a ich zgodność jest potwierdzona certyfikatami (np. ISO/IEC 42001).
Ograniczanie ryzyka uczenia modelu na danych firmowych
Każda firma powinna upewnić się, że używane narzędzia AI nie wykorzystują wprowadzanych przez pracowników danych do uczenia ogólnych modeli, co mogłoby prowadzić do wycieku poufnych informacji. Istotne jest stosowanie rozwiązań, które gwarantują prywatność danych i ich separację.
Zwracanie uwagi na uprawnienia użytkowników
Administratorzy IT powinni starannie zarządzać uprawnieniami dostępu do systemów AI w firmie. Zapewnienie, że pracownicy mają dostęp tylko do tych funkcji i danych, które są im niezbędne do wykonywania obowiązków, minimalizuje ryzyko nieuprawnionego użycia lub naruszenia bezpieczeństwa.
Szkolenie pracowników korzystających z AI
Kluczowe jest edukowanie personelu z zakresu bezpiecznego i zgodnego z polityką firmy korzystania z narzędzi AI. Pracownicy muszą rozumieć zarówno korzyści, jak i potencjalne ryzyka związane z AI, a także zasady odpowiedzialnego korzystania z technologii, szczególnie w kontekście ochrony danych i prywatności.
Monitorowanie użycia nieautoryzowanych narzędzi
Warto zwracać uwagę także na to, z jakich narzędzi AI korzystają pracownicy. Wiele dostępnych publicznie rozwiązań AI nie spełnia standardów bezpieczeństwa i prywatności wymaganych w środowisku biznesowym. Dlatego tak ważne jest wprowadzenie jasnych zasad dotyczących użycia zatwierdzonych narzędzi AI i monitorowanie ich przestrzegania.
Firmy stoją dziś przed wyborem: mogą potraktować regulacje jako przeszkodę albo jako szansę. Świadome i odpowiedzialne podejście do systemów AI, zgodne z nowymi przepisami, to nie tylko sposób na uniknięcie problemów prawnych. To przede wszystkim budowanie zaufania wśród klientów i partnerów. Zaufania opartego na transparentności, bezpieczeństwie i etyce.
Cała rozmowa z Michałem Jaworskim na temat AI Act dostępna jest na kanale IntegriTV.
