„Kończy się etap eksperymentów z AI bez jasnych zasad”. AI Act opanuje sztuczną inteligencję?

AI Act, czyli unijne rozporządzenie w sprawie sztucznej inteligencji (2024/1689), jest pierwszą na świecie próbą kompleksowego uregulowania technologii, która – jak się wydaje – zaczęła wymykać się spod kontroli. W świecie, w którym dane osobowe są bezrefleksyjnie przekazywane modelom językowym, a zdjęcia publikowane w sieci są modyfikowane bez wiedzy i zgody osób przedstawionych na nich, trudno mówić o bezpieczeństwie i etyce. Rozporządzenie weszło w życie 1 sierpnia 2024 r., ale jego przepisy są wdrażane etapowo. To zatem dopiero początek zmian.

O co chodzi z AI Act?

Reforma sprowadza się do podziału systemów sztucznej inteligencji na grupy według poziomu ryzyka związanego z ich zastosowaniem. Najniższy poziom obejmuje np. filtry antyspamowe, które pomagają „oczyszczać” skrzynkę pocztową. Ograniczone ryzyko wiąże się z kolei z czatbotami, natomiast wysokie – z wykorzystaniem sztucznej inteligencji w medycynie, edukacji i rekrutacji. Ten ostatni obszar stanowi poważne wyzwanie dla działów HR. Wyznaczenie katalogu zakazanych praktyk, obejmującego m.in. nudyfikację, czyli wykorzystywanie AI do „rozbierania” osób przedstawionych na zdjęciach, pokazuje z kolei, że odpowiedzialność ma spoczywać również na gigantach technologicznych. AI Act może bowiem dotyczyć niemal każdej firmy – zarówno największych platform, jak i mikroprzedsiębiorstw korzystających choćby z najprostszych narzędzi AI.

W Polsce tworzenie ram prawnych służących wdrożeniu unijnej reformy przebiega etapami. 11 czerwca Sejm uchwalił ustawę o systemach sztucznej inteligencji. Ma powstać nowy organ nadzorczy – Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Będzie ona m.in. prowadziła kontrole w firmach i sprawdzała, czy technologie oparte na AI spełniają wymogi prawa.

Zacznijmy od największych graczy.

Zakaz nudyfikacji, czyli większa kontrola nad algorytmami

Reforma przewiduje zakaz używania i wprowadzania na rynek systemów sztucznej inteligencji, które stwarzają szczególne zagrożenie. Dostawcom usług internetowych za naruszenie przepisów mogą grozić kary do 35 mln euro lub 7 proc. ich rocznego światowego obrotu. Jak wyjaśnia Olga Zabolewicz, ekspertka ds. legislacji w NASK i specjalistka w dziedzinie ochrony danych osobowych, polskie przepisy uzupełniono o zakaz nudyfikacji.

– W myśl reformy zakazane będzie wprowadzanie do obrotu, oddawanie do użytku oraz korzystanie z aplikacji umożliwiających „rozbieranie” osoby przedstawionej na zdjęciu. To na dostawcach takich narzędzi, w tym platformach społecznościowych, będzie spoczywał obowiązek zapobiegania takim praktykom oraz regularnego sprawdzania, czy wdrożone systemy AI mają odpowiednie zabezpieczenia. Powinny one uniemożliwiać obejście algorytmu oraz generowanie intymnego obrazu osoby bez jej zgody. Dodatkowo treści wygenerowane przez sztuczną inteligencję będą musiały zostać oznaczone w sposób umożliwiający maszynowe rozpozanie ich sztucznego pochodzenia – wyjaśnia nasza rozmówczyni.

Przeczytaj: Napisze pozew, doradzi albo wymyśli i wprowadzi w kosztowny błąd. „ChatGPT to nie adwokat ani doradca podatkowy”

Urząd Ochrony Danych Osobowych, komentując planowaną reformę, przypomina, że wizerunek – nawet zmodyfikowany przez AI – nadal stanowi daną osobową. Tym samym podlega ochronie. Zakaz nudyfikacji i obowiązek oznaczania fałszywych materiałów wygenerowanych przez AI (tzw. deepfake)to krok w stronę deklarowanej etyki korzystania z technologii.

NASK podaje, że najczęściej powielanym mitem dotyczącym AI Act jest twierdzenie, że nowe prawo obejmie wyłącznie największe platformy cyfrowe. Tymczasem reforma dotyczy wszystkich dostawców i użytkowników sztucznej inteligencji, bez względu na ich rozmiar. Jak wynika z trzeciej edycji badania EY „Jak polskie firmy wdrażają AI”, już co najmniej 70 proc. średnich i dużych firm deklaruje prowadzenie prac nad dostosowaniem swoich systemów do wymogów AI Act.

Co dokładnie je czeka?

Gdy mała firma korzysta z AI

Z czasem będzie malał odsetek firm, które nie korzystają z czatbotów, aby sprawdzić poprawność umowy, dokonać obliczeń płacowych czy zapytać sztuczną inteligencję, który kandydat najlepiej sprawdzi się na danym stanowisku. Często jednak bezrefleksyjnie usprawniamy sobie pracę kosztem danych trafiających do systemów ogólnodostępnych modeli językowych. Grzegorz Sadziak, ekspert ds. cyberbezpieczeństwa w Supremo, opisuje ryzykowne praktyki spotykane w działach kadrowych.

– Mamy CV, które otrzymaliśmy e-mailem. Dołączono do niego dodatkowe dokumenty. Często w tych załącznikach pojawiają się dane pośrednie: notatki, stopki z danymi wrażliwymi. To wszystko trafia do narzędzia opartego na AI. I w tym momencie pojawia się największe ryzyko: jakie informacje rzeczywiście przekazujemy sztucznej inteligencji, oczekując od niej rekomendacji? Niebezpieczeństwo zaczyna się wtedy, gdy system widzi więcej, niż powinien i analizuje więcej danych, niż zamierzaliśmy mu przekazać. Jeżeli podamy mu imię i nazwisko, kraj pochodzenia czy kolor skóry, nadal będą to czynniki, na podstawie których może zostać podjęta decyzja. Nie wiemy, jak zachowa się model. Może na przykład uznać, że powinien rekomendować wyłącznie osoby o jasnej karnacji. To realne zagrożenie – ostrzega Grzegorz Sadziak.

We wspomnianej klasyfikacji zastosowań sztucznej inteligencji niektóre działania podejmowane przez działy HR zaliczono do kategorii o wysokim ryzyku. Dotyczy to w szczególności narzędzi służących do kierowania ogłoszeń rekrutacyjnych do określonych grup, analizowania i filtrowania aplikacji oraz oceny kandydatów. Dla firm oznacza to konieczność zinwentaryzowania wszystkich rozwiązań opartych na AI oraz określenia, czy podlegają one wymogom unijnego rozporządzenia. Innymi słowy, firma będzie musiała zapewnić kandydatów do pracy oraz pracowników, że ich dane pozostają pod jej kontrolą.

 Więcej czasu na uporządkowanie AI

Już w sierpniu tego roku miały wejść w życie przepisy nakładające na firmy nowe obowiązki związane z wykorzystywaniem systemów AI o wysokim poziomie ryzyka. Termin stosowania przesunięto jednak na grudzień przyszłego roku w związku z pakietem uproszczeń Digital Omnibus.

– Projekt Digital Omnibus przewiduje przesunięcie części obowiązków wynikających z AI Act do czasu przygotowania odpowiednich norm i wytycznych. Dla firm oznacza to więcej czasu na dostosowanie systemów AI. Przewidziano dodatkowe sześć miesięcy na wdrożenie wymogów przejrzystości dotyczących generatywnej AI, a także uproszczenia związane z dokumentacją i zarządzaniem jakością. Nie zmienia to jednak faktu, że część przepisów AI Act już obowiązuje, a przedsiębiorcy muszą ich przestrzegać – komentuje Zuzanna Spaltenstein-Kotas, prawniczka i ekspertka ds. ochrony danych osobowych i wdrożeń w Gi Group Holding.

Od lutego tego roku obowiązuje bowiem art. 4 rozporządzenia, dotyczący kompetencji w zakresie AI. Zobowiązuje on pracodawców – dostawców oraz podmioty stosujące systemy AI – do zapewnienia pracownikom wiedzy i umiejętności niezbędnych do właściwego korzystania ze sztucznej inteligencji podczas wykonywania obowiązków zawodowych.

Drugie RODO?

Przedstawiciele biznesu nie bez powodu porównują nowe regulacje do rewolucji wywołanej przez RODO, czyli szeroką reformę dotyczącą ochrony danych osobowych.

– AI Act to dla firm moment porównywalny z wejściem RODO – kończy się etap eksperymentów z AI bez jasnych zasad. Firmy będą musiały nie tylko wiedzieć, z jakich narzędzi sztucznej inteligencji korzystają pracownicy, lecz także zadbać o przejrzystość, bezpieczeństwo danych oraz odpowiedzialność w procesach. Dla działów HR to szczególnie istotne, bo AI coraz częściej wspiera rekrutację, ocenę kandydatów oraz zarządzanie personelem. Firmy, które przygotują się odpowiednio wcześnie, zyskają przewagę. Nie tylko regulacyjną, lecz także reputacyjną – dodaje Kamil Jankowski, dyrektor marketingu i komunikacji w Gi Group Holding.

Przeczytaj: Sztuczna inteligencja w arbitrażu załatwi sprawę w 40 godzin? „Sądy rozumiane jako budynek to przeżytek”

Ekspertka z NASK, Olga Zabolewicz, dodaje, że chodzi nie tylko o ochronę danych osobowych. Mowa także o tajemnicy przedsiębiorstwa, która może zostać ujawniona wskutek nierozważnego analizowania umów za pomocą czatbota. Zagrożona może być również tajemnica zawodowa, np. radców prawnych.

– To reforma wymagająca decyzji i zmian w wielu obszarach. W związku z RODO na rynku pojawiły się gotowe „pakiety regulaminów”. Przedsiębiorca mógł za nie zapłacić i uznać, że przynajmniej formalnie wywiązał się ze wszystkich obowiązków. W przypadku AI Act nie da się „w ciemno” kupić pakietu wdrożeniowego ani gotowego zestawu dokumentów. Każda firma może w inny sposób, w różnym zakresie i do różnych celów korzystać z AI. Skuteczne dostosowanie się do nowych przepisów wymaga zatem indywidualnej oceny potrzeb oraz możliwości przedsiębiorstwa – podsumowuje ekspertka.

Piaskownica regulacyjna AI. Testowanie zamiast karania

Czy ochrona użytkowników internetu przed wyciekiem danych lub fałszywymi materiałami generowanymi przez AI ostudzi inwestycje, które coraz częściej wykorzystują sztuczną inteligencję? Odpowiedzią ma być tzw. piaskownica regulacyjna, czyli środowisko testowe dla nowych rozwiązań technologicznych.

– Przedsiębiorcy będą mogli pod nadzorem Komisji testować, czy ich rozwiązania spełniają standardy AI Act, bez ponoszenia konsekwencji za ewentualne naruszenia przepisów. Piaskownica jest nazywana regulacyjną, ponieważ pozwala na czasowe „zamrożenie przepisów”. Wyniki testów mogą również wskazywać na potrzebę dalszych zmian w prawie, które umożliwią rozwój innowacji. Najmniejsze firmy będą mogły korzystać z tego rozwiązania bezpłatnie. Dla przedsiębiorcy oznacza to ochronę przed karami i pomoc w dostosowaniu produktu do wymogów unijnych, a dla osób fizycznych – zabezpieczenie przed potencjalnie szkodliwym działaniem testowanego rozwiązania – wyjaśnia Olga Zabolewicz.

Główne wnioski

1. Rozporządzenie o sztucznej inteligencji (AI Act) weszło w życie w państwach członkowskich w sierpniu 2024 r., ale jego przepisy są wdrażane etapowo. Najprawdopodobniej przedsiębiorcy, w tym właściciele platform cyfrowych, otrzymają więcej czasu na realizację kolejnych obowiązków.
2. Celem reformy jest wyznaczenie standardów bezpiecznego i zgodnego z prawem wykorzystywania sztucznej inteligencji. Technologia ta jest już obecna niemal w każdej firmie. Wystarczy, że aplikacja analizuje CV kandydatów podczas rekrutacji, algorytm przetwarza dane pracownicze lub narzędzie sprawdza poprawność dokumentów firmowych. Bezrefleksyjne sięganie po AI ma ustąpić miejsca konkretnym procedurom, ze szczególnym uwzględnieniem ochrony danych osobowych.
3. W Polsce tworzenie ram prawnych służących wdrożeniu unijnej reformy przebiega etapami. 11 czerwca Sejm uchwalił ustawę o systemach sztucznej inteligencji. Ma powstać nowy organ nadzorczy – Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji. Będzie ona m.in. wszczynała kontrolę w firmach i sprawdzała, czy technologie oparte na AI spełniają wymogi prawa. Komisja będzie również odpowiadała za tworzenie piaskownic regulacyjnych, w których przedsiębiorcy będą mogli testować zgodność swoich systemów z przepisami.