PL
PL
May 2023

Ograniczanie nadużyć sztucznej inteligencji według założeń w USA i UE  - sztuczna inteligencja – co musisz o niej wiedzieć?

7 minut
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Contents

Regulacja sztucznej inteligencji – jak USA i UE podchodzą do tematu i co to oznacza dla Twojej firmy

Jeśli rozwijasz lub wdrażasz systemy AI, musisz wiedzieć, jakie ramy prawne już obowiązują. USA zaproponowały niewiążącą Kartę praw AI – zestaw zasad bez sankcji. UE poszła dalej: przyjęła Akt w sprawie SI (AI Act) – rozporządzenie z konkretnymi obowiązkami, klasyfikacją ryzyka i karami. Poniżej znajdziesz zestawienie obu podejść, różnice między nimi i praktyczne wnioski dla Twojego biznesu.

Karta praw AI – propozycja Białego Domu

5 października 2022 r. Biały Dom opublikował dokument nazywany Kartą praw AI. Jego celem jest ustalenie zasad wdrażania algorytmów sztucznej inteligencji i barier ochronnych dla ich zastosowań.

Dokument powstał na podstawie:

  • opinii publicznej,
  • stanowisk firm technologicznych – Microsoft i Palantir,
  • rekomendacji grup zajmujących się prawami człowieka i sztuczną inteligencją.

Co to oznacza w praktyce? Karta praw AI to dokument kierunkowy, nie wiążące prawo. Nie nakłada bezpośrednich obowiązków, ale wyznacza standardy, które mogą stać się punktem odniesienia w przyszłych regulacjach.

Główne założenia Karty praw AI

Zdaniem Office of Science & Technology Policy (OSTP), Karta praw AI ma doprowadzić do lepszych wyników działania systemów AI przy jednoczesnym ograniczeniu szkodliwych konsekwencji. Oto pięć filarów dokumentu:

  1. Bezpieczeństwo i skuteczność systemów AI – systemy powinny przechodzić testy i konsultacje z zainteresowanymi podmiotami, zamiast ograniczać się do monitorowania systemów produkcji.
  2. Ochrona przed stronniczością algorytmów – systemy AI mają być projektowane tak, aby chronić społeczeństwo przed stronniczymi decyzjami podmiotów odpowiedzialnych za tworzenie algorytmów.
  3. Ochrona danych jednostki – każdy użytkownik powinien mieć wpływ na to, jak wykorzystywane są jego dane – zarówno przy podejmowaniu decyzji, jak i w odniesieniu do samego systemu SI.
  4. Prawo do rezygnacji – użytkownicy powinni mieć możliwość wycofania się z systemu AI, np. w przypadku awarii.
  5. Przejrzystość mechanizmów decyzyjnych – Karta wyraźnie neguje system algorytmów oparty na nieprzejrzystych mechanizmach podejmowania decyzji.

Kontrowersje wokół algorytmów – dlaczego regulacja jest potrzebna

OSTP wskazuje na konkretne incydenty, które potwierdzają ryzyko niekontrolowanych algorytmów:

  • Dyskryminacja w ochronie zdrowia – modele algorytmów stosowane w szpitalach do informowania pacjentów o leczeniu okazały się dyskryminujące wobec określonych grup.
  • Stronniczość w rekrutacji – narzędzia do selekcji kandydatów automatycznie odrzucały kandydatki na rzecz kandydatów, bo tak został zaprojektowany algorytm.

W reakcji na te problemy Biały Dom zobowiązał m.in. Departament Zdrowia i Opieki Społecznej oraz Departament Edukacji do opublikowania założeń ograniczających negatywne konsekwencje szkodliwych algorytmów.

Ważna różnica: te kroki nie pokrywają się z podejściem UE, które wprost zakazuje i ogranicza określone kategorie zastosowań sztucznej inteligencji.

Akt w sprawie SI (AI Act) – rozwiązanie UE

W kwietniu 2021 r. UE opublikowała propozycję Aktu w sprawie SI. Jest to pierwsze na świecie rozporządzenie, które kompleksowo reguluje mechanizm działania systemów sztucznej inteligencji i ich zastosowań. Rozporządzenie zostało przyjęte, weszło w życie, a jego przepisy są stosowane etapowo.

Co odróżnia AI Act od podejścia USA

Akt UE reguluje trzy obszary, których Karta praw AI nie obejmuje:

  1. Zakres podmiotowy – precyzyjnie określa, kogo i w jakich sytuacjach dotyczy regulacja.
  2. Podejście oparte na analizie ryzyka – klasyfikuje systemy AI według poziomu zagrożenia.
  3. Prawa osób poddanych działaniu AI – wprowadza mechanizmy ochrony i ścieżki odwoławcze.

Zakres podmiotowy AI Act – kogo dotyczy rozporządzenie

Sprawdź, czy Twoja firma lub Twoi partnerzy biznesowi podlegają regulacji. Rozporządzenie obejmuje:

  1. Dostawców wprowadzających do obrotu lub oddających do użytku systemy SI w UE – osoby fizyczne i prawne z siedzibą w UE lub państwie trzecim.
  2. Użytkowników systemów SI fizycznie obecnych lub mających siedzibę w UE.
  3. Dostawców i użytkowników z państw trzecich – jeżeli wyniki działania ich systemów są wykorzystywane w UE.
  4. Importerów i dystrybutorów systemów SI.
  5. Upoważnionych przedstawicieli dostawców z siedzibą w UE.
  6. Producentów produktów, którzy wprowadzają do obrotu system SI pod własną nazwą lub znakiem towarowym.
  7. Osoby fizyczne poddane działaniu systemu SI.
  8. Instytucje, urzędy, organy i agencje UE działające jako dostawca lub użytkownik systemu SI.

Wniosek dla Twojej firmy: system SI podlega unijnym regulacjom nawet wtedy, gdy jest rozwijany w państwie trzecim – wystarczy, że wyniki jego działania są wykorzystywane w UE. Jeśli zlecasz rozwój AI za granicą, i tak odpowiadasz za zgodność z AI Act.

Podejście oparte na analizie ryzyka – jak AI Act klasyfikuje systemy SI

Podejście oparte na analizie ryzyka (risk-based approach) to mechanizm znany np. z RODO. Zasada jest prosta: obowiązkom i ograniczeniom podlegają tylko systemy SI, których wykorzystywanie wiąże się z określonym poziomem ryzyka dla praw, zdrowia i bezpieczeństwa osób fizycznych.

Cztery poziomy ryzyka w AI Act

Poziom ryzyka Konsekwencja regulacyjna
Niedopuszczalne ryzyko Całkowity zakaz praktyk – systemy stwarzające zagrożenie dla praw, zdrowia i bezpieczeństwa osób fizycznych
Wysokie ryzyko Obowiązkowe spełnienie wymogów i obowiązków wskazanych w rozporządzeniu (dotyczy m.in. systemów biometrycznych, ścigania przestępstw, wymiaru sprawiedliwości, ochrony środowiska)
Ograniczone ryzyko Obowiązki dotyczące przejrzystości i informowania (dotyczy systemów wchodzących w interakcje z ludźmi, rozpoznających emocje, generujących lub manipulujących zawartością audio/wideo)
Niskie lub minimalne ryzyko Brak dodatkowych ograniczeń

Co to oznacza dla Twojego wdrożenia

  • Przed uruchomieniem systemu AI przeprowadź analizę poziomu ryzyka.
  • Jeśli system kwalifikuje się jako wysoki lub ograniczony poziom ryzyka – zweryfikuj obowiązki wynikające z rozporządzenia.
  • Jeśli nie masz pewności co do klasyfikacji – skonsultuj się ze specjalistą ds. nowych technologii. Błędna kwalifikacja ryzyka oznacza ryzyko niezgodności z regulacją.

Prawa osób poddanych działaniu sztucznej inteligencji

AI Act wprowadza prawa dla osób fizycznych i grup osób, które są poddane działaniom systemów SI. Ta zmiana była postulowana już w projekcie sprawozdania Komisji IMCO i LIBE w Parlamencie Europejskim z 20 kwietnia 2022 r.

W przypadku naruszenia praw, zdrowia lub bezpieczeństwa użytkownik zyskuje:

  • Prawo do wniesienia skargi – na dostawców lub użytkowników systemu do krajowego organu nadzoru państwa członkowskiego.
  • Prawo do bycia wysłuchanym – w ramach procedury rozpatrywania skargi.
  • Prawo do środka odwoławczego – od decyzji wydanej przez krajowy organ nadzoru.

USA vs. UE – porównanie podejść do regulacji AI

Kryterium USA – Karta praw AI UE – AI Act
Status prawny Dokument kierunkowy, niewiążący Obowiązujące rozporządzenie
Zakres podmiotowy Brak precyzyjnego określenia Szczegółowo określony – obejmuje dostawców, użytkowników, importerów i producentów
Klasyfikacja ryzyka Brak formalnej klasyfikacji Cztery poziomy ryzyka z konkretnymi obowiązkami
Zakazy Brak bezpośrednich zakazów Całkowity zakaz praktyk o niedopuszczalnym ryzyku
Prawa użytkowników Postulowane, bez mechanizmu egzekwowania Prawo do skargi, wysłuchania i odwołania
Sankcje Brak Przewidziane w rozporządzeniu

Co zrobić – praktyczne wnioski

  1. Sprawdź, czy AI Act dotyczy Twojej firmy. Jeśli dostarczasz, wdrażasz, dystrybuujesz lub używasz systemy AI – z dużym prawdopodobieństwem tak.
  2. Zidentyfikuj systemy AI w swojej organizacji i przypisz je do odpowiedniego poziomu ryzyka (niedopuszczalne, wysokie, ograniczone, niskie).
  3. Przeprowadź analizę ryzyka dla każdego systemu – samodzielnie lub z pomocą specjalisty ds. nowych technologii i prawa.
  4. Zweryfikuj umowy z dostawcami AI – upewnij się, że odpowiedzialność za zgodność z regulacją jest jasno rozdzielona.
  5. Śledź harmonogram wdrożenia AI Act – przepisy wchodzą w życie etapowo. Zaplanuj działania dostosowawcze z wyprzedzeniem.
  6. Nie ignoruj Karty praw AI. Choć nie jest wiążąca, może wpłynąć na przyszłe regulacje w USA – szczególnie jeśli działasz na rynku amerykańskim.

Często zadawane pytania

Jaka jest najważniejsza różnica między amerykańską Kartą praw AI a unijnym AI Act? Karta praw AI to niewiążący dokument kierunkowy – nie nakłada obowiązków ani sankcji. AI Act to obowiązujące rozporządzenie UE z konkretną klasyfikacją ryzyka, zakazami określonych praktyk, precyzyjnie wskazanymi obowiązkami i przewidzianymi karami za ich naruszenie.


Czy AI Act może dotyczyć mojej firmy, jeśli rozwijamy system AI poza UE, ale korzystają z niego klienci w Europie? Tak. AI Act obejmuje dostawców i użytkowników z państw trzecich, jeżeli wyniki działania ich systemów AI są wykorzystywane w UE. Jeśli zlecasz rozwój AI za granicą, i tak odpowiadasz za zgodność z rozporządzeniem – wystarczy, że efekt działania systemu trafia do odbiorców w Unii.


Jak AI Act klasyfikuje systemy AI według ryzyka? AI Act wyróżnia cztery poziomy ryzyka: niedopuszczalne (całkowity zakaz), wysokie (obowiązkowe spełnienie wymogów z rozporządzenia, np. systemy biometryczne czy wymiar sprawiedliwości), ograniczone (obowiązki przejrzystości i informowania, np. systemy rozpoznające emocje lub generujące treści audio/wideo) oraz niskie lub minimalne (brak dodatkowych ograniczeń). Zasada jest prosta – im wyższe ryzyko dla praw, zdrowia i bezpieczeństwa osób fizycznych, tym więcej obowiązków po Twojej stronie.


Jakie prawa ma osoba, której dotyczy decyzja albo działanie systemu AI według AI Act? Osoba poddana działaniu systemu AI ma trzy uprawnienia: prawo do wniesienia skargi na dostawcę lub użytkownika systemu do krajowego organu nadzoru, prawo do bycia wysłuchanym w ramach procedury rozpatrywania skargi oraz prawo do środka odwoławczego od decyzji wydanej przez ten organ. Dla firmy wdrażającej AI oznacza to konieczność przygotowania się na formalne postępowania i zapewnienia ścieżki obsługi takich roszczeń.


Co powinna zrobić firma jako pierwszy krok, żeby przygotować się do AI Act? Sprawdź, czy AI Act dotyczy Twojej firmy – jeśli dostarczasz, wdrażasz, dystrybuujesz lub używasz systemy AI, z dużym prawdopodobieństwem tak. Następnie zidentyfikuj wszystkie systemy AI w organizacji i przypisz każdy z nich do odpowiedniego poziomu ryzyka (niedopuszczalne, wysokie, ograniczone, niskie), a potem zweryfikuj umowy z dostawcami AI, żeby odpowiedzialność za zgodność z regulacją była jasno rozdzielona.

Zostaw numer telefonu
Odezwiemy się najszybciej jak to możliwe.


    The administrator of your personal data is Sawaryn i Partnerzy sp. k. with its registered office in Warsaw (00-040), ul. Warecka 4/6 lok. 6. Your personal data will be processed in order to respond to the submitted inquiry and to archive the form. More information can be found in our
    Regulaminie
    and
    Polityce Prywatności.



    Share this article:
    Generic selectors
    Exact matches only
    Search in title
    Search in content
    Post Type Selectors
    Contents
    Suggested articles
    Relocate your IT company to Poland with the Poland Business Harbour programme
    W Polsce obowiązują specjalne regulacje ułatwiające przenoszenie pracowników czy całych...
    1 8 9 10