AI staje się nieodłącznym elementem strategii rozwoju firm. Usługa Azure OpenAI firmy Microsoft umożliwia przedsiębiorcom dostęp do zaawansowanych modeli językowych i technologii AI, które mogą zrewolucjonizować sposób prowadzenia biznesu. Jak omówiliśmy w poprzednim artykule, korzystanie z tej technologii wiąże się jednak z odpowiedzialnością prawną, której nie można zignorować.
W dzisiejszym wpisie omówimy zasady odpowiedzialności użytkownika i dostawcy usług Azure OpenAI. W szczególności przyjrzymy się, jakie są granice odpowiedzialności Microsoftu, jakie obowiązki spoczywają na użytkownikach oraz jak właściwie zarządzać bezpieczeństwem danych w chmurze.
Zasady odpowiedzialności w kontekście Azure OpenAI wynikają z modelu współodpowiedzialności między Microsoftem a jego użytkownikami. Microsoft zapewnia bezpieczeństwo infrastruktury chmurowej, jednak odpowiedzialność za sposób wykorzystania technologii oraz za dane, które przetwarza użytkownik, spoczywa na kliencie.
Kluczowe jest, aby firmy korzystające z Azure OpenAI zapewniły zgodność z regulacjami takimi jak RODO i AI Act, ponieważ każda firma odpowiada za sposób, w jaki wykorzystuje modele AI, a także za przestrzeganie zasad dotyczących ochrony prywatności i bezpieczeństwa danych. Co więcej, odpowiedzialność obejmuje również monitorowanie i filtrowanie treści, by zapobiegać generowaniu szkodliwych lub nielegalnych treści, co jest również częścią współodpowiedzialności.
Wspólna odpowiedzialność oznacza, że zarówno Microsoft, jak i użytkownicy Azure OpenAI mają swoje obowiązki związane z bezpieczeństwem, przetwarzaniem danych oraz zgodnością z przepisami prawnymi. Microsoft odpowiada za platformę chmurową, jej infrastrukturę oraz bezpieczeństwo, zapewniając odpowiednie mechanizmy ochrony danych w trakcie transmisji i przechowywania. Jednak użytkownik jest odpowiedzialny za zastosowanie AI w swoich aplikacjach oraz właściwe zarządzanie danymi, które są przetwarzane przez modele OpenAI.
Model ten oparty jest na podziale odpowiedzialności pomiędzy warstwą platformy AI (której odpowiedzialność spoczywa na Microsoft), warstwą aplikacji AI (gdzie odpowiedzialność należy do użytkownika) oraz warstwą użytkowania AI, czyli faktycznym wykorzystywaniem technologii przez organizację. Użytkownicy muszą aktywnie monitorować, jak używają usług AI w swoich systemach, aby upewnić się, że nie naruszają obowiązujących przepisów prawnych, takich jak RODO czy AI Act.
Dzięki temu modelowi, obie strony – Microsoft i klient – współpracują w zakresie ochrony danych, zapobiegania nadużyciom oraz odpowiedniego użytkowania systemów AI, aby zapewnić bezpieczeństwo, prywatność i zgodność z regulacjami.
Odpowiedzialność za dane jest jednym z najważniejszych elementów w kontekście korzystania z Azure OpenAI. Microsoft zapewnia bezpieczeństwo infrastruktury, w tym szyfrowanie danych w trakcie transmisji oraz przechowywania, ale to użytkownik odpowiada za dodatkowe zabezpieczenia danych w swoich aplikacjach. Oznacza to, że firmy muszą samodzielnie dbać o ochronę danych, szczególnie w przypadkach, gdy wykorzystują AI do przetwarzania danych osobowych lub innych wrażliwych informacji.
Przedsiębiorcy muszą także zadbać o przestrzeganie obowiązujących regulacji, takich jak RODO, które nakładają na administratorów danych obowiązki związane z ich ochroną. Należy m.in. zapewnić odpowiednie zgody na przetwarzanie danych, realizować prawa osób, których dane dotyczą (np. prawo dostępu, prawo do usunięcia), a także regularnie audytować i aktualizować procedury związane z bezpieczeństwem danych. Zarządzanie danymi w Azure OpenAI obejmuje również wybór odpowiednich opcji przechowywania danych, takich jak lokalizacja przetwarzania, co może mieć kluczowe znaczenie z punktu widzenia zgodności z przepisami prawa, zwłaszcza w kontekście transferu danych poza UE.
Dodatkowo, istotną kwestią jest zapewnienie, że wszystkie aplikacje i systemy integrujące modele AI są odpowiednio zabezpieczone przed cyberatakami, złośliwym oprogramowaniem oraz innymi zagrożeniami, które mogą prowadzić do naruszenia danych. Firmy muszą wdrożyć środki ochrony, które nie tylko zapobiegają atakom, ale także umożliwiają szybkie reagowanie w przypadku incydentów związanych z bezpieczeństwem.
Microsoft wbudował w swoją platformę mechanizmy, które mają na celu wykrywanie i ograniczanie wykorzystywania usługi w sposób nielegalny lub nieetyczny. System monitorowania nadużyć oparty jest na algorytmach, które analizują zachowania użytkowników oraz treści generowane przez modele AI w czasie rzeczywistym. Modele te zostały przeszkolone, aby wykrywać treści szkodliwe, takie jak dezinformacja, mowa nienawiści, przemoc czy inne niezgodne z regulacjami materiały.
W przypadku wykrycia nadużyć, system może automatycznie weryfikować próbki danych, takie jak prompty i odpowiedzi, które mogą zostać następnie poddane dalszej ocenie – począwszy od analizy przez automatyczny system AI, a w razie potrzeby również przez ludzi. Dzięki tej dwustopniowej weryfikacji, Azure OpenAI zapewnia, że generowane treści są zgodne z przyjętymi normami, a klienci mają pełną kontrolę nad wykorzystywaną przez siebie technologią. Jednak klient, który korzysta z usługi, również ponosi odpowiedzialność za to, jak używa generowanych treści oraz jak monitoruje ich zgodność z zasadami korzystania z AI.
Dodatkowo, dla firm, które przetwarzają dane o szczególnym charakterze (np. dane poufne lub wrażliwe), dostępna jest opcja zmodyfikowanego monitorowania nadużyć, która pozwala wyłączyć możliwość przeglądania przez ludzi treści generowanych przez modele AI. Dzięki temu użytkownicy mogą mieć pewność, że ich dane nie będą analizowane przez osoby trzecie, co może być kluczowe w przypadku przetwarzania danych objętych dodatkowymi restrykcjami prawnymi, takimi jak dane medyczne czy finansowe.
Mimo że Microsoft podejmuje wszelkie kroki w celu zapewnienia bezpieczeństwa i zgodności z regulacjami, to użytkownik ponosi odpowiedzialność za to, jak korzysta z usługi i jakie treści generuje. Firmy powinny wprowadzić odpowiednie procedury wewnętrzne i kontrole, aby upewnić się, że korzystają z Azure OpenAI w sposób odpowiedzialny i zgodny z prawem.
W tym miejscu chcemy podkreślić, że Microsoft w kontekście usługi Azure OpenAI wyraźnie określa ograniczenie swojej odpowiedzialności w stosunku do użytkowników, co jest istotnym elementem współpracy z tą platformą. Firma zastrzega, że nie ponosi odpowiedzialności za szkody pośrednie, takie jak utrata zysków, dane, reputacja, ani inne straty pośrednie, które mogą wynikać z używania technologii Azure OpenAI. Oznacza to, że w przypadku problemów z działaniem usługi, Microsoft nie będzie odpowiedzialny za negatywne konsekwencje, które mogą wystąpić w wyniku błędów lub przerw w dostępności usługi.
Z kolei odpowiedzialność finansowa Microsoftu jest ograniczona do kwoty 5000 USD, co oznacza, że użytkownicy, którzy napotkają na trudności związane z działaniem platformy, mogą ubiegać się o odszkodowanie, jednak kwota ta nie pokrywa pełnej wartości potencjalnych strat. Odpowiedzialność ta obejmuje tylko bezpośrednie szkody związane z działaniem usługi, a nie skutki uboczne, takie jak np. utrata danych czy złośliwe wykorzystanie treści generowanych przez AI.
W przypadku naruszenia Kodeksu postępowania Microsoft Generative AI przez użytkownika, firma może zawiesić lub zakończyć dostęp do usługi. Oznacza to, że w sytuacji, gdy klient nie przestrzega zasad ustalonych przez Microsoft w odniesieniu do etycznego wykorzystywania AI, jego dostęp do Azure OpenAI może zostać zablokowany lub ograniczony. To ograniczenie odpowiedzialności wskazuje na wagę przestrzegania reguł korzystania z technologii AI, szczególnie w kontekście ochrony danych i zapewnienia zgodności z regulacjami.
Dodatkowo, Microsoft zastrzega sobie prawo do wstrzymania dostępu do usługi lub modyfikacji warunków korzystania z usługi w przypadku, gdy zmienią się przepisy prawne lub regulacje dotyczące wykorzystania AI. Firmy muszą być przygotowane na ewentualne zmiany w warunkach korzystania z platformy, które mogą wpłynąć na sposób, w jaki implementują i wykorzystują technologie AI w swojej działalności.
Zarówno AI Act, jak i RODO mają kluczowe znaczenie dla firm korzystających z technologii takich jak Azure OpenAI, ponieważ nakładają one odpowiedzialność na użytkowników usługi w zakresie ochrony danych i przestrzegania zasad odpowiedzialnego użytkowania sztucznej inteligencji. AI Act, czyli Akt o sztucznej inteligencji, to rozporządzenie Unii Europejskiej, które reguluje wykorzystanie technologii AI, nakładając obowiązki na dostawców i użytkowników takich usług jak Azure OpenAI, w szczególności w kontekście minimalizacji ryzyka, które może wynikać z ich zastosowania.
Zgodność z AI Act wymaga, aby przedsiębiorcy wdrażający rozwiązania AI, takie jak te oferowane przez Microsoft, przestrzegali zasad dotyczących transparentności, odpowiedzialności oraz nadzoru nad systemami sztucznej inteligencji. To oznacza m.in. obowiązek informowania użytkowników o zastosowaniu AI oraz wprowadzenia mechanizmów, które zapobiegają szkodliwym skutkom takich technologii, jak np. dezinformacja czy dyskryminacja. Dodatkowo, AI Act nakłada wymóg przeprowadzania oceny ryzyka w kontekście wykorzystania sztucznej inteligencji oraz zapewnienia, że systemy AI są projektowane w sposób umożliwiający nadzór ludzki.
W kontekście RODO (Rozporządzenie o ochronie danych osobowych), przedsiębiorcy korzystający z usług takich jak Azure OpenAI muszą zapewnić zgodność z przepisami dotyczącymi ochrony danych osobowych. Microsoft, jako procesor danych, przetwarza dane na zlecenie klienta, który pełni rolę administratora danych. To oznacza, że użytkownik usługi Azure OpenAI odpowiada za to, jak przetwarzane są dane osobowe, a także za to, czy posiada odpowiednie zgody od osób, których dane są przetwarzane. Ponadto, firmy muszą zapewnić, że przestrzegają wszystkich zasad RODO, takich jak prawo do dostępu do danych, prawo do ich poprawiania i usuwania, a także obowiązek przeprowadzania ocen skutków dla ochrony danych w przypadku wykorzystywania technologii AI.
Co więcej, Azure OpenAI oferuje funkcje, które pozwalają firmom na wybór lokalizacji przechowywania danych (np. regiony geograficzne w UE), co jest istotne z punktu widzenia RODO, ponieważ przepisy te ograniczają transfer danych poza Europejski Obszar Gospodarczy (EOG). Firmy muszą zadbać o to, aby dane osobowe były przechowywane i przetwarzane zgodnie z przepisami ochrony danych, nawet jeśli są wykorzystywane w środowisku chmurowym, takim jak Azure.
Azure OpenAI to narzędzie, które daje ogromne możliwości, ale wiąże się także z dużą odpowiedzialnością. Firmy, które planują wdrożenie AI, powinny być świadome swoich obowiązków prawnych, w tym odpowiedzialności za dane, przestrzegania regulacji prawnych oraz zarządzania ryzykami związanymi z bezpieczeństwem i nadużyciami.
Współpraca z kancelarią prawną specjalizującą się w prawie IT i AI może znacząco wesprzeć przedsiębiorców w procesie wdrażania technologii AI w sposób bezpieczny i zgodny z przepisami.
W Sawaryn i Partnerzy pomagamy klientom w przygotowaniu odpowiedniej dokumentacji, w tym umów licencyjnych, regulaminów, a także w analizie ryzyk związanych z przetwarzaniem danych. Nasze wsparcie obejmuje również przygotowanie do zgodności z AI Act i RODO, co jest kluczowe, aby uniknąć potencjalnych kar lub naruszeń związanych z ochroną danych osobowych. Dodatkowo, oferujemy doradztwo w zakresie zarządzania odpowiedzialnością za dane, co jest niezbędne do zapewnienia bezpieczeństwa i prywatności w organizacjach wdrażających rozwiązania AI.
