Przepisy regulujące korzystanie ze sztucznej inteligencji przez firmy (tzw. AI Act) weszły w życie 1 sierpnia 2024 r. Ich celem jest wspieranie biznesu w odpowiedzialnym wdrażaniu oraz rozwoju AI, uwzględniając podnoszenie poziomu bezpieczeństwa obywateli Unii Europejskiej. Oznacza to, że przedsiębiorcy wszystkich branż będą mieli nowe obowiązki w zachowaniu transparentności w obszarze AI. Zmiany prawne obejmują wszystkie systemy i aplikacje, które wykorzystują technologię sztucznej inteligencji.
Przejmowanie kontroli nad AI – kolejne kroki
Porządkowanie kwestii AI w firmie należy zacząć od rozpoznania i zarejestrowania wszystkich rozwiązań AI, w tym bezpłatnych aplikacji używanych przez pracowników. Po dokonaniu inwentaryzacji konieczne jest przeprowadzenie oceny wykorzystywanych narzędzi pod kątem ryzyka określonego w ustawie AI Act. W dalszej kolejności warto opracować politykę i zasady wykorzystywania sztucznej inteligencji firmie.
Rozpoznanie – gdzie jest AI w naszych procesach biznesowych?
Sztuczna inteligencja to technologia, która nie tylko zajmuje się obliczeniami na ogromnych zbiorach danych, ale także może rozpoznawać ludzką mowę czy stworzone przez człowieka obrazy. AI znajduje swoje zastosowanie między innymi w:
- przeglądarkach internetowych i komunikatorach – oferują one funkcje automatycznego tłumaczenia językowego stron internetowych, asystentów rozmów w komunikatorach (odpowiadających automatycznie na pytania);
- czat-botach oraz wirtualnych asystentach – obsługujących klientów online (automatyzacja obsługi);
- biometrii w systemach IT – która jest używana do uwierzytelniania w procesie logowania (rozpoznaje twarze, siatkówkę oka i odciski palców);
- głosowych poleceniach dla systemów i aplikacji biurowych – czyli wszystkich rozwiązaniach, które umożliwiają dyktowanie treści (np. maili) oraz wydawanie komend systemom IT lub aplikacjom;
- generowaniu tekstów, prezentacji, grafik, zdjęć – tzw. kreatory kontentu;
- automatycznym rozpoznawaniu dokumentów i zarządzaniu nimi w procesie biznesowym, tj, przekazywaniu do odpowiedniego działu/osoby w firmie (identyfikacja i klasyfikacja obrazów);
- wykrywaniu cyberzagrożeń – np. podejrzanych, nietypowych transakcji, prób wyłudzeń, włamań (detekcja oszustw na poziomie wykrywania nieprawidłowości w ruchu);
- Business Intelligence (wsparcie decyzji biznesowych) – czyli aplikacji analitycznych prognozujących sprzedaż, trendy, personalizujące oferty, promocje i automatyczną obsługę klienta oraz optymalizujące biznes od łańcuchów dostaw po produkcję.
Ryzyko AI i jego ocena zgodnie z ustawą AI Act
Ocena ryzyka AI według ustawy AI Act będzie obowiązywać przedsiębiorstwa już za 2 lata, ale warto zaznaczyć, że część regulacji wejdzie w życie wcześniej. Wszystkim systemom IT i rozwiązaniom opartym na sztucznej inteligencji ma zostać nadana kategoria ryzyka minimalnego, specyficznego, wysokiego lub niedopuszczalnego.
W pierwszej kolejności – bo za pół roku – przedsiębiorców zaczną obowiązywać przepisy zakazujące korzystania z rozwiązań zaliczanych do kategorii ryzyka niedopuszczalnego. Do tej grupy narzędzi będą należeć m.in. systemy wykorzystujące dane biometryczne, np. do monitorowania działań zatrudnionych w miejscu pracy.
Do systemów wysokiego ryzyka zostaną zakwalifikowane aplikacje stosowane przy rekrutacjach, ocenach zdolności kredytowej i automatycznym uruchamianiu robotów. Te rozwiązania będą podlegać rygorystycznym wymogom – m.in. konieczności zapewnienia nadzoru człowieka nad robotami.
Ryzyko specyficzne odnosi się do konieczności zapewnienia transparentności wykorzystywania sztucznej inteligencji w firmie. Oznacza to, że firmy będą musiały informować klientów, którzy korzystają z ich systemu, że w interakcji wykorzystywana jest AI – np., że rozmawia z czat-botem (a nie człowiekiem).
Minimalne ryzyko obejmuje większość systemów i rozwiązań AI wykorzystywanych obecnie w biznesie. Algorytmy AI wspierające biznes w obszarze tworzenia treści czy podejmowania decyzji na bazie danych zebranych wewnętrznie nie będą objęte restrykcjami. Niemniej ta grupa narzędzi wymagać będzie kontroli nad danymi, które przetwarza ta technologia.
Polityka AI w firmie: kontrola nad danymi i zgodność z innymi przepisami
Każda firma, która korzysta z sztucznej inteligencji, powinna stworzyć odpowiednie procedury uwzględniające kategoryzację ryzyk. Konieczne jest także wskazanie możliwości wykorzystania tej technologii w kontekście danych przez nią przetwarzanych. Przedsiębiorstwo oraz jego pracownicy musza mieć świadomość, że dane wykorzystywane przez aplikacje AI mogą naruszać prywatność lub stanowić cudzą własność.
PRZYKŁAD ZAGROŻENIA: Pracownicy przygotowują kontent z wykorzystaniem bezpłatnych aplikacji AI – np. prezentację firmową. Aplikacja, z której korzystają, pobiera do tego celu dowolne zdjęcia lub teksty dostępne w zasobach online. Firma nie wie, czy aplikacja AI ma prawa do pobieranych danych – mogą one np. zostać skradzione (wykorzystane bez uwzględnienia prawa autorskiego).
Ochrona danych osobowych w kontekście AI (zgodność z RODO)
AI działa na podstawie danych, w tym także na podstawie informacji o osobach fizycznych (dane osobowe). Pracując z systemami automatyzacji obsługi klienta, CRMami, BI oraz scoringowymi mamy do czynienia z danymi prawdziwych ludzi, które podlegają szczególnej ochronie (RODO). Część aplikacji AI pobiera dane z zasobów internetowych (źródła zewnętrzne), nad którymi organizacje biznesowe nie mają kontroli. Jeśli nasze systemy wymagają takich danych lub firma trenuje na nich swoje algorytmy – rośnie ryzyko naruszenia danych osobowych. Praca z porządkowaniem AI musi więc uwzględniać procedurę wykorzystania informacji wrażliwych w firmie.
Przepisy AI Act przypominają nam, że stosowanie wszelkich systemów IT, aplikacji czy najnowszych technologii musi odbywać się zgodnie z regułami chroniącym ludzi. Dlatego już teraz warto tworzyć dokumentację i rejestry działań związanych z wykorzystywaniem sztucznej inteligencji. Systemowe podejście i etyczne wykorzystanie AI musi także obejmować szkolenia dla pracowników. Pełna kontrola nad AI zagwarantuje bezpieczeństwo prawne i operacyjne zarówno firmie (oraz osobom w niej zatrudnionych), jak i jej klientom.
Robert Zyskowski, CTO, Grupa Symfonia