AI Act to unijne rozporządzenie regulujące sztuczną inteligencję według poziomu ryzyka. Weszło w życie i jest wdrażane etapami, z różnymi terminami dla różnych obowiązków. Wiele firm zakłada, że to problem wyłącznie dostawców modeli. To nieporozumienie. Jeśli wdrażasz i używasz systemu AI, jesteś podmiotem stosującym i masz własne obowiązki.
Podejście oparte na ryzyku
Sercem AI Act jest podział zastosowań AI na poziomy ryzyka. Im wyższe ryzyko dla praw i bezpieczeństwa ludzi, tym więcej wymagań.
- Ryzyko niedopuszczalne. Praktyki zakazane, na przykład ocena obywateli czy manipulacja podprogowa.
- Ryzyko wysokie. Systemy w rekrutacji, ocenie zdolności kredytowej, dostępie do usług. Tu obowiązków jest najwięcej.
- Ryzyko ograniczone. Wymogi przejrzystości, na przykład informowanie, że rozmawiasz z chatbotem.
- Ryzyko minimalne. Większość codziennych narzędzi, gdzie obowiązki są niewielkie.
Kluczowe pytanie brzmi nie czy używamy AI, tylko do czego jej używamy. To zastosowanie, a nie sama technologia, decyduje o poziomie obowiązków.
W rozmowach z zarządami widzę stały błąd. Firma pyta, czy jej narzędzie jest legalne, a powinna pytać, w jakim procesie go używa. Ten sam model w marketingu i w rekrutacji to dwa zupełnie różne poziomy ryzyka.
Co to znaczy dla przeciętnej firmy MŚP
Większość MŚP nie tworzy modeli, tylko korzysta z gotowych narzędzi. Mimo to warto zrobić kilka rzeczy, żeby nie obudzić się z problemem.
Zrób inwentaryzację AI
Spisz, gdzie w firmie faktycznie używacie AI. Często jest tego więcej niż się wydaje: asystent w pakiecie biurowym, narzędzie do rekrutacji, chatbot na stronie, analiza sprzedaży. Bez tej listy nie ocenisz ryzyka.
Oceń zastosowania wysokiego ryzyka
Jeśli AI wspiera decyzje o ludziach, na przykład wybór kandydatów, potraktuj to poważnie. Tu pojawia się nadzór człowieka, przejrzystość i dokumentacja. Nie możesz zrzucić decyzji na algorytm i umyć rąk.
Zadbaj o przejrzystość
Tam, gdzie klient wchodzi w interakcję z AI, powiedz mu to wprost. Treści generowane przez AI w niektórych przypadkach trzeba oznaczać. To tania zmiana, która buduje zaufanie.
AI Act a RODO
To dwa różne akty, ale mocno się zazębiają. AI często przetwarza dane osobowe, więc RODO obowiązuje niezależnie od AI Act. W praktyce oznacza to podstawę prawną przetwarzania, ocenę skutków tam, gdzie ryzyko jest wysokie, i realizację praw osób, których dane dotyczą.
Jeśli w firmie działa Inspektor Ochrony Danych albo korzystasz z outsourcingu IOD, naturalnie to on powinien pilnować styku AI i danych osobowych. Rozdzielanie tych tematów kończy się dublowaniem pracy i lukami.
Co zrobić już teraz
Nie trzeba czekać na wszystkie terminy, żeby uporządkować podstawy. Rozsądny plan minimum wygląda tak:
- Zrób rejestr używanych narzędzi AI i przypisz do nich zastosowania.
- Oznacz procesy wysokiego ryzyka i wprowadź w nich nadzór człowieka.
- Uzupełnij zasady korzystania z AI o wymóg przejrzystości i ochrony danych.
- Przeszkol zespół, żeby wiedział, czego do AI wrzucać nie wolno.
Podsumowanie
AI Act nie jest po to, żeby zablokować firmom korzystanie z AI. Ma wymusić robienie tego świadomie, zwłaszcza tam, gdzie w grę wchodzą decyzje o ludziach. Dla większości MŚP obowiązki są do udźwignięcia, o ile zaczniesz od inwentaryzacji i oceny zastosowań, a nie od paniki.
Jeśli chcesz wdrażać AI zgodnie z prawem i sensownie, sprawdź nasze wdrożenie AI dla firm. Łączymy stronę technologiczną z ochroną danych, żeby jedno nie wywracało drugiego.