Rośnie liczba firm korzystających ze sztucznej inteligencji (AI), a jeszcze więcej przedsiębiorców szykuje się do jej zastosowania do wspierania procesów biznesowych. Eksperci podkreślają, że system bezpieczeństwa każdej organizacji używającej AI powinien uwzględniać obydwa komponenty ochrony, czyli technologiczny oraz prawny. I w zakresie obydwu powinni być odpowiednio szkoleni pracownicy każdego przedsiębiorstwa.
- Nie tylko właściciele firm, ale i ich pracownicy powinni być świadomi wszelkich, także prawnych skutków nieprawidłowego korzystania z narzędzi AI oraz niedotrzymania procedur bezpieczeństwa – zaznacza Grzegorz Leśniewski, ekspert w firmie M3M zajmującej się ochroną danych w przedsiębiorstwach.
Podpowiada, na co trzeba zwracać uwagę przy wdrażaniu AI.
Transparentność i etyka
Grzegorz Leśniewski wskazuje, że niewątpliwą pomocą w zapewnieniu odpowiedzialnego wdrożenia, utrzymania i rozwijania systemów AI są zapisy normy ISO/IEC 42001:2023.
- Wspierają one organizacje m.in. w zarządzaniu ryzykiem odnoszącym się do potencjalnych zagrożeń i zapewnieniu bezpiecznego stosowania wdrożonych lub planowanych rozwiązań. Promują wykorzystanie tylko i wyłącznie zaufanych systemów AI w sposób przejrzysty, transparentny i odpowiedzialny, zgodnie z najwyższymi zasadami etycznymi, szczególnie w odniesieniu do praw osób fizycznych, których dane osobowe poddane będą działaniu tych systemów – podkreśla Grzegorz Leśniewski.
Niezwykle ważne jest stosowanie się do określonych wymogów etycznych (ramka niżej).
- nadzór człowieka nad sztuczną inteligencją
- wdrożenie rozwiązań zapewniających bezpieczeństwo stosowanych rozwiązań technicznych
- dbałość o prywatność osób fizycznych
- unikanie dyskryminacji osób objętych działaniami systemów AI
- dbanie o dobrostan społeczny
- budowaniu systemów AI w oparciu o tzw. zasadę trustworthy AI.
Polski rząd ostatnio zapowiedział utworzenie ustawy o systemach sztucznej inteligencji, która ma wdrożyć regulacje rozporządzenia Parlamentu Europejskiego i Rady UE w sprawie AI. Przepisy określą m.in. organ nadzoru rynku (będzie nim Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji) i procedury oceny jednostek notyfikujących zgodność systemów AI oraz ich monitorowania. Uregulowane zostaną także sankcje za naruszenia przepisów oraz procedury eliminacji zakazanych praktyk. Od decyzji o karze finansowej będzie można odwołać się do sądu administracyjnego.
Poznaj program konferencji "Digital marketing", 19 listopada 2024, Warszawa >>
Warto zwrócić uwagę także na zasady, które mają stać się europejskim prawem (druga ramka).
Propozycje rozwiązań które mają wejść do europejskiego systemu prawa:
- zdefiniowanie systemu sztucznej inteligencji
- określenie uczestników procesu planowania, budowania, wdrażania i wykorzystania systemu AI wraz z określeniem ich ról i obowiązków
- określenie zasad, jakie musi spełniać system AI (w tym wdrożenie procesów oceny, projektowania, testowania i analizowania w celu ograniczania potencjalnego ryzyka związanego z planowanym wykorzystaniem systemu AI)
- klasyfikowanie systemów AI obarczonych ograniczonym ryzykiem, wysokim ryzykiem i niedopuszczalnym ryzykiem dla prywatności osób fizycznych oraz sposobów zarządzania tymi systemami.
Źródło: projekt rozporządzenia Parlamentu Europejskiego i Rady (UE) o sztucznej inteligencji zwany EU AI Act.
Przykład - rekrutacja
Poniżej przedstawiamy zasady wdrożenia w firmie sztucznej inteligencji na przykładzie procesów rekrutacyjnych, w których pracuje się na obszernych bazach danych.
- Podstawą jest oczywiście posiadanie podstawy prawnej upoważniającej do przetwarzania danych w konkretnym celu i w konkretny sposób, a także uprawnienie odnoszące się do zakresu przetwarzanych danych. Dla procesów rekrutacyjnych takim wyznacznikiem będą jak wiadomo przepisy prawa pracy. W procesie rekrutacyjnym należy dokonać szeregu działań, które tu wskazujemy – mówi Grzegorz Leśniewski.
Wyjaśnia, że aby skorzystać z AI, po pierwsze musimy mieć pewność, że faktycznie stosujemy system sztucznej inteligencji oraz przeprowadzić jego kwalifikację. Następnie należy spozycjonować rolę operatora oraz zbadać, czy rzeczywiście człowiek nadzoruje ten system. Po tych działaniach niezbędne jest dokonanie testów bezpieczeństwa przetwarzanych danych, spełniania standardów oraz transparentności. Kolejny krok to ocena, czy system nie jest zakazany przez prawo oraz czy niesie ryzyka wyrządzenia szkód, dyskryminacji itp. Po wykonaniu tych niezbędnych działań (szczegóły w ramce obok) mamy pewność, że wykorzystujemy AI w sposób poprawny i bezpieczny.
Poglądowe etapy procesu rekrutacyjnego z wykorzystaniem systemów AI:
- ocena, czy rzeczywiście wykorzystujemy system AI w rozumieniu EU AI Ac oraz dokonanie jego klasyfikacji
- określenie w procesie roli operatora, gdy organizacje korzystają z systemu AI będącego pod ich nadzorem, lub dostawcy w przypadku wprowadzenia do obrotu lub oddania do użytku systemu AI
- zbadanie, czy planowany do użycia system AI zapewnia kontrolę i nadzór człowieka nad procesem, gwarantuje właściwy poziom bezpieczeństwa poparty testami, spełnia wysokie standardy dotyczące jakości, integralności i poprawności oraz transparentności danych poddanych działaniu systemu AI
- ocena wdrażanego rozwiązania w kontekście zakazanych praktyk określonych w EU AI Act, np. czy nie dojdzie do negatywnego wnioskowania systemu AI opartego o znane lub przewidywane cechy osobowości kandydata, jego sytuacji społecznej lub ekonomicznej, wieku, itp.
- weryfikacja wyników prowadzonej oceny skutków systemu AI dla praw i wolności kandydatów tzw. FIRA (Fundamental Rights Impact Assessment) obejmującej m.in. kategorie osób, na które może mieć wpływ wynik działania systemu AI, weryfikację zgodności wykorzystania systemu AI z aktualnie obowiązującymi przepisami prawa, ryzyko wystąpienia szkód dla osób poddanych działaniom systemu AI
- zapewnienie właściwej jakości danych wejściowych w celu uniknięcia sytuacji mogącej wywołać bezpośredni lub pośredni skutek dyskryminacyjny wobec kandydatów
- rozważenie konsultacji z przedstawicielami pracowników przed użyciem systemu AI w miejscu pracy oraz wdrożenie szerokiej kampanii informacyjnej.
Źródło: M3M
Jak pokazuje powyższy przykład, wdrożenie do procesów biznesowych systemów AI nie jest łatwe i wymaga szerokiej wiedzy specjalistycznej.
Ponadto firmy muszą spełnić szereg wymagań regulacyjnych, chociażby te wynikające z RODO. Niezbędna jest też ocena skutków dla ochrony danych, tzw. DPIA (Data Protection Impact Assessment), mająca potwierdzić, że zaplanowany sposób ich przetwarzania w procesach wspieranych systemami AI jest zgodny z RODO.
- Niezależnie od powyższego, o stosowanych rozwiązaniach trzeba informować osoby, których dane poddane są działaniom narzędzi opierających się na AI - w taki sposób, aby nie były zaskoczone. Wiele wskazuje na to, że rozwiązania europejskie w zakresie wykorzystania systemów AI ostatecznie wejdą w życie w 2026 r. – zaznacza Grzegorz Leśniewski.
Taki odsetek polskich przedsiębiorców deklaruje sięganie po technologie sztucznej inteligencji…
...natomiast tylu pracowników firm deklaruje korzystanie z możliwości, jakie ona daje - wynika z badań Personnel Service.