Czy Biała Księga Komisji Europejskiej ws. sztucznej inteligencji pomoże sektorowi finansowemu?

Białą Księgę warto czytać razem ze Strategią UE w sprawie danych oraz raportem w sprawie odpowiedzialności.

Z dokumentu możemy się dowiedzieć, jakie plany ma Komisja w związku z rozwojem sztucznej inteligencji (AI), w tym w zakresie stworzenia odpowiedniego ekosystemu, a także jakie wyzwania nas czekają w kontekście – potencjalnego – szybkiego rozwoju technologii.

Autorzy są zdania, że AI rozwija się bardzo dynamicznie, chyba nie czeka nas w najbliższym czasie kolejna „zima”, co z jednej strony może wpłynąć na otaczający nas świat bardzo pozytywnie, a z drugiej strony może stanowić duże zagrożenie.

Eksperci są zdania, że największymi wyzwaniami (ryzykami) w tym obszarze są lub będą kwestie związane z nieprzejrzystym procesem decyzyjnym, dyskryminacją, naruszeniem zasad w zakresie prywatności czy wykorzystaniem AI do dokonywania przestępstw.

Czytaj także: 30 regulacyjnych wyzwań dla innowacji finansowych – raport Komisji (UE)

Trudno się z tym nie zgodzić, choć to tylko potwierdza, że raporty i opinie mogą nie wystarczyć, a potrzeba działań legislacyjnych to nie perspektywa najbliższych pięciu lat, ale „tu i teraz”.

Ponieważ nie jest to finalna wersja dokumentu, Komisja zachęca do przekazywania swoich komentarzy do 19 maja 2020 r., do czego zachęcam.

W jedności siła

Na pierwszych strona Białej Księgi znajdujemy bardzo optymistyczną deklarację /wniosek dotyczący podejścia do AI. Jeżeli Europa ma być jednym z liderów wykorzystania tej technologii, również w kontekście sustainable finance, to konieczne jest opracowanie jednego stanowiska dla całej UE, aby uniknąć różnic w podejściu do AI (głównie w aspekcie prawnym), co mogłoby osłabić zaufanie społeczeństwa do sztucznej inteligencji. Podejście jak najbardziej słuszne w teorii, ale w praktyce pewnie trudne do wykonania.

Budowanie tego jednolitego podejścia ma opierać się zasadniczo na dwóch filarach:

− stworzenie ekosystemu doskonałości (ecosystem of excellence) w ramach którego podejmowane będą różne inicjatywy, w tym w zakresie R&D oraz finansowania, w tym wspierającego segment SME tworzący i wykorzystujący AI;

− stworzenie ekosystemu zaufania (ecosystem of trust), czyli podjęcie szeregu inicjatyw prawno-regulacyjnych, które zapewnią, że rozwiązania z zakresu AI będą „szanowały” (a może już bez cudzysłowu?) podstawowe prawa człowieka i konsumenta. Tutaj od razu warto zaznaczyć, że Komisja zamierza kontynuować wspieranie tzw. Human-centric AI. Na tym drugim aspekcie skupię się w artykule.

Czego potrzeba, żeby AI było skuteczne?

Oczywiście danych. Podejście Komisji pokrywa się zasadniczo z raportem EBA w sprawie wykorzystania Big Data. W raporcie znajdujemy stwierdzenie, że choć jesteśmy jeszcze w „ogonie”, a przynajmniej nie na czele, jeżeli chodzi o dostęp do danych, to może się to zmienić m.in. w związku z inicjatywami Komisji.

Czytaj także: EBA o Big Data i Machine Learning w sektorze bankowym. Report on Big Data and Advanced Analytics

Duży nacisk Unia Europejska zamierza kłaść na uniezależnienie się od dostawców rozwiązań, którzy nie mają korzeni na Starym Kontynencie.

Czytaj także: Czy lokalne centra danych to dobre rozwiązanie? Financial Stability Board o chmurze

Ramy regulacyjne dla AI

Nie będę się rozpisywał o tym, co zostało do tej pory wypracowane (zachęcam do prześledzenia strony 9 i następnych dokumentu). Takie ramy mają powstać, choć nie wiadomo jeszcze, kiedy. Komisja ma jednak świadomość, że jasne określenie zasad odpowiedzialności oraz rozliczalności (accountability), to warunek dla dalszego rozwoju (AI), bo bez tego trudno o zaufanie odbiorców końcowych. Prawda.

Czytaj także: Regulacje dla sektora finansowego pisane językiem maszynowym? To możliwe

Autorzy dokumentu zwracają jednak uwagę, że nie jest to zadanie łatwe, to też prawda. Największym wyzwaniem wydaje się takie ułożenie zasad, w tym w kontekście praw podstawowych, aby zapewnić możliwie najwyższy poziom bezpieczeństwa. De facto nam – ludziom.

Tutaj mamy bardzo ciekawy problem, który w zasadzie nie przyszedł mi wcześniej do głowy. W jednym z artykułów o pseudonimizacji pisałem o tej technice jako dość dobrej metodzie szyfrowania danych. Eksperci Komisji zwrócili uwagę jednak na fakt, że nawet dobrze zaszyfrowane dane mogą być – stosunkowo łatwo i szybko – odszyfrowane przez algorytmy i tym samym z danych nieosobowych mamy dane osobowe, które są w sposób szczególny chronione.

Czytaj także: RODO a cyberbezpieczeństwo: pseudonimizacja wg ENISY

Ryzyko tym większe, im więcej danych o nas samych udostępniamy np. w sieci. Pierwsze wyzwanie w zakresie ochrony danych osobowych mamy więc na talerzu.

Dyskryminacja

To kolejny, wcale nie teoretyczny wątek. Autorzy dokumentu zwracają uwagę, że podejmowanie decyzji przez człowieka nie jest oderwane od ryzyk związanych z dyskryminacją, jednakże AI również jest narażone na tego typu błędy decyzyjne.

W szczególności może to generować duże ryzyko na etapie uczenia się algorytmu. Błędne założenia i skutki w postaci błędnych, niesprawiedliwych decyzji mogą „ciągnąć” się w nieskończoność. Z tego względu istotne jest takie zbudowanie ram prawnych, które umożliwiają efektywną kontrolę algorytmu (procesu decyzyjnego). Co jednak w przypadku black-boxów? To nie jest teoretyczne rozważanie, a realny problem, który może wystąpić również w przypadku wspomnianej już oceny zdolności kredytowej.

Czytaj także: Czy sztuczna inteligencja zapłaci nam odszkodowanie?

Na marginesie warto wspomnieć, bo nie jest to wiedza powszechna, że w Unii Europejskiej mamy szereg dyrektyw, które odnoszą się do zakazu dyskryminacji na wielu polach, np. ze względu na pochodzenie.

Odpowiedzialność

Na temat planów w zakresie odpowiedzialności AI pisałem już, więc nie zamierzam powielać tego tematu. Wnioski z obu dokumentów są zasadniczo zbieżne.

Czytaj także: Kto odpowie za błędy sztucznej inteligencji: producent czy operator?

Co zamierza zrobić Komisja?

Planów jest wiele, przy czym mamy dość jasne stwierdzenie, że „[…] EU legislation [m.in. w zakresie produktów niebezpiecznych] remains in principle fully applicable irrespective of the involvement of AI, it is important to assess whether it can be enforced adequately to address the risks that AI systems create, or whether adjustments are needed to specific legal instruments”.

Komisja Europejska zakłada m.in.:

− doprecyzowanie istniejących aktów prawnych (tych obowiązujących, i tych, które dopiero wejdą w życie), aby nie budziło wątpliwości ich zastosowanie do sztucznej inteligencji;

− doprecyzowanie zakresu prawodawstwa w zakresie produktów niebezpiecznych (czy oprogramowanie oparte na AI „wchodzi” w definicję produktu?);

− doprecyzowanie wybranych aspektów odpowiedzialności, np. w przypadku aktualizacji oprogramowania i jej wpływu na funkcjonowanie produktu czy oprogramowania;

− doprecyzowanie zasad odpowiedzialności w „łańcuchu” operatorów AI;

− doprecyzowanie prawodawstwa w zakresie bezpieczeństwa (w tym CybSec) w kontekście AI.

I teraz zaskoczenie. Wcale nie oznacza to, że konkretne działania legislacyjne zostaną podjęte w najbliższym czasie. Przy podejmowaniu decyzji odnośnie potrzeby uregulowania określonych kwestii Komisja będzie stosować tzw. Risk-based approach.

Oznacza to, że w pierwszej kolejności działania zostaną ukierunkowane na te obszary, które wiążą się z wysokim ryzykiem (choć AI jako całość tak została zakwalifikowana). Tutaj kluczowe będą ryzyka dla konsumentów, ale również dla SME.

Bazując na raporcie można jednak śmiało założyć, że sektor finansowy również zostanie objęty „opieką” Komisji jako highly-sensitive.

Jest jeszcze kilka ciekawych wątków, które dotyczą m.in. raportu Commission Report on safety and liability implications of AI, the Internet of Things and Robotics, który towarzyszy Białej Księdze.

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.