Etyczne aspekty wykorzystywania możliwości sztucznej inteligencji, ryzyka i odpowiedzialność

Sprawa wyglądała tak, że na etapie testowania rozwiązania w zakresie rozpoznawania obrazu okazało się, że system AI określał osoby niepełnosprawne jako „przegranych czy przegrywów” (loser). Szczęście w nieszczęściu, że ten błąd wyłapano na etapie testowania, a nie na etapie produkcji, bo wtedy skutki mogłyby być opłakane.

Ta sytuacja została opisana w jednej z ciekawszych książek na temat biznesowych zastosowań sztucznej inteligencji i stanowi przestrogę przed zbyt luźnym podejściem do procesów i procedur związanych z etapem przygotowywania danych oraz ich przetwarzaniem. W końcu najlepiej uczyć się na błędach, ale niekoniecznie swoich.

A czy można było tego uniknąć? Jeden rabin powie tak, drugi rabin powie nie. Wszystko zależy od tego, na ile skupiamy się na osiągnięciu określonego celu biznesowego i skuteczności (dokładności) naszego modelu AI, a na ile zależy nam też na aspektach etycznych wdrażanego rozwiązania.

Niektórzy eksperci stoją na stanowisku, że do ‒ co najmniej 2030 roku ‒ etyka AI nie będzie stanowiła głównej osi działania dostawców i użytkowników systemów, a ci będą się skupiali raczej na zwiększaniu zyskowności rezultatów ich działania.

Tymczasem wiele danych wskazuje na to, że wdrażanie rozwiązań opartych o etyczną czy odpowiedzialną sztuczną inteligencję może przynieść znaczące korzyści, choć z pewnością nie będą one widoczne od razu. Gratyfikacja jest odroczona w czasie, natomiast jest nią przede wszystkim lojalność i zaufanie klientów, a także reputacja, czyli aspekty, które na pierwszy rzut oka mogą wydawać się niemierzalne, ale w dłuższej perspektywie przynoszą realne zyski.

Decyzja o tym, aby podejść do tego w ten sposób nie jest jednak łatwa, bo jak uzasadnić zarządowi konieczność poniesienia dodatkowych kosztów na obsługę procesów obejmujących dane, jeżeli nie są to procesy stricte optymalizacyjne czy zwiększające użyteczność lub dochodowość produktów i usług? Tak przynajmniej mogą twierdzić decydenci.

Oczywistym argumentem może być konieczność zapewnienia prawno-regulacyjnego compliance, ale warunkiem jest tutaj, że rzeczywiście mamy przepisy, które z jednej strony nakładają konkretne obowiązki w tym zakresie, a z drugiej ich naruszenie może skutkować odpowiedzialnością prawną czy regulacyjnę (albo obiema). Trudno jednak w takiej sytuacji mówić o etycznym podejściu, a raczej konieczności obrony przed ewentualnymi sankcjami. Choć na koniec dnia i to może być wystarczającym bodźcem, aby zapewnić, że rozwiązania oparte o AI będą bezpieczne i odpowiedzialne. Ostatecznie chodzi przecież o ochronę człowieka i jego praw (podstawowych). Tak przynajmniej powinno być, a czy jest to już odrębna kwestia.

AI & Data: 5 etapów przetwarzania danych osobowych

Ten dość przydługi wstęp ma zachęcić do refleksji na temat potrzeby ułożenia procesów związanych z szeroko rozumianym obszarem AI & Data, który dotyka zasadniczo 5 etapów, które mogą wiązać się z przetwarzaniem danych osobowych (ostatnio pisałem o zależności pomiędzy AI a RODO w kontekście nowych wytycznych CNIL).

Te etapy, według D. Martensa i wielu innych ekspertów, to po prostu:

1. etap zbierania danych ‒ bardzo istotny z punktu widzenia konkretnego produktu czy usługi, gdzie uprzednio musimy określić czego w ogóle potrzebujemy ‒ więcej wcale nie musi oznaczać lepiej; zauważcie tutaj, że im mniej pośredników w zakresie danych, tym lepiej (Data Governance Act ma nieco poprawić jakość pozyskiwanych danych od pośredników, ale w dalszym ciągu zalecane jest stosowanie zasady zbierania danych u źródła);

2. etap wstępnego przetwarzania danych ‒ tutaj dokonujemy swoistej transformacji (choć to jeden z etapów pośrednich) do pożądanego przez nas docelowego formatu danych; na tym etapie może dojść do wspomnianych już przeze mnie działań w obszarze m.in. etykietowania danych;

3. modelowanie ‒ właściwy proces przetwarzania;

4. ewaluacja ‒ ocena i kontrola osiągniętych wyników oraz ewentualny zwrot, np. w zakresie wykorzystywanych danych;

5. stosowanie określonego rozwiązania, czyli etap produkcyjny lub deploymentu ‒ choć zasadniczo wieńczy proces opracowywania modelu, to jednak tutaj nie kończy się nasza rola, bowiem ‒ szczególnie w przypadku systemów uczących się w trybie ciągłym ‒ konieczna będzie weryfikacja poprawności wyników osiąganych przez ten system.

Na każdym z tych etapów będzie mieli inne obowiązki, choć zasadniczo zawsze powinniśmy mieć z tyłu głowy kluczową zasadę jaką jest „privacy and data protection by design and default„. Każdy z tych procesów może być mniej lub bardziej szczegółowo opisany, ale bez wątpienia powinien być podzielony na mniejsze etapy i uwzględniać konkretne osoby zaangażowane w ich realizację. To, na co jednak zwraca uwagę projekt rozporządzenia w sprawie sztucznej inteligencji, to konieczność posiadania przez dostawcę rozwiązań (także ich twórcę) odpowiedniego systemu zarządzania jakością, który ma na celu zapewnienie, że tworzenie i stosowanie systemów AI (w tym wypadku wysokiego ryzyka) będzie zgodne z wymaganiami prawnymi i regulacyjnymi.

W konsekwencji w ramach organizacji powinniśmy zapewnić odpowiednie (pisemne) polityki, procedury, instrukcje i dokumenty techniczne, które dotykają m.in. takich obszarów jak badanie, testowanie i walidacja, a także zarządzanie danymi, w tym gromadzenie danych, analiza danych, etykietowanie, przechowywanie, filtrowanie, eksploracja, agregacja, zatrzymywanie i usuwanie oraz wszystkich tych operacji, które składają się na procesy przetwarzania danych.

Przy ich opracowywaniu może nam pojawić się pokusa dość ogólnego opisywania obowiązków w zakresie każdej z operacji, jednak pamiętajmy, że zapewnienie wysokiego poziomu jakości tych operacji będzie przekładało się na jakość i skuteczność naszego końcowego produktu czy usługi. Zasadniczo więc, choć może to być nieco męczące dla zobowiązanych osób, postępowanie według jasno określonych instrukcji (checklista) może być jedynym sposobem na zabezpieczenie się przed ewentualnymi negatywnymi konsekwencjami. 

Jasne, najważniejsza i tak będzie praktyka, ale pamiętajmy też, że przepisy będą (a niekiedy już) zobowiązywały nas do dokumentowania istotnych procesów związanych m.in. z przetwarzaniem danych. Zawsze może pojawić się konieczność wyjaśnienia jak dany proces przebiegał i czy spełniliśmy wszystkie wymagania w tym zakresie.

Komunikacja i struktura organizacyjna przy wprowadzaniu systemów AI

Dokumentacja wewnętrzna jest więc ważna, a odkładanie i przechowywanie ważnych informacji związanych z konkretnymi procesami oraz operacjami powinno być nawykiem. Czasem potrzeba będzie powrotu do korzeni, a wtedy dobrze opisane działania mogą stanowić bardzo ważną wskazówkę dla np. audytora. Same procedury, polityki i instrukcje nie będą oczywiście wystarczające, jeżeli będą one niezrozumiałe dla poszczególnych interesariuszy.

Warto tutaj pamiętać, że każdy z etapów, o których pisałem powyżej może wymagać zróżnicowanego podejścia. Pewne wskazówki jakie kroki powinniśmy podejmować zostały opisane m.in. w art. 10 do projektu rozporządzenia w sprawie AI, choć muszą one doznawać uszczegółowienia na poziomie organizacji ‒ oczywiście adekwatnie do modelu biznesowego i z uwzględnieniem zasady proporcjonalności. Jeżeli pominiemy etap oceny adekwatności środków może okazać się, że nasze procesy są zwyczajnie nieefektywne.

To o czym często zapominamy to odpowiednie ułożenie struktury organizacyjnej i jasne określenie zasad odpowiedzialności, w tym komunikacji. Osoby odpowiedzialne za poszczególne procesy i operacje, powinny mieć pewność co do tego co muszą zrobić, komu komunikować spostrzeżenia, a także w jaki sposób postępować w przypadku, gdy konieczne jest podjęcie działań naprawczych. Tym bardziej, że takie działania też mogą podlegać szczególnym obowiązkom raportowym. 

Wydawać by się mogło, że skoro mówimy o procesach związanych z gromadzeniem czy wstępnym przetwarzaniem danych, to jedynymi zaangażowanymi osobami będą eksperci od danych oraz osoby związane z ich ochroną. Nic bardziej mylnego. Niezwykle istotne jest tutaj zaangażowanie osób biznesowych, w tym kadry zarządzającej, właścicieli produktów czy zarządzających konkretnym projektem. Są to osoby, które mogą pomóc w nakreśleniu kierunku poszukiwań, a także reagować na różnych etapach analizowania i przetwarzania danych. W trakcie takiego procesu może bowiem okazać się, że coś jest kompletnie nieistotne lub że zostały przeoczone ważne dane, które mogą decydować o powodzeniu lub porażce konkretnego projektu.

To oczywiście wymagać będzie też spisania tych zasad oraz odejścia od wyłącznie silosowej struktury, bowiem interdyscyplinarność i komunikacja są tutaj kluczowe. Nie ma jednak wątpliwości, że jest to zadanie trudne, chociażby ze względu na różnice charakterów czy przekonanie o wyższości wiedzy eksperckiej jednych nad drugimi. Niestety, to temat często pomijany w dyskusjach i literaturze, a przecież musimy pamiętać, że osoby z tych ‒ jakże różnych obszarów ‒ mogą między sobą generować konflikty, co może przełożyć się na efektywność procesu i samego produktu. Dlatego tak ważne będzie tutaj stworzenie drużyny, która będzie chciała działać wspólnie, rozumiejąc jednocześnie z czego wynikają niekiedy „głupie” pytania pozostałych członków zespołu.

Tyle dzisiaj. To oczywiście pewien skrót, który ma pokazać jak istotne jest odpowiednie ułożenie procesów związanych z danymi. Bez odpowiedniego podejścia możemy narazić się na negatywne konsekwencje, a już na pewno będziemy realizowali te procesy w sposób nieefektywny, przepalając masę energii i pieniędzy, które można zaoszczędzić tworząc odpowiednie rozwiązania organizacyjne i techniczne. Jeżeli macie z tym problem, to zachęcam do kontaktu.

Dr Michał Nowakowski,

prezes Zarządu Polskiej Organizacji Niebankowych Instytucji Płatności (PONIP).

Poglądy i opinie wyrażone w niniejszym artykule stanowią wyłącznie osobiste poglądy autora i nie mogą być utożsamiane z poglądami lub opiniami instytucji, z którą autor jest lub był związany.