Kto jeszcze poza Unią Europejską chce bardziej restrykcyjnych przepisów dotyczących AI?
Możemy twierdzić, że przepisy dotyczące ochrony danych osobowych, skądinąd bardzo surowe w przypadku Unii Europejskiej, są wystarczającą ochroną przed zagrożeniami związanymi z AI, bo przecież art. 22 RODO zapewnia, że „[o]soba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”.
Jeżeli połączymy to z innymi obowiązkami wynikającymi z przepisów, to może (mylnie) okazać się, że jesteśmy w pełni chronieni przed „złą sztuczną inteligencją”.
Nowe technologie: ochrona danych niestety nie jest wystarczająca
Teoretycznie prawda. Przepisy RODO zostały zaprojektowane tak, aby chroniły dane osobowe i prywatność niezależnie od tego z jakiej technologii korzystamy (neutralność technologiczna), a obowiązek stosowania tzw. DPIA, czyli oceny skutków dla ochrony danych jest zasadniczo obligatoryjny w przypadku zastosowania innowacyjnych rozwiązań technologicznych (technicznych?), a więc i tych wykorzystujących wspomnianą sztuczną inteligencję.
Sztuczna inteligencja to jednak nie tylko dane, (…), to szereg rozwiązań o charakterze organizacyjnym i technicznym, a także osobowym
Problem w tym, że uczenie maszynowe i inne zautomatyzowane, i samouczące się, sposoby przetwarzania danych osobowych mają swoją specyfikę, która wymaga dość zindywidualizowanego podejścia (koncepcja one-size-fits-all raczej się tutaj nie sprawdzi), które na gruncie przepisów w zakresie ochrony danych osobowych może być niewystarczające.
Nie ma wątpliwości, że AI to przede wszystkim dane. Dane, które są wykorzystywane zarówno do trenowania modeli następnie wykorzystywanych w „przestrzeni” np. do podejmowania decyzji czy predykcji, m.in. określonych zdarzeń, w tym niewypłacalności. Jedne zastosowania mają bardzo istotne znaczenie i skutki dla jednostek, a inne nieco mniejsze, szczególnie w przypadku, gdy mylnie utożsamiamy automatyzację z systemami uczącymi się samodzielnie lub przy większym lub mniejszym udziale człowieka.
Dane mogą też być zróżnicowane i wcale niekoniecznie muszą mieć charakter danych osobowych, a postępujący rozwój technik anonimizacji lub pseudonimizacji danych teoretycznie może zwiększać nasze bezpieczeństwo (prywatności). Sztuczna inteligencja to jednak nie tylko dane, które mogą podlegać ocenie np. inspektora ochrony danych. Zarówno przed przetwarzaniem, choć to problematyczne w przypadku niektórych rozwiązań, jak i po ich przetworzeniu, to szereg rozwiązań o charakterze organizacyjnym i technicznym, a także osobowym.
Czytaj także: Systemy zarządzania ryzykiem w kontekście wykorzystania uczenia maszynowego ‒ ryzykowna akcja z użyciem AI?
AI w sferze praw podstawowych i nie tylko
Bardziej zaawansowane rozwiązania dotykają także sfery wykraczające poza obszar ochrony danych i prywatności, bowiem wkraczają m.in. w inne tematy związane z ochroną praw podstawowych, np. w zakresie (nie)dyskryminacji, poszanowania godności i integralności człowieka czy nawet praw o charakterze socjalnym, które niezbyt często są dyskutowane w przypadku zastosowania AI w sferze publicznej. Odpowiednio zasilone systemy uczenia maszynowego czy głębokiego mogą wpływać na nasze decyzje czy zachowania, manipulować emocjami czy dyskryminować nas na różnych polach.
Oczywiście te rozwiązania są tworzone przez ludzi i przez nich kontrolowane i nadzorowane, ale nie oszukujmy się ‒ w tak zdigitalizowanym świecie nie jest to zadanie łatwe i o przeoczenie nietrudno. Jeżeli dojdzie do tego (nie)etyczne zachowanie, to problem robi się naprawdę poważny.
Etyka a wykorzystywanie sztucznej inteligencji
Dzisiaj wiele z podmiotów, które korzystają z rozwiązań opartych o AI podlega raczej ogólnym wymogom, np. sektorowym (dobrym przykładem są tutaj przepisy dla sektora bankowego) czy związanym z ochroną danych osobowych.
Mało kto (…) zwraca też poważnie uwagę na wytyczne o charakterze etycznym (…) W konsekwencji, organizacje oraz ich klienci (a także osoby trzecie) mogą być bardziej podatne na ryzyka związane z naruszeniami
Pewne zmiany zajdą wraz ze stosowaniem takich aktów jak DMA czy DSA, ale pamiętajmy, że są to zasady, które będą miały zastosowanie do ograniczonego kręgu podmiotów. Te ogólne wymogi rzadko adresują ryzyka i wyzwania związane ze stosowaniem szeroko rozumianej sztucznej inteligencji, a nawet jeżeli, to są na tyle szerokie, że o pomyłkę (lukę) nietrudno. Konsekwencje mogą znaczące, ale nie o tym będę dzisiaj pisał.
Mało kto ‒ przynajmniej dzisiaj ‒ zwraca też poważnie uwagę na wytyczne o charakterze etycznym, nawet jeżeli są one wydawane przez organy nadzorcze czy regulacyjne lub organizacje międzynarodowe (WHO, EIOPA). Dość często spotykanym podejściem jest to zgodnie z którym, jeżeli coś nie jest twardym wymogiem, to nie będzie traktowane poważnie. W konsekwencji, organizacje oraz ich klienci (a także osoby trzecie) mogą być bardziej podatne na ryzyka związane z naruszeniami w obszarze AI.
AI Act zahamuje innowacyjność Unii Europejskiej?
O propozycji rozporządzenia w sprawie sztucznej inteligencji nie będę się dzisiaj rozpisywał, bo pisałem o tym wielokrotnie, ale zwróćmy uwagę na to jak AI Act (UE) jest postrzegany w przestrzeni publicznej oraz biznesowej ‒ nie jako szansa i zabezpieczenie, ale jako „coś”, co doprowadzi do zahamowania innowacji i spowoduje, że Unia Europejska spadnie do trzeciej ligi w kategorii innowacyjnych regionów.
Czy jest w tym trochę racji? Jest, bowiem przepisy zawarte w AI Act, nawet jeżeli jeszcze nie jest to ich finalna forma, są dość restrykcyjne i mogą istotnie ograniczyć rozwój nowych systemów AI i spowodować (pewne) wyhamowanie innowacji. Bez wątpienia. Pytanie czy to źle czy dobrze?
Regulacje amerykańskiego Algorithmic Accountability Act
Wczoraj (5.09.2022) napisałem artykuł na temat relatywnie nowej (luty ‘22) propozycji Algorithmic Accountability Act, który w wielu miejscach pokrywa się z tymi propozycjami, które znajdziemy w AI Act. Akt ten jest procedowany w Stanach Zjednoczonych, które obok Chińskiej Republiki Ludowej są uznawane za kolebkę AI, a otwartość danych zdaje się tam nie mieć końca. Choć to tylko częściowo prawda, bo warto zwrócić uwagę chociażby na niektóre stany jak Kalifornia, które są mocno GDPR-friendly.
W bardzo dużym uproszczeniu Akt ten ma na celu wprowadzenie pewnych restrykcyjnych zasad w odniesieniu do tzw. automated decision system (choć nie wszystkie, ale takie które będą miały istotny wpływ m.in. na człowieka), które będziemy rozumieć jako systemy, oprogramowanie czy procesy, które wykorzystują moc obliczeniową, i których rezultatem działania będzie podstawa do podjęcia decyzji czy osądu. W dużym uproszczeniu oczywiście.
Akt ten ma na celu wprowadzenie pewnych restrykcyjnych zasad w odniesieniu do tzw. automated decision system
Takie systemy, organizacje je stosujące będą musiały spełnić konkretne wymagania, także w kontekście przeprowadzenia tzw. impact assessment. Innymi słowy ‒ systemy te będą podlegały restrykcjom związanym z tym „do kogo są kierowane”.
Czytaj także: BankTech 2022: prof. Michał Kosiński o uczuciach i świadomości sztucznej inteligencji
Ai Act i Algorithmic Accountability Act razem
Czytając propozycję od razu widać wpływ zarówno RODO, jak i AI Act, a jeżeli dodamy do tego przepisy, które w Stanach Zjednoczonych mają ograniczyć też stosowanie niektórych systemów w obszarze zatrudnienia, to okaże się, że unijne podejście dość widocznie jest recypowane po drugiej strony Atlantyku.
Czy to dobrze? Zakładając, że Unia Europejska nie zmieni swojego podejścia do wartości i praw podstawowych ‒ bardzo dobrze. Nie tylko z czysto ludzkiego powodu, czyli potrzeby ochrony praw, ale także stricte biznesowego. Przepisy AI Act mają mieć zastosowanie do wszystkich rozwiązań, które jakkolwiek będą miały wpływ na obywateli UE, a więc przedsiębiorstwa, które będą jest stosowały ‒ w tym duże platformy społecznościowe ‒ będą i tak musiały się do tych wymogów dostosować lub przyjąć kolejną, i kolejną karę. Abstrahując, że obecnie projekt nie zakłada zbyt wysokiego obciążenia budżetu dla dużych graczy.
Alternatywną będzie opuszczenie lukratywnego rynku, jakim jest Unia Europejska. Jeżeli bardziej rozwinięte jurysdykcje nie przyjmą podobnego podejścia, to grozi im też pewna alienacja i swoiste przyrównanie do takich jurysdykcji, jak wspomniana już Chińska Republika Ludowa, która może i wprowadza restrykcje na miarę Algorithmic Accountability Act, ale w nieco mniej wolnościowej formule.
Wielu przedsiębiorców, niekoniecznie tych największych, będzie niezadowolonych, jeżeli te przepisy wejdą w życie, nawet pomimo klauzul i wyłączeń dla mniejszych podmiotów, bowiem w dalszym ciągu będzie to wymagało podjęcia sporej pracy, w niektórych przypadkach co najmniej na miarę RODO, jeżeli nie większej.
Przepisy te, także pośrednio, mogą mieć wpływ na innowacje, ale tylko wtedy, jeżeli nie podejdziemy do nich w sposób rozsądny i z uwzględnieniem zasad, na których się opierają, tj. neutralności technologicznej, także w zakresie incydentów, proporcjonalności czy podejścia opartego na ryzyku.
Przepisy, zarówno w AI Act, jak i AA Act, są tak skonstruowane, aby dać pewną swobodę w zakresie realizacji obowiązków tam określonych (są pewne wyjątki, jak np. w kontekście zawartości dokumentacji), a więc pozwalają na to, aby w sposób przemyślany podejść do ich realizacji. Jeżeli weźmiemy na tapet tylko i wyłącznie przepisy i zapomnimy o zasadach leżących u podstaw regulacji, to rzeczywiście możemy złapać się za głowę. Dlatego tak ważne jest zrozumienie: czego dotyczą te akty i jak przełożyć ich materię na realia danej organizacji.
Korzystanie z danych ‒ tak, ale…
Wróćmy jednak do pytania: czy świat potrzebuje uregulowania sztucznej inteligencji? Odpowiedź brzmi ‒ tak. Nie dlatego, żeby karać przedsiębiorców, którzy nie dostosują się do nowych wymagań, ale po to, aby uchronić nas ‒ ludzi i środowisko ‒ przed zgubnymi skutkami NASZYCH działań. Przez ostatnie dekady wygenerowaliśmy ogromne zbiory danych, które dzisiaj wykorzystujemy do powielania błędów, które kiedyś popełniliśmy.
Dodatkowo, Internet otworzył drogę do w zasadzie nieograniczonego dzielenia się naszą prywatnością, a różne instytucje skwapliwie z tego korzystają ‒ zgodnie z prawem, ale nie zawsze etycznie. Nie bez przyczyny coraz częściej rozmawiamy o praktykach typu dark pattern. Rzecz nie w tym, żeby nie korzystać z tych danych, w tym naszego śladu cyfrowego, co może mieć przecież bardzo pozytywne skutki, jak hiperpersonalizacja, ale aby odbywało się to w sposób uporządkowany i odpowiedzialny. Przepisy dotyczące systemów AI mają to w jakiś sposób zapewnić, choć oczywiście zawsze pozostanie problem „etyka versus prawo”, który jest trudny do rozstrzygnięcia.
Przez ostatnie dekady wygenerowaliśmy ogromne zbiory danych, które dzisiaj wykorzystujemy do powielania błędów, które kiedyś popełniliśmy
Niemniej jednak, przepisy i regulacje, które mają na celu uporządkowanie sfery wykorzystania systemów tzw. sztucznej inteligencji są nam bardzo potrzebne. I choć dzisiaj traktujemy je jako niepotrzebny koszt, to może okazać się, że w przyszłości będzie to coś, co wyróżnia organizację. Klienci potrzebują zaufanego dostawcy. Dostawcy, któremu mogą powierzyć swoje dane.
Świadomość ludzi się zmienia i wraz z kolejnymi skandalami, które z pewnością będą się zdarzać, ta świadomość będzie większa. W końcu zaczniemy szukać tych rozwiązań, które dają nam poczucie bezpieczeństwa. A stąd już krótka droga do lojalności.