Sztuczna inteligencja wysokiego ryzyka w projekcie unijnego rozporządzenia w sprawie AI
Na wstępie warto zaznaczyć, że największa odpowiedzialność ciąży oczywiście na dostawcy takich rozwiązań i z tego względu najwięcej obowiązków obejmować będzie niekoniecznie podmioty wykorzystujące systemy AI wysokiego ryzyka, ale właśnie twórców algorytmów czy konkretnego oprogramowania.
Systemy AI wysokiego ryzyka ‒ precyzyjnej definicji brak
To, z czym musimy się pogodzić, to fakt, że nie ma jasnej i zamkniętej definicji systemu AI wysokiego ryzyka. Można śmiało stwierdzić, że jest ona kompilacją art. 6 i 7 projektowanego rozporządzenia oraz załącznika III do tego projektu. Nie wydaje się to jasne? Rzeczywiście tak jest.
Takim produktem będzie przede wszystkim system, który jest elementem bezpieczeństwa produktu lub samodzielnym produktem, do którego stosuje się przepisy wymienione w załączniku II do projektu (m.in. zabawki czy niektóre pojazdy, choć katalog jest zdecydowanie szerszy) oraz taki produkt lub sam system podlegać będzie procesowi conformity assessment dokonywanemu przez podmiot trzeci. Brzmi enigmatycznie?
To, z czym musimy się pogodzić, to fakt, że nie ma jasnej i zamkniętej definicji systemu AI wysokiego ryzyka
Takie conformity assessment, czyli ocena zgodności systemu AI wysokiego ryzyka z przepisami rozporządzenia jest obowiązkowe, ale może przyjmować formę zarówno oceny w ramach kontroli wewnętrznej dostawcy (szczegółowa procedura znajduje się w załączniku VI) lub dokonywana jest przed odpowiedni – wyznaczony – podmiot (załącznik VII). Ważne, że Komisja (UE) będzie mogła „mieszać” przy tych załącznikach. Zagadnienie jest istotne i wcale niełatwe.
Mamy więc pierwszą część definicji. Idąc dalej ‒ za system wysokiego ryzyka uznamy takie rozwiązanie, które wprost zostało wskazane w załączniku III.
Czytaj także: Nowa regulacja UE dotycząca sztucznej inteligencji, drakońskie kary za naruszenie przepisów
Mamy więc, w uproszczeniu, systemy AI w następujących obszarach:
1. Identyfikacja biometryczna osób fizycznych (w czasie rzeczywistym i post-factum);
2. Zarządzanie ruchem, dostawą wody, paliw czy ogrzewania i elektryczności;
3. Dostęp osób fizycznych do instytucji edukacji oraz zawodowych;
4. Rekrutacja pracowników czy awanse lub rozwiązanie stosunku pracy;
5. Dostęp do benefitów socjalnych i usług;
6. Ocena zdolności kredytowej lub scoring społeczny;
7. Awaryjny dostęp do m.in. opieki medycznej (chodzi tutaj o ustalanie priorytetów);
8. Szereg obszarów związanych z egzekwowaniem prawa;
9. Obszar migracji, udzielania azylu czy kontroli granic – również zawężenie do konkretnych obszarów;
10. Wymiar sprawiedliwości i procesy demokratyczne – wspieranie w procesie decyzyjnym (np. przy wydawaniu wyroków).
Uff, to koniec. Niestety, niezupełnie.
Czytaj także: Raport Specjalny | Forum Technologii Bankowych | Nie we wszystkim wyręczą nas maszyny
Kiedy Komisja Europejska może zmieniać kryteria?
Komisji (UE) projektowane rozporządzenie przyznaje prawo do dokonywania zmian w załączniku III. Na całe szczęście obwarowano to konkretnymi ograniczeniami, bowiem KE może dodać nowe rodzaje systemów klasyfikowanych jako wysokiego ryzyka, jeżeli (łącznie):
1. Dany system może nieść ryzyko szkody dla zdrowia lub bezpieczeństwa lub może też mieć negatywny wpływ na realizację praw podstawowych, ale też nie w każdym przypadku, bo tylko wtedy, jeżeli samo ryzyko jest porównywalne do tego, które widzimy w kontekście wspomnianych już systemów z załącznika III;
2. Dany system będzie wykorzystywany w obszarach wskazanych w tym załączniku.
Przy tej ocenie Komisja powinna wziąć dodatkowo pod uwagę następujące kryteria:
1. Zamierzony cel wykorzystania systemu AI;
2. Prawdopodobieństwo użycia systemu lub fakt jego użycia;
3. Fakty wskazujące na to, że dany system wcześniej doprowadził do powstania szkody lub czy istnieją przesłanki, że taka sytuacja może zaistnieć – na bazie stosownej dokumentacji;
4. Ryzyko dla większej liczby osób – tak przynajmniej ja to rozumiem;
5. Zależność potencjalnie poszkodowanych osób od wyniku działania systemu – w szczególności czy istnieje opcja rezygnacji z wykorzystania takiego produktu końcowego;
6. Ocenę czy potencjalnie poszkodowana osoba jest w nierównej pozycji względem AI ze względu np. na poziom wiedzy czy zależności ekonomiczne;
7. Ocenę czy efekt prac systemu jest łatwy do odwrócenia w przypadku pojawienia się szkody;
8. Stwierdzenie czy unijne przepisy zapewniają możliwość uzyskania odszkodowania i czy zapewniają odpowiednią ochronę w zakresie eliminacji lub minimalizacji ryzyka szkody.
Problemem jest brak zobowiązania Komisji do zapewnienia określonego terminu na wejście w życie zmian do załączników
No więc tak to wygląda. Ocena może ewoluować, choć mamy pewne „safeguards”.
Niemniej jednak widać wyraźnie, że jest to bardzo szeroka definicja, która ma zapewnić przede wszystkim bezpieczeństwo obywateli. Ale może być różnie z „execution”. Zobaczymy.
Problemem, który tutaj dostrzegam – mam nadzieję, że to moje przeoczenie – jest brak zobowiązania Komisji do zapewnienia określonego terminu na wejście w życie zmian do załączników, co umożliwiłoby dostawcom dostosowanie się do ewentualnych zmian.
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.