...

AI – krajobraz regulacyjny

Wprowadzenie

Wydanie 2 kwartalnika Risk&Compliance skusiło mnie do napisania niniejszego podsumowania tematu AI w świetle prawa oraz norm ISO – jak np. ISO 27001, ISO 42001, które wspierają wdrażanie sztucznej inteligencji w biznesie. Mimo, że dopiero co 13 marca br., PE przyjął AI Act to temat ten będzie mocno kształtował działania w otoczeniu biznesowym pod kątem wprowadzania w organizacjach modeli AI (SI – po polsku), aby osiągnąć przewagę konkurencyjną. Jednocześnie jednak będzie trzeba zadbać o zgodność z regulacjami prawnymi, które wejdą w życie już za rok, a niektóre nawet wcześniej. Warto czytać ten kwartalnik, co już kilkakrotnie sugerowaliśmy w innych publikacjach, gdyż  anglosaskie spojrzenie jest bardzo odświeżające.

Ewolucja AI i wyzwania regulacyjne

Szybki rozwój Sztucznej Inteligencji , zwłaszcza z pojawieniem się generatywnej AI (GenAI), stawia znaczące wyzwania regulacyjne. GenAI, w przeciwieństwie do tradycyjnego AI skupiającego się na rozpoznawaniu wzorców i prognozowaniu, tworzy nowe treści z materiałów źródłowych. Ta zmiana nasuwa pytania o równowagę między innowacjami a zarządzaniem ryzykiem związanym z nadużyciem SIlub jej wynikami. Na całym świecie kraje takie jak Stany Zjednoczone, Unia Europejska (UE), Indie, Chiny i Japonia analizują zakres GenAI i niezbędny nadzór regulacyjny.

Ramy regulacyjne: przegląd porównawczy

Stany Zjednoczone: Zdecentralizowane Podejście.
W Stanach Zjednoczonych brak jest kompleksowej federalnej ustawy specyficznie dla SI. Rozporządzenie wykonawcze (EO) prezydenta Bidena ma na celu przyspieszenie myślenia regulacyjnego i oceny SI, przy czym wytyczne National Institute of Standards and Technology (NIST) są oczekiwane do lipca 2024 roku. Pomimo braku dotychczasowych ustaw federalnych, kluczowe federalne agencje, takie jak FTC, EEOC, CFPB i DOJ, twierdzą, że obowiązujące prawa mają zastosowanie do systemów SI. Kilka stanów podjęło własne regulacje, takie jak Ustawa o Wideo Rekrutacji AI w Illinois i wymóg przeprowadzania audytów stronniczości w zautomatyzowanych narzędziach decyzyjnych zatrudnienia w Nowym Jorku.

Unia Europejska: Centralizowane i Proaktywne Stanowisko.
UE przyjęła bardziej scentralizowane podejście z Ogólnym Rozporządzeniem o Ochronie Danych (RODO) jako etyczną podstawą wykorzystania SI. Akt o AI UE, kompleksowy ramowy akt prawny harmonizujący regulacje SI we wszystkich państwach członkowskich, klasyfikuje aplikacje SI na cztery poziomy ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Kładzie nacisk na przejrzystość, odpowiedzialność i ochronę praw podstawowych, z surowymi wymogami dla systemów SI wysokiego ryzyka.

Ai Act, ISO 42001, ISO 27001, Privacy

Rozważania etyczne i prawa podstawowe

Perspektywa USA: Dobrowolne Wytyczne Etyczne.
W USA firmy i instytucje badawcze są zachęcane do dobrowolnego przyjmowania wytycznych etycznych. Brak obowiązkowych standardów etycznych wywołuje jednak obawy o potencjalne nadużycia i odpowiedzialność.

UE: Nacisk na Prawa i Etykę.
Europejskie podejście mocno podkreśla przestrzeganie praw podstawowych i kwestii etycznych. RODO mające zastosowanie do systemów SI przetwarzających dane osobowe zapewnia osobom fizycznym kontrolę nad ich informacjami. Akt o AI UE buduje na tym fundamencie, wprowadzając podejście oparte na ryzyku, które nakłada surowsze wymagania na systemy wysokiego ryzyka.

Przejrzystość i zrozumiałość

USA: Inicjatywy Branżowe i Wytyczne.
W USA przejrzystość i zrozumiałość w systemach SI są promowane przez inicjatywy branżowe, z różnym przestrzeganiem ze względu na brak obowiązkowych ram.

UE: Obowiązkowa Jasność i Zrozumienie Użytkownika.
Akt o AI UE nakłada na systemy AI wysokiego ryzyka obowiązek dostarczania użytkownikom jasnych informacji o działaniu systemu, umożliwiając osobom fizycznym zrozumienie i kwestionowanie decyzji podejmowanych przez algorytmy SI. To zobowiązanie do przejrzystości jest zgodne z szerszym naciskiem UE na budowanie zaufania do technologii AI.

Podejście oparte na ryzyku: USA vs UE

USA: Wytyczne Specyficzne dla Sektora Bez Kompleksowej Ramy.
USA nie przyjęły jeszcze kompleksowego, opartego na ryzyku podejścia do regulacji AI. Chociaż niektóre sektory, takie jak finanse i opieka zdrowotna, mają swoje wytyczne, obecnie brakuje spójnych ram, które klasyfikowałyby systemy AI w oparciu o ryzyko.

UE: Klasyfikacja Aplikacji AI.
Akt o AI UE wprowadza podejście oparte na ryzyku, klasyfikując aplikacje AI na cztery poziomy ryzyka: niedopuszczalne, wysokie, ograniczone i minimalne. Zastosowania wysokiego ryzyka, takie jak infrastruktura krytyczna lub identyfikacja biometryczna, podlegają bardziej rygorystycznym wymogom w celu zapewnienia bezpieczeństwa, przejrzystości i odpowiedzialności. Podejście to ma na celu zrównoważenie innowacji z ochroną praw podstawowych.

AI, ISO 42001

Współpraca międzynarodowa i standardy

USA: Udział w Globalnych Dyskusjach.
USA aktywnie uczestniczą w międzynarodowych dyskusjach na temat etyki i regulacji AI, zachęcając do współpracy z globalnymi partnerami pomimo braku kompleksowych przepisów federalnych.

UE: Liderstwo w Ustanawianiu Globalnych Standardów AI.
UE, poprzez Akt o AI, demonstruje zaangażowanie w kształtowanie globalnych norm, aktywnie angażując się w dyskusje z innymi krajami w celu promowania wspólnego rozumienia zarządzania SI. Proaktywne podejście UE ma na celu pozycjonowanie regionu jako lidera w odpowiedzialnym rozwoju sztucznej inteligencji.

ISO w służbie AI

W ramach komitetu ISO/IEC JTC 1/SC 42 zajmującego się tworzeniem norm na różnym poziomie – wytyczne, raporty techniczne, etc. Normy te tworzone są w ramach kilku grup tematycznych: Information technology, Artificial Intelligence oraz Software engineering, etc. Patrząc na efekty i postępy prac komitetu można powiedzieć, że w ciągu pół roku osiągnie on znaczące pokrycie tematyki SI niezbędnej do wdrożenia systemu zarządzania SI wg ISO 42001, a w ciągu roku także te normy, które odnosić się będą do oceny jakości danych oraz systemów i oprogramowania budowanych z wykorzystaniem SI. Miejmy nadzieję, że organizacje dostrzegą potencjał standardów do wprowadzenia rozwiązań organizacyjnych zgodnych z wymaganiami regulacyjnymi. Ciekawym rozwiązaniem będzie integracja np. ISO 27001 (ISO/IEC 27001 – system zarządzania bezpieczeństwem informacji) z ISO 42001 (ISO/IEC 42001 – system zarządzania sztuczną inteligencją) w ramach organizacji.

Wnioski: Równowaga między innowacjami a prawami podstawowymi

Zarówno USA, jak i UE stoją przed wyzwaniem równoważenia innowacji z ochroną praw podstawowych w regulacji AI. W miarę rozwoju technologii AI, ciągła współpraca międzynarodowa i rozwój globalnych standardów będą kluczowe dla rozwiązania światowych implikacji wdrażania AI. Podstawowym wyzwaniem w obu regionach jest zapewnienie, aby regulacje pozostały dynamiczne w odpowiedzi na postęp w technologii AI. Dlatego warto śledzić rozwiązania towarzyszące regulacjom w ramach standardów NIST w USA oraz ISO w Europie.  Będziemy się starali przybliżać Państwu te rozwiązania w ramach kolejnych publikacji.

Zapraszamy do współpracy
Zespół Centre of Excellence

Literatura:

Scroll to Top