Przegląd regulacji prawnych
W Polsce i na poziomie UE nie obowiązują obecnie żadne powszechnie obowiązujące przepisy prawa (tzn. bezpośrednio określające prawa i obowiązki uczestników rynku, w tym organizacji i osób fizycznych) „dedykowane” AI.
Natomiast trwają nad nimi szeroko zakrojone prace legislacyjne w UE oraz w wielu państwach na całym świecie.
Jeśli chodzi o procedowane przepisy, to warto zwrócić uwagę na projekt Aktu w sprawie sztucznej inteligencji (AI Act), który ma stanowić pierwszą unijną, kompleksową regulację w zakresie AI (systemów AI).
AI Act przewiduje podzielenie systemów AI na kilka kategorii, które będą rozróżniane w zależności od poziomu stwarzanego przez nie ryzyka. Tworzenie i wykorzystywanie niektórych z systemów będzie całkowicie zabronione.
Funkcjonowanie innych zostanie powiązane ze szczegółowymi ograniczeniami lub obowiązkami.
Artykuł jest częścią Przewodnika po sztucznej inteligencji 2024 Grupy Roboczej AI IAB Polska.
Materiał zawiera blisko 120 stron opisów i analiz narzędzi AI przydatnych w konkretnych obszarach marketingu i jest dostępna w dwóch wersjach – jako interaktywny dokument online oraz klasyczny pdf.
Częściowo niezależne regulacje będą również związane z wykorzystywaniem systemów i modeli AI ogólnego przeznaczenia.
W momencie pisania tego tekstu – AI Act jest w końcowej fazie prac legislacyjnych. Parlament Europejski przyjął go w marcu 2024 r.
Przewiduje się, że Akt zostanie oficjalnie opublikowany po jego akceptacji przez Radę UE w maju lub czerwcu 2024 r. Czekając na jego opublikowanie, warto pamiętać, że mimo braku dedykowanych regulacji AI nie funkcjonuje w próżni, a do korzystania z systemów na niej opartych mają pełne zastosowanie już obowiązujące obecnie przepisy prawa z różnych dziedzin. Przede wszystkim przepisy z zakresu danych osobowych (zwłaszcza RODO), regulacje dotyczące informacji prawnie chronionych (np. przepisy dot. tajemnicy przedsiębiorstwa czy tajemnic „branżowych”, takich jak bankowa), z dziedziny cyberbezpieczeństwa czy z zakresu outsourcingu regulowanego.
Korzystanie z systemów AI a bezpieczeństwo
Ryzyka związane z bezpieczeństwem danych
Aby generować użyteczne wyniki, większość systemów AI wymaga wprowadzenia do nich określonych danych. Wprowadzone treści często mogą zawierać dane osobowe i inne informacje chronione prawem, np. tajemnice przedsiębiorstwa (lub inne tajemnice prawnie chronione np. tajemnice bankowe) lub informacje objęte umownymi zobowiązaniami do zachowania poufności. Wiąże się to z istotnym ryzykiem dla użytkownika systemu AI, łącznie z ryzykiem naruszenia obowiązującego prawa. Z naruszeniem przepisów prawa wiąże się szereg dotkliwych konsekwencji prawnych, takich jak kary administracyjne, odpowiedzialność odszkodowawcza, dyscyplinarna, a nawet odpowiedzialność karna.
Zwykle ryzyko sankcji wiąże się także z naruszeniem umów zobowiązujących do zachowania poufności (tzw. NDA). Zawarte w nich zobowiązania obejmują bardzo często zakaz ujawniania otrzymanych informacji jakimkolwiek podmiotom trzecim. Do takiego ujawnienia może z kolei dochodzić podczas przekazywania danych do systemów AI (co będzie się wiązało z przekazaniem danych dostawcy danego systemu). Z kolei naruszenie zobowiązań do zachowania poufności wynikających z umów często będzie skutkowało odpowiedzialnością w postaci konieczności zapłaty wysokich kar umownych (lub odszkodowania).
W celu oceny ryzyka naruszenia przepisów prawa lub zobowiązań umownych, w pierwszej kolejności należy sięgnąć do dokumentu opisującego zasady i warunki korzystania z danego systemu AI. Pozwoli to ustalić, co dzieje się z danymi, które są wprowadzane do systemu – w szczególności jak, gdzie i przez kogo dane są przetwarzane oraz czy może dojść do ich ujawnienia.
Aktualnie większość dostępnych na rynku narzędzi AI (zwłaszcza tych bezpłatnych) nie gwarantuje zachowania poufności wprowadzanych danych, a dostawcy systemów zastrzegają sobie prawo do korzystania z tych treści (np. w celu dalszego szkolenia systemów) lub przekazywania ich swoim współ- pracownikom. Dlatego do naruszenia przepisów lub umów może dojść już poprzez samo wprowadzenie treści do narzędzia.
Istnieje również ryzyko, że wprowadzone informacje zostaną przekazane innym użytkownikom, w tym konkurentom.
Powyższe ryzyko można znacznie ograniczyć, np. poprzez odpowiednie przygotowanie danych przed wprowadzeniem ich do narzędzia, tak aby nie zawierały treści stanowiących informacje chronione (np. poprzez zanonimizowanie treści). Warto też korzystać z narzędzi AI, których dostawcy zapewniają poufność informacji i przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami (np. RODO).
Jak dbać o bezpieczeństwo w firmie wprowadzając AI (Case Allegro)
Założone w Polsce prawie 25 lat temu Allegro prowadzi wiodący marketplace w Europie Środkowo-Wschodniej, celując w pozycję platformy e-commerce pierwszego wyboru. Grupa jest notowana na Giełdzie Papierów Wartościowych w Warszawie i łączy miliony kupujących z tysiącami sprzedawców, którzy udostępniają setki milionów ofert. Allegro powołało specjalny zespół w celu zbadania potencjału i zastosowania technologii AI w wewnętrzny procesach oraz tych mających wpływ na jakość oferowanych usług. Zespół składa się ekspertów z różnych obszarów, w szczególności z inżynierów uczenia maszy- nowego, inżynierów oprogramowania, członków zespołów: prawnego, bezpieczeństwa technicznego, danych osobowych i bezpieczeństwa informacji. Spojrzenie z wielu perspektyw umożliwiło dokładne zweryfikowanie możliwości wykorzystania technologii opartej na AI oraz określenie związanych z tym
wyzwań.
Głównym założeniem działalności zespołu było prowadzenie projektu stopniowego wprowadzania i wykorzystywania generatywnej AI w celu zwiększenia jakości i przystępności oferowanych usług, innowacyjności platformy, jak i procesów wewnętrznych, przy jednoczesnym zapewnieniu odpowiedzialnego i bezpiecznego użytkowania.
W trakcie projektu analizie poddano warunki licencyjne kilku modeli językowych dostępnych na rynku, mając jednocześnie na uwadze potencjalne możliwości wykorzystania tych rozwiązań.
W wyniku tych badań przeprowadzono pierwsze produkcyjne wdrożenia z wykorzystaniem konkretnych usług, które pozwoliły na wypracowanie podstaw wykorzystania generatywnej AI, umożliwiły skalowanie przypadków użycia w Allegro.
Wdrożenia były także okazją do nauki i bliższego zapoznania się ze specyfiką działania analizowanych modeli językowych opartych o AI.
Wnioski zespołu posłużyły do zbudowania ram zarządzania AI, obejmujących wdrażanie modeli językowych, wykonywanie operacji na danych, szkolenie tych modeli, dostrajanie, testowanie, konserwację i bezpieczeństwo.
Allegro udostępniło wewnątrz swojej infrastruktury laboratoria badawcze dla pracowników – szybką rejestrację w API generatywnej AI najpopularniejszych na rynku dostawców tego typu rozwiązań, aby mogli oni eksperymentować z możliwościami AI oraz oceniać potencjał wdrożenia swoich pomysłów na produkcję. Dzięki temu w bezpiecznym dla organizacji środowisku pracownicy mogą analizować możliwości AI.
Kamieniem milowym było wdrożenie służbowego chata opartego o API generatywnej AI. Dzięki temu każdy pracownik w organizacji może korzystać z możliwości AI i optymalizować swoją pracę w sposób zapewniający bezpieczeństwo danym. W celu podnoszenia umiejętności pracowników oraz promowaniu adopcji AI wdrożono dedykowany program szkoleniowy. Jego moduły zapewniają gruntowne przygotowanie biznesowe i techniczne. W jego ramach zadbano także o aspekty prawne oraz bezpieczeństwo informacji.
Jednym z kluczowych efektów była ocena potencjalnych zagrożeń bezpieczeństwa związanych z AI. Udostępnianie modelom językowym informacji poufnych bez wdrożenia odpowiednich organizacyjnych i technicznych środków ochrony (np. umowa z dostawcą usługi gwarantująca bezpieczeństwo danych) może skutkować wystąpieniem następujących zagrożeń: wyciekiem wrażliwych informacji na zewnątrz, nieautoryzowanym i niemonitorowanym przetwarzaniem chronionych danych, a w rezultacie utratą kontroli nad tymi danymi, “atakiem” z zewnątrz np. poprze zafałszowanie danych treningowych modelu językowego i próbę manipulacji danymi wyjściowymi lub zachowaniem AI przez atakującego.
Biorąc pod uwagę te potencjalne zagrożenia, Allegro wdrożyło procedurę, aby wykorzystanie nowej technologii opartej na AI lub uruchomienie nowej inicjatywy z wykorzystaniem już wcześniej zaakceptowanego rozwiązania tego rodzaju każdorazowo poprzedzała kompleksowa weryfikacja prawna, bezpieczeństwa informacji i danych osobowych oraz bezpieczeństwa technicznego. Taki proces gwarantuje poufność informacji i mityguje ryzyko ich wycieku na zewnątrz.
Allegro ogranicza ryzyko prawne związane z własnością intelektualną poprzez ustanowienie
praktycznych i skutecznych procesów oraz zasad. Obejmuje to zarządzanie w niektórych przypadkach niejasną sytuacją praw autorskich względem stworzonych w oparciu o AI rozwiązań biznesowych (poprzez wdrażanie treści generowanych przez AI).
Ważnym elementem procesu wdrażania wykorzystywania AI jest skuteczne zakomunikowanie wszystkim pracownikom celów, zasad i strategii. Świadomy pracownik nie tylko dostrzega korzyści z wykorzystywania AI, ale zdaje sobie sprawę także z zagrożeń związanych z tą technologią.
Kluczowe kwestie z obszaru bezpieczeństwa na jakie należy zwrócić uwagę przy wdrażaniu AI to:
– poufność informacji przetwarzanych przez modele językowe: korzystaj z takich
rozwiązań, które gwarantują poufność,
– kategorie informacji wprowadzanych do modeli językowych: zwróć szczególną uwagę na rodzaje danych, które chcesz wprowadzić do modeli językowych i podejmij środki ostrożności podczas pracy z danymi poufnymi (informacje strategiczne, dane osobowe, dane szczególnie chronione).
- testowanie bezpieczeństwa informatycznego: niezależnie od kategorii wykorzystywanych danych, wszystkie rozwiązania AI powinny zostać najpierw przetestowane przez specjalistów zajmujących się cyberbezpieczeństwem.
- modelowanie zagrożeń dla AI: zanim uruchomisz rozwiązanie produkcyjnie – przeprowadź modelowanie zagrożeń dla rozwiązania AI. Unikniesz zmian związanych z bezpieczeństwem na późniejszym etapie rozwoju produktu.
- bezpieczeństwo środowiska AI: wdrażanie powinno odbywać się w bezpiecznym środowisku, z odpowiednim zabezpieczeniem sieci, monitorowaniem działań i regularnymi aktualizacjami w celu wyeliminowania luk w zabezpieczeniach.
- plan reagowania na incydenty: stwórz go, by szybko reagować na naruszenia bezpieczeństwa i minimalizować ich skutki.
- walidacja prawidłowości danych wyjściowych: dane wyjściowe z narzędzi AI mogą być nieprawdziwe, gdyż AI jest podatna na tworzenie fałszywych danych wyjściowych (tzw. halucynacje).
- ważne, aby być na bieżąco z trendami prawnymi i związanymi z bezpieczeństwem. AI dynamicznie się rozwija i wiedza dotycząca tych obszarów szybko przestaje być aktualna.
Autorami tekstu są: Marcin Ręgorowicz, Piotr Konieczny, Kamila Dymek, Joanna Jakubowska, Aleksandra Kołodziejczyk, Dominik Gabor Agnieszka Stasikiewicz
Artykuł jest częścią Przewodnika po sztucznej inteligencji 2024 Grupy Roboczej AI IAB Polska.
Materiał zawiera blisko 120 stron opisów i analiz narzędzi AI przydatnych w konkretnych obszarach marketingu i jest dostępna w dwóch wersjach – jako interaktywny dokument online oraz klasyczny pdf.