Rozwój sztucznej inteligencji oznacza nie tylko nowe możliwości. Jeśli tworzysz rozwiązania oparte o AI, musisz upewnić się, że robisz to zgodnie z prawem i spełniasz szereg obowiązków nałożonych przez Unię Europejską oraz przepisy krajowe. Czy wiesz, do jakiej kategorii ryzyka zalicza się Twój system AI? Jakie obowiązki nakładają na Ciebie nowe przepisy? I dlaczego regulacje dotyczące sztucznej inteligencji to nie wszystko, co musisz wziąć pod uwagę? W tym artykule spróbujemy odpowiedzieć na pytanie, jak tworzyć narzędzia AI zgodnie z prawem.
Legalne wdrożenie AI: kategoria ryzyka i zróżnicowane wymagania
Pierwszą kwestią, którą powinni sprawdzić twórcy rozwiązań opartych na sztucznej inteligencji, jest to, do jakiej kategorii ryzyka zalicza się ich narzędzie. Ta kwestia jest bowiem ściśle związana z potencjalnymi zagrożeniami, możliwościami korzystania ze sztucznej inteligencji i dodatkowymi obowiązkami, które należy spełnić.
Według regulacji UE oprogramowanie AI można podzielić na 3 grupy:
- Systemy AI minimalnego ryzyka (no risk AI) – w tym przypadku konieczne jest spełnienie tylko ogólnych wymogów – m.in. stosowanie się do przepisów dotyczących ochrony konsumentów i świadczenia usług drogą elektroniczną.
- Systemy AI o ograniczonym ryzyku (limited risk AI) – rozwiązania mieszczące się w tej kategorii niosą za sobą niewielkie ryzyko. Właśnie dlatego przepisy – oprócz wymogów ogólnych (analogicznych jak w przypadku systemów AI minimalnego ryzyka) – nakładają jedynie minimalne dodatkowe obowiązki. Dotyczą one przejrzystości działań, w tym przede wszystkim obowiązku informowania użytkownika, że ma do czynienia z systemem AI.
- AI wysokiego ryzyka (high risk AI) – tego rodzaju rozwiązania wykorzystywane są np. w sektorze medycznym czy przy rekrutacji pracowników (np. narzędzie AI ułatwiające diagnozę lub skanujące CV kandydatów na dane stanowisko). Właśnie dlatego przy rozwoju narzędzi sztucznej inteligencji z kategorii high risk trzeba spełnić szereg dodatkowych obowiązków.
- Szczególnie niebezpieczne systemy AI (AI nieakceptowalnego ryzyka) – jak sama nazwa wskazuje, stosowanie rozwiązań AI wpasowujących się w tę grupę, jest niedopuszczalne. Mowa tu o rozwiązaniach określonych w unijnym AI Act, których stosowanie jest zakazane od 2 lutego 2025 r. Na liście szczególnie niebezpiecznych systemów AI znajdują się m.in. systemy wykorzystujące techniki podprogowe lub manipulacyjne, scoring społeczny czy systemy kategoryzacji biometrycznej.
Jakie wymogi prawne są stawiane przed twórcami nowoczesnych rozwiązań opartych o AI?
Jak wiesz już z poprzedniego akapitu, w przypadku narzędzi opartych na sztucznej inteligencji zaliczanych do AI wysokiego ryzyka, musisz zadbać o dostosowanie swoich działań do dodatkowych wymogów. Przyjrzyjmy się im więc nieco bliżej.
Właściwe zarządzanie danymi przy wykorzystywaniu AI
Sztuczna inteligencja działa na podstawie danych. W przypadku systemów AI wysokiego ryzyka tym ważniejsze jest więc prawidłowe zarządzanie nimi. I to nie tylko na etapie przetwarzania danych (w tym danych osobowych) już w trakcie korzystania z tego systemu. Znaczenie ma także to, jak zarządzanie danymi będzie przebiegać na etapie trenowania modelu i na etapie testów. Przepisy narzucają konieczność zadbania, by wykorzystywane zbiory danych były adekwatne, reprezentatywne, wolne od błędów i kompletne.
Przygotowanie dokumentacji technicznej dla AI
W załączniku AI Act znajduje się szablon dokumentacji technicznej. Na jego podstawie twórcy systemów sztucznej inteligencji wysokiego ryzyka muszą sporządzić dokumentację techniczną. W trakcie rozwoju produktu opartego o AI mają też obowiązek cyklicznego aktualizowania tej dokumentacji.
Transparentność w zakresie sztucznej inteligencji
Tworząc rozwiązania z wykorzystaniem AI, musisz również zadbać, by stosowane przez Ciebie algorytmy i mechanizmy były przejrzyste dla użytkownika – także dla osoby, która nie ma dużego doświadczenia z wykorzystywaniem technologii sztucznej inteligencji. Zgodnie z przepisami taki użytkownik musi być w stanie zrozumieć, jak działa AI, w jaki sposób podejmuje decyzje i dlaczego korzystanie z niego przynosi taki, a nie inny rezultat.
Wdrożenie systemu zarządzania ryzykiem
Tworzenie sztucznej inteligencji wysokiego ryzyka wiąże się także z obowiązkiem wdrożenia systemu zarządzania tym ryzykiem. Musisz przeprowadzić audyt przetwarzania danych, określić, jakie ryzyka się z tym wiążą i opracować rozwiązania, które pozwolą to ryzyko zminimalizować, a najlepiej – całkowicie wyeliminować. Co więcej, nie wystarczy, że raz przeprowadzisz taką ocenę ryzyka. Musisz robić to cyklicznie i aktualizować wdrażane rozwiązania wraz z rozwojem systemu AI.
Zapewnienie nadzoru nad systemem AI ze strony człowieka
Człowiek musi mieć możliwość kontrolowania algorytmu i w razie potrzeby – reagowania na nieprawidłowości. Innymi słowy – przy korzystaniu z AI to do człowieka zawsze musi należeć możliwość podjęcia ostatecznej decyzji, która może mieć wpływ na bezpieczeństwo, zdrowie, środowisko czy podstawowe prawa. Twoim obowiązkiem jako twórcy tego narzędzia jest więc zadbanie, by taki nadzór był możliwy.
Używanie sztucznej inteligencji musi przebiegać zgodnie z zasadami cyberbezpieczeństwa
Systemy sztucznej inteligencji nieodłącznie związane są z pojęciem bezpieczeństwa w sieci. W przypadku AI wysokiego ryzyka tym ważniejsze jest więc zadbanie o dokładność, solidność i cyberbezpieczeństwo systemu sztucznej inteligencji. Mając na uwadze te kwestie, jako producent takiego narzędzia opartego o AI musisz więc uwzględnić te aspekty oraz ich poziom bezpieczeństwa i poinformować o nich w instrukcji dołączanej do Twojego produktu wykorzystującego technologię AI.
Prawo autorskie i korzystanie z treści wygenerowanych przez AI
W przypadku wielu rozwiązań wykorzystujących sztuczną inteligencję ważną kwestią będzie też znajomość przepisów dotyczących praw autorskich do dzieł stworzonych przez AI.Musisz wiedzieć, jak kwestia ochrony takich wytworów i potencjalnego naruszenia praw autorskich regulowana jest w ustawach. Tym bardziej, że przepisy prawa obowiązujące w Polsce nie zawsze pokrywają się postanowieniami zawartymi w regulaminach popularnych dostawców systemów sztucznej inteligencji (takich jak np. Claude czy Chat GPT).
Na temat sztucznej inteligencji w zakresie praw autorskich znajdziesz jednak osobny artykuł na naszym blogu, dlatego jeśli chcesz wiedzieć więcej o ochronie praw autorskich dotyczących systemów sztucznej inteligencji, koniecznie go przeczytaj.
Jak zabezpieczyć swoje interesy przy tworzeniu rozwiązań wykorzystujących systemy sztucznej inteligencji? O czym powinien pamiętać twórca narzędzi AI?
Zwykle proces opracowywania rozwiązań opartych na AI jest skomplikowany i wymaga zaangażowania kilku podmiotów. Na przykład jeden przedsiębiorca dostarcza technologię, a kolejny podmiot na tej podstawie tworzy i wdraża aplikację. Później Ty rozwijasz to rozwiązanie i dostosowujesz do potrzeb swoich klientów, a w dalszej kolejności sprzedajesz użytkownikom końcowym – np. korporacji, która dzięki takiemu wykorzystaniu AI w firmie chce usprawnić proces przeglądu CV.
W takiej sytuacji wyzwań jest jeszcze więcej:
- Jeśli wdrażasz rozwiązania AI wysokiego ryzyka, musisz spełnić wymogi opisane w poprzedniej części tego artykułu,
- Musisz upewnić się, że Twoje rozwiązanie jest zgodne z innymi przepisami – np. dotyczącymi ochrony danych osobowych, ochrony praw konsumenta itd.,
- Musisz zapoznać się z regulaminem narzędzia AI, które jest przez Ciebie modyfikowane i wykorzystywane – twórcy AI w różny sposób regulują zakres możliwości korzystania z ich modeli AI,
- W Twoim interesie leży również uregulowanie kwestii odpowiedzialności za szkody wyrządzone przez AI. Kiedy finalny produkt jest efektem pracy wielu podmiotów, tym ważniejsze staje się przemyślenie, jakie potencjalne szkody mogą wiązać się z działaniem Twojego rozwiązania, kto będzie za nie odpowiedzialny i jak możesz ograniczyć swoje ryzyko (np. w zakresie błędów popełnionych przez software house, który wdrażał rozwiązanie oparte o AI do Twojego produktu). Kto odpowiada za szkody wyrządzone przy użyciu narzędzi wykorzystujących sztuczną inteligencję – również wyjaśniamy w osobnym wpisie na blogu kancelarii.
- Jeśli zlecasz wdrożenie i dostosowanie rozwiązania do Twojego produktu, koniecznie musisz zadbać też o zabezpieczenie swoich interesów w zakresie praw własności intelektualnej, tajemnicy Twojego przedsiębiorstwa i danych wykorzystywanych przy szkoleniu i testowaniu AI.
Jak widzisz, opracowywanie i wdrażanie systemów opartych o AI nie jest wcale prostym zadaniem również pod kątem prawnym. Z jednej strony musisz zadbać o to, by nie łamać prawa i nie narazić się na kary lub utratę renomy, z drugiej – równie ważne jest zabezpieczenie Twoich własnych interesów we współpracy z kontrahentami. Właśnie dlatego przy tego typu projektach wsparcie prawne jest bardzo ważne. I to najlepiej na jak najwcześniejszym etapie projektu. Jeśli więc chcesz mieć pewność, że zgodnie z przepisami rozwijasz i wdrażasz AI w swojej firmie, najlepiej skonsultuj swoją sytuację z doświadczonym prawnikiem.
