Kluczowe wyzwania przy wdrażaniu systemów AI.

Mimo ogromnej ilości zagadnień wymagających uwagi w kontekście sztucznej inteligencji, skupiamy się tutaj na pięciu kluczowych aspektach, które organizacje powinny wziąć pod uwagę przed rozpoczęciem implementacji systemów AI. Oto one:

Ochrona Danych i Prywatności

Systemy sztucznej inteligencji (AI) w założeniu operują na dużych zbiorach danych osobowych. Istnieje zatem ryzyko naruszenia prywatności oraz przepisów dotyczących ochrony danych, szczególnie w przypadku braku odpowiednich środków ochrony danych.

Dane osobowe stanowią istotny element funkcjonowania systemów AI, dlatego ich właściwe wykorzystanie jest kluczowe dla osiągnięcia zamierzonych celów, takich jak automatyzacja procesów czy optymalizacja działań organizacji, a także dostosowanie oferty produktowej do potrzeb klientów.

Regulacja ogólnego charakteru, jaką stanowi RODO, jest kluczowa w kontekście ochrony danych osobowych, niezależnie od sposobu ich przetwarzania. Jednakże specyfika technologii AI wymaga szczególnego podejścia, gdyż nie zawsze możliwe jest zastosowanie tych samych standardów co w przypadku innych narzędzi technologicznych. W związku z tym pojawiają się różnorodne wyzwania, zwłaszcza w kontekście przetwarzania danych przez podmioty trzecie.

Kwestia zautomatyzowanego podejmowania decyzji, włączając profilowanie, nabiera szczególnego znaczenia. Osoby, których dane są przetwarzane, mają prawo do ochrony przed decyzjami opartymi wyłącznie na automatycznym przetwarzaniu, co może mieć istotne konsekwencje prawne dla nich. Zgodnie z RODO, administrator danych ma obowiązek zapewnienia odpowiednich środków ochrony praw, wolności i uzasadnionych interesów osób, których dane dotyczą, oraz zapewnienia możliwości interwencji ludzkiej w procesie podejmowania decyzji przez systemy AI.

Ważne jest także zachowanie zgodności z zasadą minimalizacji danych przewidzianą w RODO. Systemy AI muszą ograniczać przetwarzane dane do niezbędnego minimum, zapewniając adekwatność i stosowność przetwarzanych informacji. Administrator danych ponosi odpowiedzialność za zapobieganie przetwarzaniu danych w szerszym zakresie, niż to jest konieczne dla określonych celów.

Transparentność i Odpowiedzialność

W kontekście wdrażania systemów sztucznej inteligencji (AI) kluczową rolę odgrywają przejrzystość działania oraz odpowiedzialność organizacji za funkcjonowanie tych systemów. Jest to niezbędne dla zapewnienia zaufania użytkowników i społeczeństwa oraz dla minimalizacji ryzyka niesprawiedliwych decyzji.

Często algorytmy AI działają na zasadzie "czarnej skrzynki", co oznacza, że użytkownicy nie są w stanie zrozumieć, dlaczego system podjął określone decyzje. Brak przejrzystości może prowadzić do negatywnych konsekwencji, takich jak brak zaufania użytkowników oraz trudności w wyjaśnieniu działania systemu. Dlatego ważne jest, aby organizacje działały na rzecz zapewnienia transparentności działania swoich systemów AI, umożliwiając użytkownikom zrozumienie procesów podejmowania decyzji.

Ponadto, istnieje ryzyko, że systemy AI mogą być podatne na wprowadzanie uprzedzeń i dyskryminację, co może prowadzić do niesprawiedliwych decyzji. Jeśli dane wykorzystywane do szkolenia systemu zawierają uprzedzenia lub dyskryminujące wzorce, to istnieje ryzyko, że system będzie reprodukował te błędy. Aby temu zapobiec, organizacje powinny działać na rzecz eliminacji stronniczości oraz regularnie monitorować i oceniać wpływ swoich systemów AI na różne grupy społeczne.

W skrócie, zapewnienie transparentności działania oraz odpowiedzialność za funkcjonowanie systemów AI są kluczowymi elementami budowania zaufania użytkowników i społeczeństwa oraz minimalizacji ryzyka niesprawiedliwych decyzji.

Kwalifikacja systemu AI i zgodność z przepisami

W ostatnich tygodniach zapewne dowiedzieliśmy się o najprawdopodobniej ostatecznej wersji AI Act - pierwszej kompleksowej regulacji dotyczącej sztucznej inteligencji. Chociaż jeszcze nie została formalnie opublikowana, spodziewamy się tego w ciągu najbliższego miesiąca.

To oznacza, że już wkrótce przedsiębiorstwa będą musiały przygotować się na wprowadzenie nowych przepisów. Rozporządzenie opiera się na klasyfikacji ryzyka związanego z AI na następujące poziomy: niedopuszczalne, wysokie, ograniczone i minimalne. Systemy AI o wysokim ryzyku będą mogły być używane, ale podlegać będą surowym ograniczeniom, które dotyczyć będą zarówno użytkowników, jak i dostawców tych systemów. Termin "dostawca" obejmuje podmioty tworzące systemy AI, w tym organizacje, które robią to na własny użytek. Ważne jest zrozumienie, że organizacja może pełnić zarówno rolę użytkownika, jak i dostawcy tych systemów.

Zgodnie z postanowieniami AI Act, systemy AI będą musiały przechodzić kwalifikację, czyli proces oceny ich zgodności z określonymi wymaganiami. Oznacza to, że systemy AI będą musiały być sprawdzane pod kątem bezpieczeństwa, zgodności z przepisami prawnymi, etyką i zasadami społecznymi oraz innymi kryteriami określonymi przez regulacje. Celem kwalifikacji jest zapewnienie, że systemy AI są bezpieczne, skuteczne i zgodne z wartościami europejskimi.

Bezpieczeństwo Cybernetyczne

Wprowadzenie systemów sztucznej inteligencji niesie ze sobą potencjalne zagrożenia związane z atakami cybernetycznymi. Te zagrożenia mogą wynikać zarówno z wykorzystania AI do przeprowadzania ataków, jak i z ewentualnych luk w zabezpieczeniach tych systemów. Aby zapewnić bezpieczeństwo, konieczne jest odpowiednie zabezpieczenie zarówno infrastruktury obsługującej systemy AI, jak i danych, które są przez nie przetwarzane.

Ataki na modele AI: Systemy sztucznej inteligencji mogą stać się celem ataków, których celem jest zakłócenie ich działania lub wprowadzenie fałszywych danych. Tego rodzaju ataki mogą skutkować podejmowaniem błędnych decyzji przez systemy AI lub manipulacją ich działaniem.
Wycieki danych: Ze względu na powszechne wykorzystanie dużych zbiorów danych przez systemy AI istnieje ryzyko wycieku tych danych. Taki wyciek może prowadzić do naruszenia prywatności użytkowników lub ujawnienia poufnych informacji, co stanowi istotne zagrożenie.

Ataki na infrastrukturę AI: Infrastruktura wspierająca działanie systemów sztucznej inteligencji, takie jak serwery czy chmury obliczeniowe, może być celem ataków cybernetycznych. Skutki takich ataków mogą obejmować niedostępność systemów AI lub kradzież danych przechowywanych w infrastrukturze.

Manipulacja decyzjami AI: Istnieje ryzyko w postaci próby manipulacji decyzjami podejmowanymi przez systemy AI poprzez wprowadzanie fałszywych informacji lub modyfikowanie danych wejściowych. Efektem takiej manipulacji mogą być błędne wyniki działania systemów AI lub podejmowanie niepożądanych działań.

Ataki z wykorzystaniem danych treningowych: Systemy sztucznej inteligencji są szkolone na podstawie danych, co oznacza, że atakujący mogą próbować manipulować tymi danymi w celu wprowadzenia błędów lub zniekształceń. Tego rodzaju ataki mogą wpłynąć na jakość działania systemów AI i prowadzić do nieprawidłowych wyników.

Kradzież technologii AI: Firmy inwestujące w rozwój zaawansowanych technologii AI mogą stać się celem ataków cybernetycznych, których celem jest kradzież tych technologii lub poufnych danych z nimi związanych. Skutki takich ataków mogą obejmować straty finansowe oraz utratę przewagi konkurencyjnej.

Wykorzystanie AI w celach szkodliwych: Istnieje ryzyko wykorzystywania technologii sztucznej inteligencji do przeprowadzania ataków o większej skali i złożoności, co może prowadzić do poważnych szkód dla infrastruktury, gospodarki oraz bezpieczeństwa narodowego.

Aby zapobiec tym zagrożeniom, niezbędne jest wdrożenie skutecznych strategii cyberbezpieczeństwa. Należą do nich między innymi wdrażanie środków zabezpieczeń, monitorowanie i analiza zachowań systemów AI, regularne audyty bezpieczeństwa oraz edukacja pracowników i użytkowników na temat bezpiecznego korzystania z technologii AI. Ponadto, istotne jest ciągłe aktualizowanie i ulepszanie systemów zgodnie z najnowszymi metodami obrony przed atakami cybernetycznymi.

Braki w Umiejętnościach i Wiedzy

Skuteczne wdrożenie systemów sztucznej inteligencji (AI) wymaga posiadania odpowiednich kompetencji i wiedzy, zarówno na płaszczyźnie technicznej, jak i biznesowej. Dlatego też organizacje powinny inwestować w szkolenia pracowników oraz poszukiwać specjalistów z doświadczeniem w obszarze sztucznej inteligencji.

Rozporządzenie AI Act wprowadzi obowiązek dostawcom i użytkownikom systemów AI podjęcia środków mających zapewnić odpowiedni poziom kompetencji w zakresie sztucznej inteligencji wśród swojego personelu oraz osób odpowiedzialnych za obsługę i użytkowanie tych systemów.

Podsumowując, wdrożenie systemów sztucznej inteligencji otwiera szereg możliwości, ale jednocześnie wiąże się z różnymi ryzykami i kwestiami, które należy uwzględnić. Kluczowe jest podejście do implementacji AI w sposób odpowiedzialny, uwzględniający zarówno aspekty techniczne, jak i prawne, etyczne oraz społeczne.

Warto zauważyć, że powyższe elementy powinny być integralną częścią systemu zarządzania ryzykiem AI wdrożonego w organizacji. Taki system ma na celu nie tylko identyfikację i ocenę ryzyka związanego z wykorzystaniem określonych rozwiązań opartych na sztucznej inteligencji, ale także zarządzanie nimi, w tym działania zapobiegające materializacji tych zagrożeń. W tym kontekście kluczowe jest zastosowanie odpowiednich środków kontroli, przypisanych do konkretnych kategorii czy klas ryzyka, i ich efektywne wdrażanie w określonych projektach i sytuacjach.

Autorka artykułu:

Katarzyna Ożga, Legal Counsel, In-House Lawyer, Deloitte