Pochopení definice „systému AI“ je prvním krokem k úspěšnému dodržování nového nařízení
S tím, jak nabývají účinnosti nová pravidla vyplývající z EU AI Actu, je klíčové si v souvislosti se zajištěním souladu s předpisy v různých odvětvích zodpovědět základní otázku: co je vlastně systém umělé inteligence? A není to jen drobná právní klička. Definice systému AI určuje, zda se nařízení použije, jak je systém klasifikován z hlediska rizik a jaká opatření v oblasti správy a řízení musí být zavedena. Nesprávná klasifikace může vést k nákladným chybám – buď kvůli zbytečnému úsilí o dodržování předpisů, nebo kvůli nesplnění zákonných povinností.
V tomto článku se budeme zabývat tím, jak EU definuje systémy umělé inteligence a jak mohou organizace tuto definici integrovat do svých compliance procesů souvisejících s AI .
Právní definice: široká, funkční a vyvíjející se
Podle článku 3(1) zákona o umělé inteligenci je systém umělé inteligence definován jako „strojový systém, který na základě vstupních dat pro explicitní nebo implicitní cíle odvozuje, jak generovat výstupy, jako jsou predikce, obsah, doporučení nebo rozhodnutí, které mohou ovlivnit fyzické či virtuální prostředí“.
Tato široká, technologicky agnostická definice přesouvá pozornost od toho, jak je systém zkonstruován, k jeho funkci. Klade důraz na odvozování, autonomii a schopnost ovlivňovat svět kolem sebe – vlastnosti, které odlišují umělou inteligenci od tradičního softwaru založeného na pravidlech.
Vzhledem k tomu, jak široká je tato definice, mohou mít organizace potíže s určením, zda se na jejich systémy vztahuje EU AI Act. Aby Evropská komise pomohla tuto nejistotu překonat, vydala nezávazné pokyny, které objasňují, jak by měly být klíčové prvky interpretovány v praxi. S těmito pokyny je však třeba zacházet opatrně, neboť plná právní jistota se bude postupně ustalovat prostřednictvím závazných soudních rozhodnutí a vymáhání právních předpisů. Mezitím různá průmyslová sdružení a národní orgány vyvinuly své vlastní interpretační nástroje, které by společnosti měly pečlivě zvážit při vytváření interních zásad a rozhodování, zda se jejich systémy kvalifikují jako AI podle zákona.
Použití definice: Na co se zaměřit
EU AI Act rozlišuje sedm prvků, které společně definují, co se považuje za systém umělé inteligence. Některá z těchto kritérií jsou poměrně jednoduchá. Například systém umělé inteligence musí být (1) strojový, což znamená, že běží na strojovém principu. Musí být rovněž rozvíjen (2) pro explicitní nebo implicitní cíle, které odrážejí konkrétní záměry nebo úkoly, které má plnit. Kromě toho musí být schopna generovat (3) predikce, obsah, doporučení nebo rozhodnutí, což odlišuje umělou inteligenci od jiných typů softwaru a zdůrazňuje její funkční dopad. Navíc musí mít systém umělé inteligence schopnost (4) ovlivňovat fyzické či virtuální prostředí, čímž prokazuje, že není pouze pasivní, ale aktivně ovlivňuje kontext, ve kterém funguje.
Další prvky definice vyžadují diferencovanější posouzení, zejména při hodnocení hybridních systémů, které kombinují různé technologie. Například systém AI by měl být (5) navržen tak, aby fungoval s různou úrovní autonomie, což naznačuje, že má schopnost fungovat v přiměřené míře nezávisle na neustálém lidském vstupu. Tento aspekt je také relevantní pro určení, jak velký lidský dohled je v praxi potřeba. Další charakteristikou je, že systémy umělé inteligence (6) mohou po nasazení vykazovat adaptivitu, což znamená, že systém se může po uvedení do provozu naučit nebo upravit své chování. Ačkoli je adaptivita volitelná, její přítomnost často naznačuje, že systém vykazuje další rysy typické pro AI, jako je provoz s určitou mírou autonomie.
A konečně, systém umělé inteligence musí být schopen (7) odvodit ze vstupů, které přijímá, jak generovat výstupy. Tento prvek odkazuje na schopnost systému odvodit výsledky nebo provést určité akce na základě vstupních dat. Podle pokynů Evropské komise umožňují takové vyvozování některé techniky, včetně různých přístupů strojového učení, jako je učení pod dohledem nebo bez učitele, či logických a znalostních metod, jako je reprezentace znalostí, expertní systémy nebo techniky vyhledávání a optimalizace. Naproti tomu metody, které tento druh odvozování neumožňují, jako jsou nástroje pro zlepšení matematické optimalizace, základní systémy zpracování dat nebo systémy založené výhradně na klasické heuristice a jednoduchých predikčních pravidlech, by obecně neměly být klasifikovány jako systémy umělé inteligence podle zákona.
I když pokyny Komise nabízejí užitečná vysvětlení a příklady, zůstávají nezávazné a měly by být vykládány obezřetně. Podniky, jež usilují o dosažení souladu s EU AI Actem, by měly tyto pokyny zvážit spolu s výklady odvětví, vysvětlením vnitrostátních orgánů a vyvíjející se judikaturou, aby byl zajištěn řádný a obhajitelný přístup při určování, zda jejich systémy spadají do oblasti působnosti nařízení.
Praktický přístup k dodržování předpisů
Aby se organizace orientovaly v definici, měly by vytvořit strukturovaný proces hodnocení pomocí konzistentní metodiky pro interní hodnocení systému a řízení připravené na budoucnost.
Prvním krokem je mapování systému. V rámci tohoto kroku dochází k identifikaci jak samostatných systémů, tak jejich komponent v rámci IT architektury. Je důležité uvažovat o těchto složkách nejen jednotlivě, ale také ve způsobu, jakým interagují a fungují jako systém. Některé prvky definice se mohou objevit pouze v kombinaci a včasné rozpoznání je užitečné pro přesnou klasifikaci.
Dalším krokem je sebehodnocení. Zde týmy zkoumají, zda systémy splňují charakteristiky definice, jako je inference, autonomie a adaptivita. Evropská komise ve svých pokynech navrhuje binární přístup: systém buď vykazuje charakteristiku, a proto se kvalifikuje jako AI, nebo ne. Organizace by proto měly ve svých předběžných závěrech jasně určit, které systémy se kvalifikují jako AI a které nikoliv, a to na základě současné funkčnosti. U systémů identifikovaných jako AI by organizace přešly na klasifikaci rizik podle zákona.
Je však důležité si uvědomit, že mnoho systémů existuje ve stavu postupného vývoje a tato černobílá optika nemusí zachytit budoucí potenciál. To nás přivádí k obecnějšímu zjištění: každý IT systém se v průběhu času mění. Nástroj, který má v současné době užší zaměření nebo nekomunikuje s uživateli, může být upgradován pomocí funkcí strojového učení či může být integrován do pracovních postupů rozhodování. Proto v době, kdy vstoupí v platnost zcela všechny povinnosti EU AI Actu, mohou některé systémy, které v současné době nespadají do oblasti působnosti, novému zákonu již podléhat.
Proto by bylo prozíravé, aby organizace již nyní identifikovaly a monitorovaly takové systémy v „šedé zóně“, i když zatím nesplňují definici AI. Proaktivní začlenění těchto systémů do interních rámců řízení nebo řízení kvality posiluje dohled, podporuje dlouhodobé plánování a snižuje riziko budoucího narušení nebo nedodržování předpisů v závislosti na vývoji schopností a dalších regulačních pokynech.
Tyto tři kroky jsou pouze výchozím bodem na cestě k dodržování předpisů, protože regulační i technologické prostředí se bude nadále vyvíjet. Aby organizace zůstaly připraveny, měly by udržovat flexibilní, dobře zdokumentovaný interní rámec, který se dokáže přizpůsobit novému vývoji. Sledování dalších pokynů vydaných národními regulačními orgány a průmyslovými orgány – a začlenění těchto poznatků do interních zásad a postupů v případě potřeby – může také posílit správu a zajistit, aby úsilí o dodržování předpisů zůstalo v souladu s nově vznikajícími osvědčenými postupy a pokrokem ve schopnostech umělé inteligence.
Hlavní sdělení
Definice systému umělé inteligence podle EU AI Actu je prvním krokem k dodržování předpisů. A tato definice je širší a dynamičtější, než mnozí předpokládají. Organizace by měly jednat nyní a identifikovat systémy AI, posoudit hraniční technologie a vytvořit adaptabilní procesy řízení. Nejde jen o dodržování pravidel – jde o budování odolnosti pro budoucnost regulace umělé inteligence.
