Without data, there is no AI, czyli wymogi regulacyjne dla high-risk AI oczami Komisji (UE)

Jednym z najbardziej istotnych obszarów, które zostały poruszone w Białej Księdze w sprawie sztucznej inteligencji (więcej w tym artykule) jest problematyka spełnienia (i opracowania) obowiązkowych wymogów prawnych przy tworzeniu i wykorzystywaniu rozwiązań opartych o AI. Eksperci Komisji (UE) zaproponowali tutaj listę specyficznych wymagań w odniesieniu do tzw. high-risk AI applications (np. systemy identyfikacji czy zaawansowane roboty), czyli takiego zastosowania sztucznej inteligencji, które może wiązać się np. z ryzykiem dla człowieka (w wielu obszarach, w tym w zakresie  prywatności, ale i np. zdrowia). Te elementy zostaną w przyszłości wprowadzone do porządku prawnego z uwzględnieniem zasady proporcjonalności (oraz konieczności). Przejdźmy przez te wymogi i zastanówmy się na ile rzeczywiście (w sektorze finansowym) istnieje potrzeba ich wdrażania. Zaczynamy!

Eksperci Komisji wskazują na następujące elementy, które będą świadczyć o skuteczności (i legalności) AI, a które wymagają (jakiegoś) doprecyzowania na poziomie prawa i/lub regulacji:

  1. Dane służące do uczenia (training data);
  2. Przechowywanie danych;
  3. Transparentność;
  4. Odporność i skuteczność;
  5. Nadzór człowieka;
  6. Pewne specyficzne wymagania dla niektórych technologii, jak np. Zdalna identyfikacja biometryczna.

Dane, dane, dane…  bez nich nie ma AI

To temat, który przewija się w praktycznie każdym materiale dotyczącym AI, w tym odnośnie Big Data w sektorze bankowym (więcej tutaj). Bardzo ciekawe stwierdzenie znajdziemy na stronie 19 raportu:

Without data, there is no AI

I trudno się z tym stwierdzeniem nie zgodzić. Jakość i efektywność rozwiązań opartych o uczenie maszynowe czy sztuczną inteligencję zależy w dużej mierze, choć nie tylko, od danych na których algorytm może się oprzeć (i nauczyć). Jednym z postulatów zawartych w Białej Księdze jest „zobowiązanie” producentów do wykorzystywania odpowiednio szeroki (dużych) zestawów danych oraz wszystkich scenariuszy mających zastosowanie do osiągnięcia określonego celu.

To także wspomniane już rozwiązania przeciwdziałające dyskryminacji. Mogłoby to zostać oparte o zobowiązanie producentów do uwzględnienia w dostarczanych algorytmowi zestawów danych możliwie najszerszego zakresu informacji odnośnie obszarów „dyskryminacyjnogennych”. Wiele jednak zależy od tego jak podejdziemy do kwestii wykorzystania danych osobowych i nieosobowych (klik). Moim zdaniem to jeden z tych obszarów, które najtrudniej będzie zaadresować ze względu na istotne ograniczenia w zakresie przetwarzania danych wrażliwych (vide art. 9 Rozporządzenia 2016/679).

Ostatnią propozycją jest uszczelnienie przepisów dotyczących ochrony prywatności i danych osobowych. Choć eksperci wskazują, że generalnie pokrywa to m.in. Rozporządzenie 2016/679 (RODO), to jednak nie można zapominać, że to jedynie wycinek w kontekście bezpieczeństwa danych.

Przechowywanie danych

To dość trudny do zaadresowania obszar. Chodzi mniej więcej o to, aby dokumentować procesy projektowania rozwiązań z użyciem AI, w tym zasady dotyczące tworzenia algorytmów oraz danych wykorzystywanych do ich uczenia. Ma to oczywiście związek z inna zasadą dotyczącą ujawniania zasad jakimi „posługiwał” się algorytm do podjęcia określonej decyzji (pisałem o tym szerzej przy okazji zautomatyzowanej oceny zdolności kredytowej). To czego oczekiwałaby Komisja (UE) to de facto możliwość prześledzenia „wstecz” czym kierował się dany algorytm. Czy jest to do osiągnięcia? W pewnych przypadkach pewnie tak, ale jeżeli mamy bardziej autonomiczne rozwiązania?

To co proponują eksperci w Białej Księdze to przede wszystkim zobowiązanie producentów (i jak zakładam operatorów) do:

  1. Prowadzenie rejestru danych, które są wykorzystywane do uczenia oraz testowania;
  2. W pewnych przypadkach – przechowywania konkretnych danych wykorzystywanych przez AI (zakładam, że np. wrażliwych, jak biometryczne) oraz
  3. Dokumentowania metodologii wykorzystywanej do stworzenia algorytmu (jak i samej metodologii, którą stosuje AI), w tym technik i procesów na których opiera swoją „bytność” algorytm.

Na całe szczęście Komisja nie zapomniała o okresach retencji (i ograniczeniach w zakresie infrastruktury IT i kosztach z tym związanych). Z tego względu takie dokumenty i informacje miałyby przechowywane przez określony czas, tak aby zapewnić zrealizowanie celów publicznych (np. w związku z prowadzonymi postępowaniami etc.).

Transparentne AI

Częściowo pokrywa się to z omawianym zagadnieniem przechowywania danych (i ich utrwalania na etapie tworzenia). Generalnie chodzi tutaj jednak o informowanie użytkowników końcowych. Informowanie przede wszystkim o tym, że wchodzą w interakcję ze sztuczną inteligencją, ale również jakie związane są z tym ograniczenia (jaki cel ma sztuczna inteligencja, na ile jest skuteczna i na czym opiera swoje decyzje).

Eksperci Komisji mają jednak świadomość, ze przekazywanie tych wszystkich informacji nie zawsze jest konieczne, w szczególności jeżeli jest oczywiste, że użytkownik wchodzi w taką interakcję z AI (np. „rozmawia” z robotem). Niezależnie jednak od tego, informacje przekazywane użytkownikowi powinny być jasne i zrozumiałe i dostosowane do określonego przykładu użycia.

Odporność i skuteczność

To warunki, aby uznać AI za godne zaufania. Z tego względu tak istotne będzie tworzenie rozwiązań, które gwarantują najwyższy poziom bezpieczeństwa użytkownika (również w aspekcie cyberbezpieczeństwa). Tutaj chodzi jednak bardziej o stosowanie takich rozwiązań, które są adekwatne do ryzyk, które sztuczna inteligencja może generować.

Co to oznacza? Przykładowo to, że AI powinno uczyć się na błędach i te błędy eliminować, ale także że będą odporne na manipulacje (nie tylko technologiczną). Tutaj od razu nasuwa mi się przykład „fake newsów”. Jeżeli jesteśmy w stanie zmanipulować znaczną część społeczeństwa, to czy sztuczna inteligencja będzie również zdolna odróżnić dane prawdziwe od nieprawdziwych? I czy wystarczy do tego odpowiedni zestaw danych?

Czy to wszystko?

Na dzisiaj tak. W kolejnym artykule przedstawie pozostałe istotne elementy, jak kwestię nadzoru człowieku oraz specyficzne wymagania dla pewnych rozwiązań (uwzględnię również IoT).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *