Jest dobrze, dopóki jest dobrze, czyli o bezpieczeństwie i odpowiedzialności za sztuczną inteligencję, internet rzeczy oraz inteligentne roboty na bazie raportu Komisji (UE)

Przekorny tytuł artykułu nie jest pozbawiony sensu, szczególnie w dzisiejszych czasach. Sztuczna inteligencja i narzędzia ją wykorzystujące mogą przynieść wiele dobrego, dopóki działają zgodnie z założeniami. Co jednak, jeżeli AI zacznie działać „bardziej” autonomicznie niż zakładał jej twórca lub popełni na tyle istotny błąd, że wywoła negatywne skutki w przestrzeni publicznej? Na te pytania próbowaliśmy już sobie odpowiedzieć w kilku artykułach (klik1; klik2; klik3), a dzisiaj przyszedł czas na bardzo interesujący raport Komisji (UE), który jest skierowany m.in. do Parlamentu Europejskiego. Ten dokument to Report on the safety and liability implications of Artificial Intelligence, the Internet of Things and robotics, który świetnie obrazuje jak działa odpowiedzialność za produkt niebezpieczny w kontekście wykorzystania sztucznej inteligencji. Przejdźmy przez najważniejsze wnioski. Zaczynamy część pierwszą poświęconą bezpieczeństwu!

W tym miejscu warto poczynić pierwsze zastrzeżenie. Zarówno Biała Księga ws. AI, jak i omawiany raport, wskazują, że obecne ramy prawne (z pewnymi zastrzeżeniami) „wpisują się” w sztuczną inteligencję, choć oczywiście wymagają pewnych, niekiedy dość istotnych, dostosowań.

Bezpieczeństwo najważniejsze

W kontekście rozumiane jako tworzenie systemów wykorzystujących sztuczną inteligencje, które są tak tworzone, aby na każdy etapie mogły być poddane sprawdzeniu (pod kątem zgodności) oraz biorące pod uwagę bezpieczeństwo wszystkich.

Autorzy raportu skupil się tutaj przede wszystkim na dość wiekowej dyrektywie w sprawie ogólnego bezpieczeństwa produktów, która zobowiązuje producentów do wprowadzania wyłącznie bezpiecznych produktów (dla konsumentów), co rozumieć należy m.in. przez spełnienie określonych norm bezpieczeństwa (warto tutaj wskazać, że obecnie trwają prace nad stworzeniem międzynarodowego standardu dla AI – więcej tutaj).

I choć autorzy wskazują, że pomimo swojego „wieku” dyrektywa znajduje zastosowanie do AI, IoT czy inteligentnych robotów, to rzeczywiście nie wszystkie aspekty związane z tymi technologami są wyraźnie w niej nakreślone.

Connectivity, czyli zależność od bezprzewodowej łączności

To niezwykle istotna kwestia również w kontekście sektora finansowego i wyrażona m.in. w ustawie o krajowym systemie cyberbezpieczeństwa i aktach delegowanych (więcej tutaj) oraz wytycznych EBA w sprawie ryzyk IT i bezpieczeństwa (więcej w tym artykule).

Fakt, że określone rozwiązania korzystają chociażby z internetu powoduje, że stają się one podatne na ataki z zewnątrz. Może to skutkować nie tylko utratą wrażliwych danych (np. objętych tajemnicą zawodową) czy stratami finansowymi, ale nawet utratą zdrowia czy życia (raczej w skrajnych przypadkach i chyba jeszcze nie na tym poziomie autonomiczności AI).

Dlatego tak istotna jest zasada „security and privacy by design and default”, o której pisałem m.in. tutaj w kontekście Internet of Things – niedługo kolejna odsłona). Innym przykładem może być utrata łączności, która również może doprowadzić do negatywnych skutków, choć częściej będzie to raczej strata finansowa.

Wyobraźmy sobie scenariusz wykorzystania robo-advisory. Brak odpowiednich zabezpieczeń może umożliwić stronie trzeciej podmienienie danych, z których dany „robot” korzysta i tym samym doprowadzić do manipulacji i niekorzystnego rozporządzenia środkami klienta (jeżeli ten z tej porady skorzysta). Podobny przypadek będziemy mieli w przypadku handlu algorytmicznego.

Tak czy inaczej, autorzy raportu wskazują, że większych zmian nie należy oczekiwać. Dość ogólnie „opisana” dyrektywa i towarzyszące jej regulacje sektorowe, wskazują na ogólny wymóg zapewnienia bezpieczeństwa – celowo nie wskazując potencjalnych ryzyk. Jest to więc akt, który przynajmniej pod tym względem jest „future-fit”.

Autonomia

To chyba największe wyzwanie. Zakładając, że sztuczna inteligencja może być autonomiczna i wyciągać wnioski nieprzewidziane przez jej twórcę, to zwykła analiza ryzyk związanych z jej wykorzystaniem może nie wystarczyć. Zarówno dyrektywa, jak i ustawa o ogólnym bezpieczeństwie produktów nakładają na producentów pewne wymagania (np. w kontekście informowania o właściwościach produktu czy zagrożeniach z nimi związanymi).

W przypadku samo-uczących się rozwiązań może to być jednak niewystarczające. Pierwotnie przedstawione informacje mogą bowiem po czasie okazać się nieprawdziwe lub niewystarczające. Autorzy raportu wskazują tutaj, że być może dobrym rozwiązaniem byłoby wyraźne określenie jak często (lub kiedy) producent i/lub operator AI dokonywał analizy ryzyk i potencjalnych zagrożeń związanych z wykorzystaniem określonego rozwiązania, a także jakie obowiązki się z tym wiążą, np. aktualizacja ostrzeżeń.

W teorii wydaje się to oczywiście sensowne i potrzebne, ale w praktyce może sprawić dużo trudności, bo jak ocenić właściwy moment na aktualizację? Wysoki poziom autonomiczności może uniemożliwiać przewidzenie kolejnych posunięć AI (nie mamy pewności czy założony cel już nie uległ dezaktualizacji). I dlatego powinien pojawić się tutaj człowiek.

Chodzi oczywiście o kontrolę człowieka nad wykorzystaniem sztucznej inteligencji. Autorzy raportu podkreślają, że obecne ramy prawne w tym kontekście nie są dostosowane. I tutaj pojawia się propozycja, aby wyraźnie wskazać, że AI powinno podlegać jakiejś formie kontroli przez człowieka. Pytanie jak ta kontrola ma wyglądać.

I ostatni aspekt dotyczący autonomii (i koniec na dziś), czyli wykorzystanie danych. Jak pisałem na podstawie ostatniego raportu Komisji – without data there is no ai (więcej tutaj). Co jednak w sytuacji, gdy AI „żywi” się błędnymi lub zmanipulowanymi danymi i na tej podstawie podejmuje złe decyzje, choć cel realizuje (i działa etycznie). Autorzy sami jeszcze nie rozstrzygnęli tej kwestii. Stawiają więc pytanie czy unijne prawo powinno zawierać wyraźne postanowienia adresujące wykorzystanie takich „faulty data”, np. poprzez wyraźny nakaz wykorzystywania „dobrych” danych. Ciekawe…

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech

Jest dobrze, dopóki jest dobrze, czyli o bezpieczeństwie i odpowiedzialności za sztuczną inteligencję, internet rzeczy oraz inteligentne roboty na bazie raportu Komisji (UE)

Bezpieczeństwo najważniejsze

Connectivity, czyli zależność od bezprzewodowej łączności

Autonomia

Dodaj komentarz Anuluj pisanie odpowiedzi