Rozliczalność i odpowiedzialność (za) sztucznej inteligencji - z czym to się je?

W jednym z ostatnich artykułów rozpoczęliśmy analizę listy przygotowanej przez ekspertów Komisji (UE), która ma pozwolić na ocenę rozwiązań opartych o sztuczną inteligencję pod kątem ich zgodności z fundamentalnymi zasadami tzw. Trustworthy AI. W artykule odniesiemy się nie tylko do wytycznych w sprawie AI godnej zaufania, ale tam, gdzie to możliwe odniesiemy się do krajowych (szczątkowych) komunikatów w tym zakresie. Dzisiaj zajmiemy się „ostatnim” punktem listy, czyli rozliczalnością (czy odpowiedzialnością) AI, która ma znaczenie przede wszystkim w kontekście oceny winy czy zgodności rozwiązań opartych o sztuczną inteligencję z prawami podstawowymi. Zaczynamy!

Eksperci Komisji (UE) wskazują, że zasada accountability sprowadza się do nałożenia obowiązku do ustanowienia takich mechanizmów, które zapewniają odpowiedzialność za tworzenie, implementację czy wykorzystanie systemów sztucznej inteligencji. Jeżeli spojrzymy na inny dokument Komisji, w którym zaproponowano rozwiązania prawne dla tzw. hi-risk AI (więcej w tym artykule), to mamy jasność, że w ostatecznym rozrachunku chodzi o to, aby w przypadku powstania szkody, możliwe było przypisanie winy konkretnej osobie (skoro wiemy, że AI nie odpowiada prawnie), a także, aby możliwe było zmiarkowanie tej szkody.

Jeżeli przejdziemy na grunt „pierwotnych” wytycznych w sprawie Trustworthy AI, to dowiemy się, że w zakresie accountability mieści się także możliwość kontrolowania, minimalizacja i zgłaszanie negatywnych skutków, kompromisy i dochodzenie roszczeń. Wiele nic nie mówiących stwierdzeń, ale de facto chodzi o to, aby brać odpowiedzialność za działanie systemów i tworzyć je w sposób bezpieczny. Jest to więc pochodna pozostałych zasad, na których powinny być oparte te rozwiązania.

Audytowalność

To często “trudny” temat przy omawianiu rozwiązań opartych o AI. Jak wspominałem w ostatnim artykule, może się okazać, że konieczne będzie dokonanie audytu (a w pewnych przypadkach może to być konieczne w regularnych interwałach czasowych) rozwiązań, np. przy stosowaniu zautomatyzowanych narzędzi wykorzystujących dane osobowe (w tym w kontekście zakazu dyskryminacji – więcej w tym artykule). Musimy więc pamiętać też o wymogach RODO.

Już na pierwszy rzut oka widać, że chodzi tutaj w znacznej mierze o przejrzystość stosowanych rozwiązań, w tym dostępność danych pozwalających na ocenę. Ważne jest przy tym to, że musi tutaj być zapewniona możliwość przeprowadzenia niezależnego audytu, a więc musi być to stosunkowo „łatwe” – o ile można tak napisać w kontekście zaawansowanych algorytmów. Eksperci Komisji (UE) zaznaczają przy tym, że nie chodzi tutaj wcale o udostępnienie unikalnego know-how, w tym w szczególności materiałów stanowiących własność intelektualną (np. patenty).

Patrząc bardziej szczegółowo mamy w zasadzie dwa podstawowe wymogi w tym zakresie:

1. Konieczność stworzenie takich rozwiązań, które pozwalają prześledzić (traceability) cały proces tworzenia rozwiązań, w tym etapu uczenia oraz jego uruchomienia i wykorzystania produkcyjnego (w tym dotarcia do danych dot. wyników działania, trafności i różnych KPI, które mogą być przydatne);

2. Takiego ułożenia procesów i systemów, aby niezależny audytor mógł dokonać tej oceny.

Projekt stanowiska UKNF w sprawie robo-advisory wprost zakłada, że rozwiązania oparte o AI powinny podlegać regularnym przeglądom w obszarze zarówno technicznym, jak i merytorycznym. Częstotliwość powinna być większa na początku wdrażania robo-advisory.

Zarządzanie ryzykiem

To drugi element accountability. W liście ekspertów Komisji (UE) wymóg ten mamy opisany dość krótko. Ekspertom chodzi tutaj o:

„the ability to report on actions or decisions that contribute to the AI system’s outcome, and to respond to the consequences of such an outcome”

Jeżeli jednak spojrzymy np. na projekt stanowiska UKNF w sprawie robo-advisory to znajdziemy nieco więcej wskazówek. Eksperci UKNF wskazują tutaj, że ważnym aspektem wdrażania takiej usługi jest prawidłowe zarządzanie ryzykiem technologicznym, w tym przeciwdziałanie nieautoryzowanemu dostępowi czy innym zagrożeniom dla efektywnego i poprawnego działania algorytmów.

Wracając jednak do dokumentu Komisji (UE), mamy wyraźne podkreślenie, że firma „operująca” na AI powinna zapewnić, że wszelkie negatywne skutki dla działania algorytmu powinny być identyfikowane, oceniane, dokumentowane i minimalizowane. Oczywiście z zachowaniem zasady proporcjonalności. Co ciekawe, mamy tutaj odniesienia do wielu kwestii dotyczących trudno mierzalnych norm etycznych czy praw podstawowych. Może to być więc nie lada wyzwanie, bowiem ocena taka może być bardzo subiektywna.

W każdym razie eksperci Komisji (UE) „chcą”, aby w organizacji funkcjonował odpowiedni system zarządzania ryzykiem (AI), który obejmuje także odpowiednie szkolenia (w tym w zakresie odpowiedzialności prawnej), utworzenie tzw. ethics review board czy wdrożenie odpowiednich systemów raportowania (w tym przez podmioty zewnętrzne) w zakresie wykrytych nieprawidłowości. Duża rola będzie tutaj nie tylko komórek ds. zarządzania zgodnością, ale również compliance, co akcentuje także wspomniane przeze mnie stanowisko w sprawie robo-advisory.

Polityka sztucznej inteligencji dla Polski

Mowa o tej obecnie obowiązującej, o której pisałem tutaj, bo w III kwartale br. ma się pojawić nowa. Tutaj też znajdziemy pewne wskazówki. Eksperci wskazują m.in. że w ramach organizacji powinny funkcjonować takie ramy zarządcze, które zapewniają rozliczalność etycznych aspektów AI, np. poprzez wyznaczenie osób odpowiedzialnych za ten obszar. No i ważny jest nadzór prawny, który tutaj ma być kluczowy. Pracy dla prawników pewnie nie zabraknie.

Tyle w skrócie…

O kwestii odpowiedzialności odszkodowawczej czy osobowości prawnej pisałem już wielokrotnie, więc nie będę powielał wątku. Te wszystkie zasady być może zostaną skodyfikowane, o czym pisałem we wcześniejszym artykule. Na razie mamy jednak miękkie regulacje, które dają dużą swobodę w kształtowaniu tych procedur. Wydaje się jednak, że wraz z rozwojem rozwiązań opartych o AI, coraz częściej będziemy słyszeli o politykach czy procedurach specyficznych dla sztucznej inteligencji.

Tyle na dzisiaj. W kolejnym „odcinku” zajmiemy się pozostałymi elementami z listy.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech

Rozliczalność i odpowiedzialność (za) sztucznej inteligencji – z czym to się je?

Audytowalność

Zarządzanie ryzykiem

Polityka sztucznej inteligencji dla Polski

Tyle w skrócie…

Dodaj komentarz Anuluj pisanie odpowiedzi