(nie zawsze)jasne definicje, czyli pierwsze starcie z oficjalnym projektem rozporządzenia w sprawie sztucznej inteligencji

Zgodnie z zapowiedzią z zeszłego tygodnia, wczoraj Komisja (UE) opublikowała projekt rozporządzenia w sprawie sztucznej inteligencji, które ustanawia zharmonizowane zasady w zakresie AI oraz zmienia niektóre inne akty prawne. Propozycja pokrywa się z moją ostatnią analizą – co do zasady – ale w kolejnych odsłonach będziemy przyglądać się kolejnym elementom rozporządzenia, które może sporo namieszać na rynku nowych technologii, także w sektorze finansowym. Na pierwszy ogień weźmiemy sobie definicje, które mają istotne znaczenie w kontekście zastosowania rozporządzenia.

Zanim jednak przejdziemy do definicji to może zakreślenie do kogo stosować będziemy rozporządzenie (bez wskazywania wyłączeń jak obszar wojskowy). Mamy więc dostawców „marketujących systemy AI na terenie UE niezależnie skąd pochodzą, użytkowników tych systemów zlokalizowanych w UE oraz dostawców i użytkowników tych systemów, którzy przebywają poza UE, ale sam rezultat działania systemu AI jest wykorzystywany na terenie Unii.

No alt text provided for this image

Pierwszą i najważniejszą definicją jest system AI. Zgodnie z propozycją jest to oprogramowanie utworzone z użyciem jednej lub więcej technik i sposobów (podejść) określonych w załączniku 1 do rozporządzenia i które to oprogramowanie jest zdolne do wygenerowanie określonego rezultatu, np. treści, przewidywań, rekomendacji czy decyzji, które mają wpływ na cele określone przez człowieka. Definicję trudno się czyta, ale wydaje mi się, że dobrze oddałem propozycję zawartą w rozporządzeniu.

Jeżeli chodzi o techniki, które mogą stanowić podstawę do zakwalifikowania systemu jako AI, to mamy tutaj m.in. wszelkiej maści uczenie maszynowe, uczenie głębokie, estymacje Bayesa czy systemy eksperckie. Katalog jest więc dość szeroki, ale ważne jest to, że – przynajmniej na razie – jest to lista zamknięta, a więc w przypadku ewolucji i pojawienia się nowego rozwiązania nie będzie one objęte powyższą definicją.

Kolejny jest dostawca. Tutaj rozumiemy go jako osobę fizyczną lub prawną, jednostkę sektora publicznego, agencję czy inny organ, który rozwija system AI lub korzysta z takiego systemu z zamiarem udostępnienia go na rynku lub wykorzystywania do świadczenia usług pod własną nazwą/szyldem i to niezależnie od tego czy będzie to miało miejsce odpłatnie czy nie. Ta definicja również jest bardzo istotna, bowiem zakwalifikowanie podmiotu do tej kategorii powoduje, że będą na nim ciążyły dodatkowe obowiązki, np. w kontekście systemów wysokiego ryzyka, które są określone przykładowo w Rozdziale 3 projektu.

Dalej sprawa się nieco komplikuje. Poza tym, że rozporządzenie definiuje jeszcze użytkownika – de facto ktoś kto korzysta z systemu AI (z wyłączeniem użytku osobistego), mamy także kilku innych „uczestników” łańcucha wykorzystania systemu AI, tj.:

1.    Upoważnionego reprezentanta – jest to podmiot utworzony w Unii, który otrzymał upoważnienie od dostawcy do wykonywania obowiązków nałożonych przez rozporządzenie w imieniu tego dostawcy;

2.    Importera – podmiot również utworzony na terenie UE, który wprowadza system AI na rynek w imieniu podmiotu spoza UE; ważne przy tym, że również „placing on the market” znalazło swoją definicję, czyli pierwsze udostępnienie systemu na terenie UE (mamy też i inne definicje z tej kategorii);

3.    Dystrybutora – który jest podmiot w ramach tzw. supply chain, który nie jest dostawcą ani importerem, a który udostępnia system AI na terenie UE, ale bez – i tutaj jestem nieco skonfudowany – „affecting its properties”; przyznam szczerzę, że nie wiem o co tutaj dokładnie chodzi; oraz

4.    Operatora, którym będzie każdy z powyższych podmiotów – i tyle; choć nie ma tutaj rozwinięcia tej definicji, to rozumiem, że chodzi tutaj o podmiot, który korzysta z benefitów generowanych przez system AI – pytanie tylko jak to się ma do „usera”?

Swoją drogą, to art. 25-30 określają szczegółowe obowiązki poszczególnych podmiotów.

Z innych ważnych definicji warto zwrócić uwagę na dwie dotyczące działania algorytmu. Chodzi tutaj mianowicie o:

1.    Zamierzony cel, czyli założone użycie systemu AI określone przez dostawcę, włączając w to kontekst i warunki użytkownia określone w odpowiedniej informacji dostarczanej przez tego dostawcę – katalog informacji jest dość szeroki oraz

2.    Reasonably foreseeable misuse – czyli możliwe do przewidzenia niewłaściwe użycie, które należy rozumieć jako takie użycie systemu AI, które nie jest zgodne z założonym celem, ale które może być rezultatem przewidywalnego ludzkiego zachowania lub interakcji z systemem.

Definicje te będą szalenie istotne z punktu widzenia ewentualne odpowiedzialności dostawcy systemu AI – zakładam, że niezależnie czy będziemy mówić tutaj o odpowiedzialności na zasadzie winy czy ryzyka. Jest to też – już na tym etapie – bezpośrednia sugestia odnośnie tego jak bardzo szczegółowa powinna być informacją przekazywana odbiorcy systemu AI w zakresie możliwych zastosowań takiego systemu. Odpowiednia przejrzystość i jasność tych informacji będą przecież przedmiotem ewentualnej oceny w przypadku powstania szkody i oceny – na ile dostawca za nią odpowiada.

No alt text provided for this image

Z powyższym wiążę się także inne zagadnienie, a mianowicie wydajność systemu AI, które należy rozumieć jako jego zdolność do osiągania zamierzonych celów.

Co jeszcze? W projekcie znajdziemy trzy definicje dotyczące danych wykorzystywanych przy systemach AI, tj.:

1.    Dane treningowe, czyli służące do wytrenowania algorytmu,

2.    Dane walidacyjne, czyli takie które służą do oceny wytrenowania algorytmu i poprawy jego wydajności, w tym w zakresie uczenia się;

3.    Dane testowe, czyli takie które służą do niezależnej ewaluacji wytrenowanego algorytmu w celu potwierdzenia przewidywanej wydajności i działania systemu AI

Te definicje nie mają charakteru wyłącznie teoretycznego. Już teraz możemy wskazać, że na podmiotach istniejących w ramach „supply chain” ciążyć będą spore obowiązki w zakresie nie tylko na etapie trenowania modelu, ale także przygotowania stosownej dokumentacji technicznej, monitorowania rozwoju systemu czy wprowadzania tzw. corrective actions. O tych kwestiach „porozmawiamy” sobie przy kolejnych odsłonach

Słowem komentarza po przejściu definicji. Wydaje mi się, że potrzeby jest jeszcze fine-tuning, bo niektóre pojęcia wydają mi się dość niejasne lub napisane są takim językiem, który może spowodować pewną konfuzję, a pamiętajmy, że przepisy nie będą kierowane wyłącznie do prawników. Ciekawa jest też zamknięta lista technik, które warunkują „podpięcie” systemu pod system AI w rozumieniu rozporządzenia. Może dzisiaj nie znamy jakichś rozwiązań, które będą bardziej rozbudowane. Co wtedy?

I to tyle na dzisiaj. W kolejnej odsłonie poznamy „zakazane praktyki” związane ze sztuczną inteligencją i być może zdefiniujemy sobie czym jest system wysokiego ryzyka.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *