Czym jest sztuczna inteligencja wysokiego ryzyka? Kolejna "batalia" z projektem rozporządzenia w sprawie AI

W ostatnim artykule zapoznaliśmy się z listą praktyk, które w projekcie Rozporządzenia (UE) w sprawie sztucznej inteligencji zostały określone jako zakazane. Dzisiaj spojrzymy na jedno z najważniejszych zagadnień przewidzianych w dokumencie, czyli systemami AI wysokiego ryzyka, co do których pojawić się mają szczególne obowiązki po stronie uczestników cyklu życia tych rozwiązań (opisaliśmy ich sobie tutaj). Właściwe zrozumienie tej klasyfikacji i dokonanie mapowania własnych rozwiązań ma kluczowe znaczenie dla określenia zakresu naszej odpowiedzialności, a także wyznaczenia kolejnych kroków związanych z „marketowaniem” systemu wykorzystującego sztuczną inteligencję.

Na wstępie warto zaznaczyć, że największa odpowiedzialność ciąży oczywiście na dostawcy takich rozwiązań i z tego względu najwięcej obowiązków obejmować będzie niekoniecznie podmioty wykorzystujące systemy AI wysokiego ryzyka, ale właśnie twórców algorytmów czy konkretnego oprogramowania.

To z czym musimy się „pogodzić”, to fakt, że nie ma jasnej i „zamkniętej” definicji systemu AI wysokiego ryzyka. Można śmiało stwierdzić, że jest ona kompilacją art. 6 i 7 projektowanego rozporządzenia oraz załącznika III do tego projektu. Nie wydaje się to jasne? Rzeczywiście tak jest.

Takim „produktem” będzie przede wszystkim system, który jest elementem bezpieczeństwa produktu lub samodzielnym produktem, do którego stosuje się przepisy wymienione w załączniku II do projektu (m.in. zabawki czy niektóre pojazdy, choć katalog jest zdecydowanie szerszy) oraz taki produkt lub sam system podlegać będzie procesowi „conformity assessment” dokonywanemu przez podmiot trzeci. Brzmi enigmatycznie?

Takie „conformity assessment”, czyli ocena zgodności systemu AI wysokiego ryzyka z przepisami rozporządzenia jest obowiązkowe, ale może przyjmować formę zarówno oceny w ramach kontroli wewnętrznej dostawcy (szczegółowa procedura znajduje się w załączniku VI) lub dokonywana jest przed odpowiedni – wyznaczony – podmiot (załącznik VII). Ważne – Komisja (UE) będzie mogła „mieszać” przy tych załącznikach. Temu zagadnieniu poświęcimy odrębny artykuł, bo jest to istotne i wcale niełatwe.

Mamy więc pierwszą część „definicji”. Idąc dalej za system wysokiego ryzyka uznamy takie rozwiązanie, które wprost zostało wskazane w załączniku III. Mamy więc – w uproszczeniu – systemy AI w następujących obszarach:

1. Identyfikacja biometryczna osób fizycznych (w czasie rzeczywistym i “post-factum”);

2. Zarządzanie ruchem, dostawą wody, paliw czy ogrzewania i elektryczności;

3. Dostęp osób fizycznych do instytucji edukacji oraz zawodowych;

4. Rekrutacja pracowników czy awanse lub rozwiązanie stosunku pracy;

5. Dostęp do benefitów socjalnych i usług;

6. Ocena zdolności kredytowej lub scoring społecznych;

7. Awaryjny dostęp do m.in. opieki medycznej (chodzi tutaj o ustalanie priorytetów);

8. Szereg obszarów związanych z egzekwowaniem prawa;

9. Obszar migracji, udzielania azylu czy kontroli granic – również zawężenie do konkretnych obszarów;

10. Wymiar sprawiedliwości i procesy demokratyczne – wspieranie w procesie decyzyjnym (np. przy wydawaniu wyroków).

Uff, to koniec. Niestety niezupełnie. Komisji (UE) projektowane rozporządzenie przyznaje prawo do dokonywania zmian w załączniku III. Na całe szczęście obwarowano to konkretnymi ograniczeniami, bowiem KE może dodać nowe rodzaje systemów klasyfikowanych jako wysokiego ryzyka, jeżeli (łącznie):

1. Dany system może nieść ryzyko szkody dla zdrowia lub bezpieczeństwa lub może też mieć negatywny wpływ na realizację praw podstawowych, ale też nie w każdym przypadku, bo tylko wtedy, jeżeli samo ryzyko jest porównywalne do tego, które widzimy w kontekście wspomnianych już systemów z załącznika III;

2. Dany system będzie wykorzystywany w obszarach wskazanych w tym załączniku.

Przy tej ocenie Komisja powinna wziąć dodatkowo pod uwagę następujące kryteria:

1. Zamierzony cel wykorzystania systemu AI;

2. Prawdopodobieństwo użycia systemu lub fakt jego użycia;

3. Fakty wskazujące na to, że dany system wcześniej doprowadził do powstania szkody lub czy istnieją przesłanki, że taka sytuacja może zaistnieć – na bazie stosownej dokumentacji;

4. Ryzyko dla większej liczby osób – tak przynajmniej ja to rozumiem;

5. Zależność potencjalnie poszkodowanych osób od wyniku działania systemu – w szczególności czy istnieje opcja rezygnacji z „wykorzystania” takiego produktu końcowego;

6. Ocenę czy potencjalnie poszkodowana osoba jest „w nierównej pozycji” względem AI ze względu np. na poziom wiedzy czy zależności ekonomiczne;

7. Ocenę czy efekt prac systemu jest łatwy do odwrócenia w przypadku pojawienia się szkody;

8. Stwierdzenie czy unijne przepisy zapewniają możliwość uzyskania odszkodowania i czy zapewniają odpowiednią ochronę w zakresie eliminacji lub minimalizacji ryzyka szkody.

No więc tak to wygląda. Może ona ewoluować, choć mamy pewne „safeguards”. Niemniej jednak widać wyraźnie, że jest to bardzo szeroka definicja, która ma zapewnić przede wszystkim bezpieczeństwo obywateli. W projekcie przewidziano wprawdzie, że Rada (UE) oraz Parlament Europejski, ale może być różnie z „execution”. Zobaczymy. Problemem, który tutaj dostrzegam – mam nadzieję, że to moje przeoczenie – jest brak zobowiązania Komisji do „dawania” określonego terminu na wejście w życie zmian do załączników, co umożliwiłoby dostawcom dostosowanie się do ewentualnych zmian.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech

Czym jest sztuczna inteligencja wysokiego ryzyka? Kolejna “batalia” z projektem rozporządzenia w sprawie AI

Dodaj komentarz Anuluj pisanie odpowiedzi