W ubiegłym roku Krajowa Izba Radców Prawnych opublikowała kompleksowy dokument, w którym przedstawiła praktyczne wskazówki i rekomendacje dla radców prawnych korzystających z narzędzi sztucznej inteligencji. Choć adresatem porad są prawnicy, wiele zawartych w nim zasad doskonale przekłada się na realia każdego przedsiębiorstwa planującego wdrożyć AI.
Poziomy ryzyka według Aktu o AI
Akt o AI wprowadza czterostopniowy podział systemów sztucznej inteligencji w oparciu o potencjalne ryzyko dla użytkowników i społeczeństwa. Każdy poziom nakłada inne wymagania prawne i organizacyjne.
- Systemy AI niedopuszczalnego ryzyka
Systemy, których użycie jest zakazane. Obejmują technologie manipulacji i inwigilacji, takie jak: scoring społeczny wykorzystywany w miejscach pracy czy szkołach, systemy do rozpoznawania emocji w edukacji i zatrudnieniu, techniki maskowania czy „deepfake” w kontekście oszustw. - Systemy AI wysokiego ryzyka
Systemy mogące zagrażać zdrowiu, bezpieczeństwu lub prawom podstawowym. Wymagają wdrożenia systemu zarządzania ryzykiem i kontroli jakości danych treningowych, zapewnienia przejrzystości działania i nadzoru człowieka, spełnienia wysokich standardów dokładności, solidności i cyberbezpieczeństwa
Przykłady: systemy w opiece zdrowotnej, autonomiczne pojazdy, narzędzia rekrutacyjne, ocena ryzyka kredytowego. - Systemy AI ograniczonego ryzyka
Technologie o ograniczonym wpływie, wymagające minimalnej przejrzystości. Użytkownik musi być poinformowany, że ma do czynienia z AI. Przykłady: czatboty obsługi klienta, systemy rekomendacji produktów, filtry treści. - Systemy AI minimalnego ryzyka
Technologie o praktycznie zerowym ryzyku, które nie wymagają dodatkowych regulacji ani środków ostrożności. Obejmują większość codziennych zastosowań AI, np. antyspamowe filtry poczty czy podstawowe funkcje autokorekty w edytorach tekstu.
Kluczowe rekomendacje wynikające z AI ACT:
- Świadomy wybór narzędzi i dostawców
– Zanim zdecydujemy się na konkretne rozwiązanie AI, należy jasno określić cele jego użycia: czy ma wspierać obsługę klienta, analizę danych czy automatyzację procesów?
– Konieczne jest sprawdzenie umów licencyjnych i dokumentacji technicznej: czy dostawca nie wykorzystuje danych klientów do trenowania własnych modeli? Jak chroni poufność i gdzie przechowuje dane? - Zarządzanie ryzykiem i zgodność z przepisami
– Firmy muszą ocenić, czy przetwarzanie danych osobowych za pomocą AI spełnia wymogi RODO (m.in. zabezpieczenia techniczne, oceny skutków DPIA, klauzule powierzenia).
– Warto opracować wewnętrzne procedury pozwalające na identyfikację i reakcję na incydenty związane z AI (np. wycieki danych czy nieprawidłowe decyzje modelu). - Transparentność i komunikacja
– Podobnie jak prawnicy informują klientów o wykorzystaniu AI, firmy powinny zadbać o przejrzystość: wewnętrzną (szkolenia, instrukcje dla pracowników) i zewnętrzną (wskazanie partnerom lub klientom, kiedy korzystamy z algorytmów AI).
– Wypracowanie standardowych klauzul informacyjnych i wzorców zgód usprawni komunikację i obniży ryzyko nieporozumień. - Kompetencje i kultura organizacyjna
– AI to nie tylko technologia, ale też proces wdrożeniowy. Konieczne są regularne szkolenia oraz dokumentacja najlepszych praktyk (np. biblioteka gotowych promptów, wzory scenariuszy automatyzacji).
– Wyznaczenie osób odpowiedzialnych za ocenę nowych rozwiązań AI oraz ciągłe monitorowanie rynku pozwoli firmie być na bieżąco z trendami. - Integracja i skalowalność
– Firmy powinny zidentyfikować, w których systemach (CRM, ERP, BI) warto osadzić funkcje AI i sprawdzić dostępność API lub wtyczek.
– Rozważenie architektury fine-tuningowanej—czy potrzebujemy gotowego modelu, czy dostosowanego do specyfiki danych wewnętrznych—wpłynie na koszty i efektywność wdrożenia. - Model ciągłego doskonalenia
– Technologia AI dynamicznie się rozwija, a regulacje prawne i standardy bezpieczeństwa się zmieniają. Wdrożenie regularnych przeglądów stosowanych narzędzi, aktualizacji policy compliance oraz wewnętrznych instrukcji („AI compliance”) pozwoli firmie utrzymać wysoki poziom zaufania i zgodności.