AI wysokiego ryzyka. Regulacje mogą zaskoczyć firmy

Zanim przejdziemy do definicji „AI wysokiego ryzyka”, warto uświadomić sobie, że istnieje coś takiego, jak AI Act. Jest to pierwsze tak kompleksowe rozporządzenie, które podejmuje próbę uregulowania wielu kwestii związanych z korzystaniem ze sztucznej inteligencji.

Zgodnie z art. 6 tego aktu prawnego za system wysokiego ryzyka może zostać uznana sztuczna inteligencja wykorzystywana jako element bezpieczeństwa określonych produktów lub systemów podlegających unijnym regulacjom sektorowym. Do tej kategorii mogą należeć między innymi rozwiązania stosowane w urządzeniach medycznych, motoryzacji, infrastrukturze energetycznej czy maszynach przemysłowych. Dodatkowo wysokie ryzyko obejmuje zastosowania wymienione w załączniku III do rozporządzenia, czyli takie, które mogą wpływać na zdrowie, bezpieczeństwo lub prawa podstawowe obywateli.

W praktyce oznacza to, że przedsiębiorstwo może korzystać z pozornie zwykłego modelu uczenia maszynowego, który jednak z punktu widzenia prawa zostanie uznany za system wysokiego ryzyka ze względu na obszar zastosowania.

Największym błędem wielu firm jest założenie, że korzystają jedynie z popularnych chatbotów lub narzędzi generatywnych. Tymczasem sztuczna inteligencja coraz częściej funkcjonuje w tle procesów biznesowych. Może być częścią systemu HR, platformy scoringowej, narzędzia do wykrywania oszustw finansowych lub systemu monitorowania infrastruktury.

Dlatego pierwszym etapem powinien być audyt wszystkich rozwiązań wykorzystujących algorytmy uczenia maszynowego, modele predykcyjne, systemy rekomendacyjne lub technologie rozpoznawania wzorców. Warto przy tym uwzględnić zarówno rozwiązania tworzone wewnętrznie, jak i dostarczane przez dostawców z zewnątrz.

Czytaj także w Bizblog Spider's Web

Jednym z najczęściej spotykanych przypadków AI wysokiego ryzyka są systemy wykorzystywane w dziale kadr. Jeżeli algorytm pomaga selekcjonować kandydatów, analizować CV, oceniać kompetencje lub wspierać decyzje kadrowe, istnieje duże prawdopodobieństwo, że podlega regulacjom dotyczącym wysokiego ryzyka.

Powód jest prosty - tego rodzaju systemy mogą wpływać na szanse zawodowe konkretnych osób, a błędy algorytmu mogą prowadzić do dyskryminacji lub nierównego traktowania. To właśnie dlatego ustawodawca europejski zaliczył zastosowania związane z zatrudnieniem do najbardziej wrażliwych kategorii.

Polecamy: Twoje CV nie ma szans. AI odrzuca ludzi w rekrutacji

Kolejną kategorią wysokiego ryzyka są rozwiązania biometryczne. Obejmuje to nie tylko rozpoznawanie twarzy, ale również inne systemy służące identyfikacji lub kategoryzacji osób na podstawie cech biologicznych. Firmy wykorzystujące monitoring wyposażony w funkcje rozpoznawania osób, systemy kontroli dostępu oparte na biometrii lub narzędzia analizujące zachowania użytkowników, powinny sprawdzić, czy ich zastosowania nie mieszczą się w katalogu wysokiego ryzyka.

Warto pamiętać, że regulacje w tym obszarze pozostają szczególnie restrykcyjne ze względu na powiązanie z ochroną prywatności i danych osobowych.

Jeżeli firma korzysta z AI wysokiego ryzyka, konieczne jest wdrożenie szeregu procedur. Przede wszystkim należy wprowadzić system zarządzania ryzykiem, dokumentować sposób działania modelu, zapewniać odpowiednią jakość danych, prowadzić monitoring działania systemu oraz zagwarantować skuteczny nadzór człowieka.

Ogromne znaczenie ma również prowadzenie dokumentacji technicznej i rejestrowanie zdarzeń związanych z funkcjonowaniem systemu. W praktyce oznacza to konieczność zaangażowania nie tylko działu IT, ale również prawników, specjalistów compliance, ekspertów ds. bezpieczeństwa oraz osób odpowiedzialnych za ochronę danych osobowych.