Kodeks Postępowania w ramach AI Act. Kluczowy element przyszłej regulacji AI

W kontekście wdrażania Aktu w sprawie sztucznej inteligencji (AI Act) w Unii Europejskiej Kodeks Postępowania (Code of Practice) dla dostawców sztucznej inteligencji ogólnego przeznaczenia (GPAI) stanowi przełomową inicjatywę, której celem jest ustanowienie zasad odpowiedzialnego rozwoju i wdrażania tych systemów.

Marcin Ręgorowicz

#Sztuczna Inteligencja
#Prawo
#Legal
#Sztuczna inteligencja i regulowanie innowacji

Opublikowano 18 grudnia 2024, 06:03

Współautor: Szymon Skalski, Associate EY Law

Opublikowany pierwszy projekt Kodeksu, opracowany przez cztery wyspecjalizowane grupy robocze, wyznacza ramy współpracy między różnymi interesariuszami – przedstawicielami branży, społeczeństwa obywatelskiego oraz środowiska akademickiego – i ma na uwadze różnorodne zagrożenia systemowe, jakie GPAI może nieść w przyszłości.

Więcej na temat związany z regulacjami sztucznej inteligencji w Unii Europejskiej możecie przeczytać tutaj. W podlinkowanej kategorii znajdziecie teksty tworzone przez ekspertów EY Law.

Struktura Kodeksu i priorytetowe obszary działania

Kodeks Postępowania, wprowadzony zgodnie z art. 56 AI Act, pełni funkcję wytycznych, które umożliwiają dostawcom GPAI wypracowanie zgodności z regulacjami w okresie przejściowym, zanim zostaną ustanowione bardziej szczegółowe standardy. Chociaż obecna wersja Kodeksu znajduje się na wczesnym etapie i skupia się głównie na ogólnych zasadach, jego pierwsza iteracja wyznacza sześć kluczowych zasad mających na celu wdrożenie ram dla rozwoju GPAI, a są nimi:

zgodność z wartościami UE – zgodność z podstawowymi wartościami UE, w tym z Kartą Praw Podstawowych, demokracją oraz rządami prawa;
wyrównanie z AI Act i podejściami międzynarodowymi – przestrzeganie wytycznych AI Act oraz, jeśli to możliwe, dostosowanie się do międzynarodowych standardów i dobrych praktyk;
proporcjonalność do ryzyka – dostosowanie środków do poziomu ryzyka, a więc bardziej rygorystycznych w przypadku większych zagrożeń;
dostosowanie do rozwoju technologii – możliwość aktualizacji wymogów w związku z szybkim rozwojem technologii;
wsparcie rozwoju ekosystemu bezpieczeństwa AI – wspieranie przez Kodeks Postępowania rozwoju bezpiecznych praktyk AI w całej Unii Europejskiej, a przez to uniknięcie rozdrobnienia regulacji na poziomie krajowym;
proporcjonalność do wielkości dostawcy – uwzględnienie wielkości dostawcy w celu chronienia mniejszych graczy przed nadmiernym obciążeniem.

Proces tworzenia Kodeksu i konsultacji

Pierwszy projekt Kodeksu jest wynikiem konsultacji z niemal 430 uczestnikami wraz ze wsparciem międzynarodowych ekspertów, którzy aktywnie uczestniczyli w warsztatach i sesjach roboczych. Każda z czterech grup roboczych koncentrowała się na innym kluczowym aspekcie regulacyjnym, w tym przejrzystości, identyfikacji i ocenie ryzyka, technicznych środkach zapobiegawczych oraz odpowiedzialności zarządczej w kontekście systemów sztucznej inteligencji z ryzykiem systemowym.

Choć projekt charakteryzuje się wysokim poziomem ogólności, jego struktura opiera się na założeniu, że z czasem zostaną wdrożone bardziej szczegółowe wskaźniki oraz „podśrodki” dla skuteczniejszej regulacji GPAI.

Kluczowe obszary Kodeksu Postępowania

Pierwszy projekt Kodeksu wyznacza priorytetowe działania w następujących obszarach:

Przejrzystość i dokumentacja

Zgodnie z art. 53 AI Act dostawcy mają obowiązek prowadzenia dokumentacji technicznej i udostępniania jej zarówno Europejskiemu Urzędowi ds. Sztucznej Inteligencji, jak i dostawcom systemów downstream. Zapewnienie dostępności dokumentacji i informacji o modelu, takich jak polityka akceptowalnego użytkowania, architektura, liczba parametrów czy modalności wejścia i wyjścia, jest kluczowe dla przejrzystości i zgodności z regulacjami.

Ochrona praw autorskich

Zgodnie z art. 53(1)(c) Kodeks wymaga od dostawców opracowania polityki przestrzegania prawa autorskiego, uwzględniającej przepisy unijne dotyczące wyjątków i ograniczeń w zakresie eksploracji danych (TDM).

Identyfikacja i ocena ryzyka systemowego

Kodeks definiuje systematyczny proces identyfikacji ryzyk, a także szczegółowy plan oceny ryzyk o szczególnym znaczeniu, takich jak perswazja, dezinformacja, manipulacja. Podejście proporcjonalności sugeruje, że bardziej złożone i ryzykowne modele powinny podlegać bardziej szczegółowej analizie ryzyka.

Techniczne środki zapobiegawcze i bezpieczeństwo

Kodeks wymaga od dostawców stosowania zaawansowanych metod testowania i raportowania w zakresie bezpieczeństwa. Szczegółowa ocena ryzyka i środków zapobiegawczych, takich jak modyfikacje zachowań modeli, zabezpieczenia technologiczne i cykliczne testowanie, są niezbędne, zwłaszcza dla modeli o wysokim poziomie ryzyka.

Wyzwania i dalsze kroki

Pierwszy projekt Kodeksu, choć oparty na założeniach, że liczba systemów GPAI z ryzykiem systemowym będzie nadal ograniczona, pozostawia miejsce na dalsze iteracje i rozwój, aby dostosować przepisy do nowych technologii i praktyk rynkowych. Przewiduje się kolejne konsultacje oraz poprawki, które mają na celu dostosowanie Kodeksu do zmieniających się potrzeb rynkowych i prawnych w miarę rozwoju AI. Kodeks ma być finalnie gotowy do 1 maja 2025 r.

Znaczenie Kodeksu Postępowania dla sektora finansowego

Dla sektora finansowego Kodeks Postępowania w ramach AI Act ma szczególne znaczenie, ponieważ wykorzystanie modeli AI ogólnego przeznaczenia (GPAI), szczególnie generatywnych systemów AI, staje się coraz bardziej powszechne w takich obszarach, jak: analiza ryzyka kredytowego, personalizacja ofert, wykrywanie oszustw czy zarządzanie relacjami z klientami. Kodeks wymaga od dostawców modeli GPAI zapewnienia pełnej dokumentacji oraz transparentności dotyczącej zastosowanych algorytmów i procesów szkoleniowych, co jest kluczowe w kontekście przestrzegania przepisów o ochronie danych i praw konsumentów. Zgodnie z AI Act instytucje finansowe będą miały dostęp do informacji o możliwościach i ograniczeniach tych modeli, dzięki czemu będą mogły w sposób odpowiedzialny włączać technologie AI w swoje systemy oraz właściwie zarządzać ryzykiem związanym z ich zastosowaniem.

Kodeks, poprzez precyzyjne wytyczne dotyczące oceny ryzyka systemowego i mechanizmów jego łagodzenia, umożliwia sektorowi finansowemu bardziej świadome podejmowanie decyzji związanych z wdrażaniem technologii GPAI. To w szczególności wymagania w zakresie dokumentacji technicznej, analizy ryzyk oraz stosowania środków zapobiegawczych, w tym audytów i monitorowania po wdrożeniu, zapewniają instytucjom finansowym narzędzia do skutecznego zarządzania ryzykiem operacyjnym i do ochrony prywatności klientów. Dodatkowo istotnym wsparciem w zapobieganiu potencjalnym nadużyciom są obowiązek zgłaszania incydentów i mechanizmy whistleblowingowe, co jest szczególnie ważne w sektorze o wysokiej wrażliwości na naruszenia danych i manipulację informacją.

Kodeks Postępowania pozwala również na harmonizację zasad w całej UE, a to eliminuje problem rozdrobnienia regulacyjnego na rynkach krajowych i zapewnia spójność standardów dla instytucji działających transgranicznie. Dzięki temu sektor finansowy zyskuje stabilne ramy regulacyjne dla wdrażania technologii AI, co sprzyja ochronie klientów i innowacyjności, przy jednoczesnym zachowaniu zgodności z przepisami.

PARTNERZY:

Ostatnie podcasty

▶

#Podcasty Sfintechowani

O nowych technologiach i młodym pokoleniu, które wchodzi na rynek finansowy [Podcast]

▶

#Podcasty Sfintechowani

AI & Machine Learning transformują branżę finansową. Czy polskie firmy są gotowe?

▶

#Podcasty Sfintechowani

Hakerzy rosną w siłę. Poznaj strategię cyberbezpieczeństwa Prebytes [Podcast]

▶

#Podcasty Sfintechowani

Fenige kończy 10 lat i przechodzi rebranding [Podcast]

▶

#Podcasty Sfintechowani

System workflow w bankowości. O zaletach i możliwościach [Podcast]

Podcasty