Kilka słów o projekcie rozporządzenia AI Act

0
964

Rozwój technologiczny dotyczy każdej branży, w tym ubezpieczeniowej. Tu dane odgrywają istotną rolę, szczególnie przy tworzeniu odpowiednich algorytmów, dzięki którym wprowadzanie do obrotu produktów może być jeszcze bardziej „szyte na miarę”.

Po wejściu w życie ustawy o dystrybucji ubezpieczeń, która kładzie ogromny nacisk na to, aby oferta była idealnie dopasowana do danego klienta i spełniała jego oczekiwania, AI rzuca nowe światło na rozwiązania w danym sektorze.

Systemy AI mogą wiele wnieść do rozwoju rynku, ale też budzą wiele wątpliwości, jak chociażby to, czy będzie ona respektować nasze wartości, prawa podstawowe, m.in. godność ludzką, ochronę prywatności, etykę. Akt o sztucznej inteligencji, choć obecnie jest jedynie projektem rozporządzenia, rysuje jednak pewien pogląd na obowiązki i cele, jakie warto mieć na uwadze.

Oprócz projektu AI Act jakiś czas temu Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) opublikował istotny dokument dla sektora ubezpieczeń: Artificial Intelligence Governance Principles: Towards Ethical and Trustworthy Artificial Intelligence in the European Insurance Sector, w którym to możemy zauważyć te same cele, jakie przyświecają rozwojowi AI w Europie, a które często poruszane są przy projekcie AI Act.

System AI w definicji

W projekcie zdefiniowano, czym w ogóle jest systemAI.Przeczytamy, że oznacza on oprogramowanie opracowane przy użyciu co najmniej jednej spośród technik i podejść wymienionych w załączniku I do projektu rozporządzenia, które może – dla danego zestawu celów określonych przez człowieka – generować wyniki, takie jak treści, przewidywania, zalecenia lub decyzje wpływające na środowiska, z którymi wchodzi w interakcję.

Z samej definicji dowiadujemy się kilku kwestii. Po pierwsze, AI oznacza pewnego rodzaju oprogramowanie, które jest wytworzone (opracowane) przy użyciu technik i podejścia, a które to wskazują (zgodnie z załącznikiem nr I) na takie kwestie, jak:

„a) mechanizmy uczenia maszynowego, w tym uczenie nadzorowane, uczenie się maszyn bez nadzoru i uczenie przez wzmacnianie, z wykorzystaniem szerokiej gamy metod, w tym uczenia głębokiego;

b) metody oparte na logice i wiedzy, w tym reprezentacja wiedzy, indukcyjne programowanie (logiczne), bazy wiedzy, silniki inferencyjne i dedukcyjne, rozumowanie (symboliczne) i systemy ekspertowe;

c) podejścia statystyczne, estymacja bayesowska, metody wyszukiwania i optymalizacji”.

Nie ulega wątpliwości, że wskazana lista z załącznika I obrazuje dość szeroki zakres. Należy mieć na uwadze, że ów zakres rozwiązań informatycznych (inaczej niż aspektów prawnych) nie zawsze jest równy rozwojowi metod matematycznych czy metod rozwoju oprogramowania, języków tego oprogramowania itp. Co w ostateczności może powodować pewnego rodzaju „uniwersalność” tejże listy podczas interpretacji w przyszłości.

Podejście oparte na analizie ryzyka

Podobnie jak w zakresie RODO, przy tworzeniu sztucznej inteligencji należy opierać się na podejściu opartym na analizie ryzyka. Według KE takie podejście powinno polegać na dostosowywaniu rodzaju i treści zasad do intensywności i zakresu zagrożeń, jakie mogą powodować systemy sztucznej inteligencji. Ryzyko sklasyfikowano jako: niedopuszczalne ryzyko, wysokie ryzyko oraz niskie lub minimalne ryzyko.

W projekcie wskazuje się, że systemy AI wysokiego ryzyka – a do tych najczęściej jest odniesienie, powinny podlegać wymogom dotyczącym jakości nie tylko oprogramowania, ale również wykorzystywanych – co w przypadku danych ubezpieczeniowych może mieć znaczenie – zbiorów danych, dokumentacji technicznej, rejestrowania zdarzeń, przejrzystości i przekazywania informacji użytkownikom, nadzoru ze strony człowieka oraz solidności, dokładności i cyberbezpieczeństwa. Istotnym aspektem wymagającym podkreślenia jest fakt, aby rozwiązania wykorzystujące AI nie dopuszczały się dyskryminacji.

Dodatkowo warto podkreślić, że wysokiej jakości zbiory danych treningowych, walidacyjnych i testowych wymagają wdrożenia odpowiednich praktyk w zakresie zarządzania danymi, a co za tym idzie, muszą być solidnie przygotowane na podstawie określonych standardów i polityki.

Jak wskazuje się w projekcie rozporządzenia, zbiory danych treningowych, walidacyjnych i testowych powinny być wystarczająco adekwatne, reprezentatywne i wolne od błędów oraz kompletne z punktu widzenia przeznaczenia systemu. Powinny one również charakteryzować się odpowiednimi właściwościami statystycznymi, w tym w odniesieniu do osób lub grup osób, wobec których system ma być wykorzystywany.

Obowiązki wynikające z projektu

Nie ulega wątpliwości, że obowiązki nakładane w projekcie rozporządzenia to m.in.:

Obowiązki informacyjne: aby osoby fizyczne korzystające z rozwiązań AI wiedziały, że prowadzą interakcję z AI, oraz znały wykorzystywany zakres, przykładowo m.in.: kategoryzację emocji, technikę biometryczną itp.

Nadzór człowieka: systemy AI należy projektować i opracowywać w taki sposób, aby osoby fizyczne mogły nadzorować ich funkcjonowanie.

Solidność techniczna: Zgodnie z motywem 50 AI Act kluczowym wymogiem dotyczącym systemów AI jest solidność techniczna. Przeciwdziałanie wszelkim błędom, usterkom itp.

Cyberbezpieczeństwo i zarządzanie danymi: wdrożenie odpowiednich i adekwatnych środków bezpieczeństwa i ochrony danych, z uwzględnieniem również w stosownych przypadkach infrastruktury ICT, na której opiera się dany system oraz przepisy prawa.

Odpowiedzialność: należy zapewnić, aby odpowiedzialność za wprowadzenie do obrotu lub oddanie do użytku systemu AI wysokiego ryzyka brała na siebie konkretna osoba fizyczna lub prawna określona jako dostawca. Ponieważ zakres jak i sam projekt jest cały czas w trakcie prac, wszystko może jeszcze ulegać zmianom.

System zarządzania jakością: dostawca powinien ustanowić skuteczny system zarządzania jakością, zapewnić przeprowadzenie wymaganej procedury oceny zgodności, sporządzić odpowiednią dokumentację i ustanowić solidny system monitorowania po wprowadzeniu do obrotu.

Stworzenie instrukcji obsługi systemu AI oraz w stosownych przypadkach należy przewidzieć określone inne obowiązki w odniesieniu do monitorowania funkcjonowania systemów AI oraz rejestrowania zdarzeń.

Wspólna współpraca do wspólnego celu: podmioty w szczególności zajmujące się sprzedażą i dostarczaniem oprogramowania, narzędzi i elementów oprogramowania, wcześniej wytrenowanych modeli i danych lub dostawcy usług sieciowych, powinny współpracować w stosownych przypadkach z dostawcami i użytkownikami, aby umożliwić im wypełnianie obowiązków.

Oznakowanie CE: systemy powinny posiadać oznakowanie CE świadczące o ich zgodności z rozporządzeniem, aby umożliwić ich swobodny przepływ na rynku wewnętrznym.

Obowiązek rejestracji: planowane jest stworzenie unijnej bazy danych, do której będzie konieczność obowiązkowej rejestracji systemów AI.

Ocena zgodności: przed oddaniem do użytku systemów z wykorzystaniem AI konieczne jest poddanie go odpowiedniej ocenie zgodności.

Monitorowanie i działania naprawcze: po wprowadzeniu do obrotu powinno odbywać się „monitorowanie”, które oznacza wszelkie działania mające na celu stwierdzenia ewentualnej konieczności natychmiastowego zastosowania niezbędnych działań naprawczych lub zapobiegawczych.

Mimo iż obowiązków jest bardzo wiele, warto podkreślić, że prace nad rozporządzeniem ciągle trwają i projekt może zmienić swój kształt, a co za tym idzie, również zakres obowiązków.

Charlotta Lendzion
prawniczka, ACO, konsultantka w zakresie testów oprogramowania w Soflab Technology sp. z o.o., test manager ISTQB, audytorka wewnętrzna zarządzania jakością oraz bezpieczeństwa informacji


Wnioski płynące z projektu

  • Projekt zakłada wiele określonych definicji związanych z AI, które mają istotne znaczenie.
  • Projekt zakłada podejście oparte na analizie ryzyka.
  • Projekt zakłada sklasyfikowanie ryzyka na niedopuszczalne ryzyko, wysokie ryzyko oraz niskie lub minimalne ryzyko.
  • Projekt zakłada obowiązki informacyjne mające na celu informowanie odbiorców o zakresie działania AI.
  • Projekt zakłada, aby został wprowadzony system zarządzania jakością.
  • Projekt zakłada stworzenie instrukcji obsługi danego systemu AI.
  • Projekt zakłada, aby systemy AI posiadały oznakowanie CE świadczące o ich zgodności z rozporządzeniem.
  • Projekt zakłada, aby była realizowana ocena zgodności przed oddaniem do użytku.
  • Projekt zakłada, aby przeprowadzać odpowiednie monitorowanie i działania naprawcze po wprowadzeniu do obrotu rozwiązań AI.