AI Act – jak klasyfikowane jest ryzyko? Poziomy ryzyka w ustawie o sztucznej inteligencji

Unijna ustawa AI Act klasyfikuje systemy sztucznej inteligencji według czterech różnych poziomów ryzyka: niedopuszczalne, wysokie, średnie i minimalne. Każda kategoria ma inne przepisy i wymagania, którym muszą sprostać organizacje opracowujące lub korzystające z systemów AI. Czego dotyczą te ryzyka? Omawiamy w tym artykule wraz z przykładami.

AI Act, czyli ustawa o sztucznej inteligencji, to ważny krok w rozwoju skutecznych i odpowiedzialnych ram regulacyjnych dotyczących sztucznej inteligencji w Europie. Prawo to ma stworzyć równe warunki działania dla wszystkich przedsiębiorstw, chroniąc jednocześnie prawa i interesy obywateli. Jednym z kluczowych zagadnień jest klasyfikacja systemów sztucznej inteligencji według ryzyka.

Co to jest AI Act?

AI Act (lub AIA od ang. Artificial Intelligence Act) to unijny akt, który nazywamy ustawą o sztucznej inteligencji. Zaproponowana została w kwietniu 2021 roku przez Komisję Europejską. Jest to pierwsza i zarazem tak kompleksowa rama prawna, która z jednej strony ma unormować wykorzystanie systemów sztucznej inteligencji, a z drugiej – zmniejszyć ryzyka z nią powiązane. Jest też trzeci aspekt – ustawa o AI ma ułatwić inwestycje i innowacje w tej dziedzinie.

Więcej o AI Act napisaliśmy w artykule: AI Act – czym jest i kogo dotyczy? Najważniejsze informacje

Klasyfikacje ryzyka według ustawy o sztucznej inteligencji

Jak zarządzać ryzykiem AI ACT?

Sprawdź tutaj

Przy opracowywaniu ustawy priorytetem było ustalenie klasyfikacji systemów sztucznej inteligencji, co też uczyniono na podstawie analizy ryzyk a. Podejście to ułatwiło stworzenie regulacji horyzontalnych, czyli takich mających zastosowanie we wszystkich sektorach.

Ustalono cztery poziomy ryzyka dla systemów sztucznej inteligencji: niedopuszczalne, wysokie, średnie oraz niskie. Omawiamy je pokrótce poniżej wraz z przykładami. Dodajmy tylko, że w zależności od klasyfikacji przyjmuje się trzy rozwiązania. Mianowicie system może zostać całkowicie zakazany; mogą zostać nałożone dodatkowe wymagania do spełnienia lub też użytkownicy wchodzący w interakcję z AI muszą zostać powiadomieni o tej interakcji.

Ważne: Klasyfikacje ryzyka nadal podlegają niewielkim zmianom.

Niedopuszczalne ryzyko

Najwyższy poziom ryzyka. Systemy sztucznej inteligencji związane z tym ryzykiem będą zakazane w UE. Kategorię podzielono na osiem rodzajów zastosowań sztucznej inteligencji.

Z ryzykiem niedopuszczalnym związane są aplikacje AI działające w takich obszarach, jak:

  1. Manipulacja podprogowa: dąży do zmiany zachowania danej osoby bez jej wiedzy, co mogłoby w jakikolwiek sposób jej zaszkodzić. Przykładem może być system wpływający na ludzi, aby ci głosowali na określoną partię polityczną bez ich wiedzy i zgody.
  2. Wykorzystywanie bezbronności osób: wykorzystuje sytuację społeczną lub ekonomiczną, wiek oraz sprawność fizyczną lub umysłową, co skutkuje szkodliwym zachowaniem. Przykładem jest zabawka z asystentem głosowym, która może zachęcać dzieci do robienia niebezpiecznych rzeczy.
  3. Kategoryzacja biometryczna osób na podstawie wrażliwych cech: obejmuje płeć, pochodzenie etniczne, orientację polityczną, religię, orientację seksualną i przekonania filozoficzne.
  4. Punktacja społecznościowa ogólnego przeznaczenia: wykorzystanie systemów sztucznej inteligencji do oceniania osób na podstawie ich cech osobistych, zachowań i działań społecznych, takich jak zakupy online lub interakcje w mediach społecznościowych. Problem polega na tym, że ktoś może na przykład odmówić pracy lub pożyczki ze względu na jego wynik społecznościowy, co może być nieuzasadnione lub nawet niepowiązane z sytuacją.
  5. Zdalna identyfikacja biometryczna w czasie rzeczywistym (w przestrzeni publicznej): systemy identyfikacji biometrycznej zostaną całkowicie zakazane, w tym identyfikacja ex post. Uwzględniono wyjątki dla sytuacji koniecznych do egzekwowania prawa (za zgodą sądu i pod nadzorem) jak zapobieganie terroryzmowi, poszukiwanie poważnych przestępców, podejrzanych lub ofiar przestępstw (np. handel ludźmi, wykorzystywanie seksualne, napad z bronią w ręku, przestępstwa przeciwko środowisku).
  6. Ocena stanu emocjonalnego człowieka: obejmuje systemy sztucznej inteligencji w miejscu pracy lub w edukacji. Może być dopuszczone jako zastosowanie wysokiego ryzyka, jeśli służy celom związanym z bezpieczeństwem (np. wykrywa, czy kierowca zasypia).
  7. Policja predykcyjna: ocena ryzyka popełnienia przez daną osobę przestępstwa w przyszłości na podstawie cech osobowych.
  8. Pobieranie wizerunków twarzy: z Internetu lub nagrań CCTV w celu utworzenia baz danych umożliwiających rozpoznawanie twarzy, które naruszają prawa człowieka.

Wysokie ryzyko

Klasyfikacja systemów AI wysokiego ryzyka była jedną z najbardziej kontrowersyjnych, ponieważ wiąże się ze znacznymi obciążeniami dla organizacji. Jest to jednocześnie najbardziej regulowany obszar. Wszystko przez fakt, że może mieć negatywny wpływ na zdrowie i bezpieczeństwo ludzi, ich prawa podstawowe lub środowisko, zwłaszcza kiedy systemy zawiodą lub będą niewłaściwie wykorzystywane. Aby systemy sztucznej inteligencji należące do tej klasy ryzyka mogły zostać wprowadzone na rynek i eksploatowane w UE, muszą spełniać określone wymagania.

Jakie są systemy sztucznej inteligencji wysokiego ryzyka? Wchodzą tu wszystkie systemy wykorzystujące elementy bezpieczeństwa w systemach regulowanych, takich jak urządzenia medyczne, windy, pojazdy czy maszyny. Ponadto w ustawie wskazano dodatkowe obszary, w których samodzielne systemy sztucznej inteligencji można by zakwalifikować jako obarczone wysokim ryzykiem.

Jakie obszary uznaje się za wysokie ryzyko w ustawie o sztucznej inteligencji? Są to:

  • systemy biometryczne i systemy oparte na biometrii, takie jak biometryczna identyfikacja i kategoryzacja osób;
  • zarządzanie i eksploatacja infrastruktury krytycznej, np. ruch drogowy i dostawy energii;
  • kształcenie i szkolenie zawodowe, w tym ocena uczniów w placówkach edukacyjnych;
  • zarządzanie zatrudnieniem i pracownikami, np. rekrutacja, ocena wyników lub przydział zadań;
  • dostęp do podstawowych usług, korzyści prywatnych i publicznych, takich jak punktacja kredytowa i wysyłanie służb ratunkowych;
  • egzekwowanie prawa, np. ocena wiarygodności dowodów lub analityka kryminalna;
  • zarządzanie migracją, azylem i kontrolą graniczną, np. ocena ryzyka bezpieczeństwa osoby lub rozpatrywanie wniosków o azyl, wizę lub zezwolenie na pobyt;
  • administrowanie wymiarem sprawiedliwości i procesami demokratycznymi, takimi jak pomoc w interpretacji i badaniu faktów, prawa i stosowania prawa lub w kampaniach politycznych.

Średnie ryzyko

Trzeci poziom to ryzyko ograniczone, średnie, które obejmuje systemy AI obarczone ryzykiem manipulacji lub oszustwa. Systemy sztucznej inteligencji należące do tej kategorii muszą być przejrzyste, co oznacza, że ludzie muszą być informowani o swoich interakcjach ze sztuczną inteligencją (chyba że jest to oczywiste), a wszelkie głębokie podróbki powinny być jako takie oznaczane. Jest to szczególnie istotne w przypadku generatywnych systemów sztucznej inteligencji i ich zawartości. W tej kategorii znajdziemy m.in. chatboty oraz deep fake’i.

Niskie ryzyko

Najniższy poziom ryzyka, określany jako ryzyko minimalne. Obejmuje wszystkie systemy sztucznej inteligencji, które nie mieszczą się w powyższych kategoriach, np. filtr spamu. Na te systemy nie nakłada się żadnych ograniczeń ani obowiązkowych obowiązków. Rekomenduje się jednak przestrzeganie ogólnych zasad, takich jak nadzór człowieka, niedyskryminacja i sprawiedliwość.

Sprawdź też: Jak zarządzać ryzykiem związanym ze sztuczną inteligencją?

GPAI też podlega AI Act

Pierwotna wersja ustawy AI skupiła się na klasyfikacji ryzyka w zależności od użycia systemu sztucznej inteligencji i nie wspominała o systemach ogólnego przeznaczenia (GPAI) takich jak OpenAI czy Aleph Alpha. Szybko to naprawiono. Jest to o tyle istotne, że w przypadku GPAI nie ma mowy o ograniczeniu ich użycia – są to maszyny mające szeroki zakres zastosowań; wykonują szereg zadań intelektualnych, odzwierciedlających zdolności poznawcze człowieka. W przeciwieństwie do wyspecjalizowanych systemów AI GPAI stara się naśladować ludzką inteligencję w różnych działaniach.

Dla modeli sztucznej inteligencji ogólnego przeznaczenia (GPAI) ustawa UE rozróżnia dwie klasy ryzyka: ryzyko niesystemowe i ryzyko systemowe, w zależności od mocy obliczeniowej wymaganej do wytrenowania modelu. Wszystkie modele GPAI podlegają obowiązkom w zakresie przejrzystości, które stają się bardziej rygorystyczne w przypadku istnienia ryzyka systemowego, tj. jeśli model jest bardzo skuteczny. Twórcy GPAI będą musieli udostępniać odpowiednie informacje dalszym dostawcom, którzy korzystają z tych modeli w zastosowaniach wysokiego ryzyka. W ich obowiązku będzie m.in. stworzenie i utrzymywanie dokumentacji technicznej, opracowanie polityki respektowania prawa autorskiego oraz stworzenie szczegółowego podsumowania treści wykorzystywanych do szkolenia modelu GPAI.

Warto odnotować, że publicznie dostępne modele open source mogą uniknąć bardziej rygorystycznych wymagań, jeśli ich licencja umożliwia dostęp, użytkowanie, modyfikację i dystrybucję modelu i jego parametrów. Zasada ta obowiązuje, o ile nie ma związku z aplikacjami wysokiego ryzyka lub zabronionymi, ani też nie ma ryzyka manipulacji.

Jak zarządzać ryzykiem AI ACT?

Sprawdź tutaj

Jak zarządzać ryzykiem i przygotować się na AI Act?

Systemy sztucznej inteligencji będą ściśle regulowane na rynku UE, szczególnie te o wysokim ryzyku. To z kolei nakłada na organizacje znaczne obciążenia, związane ze spełnieniem unijnych wymagań. Jednak w praktyce każdy system będzie musiał zapewniać przejrzystość i bezpieczeństwo, a także ograniczać ryzyko manipulacji lub oszustwa. Nawet jeśli przedsiębiorstwo wykorzystuje lub tworzy systemy AI o niskim ryzyku, zaleca się przestrzegać ogólnych zasad i wymogów.

Już dziś warto się przygotować do rozporządzenia AI Act. Pomożemy Ci w tym!

Przygotujemy i przeprowadzimy audyt sprawdzający zgodność opracowanego systemu sztucznej inteligencji z unijną ustawą. Sprawdzimy, jak monitorowane jest ryzyko. Ocenimy przejrzystość modelu oraz bezpieczeństwo. Skontaktuj się z nami i już na wczesnym etapie ogranicz potencjalne ryzyko oraz zyskaj gwarancję pozytywnego wyniku audytu UE. Pomożemy Ci w pełni zrozumieć proces rozwoju sztucznej inteligencji i przygotujemy Cię na AI Act.

Szkolenie AI ACt - terminy - wprowadzenie do zarzadzania ryzykiem
Sprawdź szkolenia
Szkolenie

Wprowadzenie do Ustawy o Sztucznej Inteligencji (AI Act)

Dowiedz się więcej
Szkolenie

DORA: Podstawy, Zarządzanie Ryzykiem i Przygotowanie Organizacji

Dowiedz się więcej
Szkolenie

Szkolenie dotyczące wymagań Dyrektywy NIS2

Dowiedz się więcej
CZYTAJ, OGLĄDAJ, SUBSKRYBUJ
Poradnik

Raportowanie ESG – kogo dotyczy i czy jest obowiązkowe?

Czytaj dalej
Poradnik

AI Act – jak klasyfikowane jest ryzyko? Poziomy ryzyka w ustawie o sztucznej inteligencji

Czytaj dalej
Poradnik

Ryzyka ESG i ich wpływ na biznes. Jakie są ryzyka i jak mogą zakłócić funkcjonowanie Twojej organizacji?

Czytaj dalej

O Autorze

Maciej Klichowski
Absolwent kierunku Zarządzanie, Uniwersytetu Ekonomicznego w Poznaniu, ze specjalizacją handel i marketing. Specjalista z kilkuletnim doświadczeniem w pracy jako sales manager. Ze sprzedażą związany od zawsze. W PBSG pracuje jako account manager, gdzie dalej rozwija swoje umiejętności handlowe. Nerd i sportowiec w jednej osobie. Od najmłodszych lat związany z konińskim klubem sportowym. Prywatnie aktywność sportowa i rozwój osobisty to to co go pochłania. Obecnie mieszka w Poznaniu, do którego przyjechał po opuszczeniu rodzinnego miasta – Konina.