– Jeżeli przedsiębiorca decyduje się wdrażać model biznesowy oparty na sztucznej inteligencji, to śledzenie przepisów, odnoszących się do jego obszaru zainteresowań, jest obowiązkiem. Przepisy będą się zmieniać bardzo szybko i będą coraz mniej kompatybilne do obowiązujących – mówi mecenas Michał Kibil.
– Nasza rzeczywistość zmienia się drastycznie w obszarze sztucznej inteligencji. AI zdominowała technologie innowacyjne. W ciągu półtora roku z typowo hype’owej konstrukcji (krzywa hype’u Gaertnera – wykres obrazujący kolejne cykle zainteresowania i wykorzystywania nowych technologii przez poszczególne branże – red. ) stała się rozwiązaniem wykorzystywanym biznesowo – zwraca uwagę Michał Kibil.
Jak to może wyglądać pokazał nam w ostatnich miesiącach czat GPT, który wywrócił stolik i zmusił do zmiany dopiero co wypracowanych regulacji AI ACT. Nikt nie spodziewał się bowiem, że powstanie system przyuczony na tak dużej bazie danych i tak komunikatywny dla użytkowników. Sztuczna inteligencja będzie nas zaskakiwać coraz szybciej i częściej, a prawo może za nią nie nadążyć.
– Nowe technologie rozwijają się wykładniczo – tłumaczy Michał Kibil. – Z każdym kolejnym rokiem wzrasta zarówno moc obliczeniowa, jak i pamięć komputerów; takie jest też tempo rozwoju wszystkich biznesów, również tych opartych na technologiach. I tego nie jesteśmy w stanie nadgonić, bo regulacje prawne rozwijają się liniowo – mówi ekspert.
Co to oznacza? Konserwatywny świat regulacji zderza się na naszych oczach z technologiami, które będą się rozwijać, a ludzie będą w nie inwestować, bo dzięki nim są w stanie eliminować błędy, przyspieszać procesy w przedsiębiorstwach, zabezpieczać organizacje na różnych poziomach, ograniczać koszty, poprawić komunikację. – Tyle że AI jest przy tym wszystkim nadal tylko technologią. Jako technologia może popełniać błędy, o czym przedsiębiorcy muszą pamiętać – przypomina mec. Kibil. I dodaje: – Z mojego punktu widzenia największym wyzwaniem jest aspekt prawny, bo prawo nie nadąża za rozwojem technologii, nie ma jednego unormowanego kodeksu, który dotyczyłby AI, czy w ogóle technologii.
Po pierwsze przepisy
Michał Kibil przypomina, że tworzenie prawa wymaga czasem kilku lat, podczas gdy rozwiązania oparte na AI mogą ewoluować w tym czasie na wiele sposobów, co pokazał wspomniany czat GPT.
– Jeżeli przedsiębiorca decyduje się wdrażać model biznesowy oparty na sztucznej inteligencji to bieżące śledzenie przepisów odnoszących się do obszaru jego zainteresowań jest obowiązkiem. Przepisy będą się zmieniać bardzo szybko i będą coraz mniej kompatybilne do obowiązujących – mówi ekspert.
Decyzja w jakim celu chce się tworzyć i stosować AI, jaki ma być role model narzędzia będzie determinować użycie określonych regulacji prawnych. Dlatego warto odpowiedzieć sobie na kilka pytań – sugeruje prawnik:
- W jakim modelu powstanie narzędzie (Saas czy on-premises) – w zależności od tego definiowane będą zarówno zapisy umów, które są elementem systemu prawnego, do którego trzeba się odnosić, jak i istotnych regulacji, innych w przypadku danych osobowych w modelach chmurowych, a innych w modelach on-promises i instalacji oprogramowania na serwerach klienta.
- Jakie funkcjonalności mają one zapewniać – finansowe, HR-owe, inne.
- Do jakich danych system będzie mieć dostęp – czy będzie przetwarzać dane osobowe (wtedy RODO), czy będzie przetwarzać dane objęte prawem autorskim, a może dane publiczne, które zostały udostępnione do przyuczenia modelu.
- Kto będzie klientem docelowym i gdzie będzie rozwijane oprogramowanie – na rynku europejskim, czy w USA lub Azji.
- Jak chcemy zaadresować prawa autorskie – zarówno przy przyuczaniu modelu, jak i przy wykorzystywaniu narzędzia.
RODO to podstawa
W większości przypadków regulacją, do której powinni dostosować się przedsiębiorcy jest RODO. – To pierwsza regulacja w UE, stworzona tak, by podążać za rozwojem technologii. Ma odniesienie do wszystkich, którzy przetwarzają jakiekolwiek dane osobowe i każdego kto buduje system oparty na sztucznej inteligencji, mający na celu przetwarzanie danych osobowych – wyjaśnia mec. Kibil. – Dotyczy też zarówno administratorów danych osobowych, jak i tych, którzy są podwykonawcami. Mitem jest, że nie trzeba dostosować się do RODO, jeśli jest się tylko dostawcą narzędzia, które te dane przetwarza. Za niezabezpieczenie danych grozi odpowiedzialność i wobec Prezesa UODO, i wobec klienta za ich ujawnienie, przetwarzanie niezgodne z wiedzą, niepoinformowanie użytkowników o sposobie przetwarzania – przestrzega Kibil.
RODO będzie mieć szerokie zastosowanie, bo kwestią podstawową jest zabezpieczenie danych przed ich utratą albo ujawnieniem. W przypadku oparcia się na systemach sztucznej inteligencji będzie to naprawdę wyzwanie, bo choćby dane wykorzystywane do przyuczenia algorytmu i do wytrenowania sieci neuronowych nie muszą być przetrzymywane w modelu, w którym ich bezpieczeństwo na serwerze będzie pewne. Także podczas przesyłania na inny serwer trzeba dane szczególnie zabezpieczyć, bo jesteśmy za nie odpowiedzialni. – Zawsze musimy mieć podstawę do przetwarzania danych osobowych, a osoby których dane przetwarzamy, muszą być poinformowane w jakim celu się to odbywa i jak mogą się odwołać od decyzji algorytmów do człowieka (choćby przy procesie rekrutacji prowadzonym z wykorzystaniem AI) – przypomina Michał Kibil.
Przy stosowaniu RODO w AI konieczna jest też wiedza: czy przetwarzanie danych odbywa się w ramach systemu RPA (zrobotyzowana automatyzacja procesów), kogo terytorialnie dotyczy regulacja (nie tylko osób, których dane są umiejscowione na serwerach UE, ale wszystkich usług świadczonych na terytorium UE lub z terytorium UE), kto jest administratorem danych (pierwotny podmiot) a kto procesorem (podwykonawcy z dostępem do danych), jak realizowane jest bezpieczeństwo danych na poziomie privacy by design ( tworząc architekturę systemu należy mieć świadomość jak dane będą przetwarzane) i w privacy by default (w samym procesie przetwarzania). Ponadto nieustannie towarzyszącym pytaniem powinno być to, czy wszystkie dane na pewno są niezbędne do przetwarzania. – Jeśli myślicie na serio o dostarczaniu jakiegokolwiek narzędzia, dzięki któremu dane będą przetwarzane, zróbcie to wszystko – mówi Michał Kibil. Wdrożenie RODO, audyt, analiza ryzyka DPIA, przygotowanie dokumentacji – to podstawa. Nie można też pominąć kwestiipseudonimizacji i anonimizacji danych (to nie są synonimy!). Jeśli pracujemy na zanonimizowanych danych, wtedy nie przetwarzamy danych osobowych, bo nie potrafimy przypisać ich do konkretnych osób – przypomina Kibil.
Dobrym nawykiem jest też przygotowanie short checkboxa, który pozwoli opracować bazę danych ze szczegółami dotyczącymi ich przetwarzania: gdzie dane są przechowywane, jakie są okresy retencji, które dane musimy przetwarzać, czy baza użyta do przyuczania jest nam konieczna czy można ją usunąć i uniknąć narażenia się na zarzut przetrzymywania danych, jak odpowiednio zaprojektować infrastrukturę oprogramowania, by móc udowodnić, że zabezpiecza ona dane czy wreszcie na jakich danych będzie przyuczana AI, jakie inne dane mogą zidentyfikować osoby i jakie inne dane mogą być zapisane na serwerach.
Prawa autorskie
Czy szympans bonobo, który sam zrobił sobie zdjęcie ma coś wspólnego ze sztuczną inteligencją? W kontekście AI i prawa okazuje się, że tak, odkąd sąd orzekł, że szympans nie może być twórcą, bo nie jest człowiekiem, podczas gdy utworem jest tylko wytwór człowieka. Zdjęcie zrobione przez małpę pozostaje w domenie publicznej, nikt nie ma do niego ani majątkowych, ani osobistych praw autorskich. Podobnie jest w przypadku sztucznej inteligencji, a to oznacza, że na tym co wytworzy AI ciężko będzie zarabiać. – Nie zarobicie na przenoszeniu praw do utworów, a jedynie na usługach – uprzedza ekspert.
Ale kwestia praw autorskich jest znacznie szersza w kontekście sztucznej inteligencji. Kto ma na przykład prawo do oprogramowania? – Sam algorytm i sieć neuronowa nie są objęte prawami autorskimi, ale już zamknięte oprogramowanie, wykorzystujące tę sieć neuronową owszem – zwraca uwagę mec. Kibil. Wg prawnika algorytm może być chroniony jako know how, ale nie na gruncie praw autorskich, lecz ustawy o przeciwdziałaniu nieuczciwej konkurencji. A jak prawo chroni IP w AI? Michał Kibil przypomina, że w przypadku gdy nie chodzi o oprogramowanie, przysługuje nam prawo do żądania zaprzestania naruszeń a nawet odszkodowania. W przypadku oprogramowania roszczenie o jego ochronę. – Pamiętajcie, by przyuczając AI nie naruszać praw innych podmiotów – przypomina ekspert. – Wykorzystując do uczenia dzieła, do których wykorzystania nie mamy uprawnień ryzykujemy odpowiedzialnością odszkodowawczą a nawet koniecznością zwrócenia zysków, które osiągnęliśmy z naruszania praw autorskich.
Inne regulacje mające zastosowanie do AI
Michał Kibil wymienia kilka: Data Governance Act (rozporządzenie w sprawie zarzadzania danymi), który może pomoc w rozwijaniu algorytmów sztucznej inteligencji, Kodeks pracy – bo dotyka kwestii podnoszonych także w kontekście AI i zakazu dyskryminacji, DORA (bezpieczeństwo finansowe), NIS/NIS2 – (cyberbezpieczeństwo), AI ACT, który stanie się regulacją przełomową, wprowadzając nową definicję sztucznej inteligencji.
Umowa niemniej ważna niż przepisy
Ustalenie warunków umowy jest kluczowe – przekonuje mec. Michał Kibil. Jej kształt będzie zależeć od tego w jakim modelu wdrażane będzie AI, jaki będzie model licencjonowania oprogramowania, jak będzie się wdrażać prawa autorskie, jaka będzie odpowiedzialność stron, jakie będą elementy poufności dotyczące algorytmu, czas dostępności systemu, zasady przetwarzania danych, odpowiedzialność stron za przyuczenie algorytmu, czy czas trwania umowy.