Nasazení GenAI komplikuje změť různých regulačních opatření

Olivia Rempe
Včera

Autor: Computerworld.cz s využitím Dall-E
Systémy umělé inteligence výrazně ovlivňuje spousta různých regulačních orgánů. Zorientujte se v globální mozaice zákonů týkajících se generativní umělé inteligence (GenAI).

Společnosti začaly budovat výkonné generativní systémy umělé inteligence, ale zjišťují, že jejich povinnosti v oblasti dodržování předpisů se mění pokaždé, když překročí hranice.

Od nařízení GDPR a zákona EU o umělé inteligenci (AI Act) přes kalifornský zákon CCPA/CPRA až po HIPAA zaměřený na regulace zdravotnických dat – organizace čelí rychle se vyvíjející a často protichůdné síti předpisů.

Pro vývojáře i týmy zajišťující dodržování předpisů už nejde pouze o budování bezpečných a inovativních systémů umělé inteligence. Jde o vytváření systémů, které se dokážou přizpůsobit regulačnímu kaleidoskopu.

Složité dodržování předpisů

Umělá inteligence – zejména GenAI – se do současných právních regulí nevejde. Na rozdíl od tradičních softwarových systémů se generativní AI často trénuje na rozsáhlých datových souborech z celého světa. 

Může také „halucinovat“ realistický, ale falešný nebo škodlivý obsah. Používá se i v různých jurisdikcích v reálném čase a konečně zahrnuje také složité hodnotové řetězce s nejasnou odpovědností.

Mnoho současných zákonů se ale netvořilo s ohledem na tyto skutečnosti. Místo toho jsme svědky vzniku regulačního ekosystému, ve kterém se současné rámce přizpůsobují tak, aby pokryly nová rizika – bohužel ale často nekonzistentním způsobem. Tady jsou ty nejvýznamnější:

GDPR: Přísná pravidla ochrany osobních údajů pro trénování a výstupy AI

GDPR se vztahuje i na data shromážděná nebo používaná mimo EU, pokud se týkají občanů EU. To má na GenAI několik klíčových dopadů:

·        Vyžaduje informovaný souhlas s používáním osobních údajů při trénování

·        Uděluje jednotlivcům právo na výmaz, přístup nebo námitku proti způsobu použití jejich údajů – i když jsou tyto údaje zabudované do modelu

·        Přináší výzvy v souvislosti s přeučováním nebo „zapomenutím“ údajů poté, co už byly součástí systému AI

EU AI Act: První zákon svého druhu zaměřený na umělou inteligenci

Zákon EU o umělé inteligenci klasifikuje AI systémy podle úrovně rizika:

Zakázané: systémy, které manipulují s chováním nebo využívají biometrické sledování v reálném čase

Vysoké riziko: aplikace v oblasti náboru, vzdělávání, zdravotnictví a kritické infrastruktury – ty vyžadují lidský dohled, dokumentaci a transparentnost

Minimální riziko: většina spotřebitelských aplikací umělé inteligence

Jde o první zákon, který se nativně zabývá umělou inteligencí, nikoli pouze jako systémem se zpracováním dat. Stanoví jasná očekávání pro poskytovatele modelů, dovozce i provozovatele působící v EU nebo mající vliv na EU.

CCPA/CPRA: Rozšíření práv spotřebitelů

Kalifornské zákony na ochranu soukromí dávají tamějším spotřebitelům právo vědět, jaké údaje se shromažďují, dále právo smazat nebo opravit osobní údaje či odmítnout použití údajů v automatizovaných rozhodnutích.

Nové návrhy pravidel dokonce vyžadují oznámení před použitím AI a umožňují spotřebitelům odmítnout automatizované rozhodování – zavádějí tak na území USA ustanovení podobná GDPR.

HIPAA: Přísná omezení pro GenAI ve zdravotnictví

Modely GenAI používané v lékařských aplikacích musejí být v souladu s americkou HIPAA, která reguluje zdravotnická data (PHI). 

Mezi klíčová omezení patří například přísné kontroly přístupu a auditní stopy, omezení sdílení nebo opětovného použití modelů trénovaných na PHI nebo zajištění vysvětlitelnosti a transparentnosti v diagnostice nebo léčbě podporované AI.

I anonymizované výstupy mohou být znovu identifikovatelné, což z tohoto prostředí činí jedno z nejrestriktivnějších pro nasazení AI.

Odlišná pravidla

Stejný systém GenAI tedy může plnit tato kritéria:

·        Vyžadovat výslovný souhlas se zpracováním dat podle GDPR

·        Umožnit odhlášení podle CCPA

·        Být zcela zakázán pro určité použití podle AI Act

·        Vyžadovat lidskou kontrolu výstupů podle HIPAA

To není jen nepohodlné. Je to strategické riziko pro každou organizaci, která nasazuje GenAI na různých světových trzích. Aby se organizace vyznaly v této regulační mozaice, měly by:

·        Vykonávat hodnocení rizik specifická pro danou jurisdikci

·        Implementovat robustní kontroly původu a správy dat

·        Navrhovat modely s transparentností a vysvětlitelností už od samého začátku

·        Sledovat vývoj v oblasti regulace AI na globální úrovni

·        Využít různé frameworky, které jim pomohou přizpůsobit se nově vznikajícím právním povinnostem

Neexistuje jediný globální „zákon o AI“. Místo toho existují desítky zákonů, které se mohou překrývat, a někdy si dokonce navzájem odporují. Organizace si ale nemohou dovolit čekat na harmonizaci. 

Místo toho by měly přijmout proaktivní přístup k dodržování předpisů, ochranu soukromí již od návrhu a rámce správy AI, které se přizpůsobují nuancím jednotlivých jurisdikcí.

Autorka je manažerka v Cloud Security Alliance
Tento příspěvek vyšel v tištěném magazínu Securitytrends. 
Autor článku

Olivia Rempe

