Společnosti začaly budovat výkonné generativní systémy umělé inteligence, ale zjišťují, že jejich povinnosti v oblasti dodržování předpisů se mění pokaždé, když překročí hranice.
Je podle vás regulace vhodnou metodou, jak zabezpečit AI?
Od nařízení GDPR a zákona EU o umělé inteligenci (AI Act) přes kalifornský zákon CCPA/CPRA až po HIPAA zaměřený na regulace zdravotnických dat – organizace čelí rychle se vyvíjející a často protichůdné síti předpisů.
Pro vývojáře i týmy zajišťující dodržování předpisů už nejde pouze o budování bezpečných a inovativních systémů umělé inteligence. Jde o vytváření systémů, které se dokážou přizpůsobit regulačnímu kaleidoskopu.
Složité dodržování předpisů
Umělá inteligence – zejména GenAI – se do současných právních regulí nevejde. Na rozdíl od tradičních softwarových systémů se generativní AI často trénuje na rozsáhlých datových souborech z celého světa.
Může také „halucinovat“ realistický, ale falešný nebo škodlivý obsah. Používá se i v různých jurisdikcích v reálném čase a konečně zahrnuje také složité hodnotové řetězce s nejasnou odpovědností.
Mnoho současných zákonů se ale netvořilo s ohledem na tyto skutečnosti. Místo toho jsme svědky vzniku regulačního ekosystému, ve kterém se současné rámce přizpůsobují tak, aby pokryly nová rizika – bohužel ale často nekonzistentním způsobem. Tady jsou ty nejvýznamnější:
GDPR: Přísná pravidla ochrany osobních údajů pro trénování a výstupy AI
GDPR se vztahuje i na data shromážděná nebo používaná mimo EU, pokud se týkají občanů EU. To má na GenAI několik klíčových dopadů:
· Vyžaduje informovaný souhlas s používáním osobních údajů při trénování
· Uděluje jednotlivcům právo na výmaz, přístup nebo námitku proti způsobu použití jejich údajů – i když jsou tyto údaje zabudované do modelu
· Přináší výzvy v souvislosti s přeučováním nebo „zapomenutím“ údajů poté, co už byly součástí systému AI
EU AI Act: První zákon svého druhu zaměřený na umělou inteligenci
Zákon EU o umělé inteligenci klasifikuje AI systémy podle úrovně rizika:
Zakázané: systémy, které manipulují s chováním nebo využívají biometrické sledování v reálném čase
Vysoké riziko: aplikace v oblasti náboru, vzdělávání, zdravotnictví a kritické infrastruktury – ty vyžadují lidský dohled, dokumentaci a transparentnost
Minimální riziko: většina spotřebitelských aplikací umělé inteligence
Jde o první zákon, který se nativně zabývá umělou inteligencí, nikoli pouze jako systémem se zpracováním dat. Stanoví jasná očekávání pro poskytovatele modelů, dovozce i provozovatele působící v EU nebo mající vliv na EU.
CCPA/CPRA: Rozšíření práv spotřebitelů
Kalifornské zákony na ochranu soukromí dávají tamějším spotřebitelům právo vědět, jaké údaje se shromažďují, dále právo smazat nebo opravit osobní údaje či odmítnout použití údajů v automatizovaných rozhodnutích.
Nové návrhy pravidel dokonce vyžadují oznámení před použitím AI a umožňují spotřebitelům odmítnout automatizované rozhodování – zavádějí tak na území USA ustanovení podobná GDPR.
HIPAA: Přísná omezení pro GenAI ve zdravotnictví
Modely GenAI používané v lékařských aplikacích musejí být v souladu s americkou HIPAA, která reguluje zdravotnická data (PHI).
Mezi klíčová omezení patří například přísné kontroly přístupu a auditní stopy, omezení sdílení nebo opětovného použití modelů trénovaných na PHI nebo zajištění vysvětlitelnosti a transparentnosti v diagnostice nebo léčbě podporované AI.
I anonymizované výstupy mohou být znovu identifikovatelné, což z tohoto prostředí činí jedno z nejrestriktivnějších pro nasazení AI.
Video ke kávě
Máte čas na rychlé a informativní video?
Odlišná pravidla
Stejný systém GenAI tedy může plnit tato kritéria:
· Vyžadovat výslovný souhlas se zpracováním dat podle GDPR
· Umožnit odhlášení podle CCPA
· Být zcela zakázán pro určité použití podle AI Act
· Vyžadovat lidskou kontrolu výstupů podle HIPAA
To není jen nepohodlné. Je to strategické riziko pro každou organizaci, která nasazuje GenAI na různých světových trzích. Aby se organizace vyznaly v této regulační mozaice, měly by:
· Vykonávat hodnocení rizik specifická pro danou jurisdikci
· Implementovat robustní kontroly původu a správy dat
· Navrhovat modely s transparentností a vysvětlitelností už od samého začátku
· Sledovat vývoj v oblasti regulace AI na globální úrovni
· Využít různé frameworky, které jim pomohou přizpůsobit se nově vznikajícím právním povinnostem
Neexistuje jediný globální „zákon o AI“. Místo toho existují desítky zákonů, které se mohou překrývat, a někdy si dokonce navzájem odporují. Organizace si ale nemohou dovolit čekat na harmonizaci.
Místo toho by měly přijmout proaktivní přístup k dodržování předpisů, ochranu soukromí již od návrhu a rámce správy AI, které se přizpůsobují nuancím jednotlivých jurisdikcí.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU