Czy AI Act będzie dokumentem, w którym określone jest to, czego sztuczna inteligencja nie będzie mogła w Unii Europejskiej? Trwa spór na finiszu ustaleń dotyczących tych przełomowych przepisów. A idzie w nim o to, jak będziemy chronieni przed zimną kalkulacją modelu czy algorytmu. Utajnione negocjacje krajów członkowskich z unijnymi instytucjami idą powoli, ale przybliżają nas do celu.
14 czerwca 2023 roku Parlament Europejski (PE) przyjął wspólną pozycję dotyczącą rozporządzenia w sprawie sztucznej inteligencji. PE prowadzi tzw. trialog, z krajami członkowskimi oraz Komisją Europejską. Ostateczny kształt przepisów poznamy po osiągnięciu kompromisu, jednak rozporządzenie PE zarysowuje ramy tych regulacji. Cel, jakim jest przyjęcie finalnych przepisów jeszcze w tym roku, stoi pod znakiem zapytania - będą ku temu jeszcze dwie okazje - ostatniego dnia października oraz w grudniu. Przepisy wejdą w życie najprawdopodobniej za 2 lata.
Kolejnym etapem po uchwaleniu aktu na poziomie europejskim jest oczywiście implementacja na poziomie poszczególnych krajów plus vacatio legis, w związku z czym firmy będą miały jakiś okres, żeby się dostosować do nowych regulacji. Mamy jeszcze troszeczkę czasu - mówi RMF FM Leszek Tasiemski, wiceprezes fińskiej firmy od cyberobrony WithSecure.
Najgorętsze dyskusje towarzyszą omawianiu artykułu 6 aktu, który definiuje systemy sztucznej inteligencji wysokiego ryzyka oraz zasady dostarczania takich usług. Te modele będą obarczone największymi obostrzeniami czy zakazami.
Wyraźnie określono w tej regulacji, do których obszarów życia nie wolno stosować sztucznej inteligencji. Jest to na przykład manipulowanie ludźmi, jest to socialscoring, czyli jakby punktowanie społeczne, system oceny, na ile jesteśmy dobrymi obywatelami. To jest coś, co w tej chwili, w niektórych obszarach Chin, jest sprawdzane. AI Act wyraźnie mówi - takiej rzeczy nie wolno robić - mówi Leszek Tasiemski.
Poza pewnymi wyjątkami, według AI Act, nie będzie można też stosować zdalnej biometrii, którą można opisać, jako rozpoznawanie twarzy i identyfikowanie osób. Oczywiście to rozwiązanie będzie zarezerwowane dla policji czy służb. Wygląda jednak na to, że w krajach UE niedopuszczalna będzie predykcja kryminalna, czyli profilowanie potencjalnych przestępców.
Dotychczas przepisy zostały sformułowane dość ogólnie, wskazano w nich obszary, które mogą szkodzić społeczeństwu.
Myślę, że na nadal będzie ten termin doprecyzowywany. I mam nadzieję, jako nie-prawnik, ale jako specjalista działający w dziedzinie cyberbezpieczeństwa, że te regulacje będą na tyle otwarte, iż będziemy w stanie w miarę w łatwy sposób uzupełniać tę listę - ponieważ jesteśmy w pewnym sensie dopiero na początku drogi - mówi wiceprezes WithSecure. Jestem przekonany, że o pewnych zastosowaniach sztucznej inteligencji, które powinny się znaleźć w tej kategorii niedopuszczalnych, jeszcze nawet nie wiemy, jeszcze na nie nie wpadliśmy - dodaje.
Wśród kategorii wysokiego ryzyka są także systemy sztucznej inteligencji, które będą dopuszczalne - to te wykorzystywane w edukacji, w ochronie zdrowia czy w wymiarze sprawiedliwości, jak choćby model do orzekania kary.
Te zastosowania są możliwe, natomiast będą podlegały bardzo ścisłemu nadzorowi, będzie wymagana certyfikacja na poziomie Unii Europejskiej, będzie nowy urząd, który będzie nadzorował taką sztuczną inteligencję, i będą ekwiwalenty, czyli w każdym kraju będą też powoływane urzędy czy instytucje, które będą miały za zadanie egzekwowanie tych nowych tych nowych wymagań i nowego prawa. I oczywiście w miarę potrzeby też wymierzanie kary, ponieważ jest tutaj też ten aspekt aspekt kary za niedostosowywanie się do tych wymogów - mówi Leszek Tasiemski.
Powołanie nowego urzędu można porównać do utworzonego w kraju przed pięcioma laty Urzędu Ochrony Danych Osobowych, po wprowadzeniu we wspólnocie przepisów RODO.
Już dziś modele AI są tak potężne, że ich twórcy sami ograniczają ich możliwości dostępne publicznie. Można to porównać do montowania ograniczników prędkości w samochodach.
Mimo, że jeszcze nie ma działających regulacji w tym zakresie, to najwięksi dostawcy chatów GPT sami narzucili sobie etyczne zasady. Publicznie dostępny chat GPT po poproszeniu go o przygotowanie tekstowej prośby do babci, o przelanie pieniędzy z powodu nagłego wypadku wnuczka, powinien odmówić odpowiedzi. I tak się dzieje, algorytm dodatkowo karci pytającego, że przypomina to kradzież na wnuczka, jest to niemoralne, a przede wszystkim jest przestępstwem.
Sam model absolutnie potrafi wygenerować bardzo płynną wersję phishingu na wnuczka, natomiast jest to pewien rodzaj filtrowania, które uniemożliwia użytkownikowi wygenerowanie takiej wiadomości. Natomiast gangi czy organizacje przestępcze nie będą tak ograniczone - ostrzega Tasiemski. Zakładając, że dostaną albo wytrenują sami model sztucznej inteligencji, na własną rękę, albo wykorzystają gotowy model, to tych ograniczeń tam nie będzie, oni mogą generować treści dowolne - dodaje.
Wtedy przestępcy nie będą potrzebowali nawet hakerów - bo cały atak przygotuje i przeprowadzi za nich dobrze wytrenowana maszyna.
