W kontekście AI Act wiele mówi się o terminach rozpoczęcia stosowania oraz rodzajach rozwiązań AI, które rzeczywiście będą podlegały nowej regulacji. Nie mniej istotna jest jednak analiza, w jakiej roli (lub rolach) AI Act osadzi naszą organizację wobec poszczególnych systemów AI. Ma to bezpośrednie przełożenie na zakres stosowanych obowiązków, a także odpowiedzialność administracyjną. Dodatkowo rozporządzenie przewiduje sytuacje, kiedy taka rola może się zmienić w trakcie cyklu życia systemu AI.
Przypisanie roli podmiotom uczestniczącym w dostawie AI
W związku z tym, że celem nowej regulacji jest stworzenie ram prawnych dla rozwoju i stosowania ukierunkowanej na człowieka i godnej zaufania sztucznej inteligencji, kluczowe jest nałożenie określonych obowiązków na wszystkie podmioty, które uczestniczą w całym łańcuchu dostawy systemu AI. Wszystkie podmioty zbiorczo są określane pojęciem „operatorów”, choć zakres ich obowiązków będzie bardzo zróżnicowany. Obowiązki będą wymagały od organizacji podejmowania zróżnicowanych działań, w tym stworzenia odpowiedniej struktury organizacyjnej, ustalenia zasad odpowiedzialności i procesu eskalacji czy też wdrożenia stosownych polityk i procedur. Nie obejdzie się też w niektórych sytuacjach bez wdrożenia odpowiednich rozwiązań technicznych, w tym wykorzystania narzędzi, np. do obsługi danych na potrzeby trenowania modeli. W świetle rozporządzenia istotne jest właściwe określenie roli, ponieważ to ona będzie determinowała koszt wdrożenia AI Act.
Czytaj więcej:
Rola dostawcy w łańcuchu dostawy AI
Najszerszy katalog obowiązków w związku z systemami wysokiego ryzyka zostanie nałożony na „dostawców”, czyli zarówno na osoby fizyczne, prawne, jak również organy publiczne, które rozwijają systemy sztucznej inteligencji lub modele AI ogólnego przeznaczenia lub zlecają ich opracowanie, a następnie wprowadzają je do obrotu lub oddają do użytku na terenie Unii Europejskiej. Nie ma znaczenia, czy robią to odpłatnie czy nie. Kluczowe jest to, że takie wprowadzenie do obrotu czy oddanie bezpośrednio zamawiającemu (czyt. podmiotowi stosującemu AI) ma się odbyć po raz pierwszy. Nie ma natomiast znaczenia, czy system AI został wytworzony własnymi zasobami czy przy wykorzystaniu podmiotów trzecich, jeśli jego wprowadzenie nastąpiło pod własną nazwą handlową dostawcy. Ziszczenie się tych przesłanek prawdopodobnie będzie skutkować koniecznością spełnienia określonych obowiązków. Prawdopodobnie, ponieważ należy uwzględnić m.in. sytuacje, kiedy stosowanie AI Act jest wyłączone np. dla działalności badawczo-rozwojowej. Wyłączeń w AI Act jest całkiem sporo, więc nie zawsze intuicja wystarczy do określenia, czy AI Act znajduje zastosowanie.
W kontekście dostawców skonkretyzowane obowiązki zostały również nałożone na dostawców modelu AI ogólnego przeznaczenia, więc np. na dostawców dużych modeli językowych (LLM), którzy udostępniają je na terenie Unii Europejskiej.
Rola podmiotu stosującego AI
Druga, obok dostawcy, kluczowa rola dotyczy podmiotu stosującego AI, którym może być osoba fizyczna, osoba prawna czy organ publiczny, która wykorzystuje system AI i sprawuje nad nim kontrolę. Nie ma przy tym znaczenia, czy taki system oddziałuje na inne podmioty czy nie. Sprawowanie kontroli nad systemem AI przenosi, co do zasady, na podmiot stosujący AI obowiązek monitorowania działania systemu pod kątem występowania poważnych incydentów i zapewnia nadzór człowieka nad działaniem systemu AI.
Zdywersyfikowanie tych ról nie wyłącza jednak konieczności ścisłej współpracy pomiędzy tymi dwoma operatorami w całym cyklu życia systemu AI. To dostawcy będą mieli obowiązek projektowania rozwiązań technologicznych w taki sposób, aby ułatwić podmiotom stosującym weryfikację wyników systemu AI i przekazywać wiedzę gwarantującą możliwość skutecznego nadzorowania ich działania.
Role pośrednie w dostawie AI
Zamawiający nie zawsze kupują rozwiązania AI bezpośrednio od dostawców. Dość często, w szczególności gdy chodzi o wielkich międzynarodowych graczy, pojawia się w łańcuchu dostaw rozwiązania AI np. importer czy integrator. AI Act nakłada określone obowiązki (choć nie w tak szerokim zakresie jak na dostawców czy podmioty stosujące AI) na importerów oraz dystrybutorów AI. Pierwsza grupa obejmuje podmioty, które wprowadzają do obrotu systemy AI opatrzone nazwą lub znakiem towarowym innego podmiotu. Z kolei dystrybutorami będą operatorzy, którzy udostępniają system AI na rynku, ale inni niż dostawcy lub importerzy. W przypadku zarówno pierwszych, jak i drugich chodzi o pierwsze wprowadzenie na rynek oraz udostępnienie. Pomimo że nie uczestniczą oni w procesie wytwarzania systemu AI, ich obowiązkiem jest sprawdzenie, czy dostawcy systemów AI wysokiego ryzyka spełnili wobec nich wymogi. Nie można też zapominać, że inne podmioty w łańcuchu wartości systemu AI mogą również być obowiązane do współpracy z podmiotem stosującym lub dostawcą, np. w kontekście informowania o zgłoszonych nieprawidłowościach.
Zamiana ról w dostawie AI
W pewnych określonych warunkach dystrybutor, importer czy podmiot stosujący AI może zostać uznany za dostawcę systemu AI wysokiego ryzyka, a w konsekwencji powinien przyjąć na siebie obowiązki z tym związane. Będzie to miało miejsce np. w sytuacji, gdy w systemie AI ogólnego przeznaczenia wprowadzono taką zmianę, że zmieni przeznaczenie systemu AI, przez co stanie się on systemem wysokiego ryzyka lub w przypadku dokonania istotnej zmiany systemu typu high-risk, która nie została pierwotnie zaplanowana. Planowanie działań w związku z rozwojem systemów AI nie może zatem pozostawać w sferze czysto technologicznej czy biznesowej, ale wymaga również weryfikacji pod kątem organizacyjnym i komunikacyjnym. Istotne jest wprowadzenie odpowiednich rozwiązań w zakresie nadzoru i monitorowania, ponieważ tutaj potencjalnie może się pojawić najwięcej wyzwań dla całej organizacji.
Na role te należy jednocześnie patrzeć z perspektywy nie tylko „zgodnościowej”. Właściwe ułożenie procesów w ramach AI Governance daje nie tylko bezpieczeństwo, ale i efektywność procesów związanych z projektami AI.
dr Michał Nowakowski jest partnerem odpowiedzialnym za AI & CyberSec w ZP Zackiewicz & Partners, CEO w GovernedAI
Martyna Rzeczkowska jest Head AI & CyberSec w ZP Zackiewicz & Partners
