Podstawowe obowiązki organizacji wynikające z Artykułu 4 AI Act

Wprowadzenie do Artykułu 4 AI Act

Artykuł 4 aktu prawnego znanego jako AI Act (Artificial Intelligence Act), zaproponowanego przez Komisję Europejską, stanowi kluczowy element regulacyjny dotyczący stosowania systemów sztucznej inteligencji w Unii Europejskiej. Jego główne założenie to wyznaczenie ogólnych zasad oraz podstawowych obowiązków organizacji, które projektują, wdrażają lub eksploatują systemy AI.

Regulacja ta ma na celu zapewnienie, że technologie oparte na sztucznej inteligencji są zgodne z europejskimi wartościami i prawami człowieka, a także że są one bezpieczne, przejrzyste i odpowiedzialne. Artykuł 4 nakłada na organizacje obowiązki o charakterze horyzontalnym, co oznacza, że mają one zastosowanie niezależnie od konkretnego rodzaju systemu AI czy branży, w której jest on wykorzystywany.

Do głównych obszarów regulowanych przez Artykuł 4 należą:

• przejrzystość działania systemów AI – podmioty zobowiązane są informować o fakcie korzystania z AI w interakcjach z użytkownikiem,
• odpowiedzialność organizacyjna – konieczność wyznaczenia ról i zadań w procesie zarządzania systemami AI,
• monitorowanie i dokumentowanie – obowiązek prowadzenia dokumentacji technicznej i wewnętrznych procedur zapewniających zgodność z przepisami,
• ocena i zarządzanie ryzykiem – identyfikowanie potencjalnych zagrożeń związanych z użyciem AI oraz wdrażanie środków zaradczych.

Choć Artykuł 4 nie wprowadza jeszcze szczegółowych regulacji technicznych, stanowi fundament, na którym opierają się pozostałe przepisy AI Act. Jego wdrożenie wymaga od organizacji przygotowania kompleksowej strategii zgodności, integrującej aspekty prawne, techniczne i etyczne w kontekście wykorzystania sztucznej inteligencji.

Obowiązki w zakresie przejrzystości systemów AI

Artykuł 4 AI Act kładzie szczególny nacisk na przejrzystość jako jeden z fundamentów odpowiedzialnego stosowania systemów sztucznej inteligencji. Przejrzystość ma na celu zapewnienie, że użytkownicy, operatorzy oraz organy nadzorcze posiadają wystarczającą wiedzę na temat funkcjonowania i możliwości systemów AI, aby móc świadomie z nich korzystać i podejmować decyzje. Temat tego artykułu pojawia się w niemal każdej sesji szkoleniowej Cognity – czasem w formie pytania, czasem w formie frustracji.

W kontekście organizacji, obowiązki związane z przejrzystością obejmują przede wszystkim konieczność dostarczania jasnych, zrozumiałych i dostępnych informacji na temat systemów AI, które są przez nie wdrażane lub oferowane. Informacje te powinny dotyczyć m.in.:

• charakteru i głównych funkcji systemu AI,
• wskazania, że użytkownik ma do czynienia z systemem AI (np. chatbotem),
• możliwego wpływu działania systemu na prawa, zdrowie lub bezpieczeństwo użytkowników,
• potencjalnych ograniczeń i ryzyk związanych z działaniem systemu.

Obowiązek przejrzystości ma również zastosowanie w relacji B2B, B2C oraz w kontekście relacji z administracją publiczną. Istotne znaczenie ma tutaj również kwestia odpowiedniego oznaczenia systemów wykorzystujących generatywną sztuczną inteligencję, w tym systemów mogących wytwarzać treści tekstowe, graficzne lub audiowizualne, które mogą być mylące dla użytkownika w zakresie ich pochodzenia czy autorstwa.

Wdrożenie zasad przejrzystości wymaga od organizacji nie tylko odpowiedniego przygotowania dokumentacji i procedur wewnętrznych, ale także zapewnienia, że systemy AI będą komunikować się w sposób zrozumiały i niewprowadzający w błąd. Przejrzystość stanowi zatem jeden z kluczowych elementów budowania zaufania do technologii AI oraz spełniania wymagań prawnych wynikających z AI Act.

Wymogi dotyczące dokumentacji technicznej i rejestracji

Artykuł 4 AI Act nakłada na organizacje obowiązek zapewnienia odpowiednio przygotowanej dokumentacji technicznej oraz — w określonych przypadkach — dokonania rejestracji systemu sztucznej inteligencji przed jego udostępnieniem na rynku Unii Europejskiej. Te dwa elementy pełnią kluczową rolę w zapewnieniu zgodności z przepisami i umożliwieniu skutecznego nadzoru nad technologiami AI.

Dokumentacja techniczna — cel i zakres

Dokumentacja techniczna ma za zadanie umożliwić organom nadzorczym ocenę, czy system AI spełnia wymogi stawiane przez prawo. Zgodnie z Artykułem 4, organizacje muszą przygotować dokumentację zawierającą m.in.:

• ogólny opis systemu AI oraz jego przeznaczenia,
• architekturę techniczną i funkcjonalną systemu,
• zastosowane metody rozwoju, testowania i walidacji,
• informacje o źródłach danych i procesie ich przygotowania,
• mechanizmy zapewniające zgodność z wymogami dotyczącymi jakości i bezpieczeństwa.

Dokumentacja ta musi być dostępna zarówno przed wprowadzeniem systemu na rynek, jak i przez cały okres jego funkcjonowania.

Rejestracja systemów wysokiego ryzyka

W przypadku systemów zaklasyfikowanych jako wysokiego ryzyka, AI Act wymaga ich rejestracji w publicznie dostępnym unijnym rejestrze. Rejestracja ta obejmuje m.in.:

• nazwę i dane producenta lub dostawcy,
• krótkie streszczenie działania systemu,
• kategorie ryzyka, jakie system może generować,
• potwierdzenie zgodności z przepisami.

Celem tego obowiązku jest zapewnienie przejrzystości działania systemów AI i umożliwienie nadzorowi publicznemu ich monitorowania.

Porównanie: Dokumentacja vs. Rejestracja

Znaczenie dla organizacji

Spełnienie wymogów w zakresie dokumentacji i rejestracji nie tylko służy zgodności z prawem, ale także zwiększa wiarygodność organizacji, buduje zaufanie użytkowników końcowych i minimalizuje ryzyko sankcji prawnych. Dla praktycznego przygotowania się do realizacji tych obowiązków warto rozważyć udział w szkoleniu Kurs AI Act w praktyce – compliance, ryzyka i obowiązki, które kompleksowo omawia kluczowe wymagania i ich wdrożenie.

Zasady nadzoru nad systemami sztucznej inteligencji

Artykuł 4 AI Act kładzie szczególny nacisk na obowiązek ciągłego nadzoru nad systemami sztucznej inteligencji, zwłaszcza w przypadkach, gdy systemy te są klasyfikowane jako wysokiego ryzyka. Nadzór ten ma na celu zapewnienie zgodności działania systemów z przepisami prawa, zasadami etycznymi oraz oczekiwaniami w zakresie bezpieczeństwa i przejrzystości.

W praktyce oznacza to, że organizacje wykorzystujące systemy AI muszą wdrożyć odpowiednie mechanizmy monitorujące, które umożliwią:

• bieżącą kontrolę nad działaniem systemów,
• wczesne wykrywanie błędów lub nieprawidłowości,
• weryfikację zgodności z ustalonymi parametrami technicznymi i etycznymi,
• zapewnienie możliwości interwencji człowieka w działanie systemu.

Nadzór może przybierać różne formy w zależności od rodzaju i zastosowania systemu. Poniższa tabela przedstawia podstawowe różnice między wybranymi podejściami nadzorczymi:

Systemy wysokiego ryzyka wymagają ponadto wdrożenia tzw. „człowieka w loopie” (human-in-the-loop), czyli mechanizmu, który daje człowiekowi możliwość ingerencji w kluczowe decyzje podejmowane przez algorytm. Przykładowo, w systemach selekcji kandydatów do pracy, końcowa decyzja nie może być pozostawiona wyłącznie maszynie.

W kontekście technicznym, nadzór może również obejmować implementację logowania danych wejściowych i wyjściowych systemu, kontroli wersji modeli oraz automatycznych testów jakości działania. Przykład prostego logowania decyzji modelu może wyglądać następująco:

import datetime

def log_decision(input_data, output_data):
    with open("ai_logs.txt", "a") as log:
        log.write(f"{datetime.datetime.now()} | Input: {input_data} | Output: {output_data}\n")

Obowiązki nadzorcze nie kończą się na etapie wdrożenia – systemy muszą być monitorowane przez cały cykl ich życia. Obejmuje to również aktualizacje modeli, reagowanie na incydenty i dokumentowanie wszelkich zmian w sposobie działania systemu. W przeciwnym razie, organizacja może narazić się na sankcje za brak należytej staranności.

W Cognity mamy doświadczenie w pracy z zespołami, które wdrażają to rozwiązanie – dzielimy się tym także w artykule.

Ocena i zarządzanie ryzykiem związanym z AI

Jednym z kluczowych obowiązków organizacji wynikających z Artykułu 4 AI Act jest systematyczna ocena i zarządzanie ryzykiem związanym ze stosowaniem systemów sztucznej inteligencji. Przepisy mają na celu zapewnienie, że systemy AI są bezpieczne, przejrzyste i zgodne z prawem na każdym etapie ich cyklu życia — od projektowania, przez wdrożenie, aż po eksploatację.

Ocena ryzyka polega na identyfikacji potencjalnych zagrożeń wynikających z używania systemu AI, zarówno dla użytkowników końcowych, jak i dla społeczeństwa jako całości. Zarządzanie ryzykiem natomiast obejmuje implementację odpowiednich środków kontroli, monitorowania i ograniczania skutków tych zagrożeń.

Rodzaje ryzyka w kontekście AI

• Ryzyko technologiczne – np. błędne decyzje wynikające z niepełnych danych uczących lub niestabilnych modeli.
• Ryzyko etyczne – związane z dyskryminacją, uprzedzeniami algorytmicznymi lub brakiem przejrzystości działania.
• Ryzyko prawne – wynikające z niezgodności z obowiązującym prawem, np. RODO.
• Ryzyko operacyjne – awarie systemów, zakłócenia w dostarczanych usługach.

Porównanie podejść do oceny ryzyka

Elementy skutecznego zarządzania ryzykiem

• Identyfikacja ryzyka – analiza danych wejściowych, funkcjonalności systemu i potencjalnych grup narażonych.
• Ocena prawdopodobieństwa i wpływu – przypisanie poziomu ryzyka (np. niskie, średnie, wysokie).
• Planowanie działań ograniczających – projektowanie barier technicznych i organizacyjnych.
• Rejestrowanie i dokumentowanie – tworzenie raportów i sprawozdań zgodnych z wymogami regulacyjnymi.

Przykład kodu: Identyfikacja anomalii jako forma monitorowania ryzyka

import sklearn.ensemble as ske
import numpy as np

# Zakładamy, że dane wejściowe to zbiór metryk działania systemu AI
data = np.array([[0.1, 0.2], [0.15, 0.22], [8.0, 9.5]])
model = ske.IsolationForest()
model.fit(data)
predictions = model.predict(data)

print(predictions)  # -1 oznacza anomalię, 1 oznacza obserwację normalną

Włączenie algorytmicznej detekcji anomalii do procesu operacyjnego pozwala organizacjom na szybkie reagowanie na nieoczekiwane zachowania systemów AI, co stanowi istotny element prewencji ryzyka.

Ocena i zarządzanie ryzykiem nie są jednorazowym procesem, lecz powinny być traktowane jako element ciągłego nadzoru nad systemami AI. Stosowanie podejść hybrydowych (łączących ocenę ex-ante oraz ex-post) jest zalecane zwłaszcza w przypadku systemów zaklasyfikowanych jako wysokiego ryzyka zgodnie z AI Act. W ramach pogłębiania wiedzy z tego obszaru warto również rozważyć udział w szkoleniu Kurs AI a RODO - jak łączyć zgodność regulacyjną z wdrażaniem nowych technologii.

Dobre praktyki i przykłady wdrożeń zgodnych z Artykułem 4

Artykuł 4 AI Act podkreśla potrzebę odpowiedzialnego i przejrzystego podejścia do wdrażania systemów sztucznej inteligencji. Organizacje, które skutecznie adaptują się do tych wymogów, stosują szereg dobrych praktyk, których celem jest zapewnienie zgodności operacyjnej oraz budowa zaufania wobec użytkowników i regulatorów.

1. Wdrażanie polityk zgodności i audytu

• Tworzenie wewnętrznych polityk etycznych dotyczących rozwoju i stosowania AI.
• Regularne audyty wewnętrzne weryfikujące zgodność zastosowań AI z przepisami Artykułu 4.
• Szkolenia pracowników w zakresie odpowiedzialnego wykorzystania AI.

2. Stosowanie narzędzi do śledzenia zgodności i przejrzystości

Organizacje implementują systemy do monitorowania działania modeli AI oraz ich wpływu na użytkowników końcowych. Narzędzia te wspierają:

• dokumentowanie decyzji podejmowanych przez systemy AI,
• wizualizację przepływów danych wejściowych i wyjściowych,
• analizę potencjalnych uprzedzeń i błędów systemowych.

3. Praktyki związane z dokumentacją techniczną

Zgodnie z wymaganiami Artykułu 4, organizacje prowadzą szczegółową dokumentację techniczną, która zawiera:

• opis zastosowanych algorytmów,
• źródła danych treningowych,
• informacje o testach skuteczności i ograniczeniach systemu.

4. Przykłady wdrożeń zgodnych z Artykułem 4

5. Przykładowy komponent kodu wspierający zgodność

Poniżej znajduje się uproszczony fragment kodu ilustrujący sposób rejestrowania decyzji podejmowanych przez system AI:

import json
from datetime import datetime

def log_ai_decision(input_data, output_data, model_version):
    log_entry = {
        "timestamp": datetime.utcnow().isoformat(),
        "model_version": model_version,
        "input": input_data,
        "output": output_data
    }
    with open("ai_decision_log.json", "a") as logfile:
        logfile.write(json.dumps(log_entry) + "\n")

Takie logowanie pozwala na późniejszą analizę i audyt zgodności działania systemu z wymaganiami Artykułu 4.

Wyzwania dla organizacji i rekomendacje wdrożeniowe

Wdrażanie wymogów wynikających z Artykułu 4 AI Act niesie za sobą szereg wyzwań organizacyjnych, technologicznych oraz etycznych. Dla wielu organizacji oznacza to konieczność reorganizacji procesów, wzmocnienia kompetencji zespołów oraz dostosowania stosowanych narzędzi do wymogów prawnych. Równocześnie, odpowiednie przygotowanie pozwala nie tylko na uniknięcie sankcji, ale również na zwiększenie zaufania klientów i partnerów biznesowych.

Do najważniejszych wyzwań należą:

• Brak jednoznacznych standardów technicznych – wiele organizacji napotyka trudności w interpretacji, jakie konkretne środki należy zastosować, by spełnić obowiązki wynikające z Artykułu 4, szczególnie w kontekście różnorodnych typów systemów AI.
• Skalowalność wymogów – firmy różnią się wielkością, strukturą i zakresem działalności. Przełożenie unijnych regulacji na realia małych i średnich przedsiębiorstw może być znacznie trudniejsze niż w przypadku dużych korporacji dysponujących dedykowanymi zespołami ds. zgodności.
• Koszty implementacji – przystosowanie procesów do nowych regulacji wiąże się często z koniecznością inwestycji w nowe rozwiązania technologiczne oraz szkolenia kadry.
• Braki kompetencyjne – wiele organizacji nie posiada wewnętrznych specjalistów z odpowiednią wiedzą na temat prawa sztucznej inteligencji czy metod oceny ryzyka technologicznego.
• Zmieniające się otoczenie regulacyjne – AI Act to regulacja nowa i będąca przedmiotem dynamicznego rozwoju, co wymaga bieżącego monitorowania zmian i aktualizacji wewnętrznych polityk.

Aby skutecznie sprostać powyższym wyzwaniom, organizacjom rekomenduje się:

• Przeprowadzenie audytu zgodności – identyfikacja luk między obecnym stanem a wymaganiami AI Act to pierwszy krok do zaplanowania działań naprawczych.
• Wdrożenie polityki zarządzania AI – formalizacja podejścia do projektowania, wdrażania i nadzorowania systemów AI sprzyja długofalowemu utrzymaniu zgodności.
• Szkolenia międzydziałowe – budowanie świadomości i kompetencji w obszarze regulacji AI wśród pracowników działów technicznych, prawnych i zarządczych.
• Współpraca z zewnętrznymi ekspertami – korzystanie z doradztwa prawnego i technologicznego może znacząco przyspieszyć i usprawnić proces wdrażania regulacji.
• Monitorowanie zmian legislacyjnych – utrzymywanie aktualnej wiedzy o kierunku rozwoju AI Act oraz związanych z nim wytycznych i standardów.

Stawienie czoła tym wyzwaniom wymaga zintegrowanego podejścia i traktowania zgodności z AI Act nie tylko jako obowiązku prawnego, lecz także jako elementu strategicznego zarządzania nowoczesną organizacją.

Podsumowanie i dalsze kroki dla firm

Artykuł 4 AI Act stanowi jeden z kluczowych fundamentów nowej regulacji unijnej w zakresie sztucznej inteligencji. Nakłada on na organizacje szereg obowiązków, które mają na celu zapewnienie odpowiedzialnego i zgodnego z prawem rozwoju oraz stosowania systemów AI. Dla firm oznacza to konieczność nie tylko dostosowania procesów technologicznych, ale również wdrożenia nowych standardów organizacyjnych i etycznych.

W szczególności, Artykuł 4 podkreśla znaczenie odpowiedzialności podmiotów wdrażających AI, konieczność wprowadzenia mechanizmów wewnętrznej kontroli oraz zapewnienia współpracy z organami nadzorczymi. Regulacja ta dotyczy zarówno dostawców systemów wysokiego ryzyka, jak i innych uczestników rynku AI, takich jak użytkownicy i dystrybutorzy.

Dla firm oznacza to konieczność:

• przeglądu i dostosowania istniejących struktur zarządzania AI,
• identyfikacji systemów podlegających pod definicje zawarte w AI Act,
• opracowania lub zaktualizowania procedur zgodności z nowymi obowiązkami,
• szkolenia zespołów odpowiedzialnych za rozwój i wdrażanie sztucznej inteligencji.

Wdrożenie obowiązków wynikających z Artykułu 4 wymaga strategicznego podejścia i zaangażowania różnych działów organizacji – od działu technologii, przez prawny, po zarządzanie ryzykiem. Kluczowe będzie także monitorowanie rozwoju przepisów wykonawczych oraz wytycznych instytucji unijnych, które mogą doprecyzować wymagania praktyczne dla firm.

Dla wielu organizacji, proces dostosowania się do AI Act będzie okazją do zbudowania przewagi konkurencyjnej opartej na transparentności, odpowiedzialności i zaufaniu do stosowanych systemów AI. W Cognity zachęcamy do traktowania tej wiedzy jako punktu wyjścia do zmiany – i wspieramy w jej wdrażaniu.

Jak rozpoznać i unikać błędów poznawczych w analizach 20 czerwca 2024

Tłumaczenia wspierane AI – jak DeepL zmienia komunikację międzynarodową? 18 czerwca 2024