Політика щодо штучного інтелекту в компаніях: як підготувати вашу організацію до Закону ЄС про штучний інтелект
Штучний інтелект (ШІ) розвивається з високою швидкістю та став невід'ємною частиною повсякденних бізнес-операцій. Від генеративних інструментів ШІ та чат-ботів до систем, що використовуються для рекрутингу, аналітики клієнтів та прийняття рішень, все більше організацій покладаються на системи ШІ, часто без повної ясності щодо юридичних та організаційних зобов'язань, що з ними пов'язані.
Із Законом ЄС про штучний інтелект це докорінно змінюється. Від організацій очікується, що вони будуть робити обґрунтований вибір щодо використання штучного інтелекту та активно керуватимуть пов’язаними з цим ризиками. У цій статті пояснюється, як розробити практичну, дієву та юридично надійну політику щодо штучного інтелекту, щоб ваша організація була готова до Закону ЄС про штучний інтелект і продовжувала дотримуватися чинних правил, таких як Загальний регламент про захист даних (GDPR).
Що таке політика ШІ та чому вона необхідна?
Політика щодо штучного інтелекту – це набір внутрішніх правил, що визначають, як, чому та за яких умов штучний інтелект може використовуватися в організації. Вона надає керівництво для співробітників і допомагає керівництву здійснювати нагляд і контроль у міру розвитку технологій.
Штучний інтелект більше не обмежується ІТ-відділами чи великими технологічними компаніями. Багато функцій ШІ вбудовані в існуюче програмне забезпечення, таке як CRM-системи, HR-інструменти та маркетингові платформи. Працівники також часто експериментують із загальнодоступними інструментами ШІ з власної ініціативи. Без чітких бар'єрів це може призвести до порушень конфіденційності, дискримінації, відсутності прозорості або прийняття неправильних рішень.
Закон ЄС про штучний інтелект та GDPR накладають чіткі обов'язки на організації. До них належать зобов'язання щодо управління ризиками, використання даних, людського нагляду та прозорості. Добре розроблена політика щодо штучного інтелекту допомагає втілити ці вимоги у повсякденну практику.
Правова база: Закон ЄС про штучний інтелект, GDPR та зайнятість закон
Закон ЄС про штучний інтелект дотримується підходу, що ґрунтується на оцінці ризиків. Системи штучного інтелекту класифікуються на різні категорії, починаючи від мінімального ризику і закінчуючи неприйнятним ризиком. Для високоризикових застосувань штучного інтелекту, таких як системи рекрутингу та відбору, кредитного скорингу або інших рішень, що мають значний вплив на окремих осіб, застосовуються суворі вимоги.
Ці вимоги охоплюють, серед іншого, управління ризиками та документування, якість та походження даних, прозорість щодо того, як працює система та які її обмеження, а також ефективний людський нагляд з можливістю втручання. Певні практики штучного інтелекту повністю заборонені, включаючи конкретні форми маніпулятивного штучного інтелекту та соціальний скоринг.
Крім того, GDPR залишається повністю застосовним. Там, де системи штучного інтелекту обробляють персональні дані, особливо актуальними є такі основні принципи, як мінімізація даних, законність, безпека та обмеження автоматизованого прийняття рішень. Також можуть застосовуватися трудове законодавство та правила захисту прав споживачів, наприклад, у застосунках штучного інтелекту, пов'язаних з управлінням персоналом, або у застосунках штучного інтелекту, орієнтованих на клієнтів. Політика щодо штучного інтелекту пов'язує ці правові вимоги з щоденними бізнес-операціями.
Мета та сфера застосування сильної політики щодо штучного інтелекту
Ефективна політика щодо ШІ — це не теоретичний документ, а практичний орієнтир для будь-кого, хто працює зі ШІ. Вона повинна пояснювати, чому організація використовує ШІ, чого вона прагне досягти, які ризики виникають і як працівники повинні відповідально використовувати інструменти ШІ.
Визначення сфери застосування є надзвичайно важливим. У політиці слід вказувати, до яких відділів вона застосовується, таких як відділ кадрів, маркетинг, обслуговування клієнтів, фінанси, операції та дослідження й розробки. Також слід уточнити, які типи систем підпадають під дію політики, включаючи придбане програмне забезпечення для штучного інтелекту, внутрішні моделі, генеративні інструменти штучного інтелекту, чат-боти, інструменти оцінювання та системи рекомендацій. Нарешті, слід враховувати, чи дозволено індивідуальне експериментування з публічними інструментами штучного інтелекту та за яких умов.
Ключові компоненти політики ШІ
Політика щодо штучного інтелекту повинна починатися з чітких визначень, що відповідають широкій концепції штучного інтелекту згідно із Законом ЄС про штучний інтелект, але написані мовою, зрозумілою для працівників. Персонал повинен мати змогу розпізнавати, коли він використовує систему штучного інтелекту, яка підпадає під дію політики. Практичні приклади за галузями, такими як управління персоналом, взаємодія з клієнтами та внутрішні процеси, допомагають втілити це в життя.
Політика повинна розрізняти дозволене використання ШІ, обмежене використання за певних умов та заборонене використання. Заборонене використання включає практики ШІ, класифіковані як неприйнятний ризик згідно із Законом ЄС про ШІ. Для випадків використання з обмеженим ризиком політика може встановлювати такі умови, як зобов'язання щодо прозорості або попереднє схвалення. Дозволене використання може бути пов'язане із такими гарантіями, як оцінка ризиків, ВПЗ та додаткові технічні та організаційні заходи.
Управління є ще одним ключовим елементом. Політика повинна чітко визначати, хто несе остаточну відповідальність за дотримання вимог ШІ, хто уповноважений вибирати або впроваджувати нові програми ШІ та хто контролює дотримання вимог та обробку інцидентів. Вибір постачальників та управління ними також мають значення. Організації повинні оцінювати, чи можуть постачальники виконати вимоги Закону ЄС про ШІ, та забезпечити належне відображення цих зобов'язань у контрактах.
Дані, конфіденційність, безпека та прозорість
Оскільки ШІ залежить від даних, політика повинна визначати, які дані можуть, а які ні, оброблятися системами ШІ. Вона повинна враховувати мінімізацію даних, анонімізацію або псевдонімізацію, де це доречно, періоди зберігання та відокремлення навчальних даних від виробничих даних. Для систем високого ризику часто потрібна комбінована оцінка, яка враховує як Закон ЄС про ШІ, так і GDPR.
Системи штучного інтелекту та дані, на які вони покладаються, повинні бути належним чином захищені. Політика повинна описувати, як організовані права доступу, як реєструється та контролюється використання, а також як обробляються інциденти та порушення даних.
Закон ЄС про штучний інтелект вимагає прозорості під час взаємодії осіб із системами штучного інтелекту або під час створення контенту за допомогою штучного інтелекту. Тому політика може вимагати інформування співробітників, клієнтів та інших зацікавлених сторін про будь-який випадок використання штучного інтелекту, включаючи ключові характеристики та обмеження.
Людський нагляд, упередженість та якість рішень
Для систем штучного інтелекту, що мають значний вплив на окремих осіб, людський нагляд є надзвичайно важливим. Політика повинна визначати, коли людський нагляд або прийняття рішень є обов'язковим, і як цей нагляд реалізується на практиці. Також доцільно періодично тестувати системи штучного інтелекту на предмет упередженості, рівня помилок та непередбачуваних наслідків, особливо в таких сферах, як управління персоналом та адаптація клієнтів.
Навчання та грамотність у сфері штучного інтелекту
Закон ЄС про штучний інтелект вимагає від організацій сприяння розвитку грамотності в галузі штучного інтелекту. Тому політика щодо штучного інтелекту повинна включати систему навчання з базовим рівнем для всіх співробітників та більш просунуте навчання для конкретних ролей, таких як відділ кадрів, ІТ, команди обробки даних та управління. Регулярні оновлення необхідні, щоб йти в ногу з технологічним та правовим розвитком.
Від початкової інвентаризації до зрілої політики ШІ
Працездатна політика щодо ШІ зазвичай розробляється поетапно. Спочатку організація визначає, які програми ШІ використовуються, включаючи функції ШІ, вбудовані в існуюче програмне забезпечення та інструменти, що застосовуються співробітниками. Далі ці програми класифікуються за ризиком. Далі проводиться оцінка правових та організаційних ризиків, після чого розробляється політика щодо ШІ та узгоджується з існуючими рамками конфіденційності, інформаційної безпеки та управління персоналом. Потім політика впроваджується в процеси, контракти та системи. Нарешті, навчання, комунікація, моніторинг та періодичні оновлення забезпечують ефективність політики з часом.
Висновок
Закон ЄС про штучний інтелект чітко вказує на те, що спеціальні або неструктуровані експерименти зі штучним інтелектом більше не є сталими. Організації, які інвестують на ранній стадії в добре розроблену політику щодо штучного інтелекту, зменшують юридичні ризики та будують довіру зі співробітниками, клієнтами та регуляторними органами.
Бажаєте дізнатися, чи готова ваша організація до Закону ЄС про штучний інтелект, або ж вам потрібна допомога у розробці чи впровадженні політики щодо штучного інтелекту? Зв’яжіться з нами. Law & More. Ми раді допомогти.
FAQ
Чи є політика щодо штучного інтелекту обов'язковою згідно із Законом ЄС про штучний інтелект?
Закон ЄС про штучний інтелект не вимагає від організацій наявності документа під назвою «Політика щодо штучного інтелекту». Однак на практиці політика щодо штучного інтелекту є важливою для демонстрації дотримання зобов’язань, встановлених Законом про штучний інтелект та GDPR, таких як управління ризиками, людський нагляд, прозорість та грамотність у сфері штучного інтелекту.
На які організації поширюється дія Закону ЄС про штучний інтелект?
Закон ЄС про штучний інтелект застосовується практично до всіх організацій, які розробляють, розміщують на ринку або використовують системи штучного інтелекту в Європейському Союзі. Це включає не лише технологічні компанії, а й роботодавців, постачальників послуг та організації, які використовують штучний інтелект у сфері управління персоналом, маркетингу, взаємодії з клієнтами, фінансах або процесах прийняття рішень.
Чи застосовується Закон ЄС про штучний інтелект, якщо ми використовуємо лише стандартне готове програмне забезпечення?
Так. Навіть якщо функції штучного інтелекту вбудовані в програмне забезпечення сторонніх розробників, організація, яка використовує систему, залишається відповідальною за її використання. Покладання на постачальника не знімає зобов'язань користувача згідно із Законом ЄС про штучний інтелект та GDPR.
Яка різниця між системами штучного інтелекту з низьким, обмеженим та високим ризиком?
Закон ЄС про штучний інтелект класифікує системи штучного інтелекту на основі рівня ризику, який вони становлять для основних прав та інтересів осіб. До високоризикового штучного інтелекту належать системи, що використовуються для набору та відбору персоналу, оцінки кредитоспроможності або доступу до основних послуг. До цих систем застосовуються значно суворіші вимоги.
Чи всі програми штучного інтелекту потрібно оцінювати заздалегідь?
На практиці, так. Організації повинні інвентаризувати та оцінити програми штучного інтелекту перед розгортанням і класифікувати їх відповідно до ризику. Для високоризикового штучного інтелекту потрібна ретельна оцінка, часто поєднана з оцінкою впливу на захист даних відповідно до GDPR.
Як політика щодо штучного інтелекту пов’язана з GDPR?
Закон ЄС про штучний інтелект та GDPR доповнюють один одного. Хоча Закон про штучний інтелект зосереджений на управлінні, управлінні ризиками та функціонуванні систем штучного інтелекту, GDPR регулює обробку персональних даних. Ефективна політика щодо штучного інтелекту інтегрує обидві системи та забезпечує послідовне дотримання вимог.
Чи завжди потрібна оцінка впливу на захист даних під час використання штучного інтелекту?
Не завжди, але часто. Якщо система штучного інтелекту обробляє персональні дані та ймовірно створює високий ризик для осіб, ВПІ є обов'язковою згідно з GDPR. У випадку ШІ високого ризику згідно із Законом ЄС про ШІ, ВПІ часто неминуча на практиці.
Чи можуть системи штучного інтелекту приймати автономні рішення щодо співробітників або клієнтів?
Тільки за суворих умов. GDPR обмежує повністю автоматизоване прийняття рішень, а Закон ЄС про штучний інтелект вимагає значного людського нагляду за високоризиковими системами штучного інтелекту. У багатьох випадках людина повинна мати можливість втручатися, переглядати або скасовувати рішення, прийняті на основі штучного інтелекту.
Чи може політика щодо штучного інтелекту обмежувати використання співробітниками публічних інструментів штучного інтелекту?
Так. Однією з ключових цілей політики щодо штучного інтелекту є визначення того, чи можуть співробітники використовувати загальнодоступні інструменти штучного інтелекту, і за яких умов. Зазвичай це включає правила щодо введення конфіденційної інформації, персональних даних або чутливої бізнес-інформації.
Хто відповідає за дотримання політики щодо штучного інтелекту?
Політика щодо штучного інтелекту повинна чітко розподіляти відповідальність за дотримання вимог штучного інтелекту. Кінцева відповідальність зазвичай лежить на вищому керівництві або раді директорів, причому важливі ролі відіграють юридичний відділ, відділ комплаєнсу, ІТ та відділ кадрів. Без чіткого управління ефективний нагляд малоймовірний.
Які ризики виникають, якщо організація не має політики щодо штучного інтелекту?
Відсутність політики щодо штучного інтелекту збільшує ризик недотримання Закону ЄС про штучний інтелект та GDPR. Це може призвести до значних штрафів, заходів правозастосування, шкоди репутації та потенційної цивільної відповідальності. Це також ускладнює демонстрацію відповідального управління ШІ регуляторним органам.
Як часто слід переглядати політику щодо ШІ?
Політику щодо ШІ не слід розглядати як статичний документ. Регулярні перегляди необхідні, особливо коли впроваджуються нові системи ШІ, змінюється законодавство чи нормативні вказівки, або відбуваються інциденти. Щорічний перегляд часто вважається мінімумом.
Чи є грамотність у сфері штучного інтелекту обов'язковою для всіх співробітників?
Закон ЄС про штучний інтелект вимагає від організацій вживати заходів для сприяння розвитку грамотності в галузі штучного інтелекту. Це не означає, що кожен співробітник повинен стати технічним експертом, але вони повинні розуміти, що таке штучний інтелект, як він використовується в організації та які ризики він пов'язує.
Коли доцільно звернутися за юридичною консультацією?
Юридична консультація особливо доцільна під час розгортання систем штучного інтелекту з високим рівнем ризику, коли існує невизначеність щодо законності конкретних застосувань або коли виникають питання щодо правозастосування, аудитів чи відповідальності. Ранній юридичний огляд може запобігти дороговартісним коригувальним заходам у майбутньому.
