Řízení rizik podle Aktu o umělé inteligence

Projdeme si řízení rizik při využití systémů umělé inteligence. Řízení rizik je také stěžejním aspektem nové regulace, AI Actu, který už byl schválen a brzy bude účinn!

AI Act je schválen, postupně bude nabíhat jeho účinnost

Akt o umělé inteligenci, AI Act, byl 13. března tohoto rokz přijat Evropským parlamentem a následně jej dne 21. května 2024 schválila i Rada Evropské unie . V úředním věstníku EU pak byl publikován 12. července 2024. A to hlavní datum nakonec, platný je od 1. srpna 2024!

Jak je účinnost AI Actu fázována?

  • Od 2. února 2025 budou účinná obecná ustanovení AI Actu a zákaz využití AI ve velmi rizikových oblastech

  • Zahájení činnosti dozorových úřadů, dozor na úrovni EU a pravidla pro obecné modely AI začnou být efektivní od 2. srpna 2025.

  • Zbytek AI Actu, včetně pravidel pro řízení rizik, dokumentaci, kontrolu kvality atd., bude plně účinný od 2. srpna 2027.

Řízení rizik podle AI Actu

AI Act definuje tyto úrovně rizika AI pro dotčené osoby.

Nepřijatelné riziko

Jedná se například o systémy pro vytváření databází rozpoznávání obličejů, sociální scoring, systémy pro biometrickou identifikace v reálném čase ve veřejném prostoru či systém rozpoznávání chování v práci (jsou zde výjimky, např. rozpoznání únavy řidiče).

Tyto systémy jsou v EU zcela zakázány.

Vysoce rizikové systémy

Jedná se o systémy, které mohou mít nepříznivý dopad na bezpečnost fyzických osob. Mohou se vyskytovat jako součást bezpečnostního komponentu výrobku či jako samostatný výrobek. Oblasti pro využití systémů, které AI Act hodnotí jako vysoce rizikové, jsou kompletně uvedeny v příloze III tohoto předpisu. Jedná se například o oblast:

  • kritické infrastruktury, systémy umělé inteligence určené k použití jako bezpečnostní prvky při řízení a provozu kritické digitální infrastruktury, silniční dopravy nebo při dodávkách vody, plynu, tepla nebo elektřiny

  • vzdělávání, tedy systémy umělé inteligence určené k náboru, k analýze a filtrování žádostí o zaměstnání a k hodnocení uchazečů

  • oblast migrace, azylu, přeshraničních kontrol, např. systémy využívané veřejnými orgány ke kontrole hranic státu, k vyhodnocení bezpečnostních rizik migrace, nelegální migrace atd. 

Naproti tomu systémy pro odhalování podvodů při nabízení finančních služeb a pro obezřetnostní účely výpočtu kapitálových požadavků úvěrových institucí a pojišťoven NEJSOU považovány za vysoce rizikové podle tohoto předpisu.

Omezené riziko

Omezené neboli transparentní riziko se týká AI systémů, které vytvářejí zvukový, obrazový nebo video obsah, který se podobá realitě, ale realitou není. Typicky se jedná o riziko manipulace AI s osobou, např. prostřednictvím chatbotů.

Jaké povinnosti na využití takovýchto systémů upravuje AI Act? 

  • Uživatelé si musí být vědomi, že komunikují se strojem.

  • Informace o použité AI a právech uživatelů, které jsou vymezeny v čl.  50 AI Actu, je nutné dotčeným fyzickým osobám poskytnout jasným a zřetelným způsobem, nejpozději v okamžiku první interakce nebo expozice vůči AI. I z této povinnosti existují výjimky, např. v zákonem daných případech za účelem odhalování, prevence, vyšetřování nebo stíhání trestných činů. Rovněž u uměleckých děl postačí zajistit transparentnost v rozsahu, který nenaruší samotné dílo. 

Minimální riziko

Do této kategorie spadají všechny ostatní systémy umělé inteligence. Patří sem většina systémů a nástrojů, které jsou dnes v EU používány.

Tyto systémy lze uvádět na trh a používat v souladu se stávajícími právními předpisy bez dodatečných povinnostíOstatní právní předpisy však musí být plněny, např. povinnosti pro automatizované individuální rozhodování dle čl. 22 GDPR, pravidla pro ochranu spotřebitele atd.

Plnění požadavků AI Actu prakticky

Když už známe základní dělení rizikovosti systémů AI, přesuneme se na vybrané povinnosti u vysoce rizikových systémů.

Před uvedením vysoce rizikového systému AI (nebo při jeho změně) musí poskytovatel systému AI, který AI vyvíjí a hodlá pod svým jménem uvést na trhu EU, provést posouzení shody dle článku 47 AI Actu, tzv. Conformity Assessment. Dokument o posouzení shody musí obsahovat: 

  • Název a typ systému AI a jakýkoli další jednoznačný odkaz umožňující identifikaci a sledovatelnost systému.

  • Název a adresu poskytovatele.

  • Deklaraci, že prohlášení je vydáno na výhradní odpovědnost poskytovatele.

  • Prohlášení, že systém AI je ve shodě s regulací, tzn. s AI Actem.

  • Pokud systém AI zahrnuje zpracování osobních údajů, prohlášení, že tento systém je v souladu s GDPR.

  • Odkazy na všechny použité normy, např. ISO standardy.

  • Místo a datum vydání prohlášení, jméno a funkce osoby, která prohlášení podepsala.

Účelem posouzení je jednoduše prokázat, že systém AI splňuje povinné požadavky pro uvedení na trh v EU. 

Další požadavky na vysoce rizikové systémy

Z dalších požadavků na uvádění na trh a používání vysoce rizikových AI systémů uveďme ty nejdůležitější:

  • Systémy AI musí být navrženy tak, aby byly transparentní, aby jim uživatelé rozuměli a mohli je správně používat. Dokumentace musí obsahovat návod k použití, informace o poskytovateli a rizicích spojených se systémem AI a také informace, jak se shromažďuji a ukládají datové logy.

  • Systém AI musí být navržen tak, aby měl schopnost automaticky zaznamenávat svoji aktivitu a jednotlivé události po celou dobu životnosti. To má zajistit, aby bylo možné zpětně sledovat činnost systému, zejména v situacích, kdy by AI mohla představovat riziko nebo procházet významnými změnami.

  • Poskytoval vysoce rizikového systému AI musí mít nastaven systém řízení rizik, který dokáže identifikovat a analyzovat potenciální rizika pro zdraví, bezpečnost nebo základní práva fyzických osob a přijmout opatření k jejich řízení.

  • Systémy AI s vysokým rizikem by měly být testovány, aby se určila nejlepší opatření pro řízení rizik a aby se zajistilo, že fungují tak, jak mají. Poskytovatel by v rámci řízení rizik měl také zvážit, zda by AI mohla mít negativní dopad na osoby mladší 18 let.

  • Vysoce rizikové systémy AI, které budou nasazeny orgány veřejné moci nebo subjekty jednajícími jejich jménem, budou muset být navíc registrovány ve veřejné databázi EU

Hodnocení dopadu AI na lidská práva

Další z novinek, které AI Act přináší, je tzv. posouzení dopadu na základní lidská práva. Také se používá zkratka FRIA z anglického pojmu Fundamental Rights Impact Assessment.

Kdo bude muset dopad AI na základní lidská práva hodnotit? Co vše FRIA zahrnuje? Jsou procesy FRIA a DPIA (Data Protection Impact Assessment) podobné? Odpovědi naleznete v plném znění článku na GRPR.cz.


Chcete získat dárek k narozeninám?