Szybki rozwój sztucznej inteligencji (AI) w różnych sektorach stwarza ogromne możliwości, ale także skomplikowane wyzwania prawne. Organizacje rozwijające lub integrujące aplikacje AI muszą najpierw jasno określić podział praw własności intelektualnej w odniesieniu do modeli, danych treningowych i wyników generowanych przez systemy. Brak jasnych warunków umownych może prowadzić do niepewności dotyczącej własności, warunków licencjonowania i odpowiedzialności, co może skutkować kosztownymi sporami prawnymi i opóźnieniami w realizacji projektów, jeśli dojdzie do nieporozumień.
Ponadto odpowiedzialne wdrożenie AI wymaga od organizacji opracowania szczegółowych ram zgodności. Obejmuje to wytyczne dotyczące zbierania danych, monitorowania algorytmicznych uprzedzeń oraz mechanizmy interwencji ludzkiej w zautomatyzowanych decyzjach. Chociaż instytucje UE kończą prace nad legislacją dotyczącą AI, firmy powinny proaktywnie opracować ramy zarządzania, które identyfikują systemy AI wysokiego ryzyka, planują procedury certyfikacji i zapewniają ciągłe monitorowanie modeli.
Umowy AI i prawa własności intelektualnej
Przy tworzeniu umów na dostawę lub rozwój modeli AI, kluczowe jest przeprowadzenie dokładnej weryfikacji wszystkich praw własności intelektualnej, które są związane z projektem. Zespoły prawne powinny w umowach precyzyjnie określić, kto posiada algorytmy, jakie są prawa do kodu źródłowego i jakie ograniczenia istnieją w zakresie ponownego wykorzystania modeli w przyszłych projektach. Zapobiegnie to nieporozumieniom dotyczącym praw do kopiowania, modyfikowania lub dalszej sprzedaży modeli.
Ważne jest również określenie warunków dotyczących wyników generowanych przez AI, takich jak tekst, obrazy lub automatycznie generowane dane. Warunki umowy powinny określać, czy te wyniki automatycznie stają się własnością nabywcy, oraz na jakich warunkach mogą być licencjonowane osobom trzecim. Ograniczenia odpowiedzialności powinny uwzględniać scenariusze, w których wyniki mogą prowadzić do problemów prawnych, takich jak naruszenie praw osób trzecich lub niepożądana profilacja.
Dodatkowo należy zawrzeć postanowienia dotyczące przejrzystości, które wymagają od dostawców dostarczenia dokumentacji dotyczącej architektury modelu, danych treningowych i środków efektywności. Takie postanowienia stanowią prawne gwarancje odpowiedzialnego wdrożenia AI, zapewniając klientom wgląd w potencjalne uprzedzenia, pochodzenie danych oraz ograniczenia techniczne dostarczonych rozwiązań AI.
Zarządzanie i polityka AI
Organizacje powinny opracować formalną politykę AI, która obejmuje wszystko, od zbierania danych po regulowanie procedur interwencji ludzkiej. Dokumentacja polityczna powinna zawierać kryteria doboru danych treningowych, w tym standardy dotyczące prywatności i etyki, oraz struktury do ciągłego monitorowania zachowania modeli w celu wykrycia potencjalnych niepożądanych uprzedzeń lub odstępstw w wydajności. Komitety zarządzające nadzorują zgodność i udzielają wytycznych w zakresie strategicznych decyzji dotyczących AI.
Kluczowym elementem zarządzania AI jest wdrożenie mechanizmów wykrywania uprzedzeń i monitorowania sprawiedliwości przez cały cykl życia modelu. Zespoły techniczne przeprowadzają regularne audyty danych treningowych i testowych w celu wykrycia i naprawienia ewentualnych błędów w wynikach modeli. Prawnicy i eksperci etyczni przeprowadzają weryfikację, aby upewnić się, że te procedury są zgodne z przepisami dotyczącymi dyskryminacji i ochrony praw człowieka.
Należy również zastosować strategię „człowiek w pętli”, która zapewnia, że zautomatyzowane decyzje mogą być sprawdzane przez wykwalifikowany personel, zanim zostaną zastosowane. Zapobiegnie to niezamierzonemu szkodzeniu wynikającemu z decyzji AI i daje zainteresowanym stronom możliwość sprzeciwu wobec nadmiernej autonomii systemów. Procedury powinny określać, kiedy i jak nastąpi interwencja ludzka.
Ocena wpływu AI
W przypadku aplikacji AI wysokiego ryzyka, takich jak rozpoznawanie twarzy czy algorytmy przewidujące recydywę, ważne jest przeprowadzenie ocen wpływu AI (AIIA). Te oceny obejmują dokładną analizę potencjalnych ryzyk związanych z dyskryminacją, prywatnością i bezpieczeństwem. Zespoły identyfikują prawa zaangażowanych osób, oceniają prawdopodobieństwo szkody i opracowują środki ograniczające ryzyko, które dokumentowane są w raporcie z oceny wpływu.
AIIA przeprowadzane są przez zespoły multidyscyplinarne, składające się z ekspertów danych, prawników i specjalistów etycznych. Analiza wpływu obejmuje przepływy pracy dla scenariuszy takich jak identyfikowanie populacji, które mogą być nieproporcjonalnie dotknięte, oraz weryfikację, czy proponowane środki techniczne, takie jak odporne szkolenie lub prywatność różnicowa, skutecznie zmniejszają zidentyfikowane ryzyka.
Po przeprowadzeniu raporty AIIA służą jako punkt wyjścia dla podejmowania decyzji przez kierownictwo w sprawie decyzji Go/No-Go. Odpowiednie organy nadzoru mogą wymagać tych raportów, zwłaszcza gdy są przeprowadzane oceny ryzyka przewidziane przez legislację UE dotyczącą AI. Zespoły prawne zapewniają, że raporty spełniają wymagania dotyczące formatu oraz że wszystkie ryzyka są odpowiednio przypisane do osób odpowiedzialnych, a także mają określony czas na ich kontrolę.
Legislacja UE dotycząca AI i proaktywne podejście
W związku z nadchodzącą legislacją dotyczącą AI w UE, organizacje będą musiały sklasyfikować systemy AI według matrycy ryzyka. Strategie zgodności powinny planować wdrożenie certyfikacji, protokołów monitorowania i obowiązkową rejestrację w unijnym rejestrze AI. Zespoły prawne śledzą terminy zgodności i integrują te wymagania w planowanie projektów.
Strategiczne podejścia obejmują również iteracyjny proces regularnego przeglądu systemów AI wysokiego ryzyka, w którym zmiany w legislacji lub postępach technologicznych są przekładane na odpowiednie procedury zgodności. Dzięki temu organizacja nie pozostaje w tyle, gdy legislacja dotycząca AI wchodzi w życie, a istniejące systemy są dostosowywane na czas.
Ostatecznie podejścia te obejmują programy szkoleniowe dla wszystkich pracowników, aby utrzymać stałą świadomość wymagań dotyczących AI, standardów etycznych i powiązanych kwestii nadzoru. Integrując zarządzanie AI na poziomie strukturalnym, organizacja staje się bardziej elastyczna i może zrównoważyć innowacje z zgodnością z przepisami prawnymi.
Zarządzanie dostawcami i zobowiązania umowne
Umowy z dostawcami AI powinny zawierać eksplicytnie zobowiązania dotyczące przeprowadzania regularnych audytów uprzedzeń, gdzie niezależni audytorzy lub niezależne komitety regularnie testują modele, aby wykryć niepożądane uprzedzenia. Dostawcy powinni dostarczyć szczegółowe oświadczenia wyjaśniające wyniki modelu oraz używane funkcje jako część swoich zobowiązań transparentności.
Powinny być również zawarte postanowienia dotyczące walidacji i ponownego szkolenia modelu: gdy wskaźniki wydajności, takie jak wyniki F1 lub AUC, spadną poniżej określonych granic, automatycznie uruchamiany jest proces walidacji lub ponownego szkolenia. Te techniczne mechanizmy muszą być prawnie zarejestrowane, aby strony mogły ponosić odpowiedzialność, jeśli uzgodnione standardy jakości nie są spełnione.
Na koniec umowy z dostawcami AI powinny zawierać postanowienia dotyczące ciągłości i zarządzania wynikami, gdzie w przypadku zakończenia współpracy kod źródłowy oraz dokumentacja dotycząca architektury modelu i danych treningowych są bezpiecznie przekazywane. Zapobiega to uzależnieniu od jednego dostawcy i zapewnia zarówno prawne, jak i techniczne bezpieczeństwo podczas przejścia na nowych partnerów AI.
