Jakie są najważniejsze obowiązki dla firm w oparciu o Akt o AI od 2 lutego 2025 r.?

Od tego dnia niemieckie firmy muszą wdrażać systemy sztucznej inteligencji, takie jak ChatGPT, przestrzegając jednocześnie ogólnych przepisów i zakazów z AI Act. Obejmuje to udowodnienie kompetencji w zakresie AI oraz ocenę ryzyka związanych z wdrożonymi systemami AI.

Jakie aspekty są istotne w kontekście udowodnienia kompetencji w zakresie sztucznej inteligencji?

Firmy muszą udowodnić kompetencje swoich pracowników w zakresie sztucznej inteligencji, co obejmuje kompetencje techniczne i fachowe. Może to być zrobione poprzez szkolenia lub wykorzystanie systemów AI, takich jak ChatGPT, a kompetencje techniczne mogą być już zapewnione poprzez wykorzystanie API.

Jak firma powinna regulować wykorzystanie systemów AI w swojej organizacji?

Firmy powinny opracować instrukcję organizacji sztucznej inteligencji w związku z aktem o AI, która określa dopuszczalne i niedozwolone zastosowania systemów AI. Instrukcja ta powinna również dotyczyć ochrony danych osobowych i oceny ryzyka związanego z systemami AI.

Kto ponosi odpowiedzialność za wyniki generowane przez systemy sztucznej inteligencji?

Odpowiedzialność za wyniki generowane przez sztuczną inteligencję spoczywa przede wszystkim na użytkowniku sztucznej inteligencji, a nie na samym systemie sztucznej inteligencji. Firmy muszą upewnić się, że pracownicy sprawdzają wyniki generowane przez sztuczną inteligencję przed ponownym wykorzystaniem i ewentualnie je poprawiają. Wymaga tego Rozporządzenie o Sztucznej Inteligencji.

Jakie konkretne ryzyka należy wziąć pod uwagę przy użyciu systemów AI?

Firmy muszą przeprowadzić ocenę ryzyka dla każdego wdrożonego systemu sztucznej inteligencji, zwłaszcza w przypadku bardziej ogólnych narzędzi. Szczególnie wysokiego ryzyka systemy sztucznej inteligencji należy unikać lub stosować jedynie po kompleksowej konsultacji i z odpowiednim nadzorem.

Jaki jest główny cel rozporządzenia o AI dla przedsiębiorstw?

Głównym celem jest ograniczenie odpowiedzialności poprzez nakazanie pracownikom, aby nie rozwijali żadnych działań związanych z AI, które mogłyby stanowić zagrożenie dla firmy. To minimalizuje ryzyko i odpowiedzialność firmy.

Jak firmy mogą skutecznie wykorzystywać systemy AI, takie jak ChatGPT?

Firmy powinny rozważyć korzyści płynące z systemów AI i opracować instrukcję organizacji AI. Powinna ona identyfikować udostępnione systemy AI i być dostosowana do specyficznych potrzeb firmy.

Jakie wyzwania stawia ChatGPT przed firmami?

ChatGPT to uniwersalny system, który nie zna słownictwa firmy ani nie jest zoptymalizowany pod kątem konkretnych przypadków użycia. Może to prowadzić do niedokładnych lub nieodpowiednich odpowiedzi.

Rozporządzenie UE w sprawie sztucznej inteligencji: obowiązki dla firm

Od 2 lutego 2025 r. niemieckie firmy muszą przestrzegać ogólnych przepisów i zakazów wynikających z ustawy o sztucznej inteligencji, jeśli korzystają z systemów sztucznej inteligencji, takich jak ChatGPT, Copilot lub filtr spamu AI z Outlooka. Obejmuje to dowód wiedzy specjalistycznej w zakresie sztucznej inteligencji i ocenę ryzyka związanego z używaną sztuczną inteligencją. Przegląd z zaleceniami.

Wprowadzenie

Niemieckie firmy będą musiały coś zrobić od 2 lutego 2025 r., jeśli korzystają ze sztucznej inteligencji:

W artykule 113 KI-Verordnung uregulowano, że niektóre przepisy tej ustawy mają zastosowanie od 02 lutego 2025 roku. AI-Verordnung jest skrótem od "AI" i w języku angielskim nazywa się AI Act.

Artykuły 1–4 AI-VO tworzą pierwszy rozdział. W nim są ustalone ogólne przepisy.

Artykuł 5 AI-VO tworzy rozdział II i zawiera Zakazy.

Od 2 lutego 2025 r. niemieckie firmy muszą zatem przestrzegać ogólnych przepisów i zakazów, jeśli systemy AI są używane w firmie. Korzystanie z systemów ChatGPT, Copilot lub AI od innych dostawców jest już odpowiednim zastosowaniem w rozumieniu rozporządzenia w sprawie AI.

Zgodnie z art. 113 lit. a AI-VO są ogólne przepisy (art. 1 do 4) i zakazy (art. 5) AI-VO stosowane od 2 lutego 2025 roku.

Kiedy obowiązki mają zastosowanie?

Od 2 sierpnia 2025 r. wejdą w życie kolejne przepisy rozporządzenia AI, które w szczególności wpłyną na modele AI o ogólnym przeznaczeniu. Te ostatnie obejmują dobrze znane systemy AI, takie jak ChatGPT, Microsoft Copilot lub modele AI firmy Mistral.

Jeśli motyw 12 rozporządzenia w sprawie sztucznej inteligencji zostanie przyjęty jako punkt odniesienia, systemy oprogramowania wykorzystujące sztuczną inteligencję również należy uznać za systemy sztucznej inteligencji. Przykładem tego są wyszukiwarki, które generują rekomendacje oparte na sztucznej inteligencji lub filtry antyspamowe oparte na sztucznej inteligencji. Jeśli chodzi o filtry antyspamowe, wymagane szkolenie powinno być minimalne; pracownicy powinni jednak zostać przynajmniej poinstruowani. Z drugiej strony duże wyszukiwarki są objęte innym rozporządzeniem, a mianowicie rozporządzeniem w sprawie usług cyfrowych, zgodnie z motywem 118 rozporządzenia w sprawie sztucznej inteligencji.

Jakie obowiązki mają zastosowanie od 2 lutego 2025 r.?

Obowiązki te wynikają z art. 4 i 5 rozporządzenia AI. Artykuł 3 zawiera ważne definicje terminów. Pierwsze dwa artykuły zawierają informacje na temat zakresu i przedmiotu rozporządzenia.

Dowód kompetencji w zakresie sztucznej inteligencji

Art. 4 Rozporządzenia AI dotyczy wyłącznie dowodu kompetencji w zakresie AI. Oznacza to, że każda firma, której pracownicy mają pracować z systemami AI, musi przedstawić taki dowód.

Pracownicy muszą zostać odpowiednio poinstruowani przez firmę. Obejmuje to również szkolenia. Sposób, w jaki firma dostarcza dowód wiedzy specjalistycznej w zakresie sztucznej inteligencji, nie jest określony. Pod tym względem istnieją dobre sposoby, aby zrobić to rozsądnie i skutecznie.

Przykładem dla potwierdzenia umiejętności AI jest Dr. RODO. Potwierdzenie składa się z:

Wiedza techniczna
Wiedza specjalistyczna

Wiedza techniczna powinna być przynajmniej dostępna i wiarygodna, jeśli oferowane są systemy AI lub odbywa się programowanie AI. To ostatnie może już mieć miejsce w przypadku korzystania z interfejsu programowania aplikacji (API), takiego jak ten oferowany przez ChatGPT.

Kategoryzacja wykorzystywanych systemów sztucznej inteligencji

Art. 5 Rozporządzenia AI zawiera liczne zakazy, tj. cele, do których systemy AI mogą lub nie mogą być wykorzystywane. Zakazane jest na przykład podprogowe wywieranie wpływu na osoby przez sztuczną inteligencję. Zabronione jest również ocenianie lub klasyfikowanie osób fizycznych lub grup osób przez określony czas na podstawie ich zachowań społecznych. Artykuł 5 zawiera wiele innych zakazów.

Aby wykluczyć zakazane cele dla używanego systemu AI, należy go przeanalizować i opisać. Następnie można go sklasyfikować i sprawdzić pod kątem przepisów rozporządzenia w sprawie AI.

Również w tym zakresie można rozstrzygnąć, czy firma jest jedynie operatorem systemu AI lub też jego dostawcą. Dostawca systemów AI musi spełniać znacznie więcej obowiązków niż operator.

Zalecenia

Firmy powinny zapoznać swoich pracowników z pracą z systemami AI i wydawać instrukcje w ich własnym interesie. Sposób, w jaki firmy będą postępować, zależy od nich.

Przydział jest edukacją pracowników. Może być pisemny lub w formie osobistej lub elektronicznej szkolenia. Przydział służy do uprawienia pracowników. Ostatecznie AI dla firm są środkiem do celu. W związku z tym należy zapewnić, że systemy AI dla firmy będą przynosiły korzyści.

Jednak Instrukcja jest raczej środkiem regulacyjnym. Służy do kierowania pracowników podczas pracy z systemami AI w określonych kanałach. Nie każda użycie AI jest pożądane lub sensowne.

Informacje ogólne wzbogacone o informacje ukierunkowane są zalecane w przypadku briefingu. Konkretnie oznacza to:

Szkolenie pracowników na miejscu, w siedzibie firmy lub w centrum szkoleniowym
Szkolenie wstępne może również odbywać się online, na przykład w formie webinaru
Utworzenie instrukcji, która może być częścią Instrukcji dotyczącej organizacji AI. Instrukcja ma wspierać pracowników. Może również być żywa, czyli regularnie aktualizowana. W związku z tym należy rozważyć wykorzystanie oferty internetowej.

Instrukcje dla pracowników pracujących z AI w firmie obejmują w szczególności:

Wymogi dotyczące dozwolonego profesjonalnego korzystania ze sztucznej inteligencji
Wytyczne dotyczące nieautoryzowanego profesjonalnego wykorzystania sztucznej inteligencji
Osoba kontaktowa (np. inspektor ochrony danych)
Instrukcja może być również częścią instrukcji organizacyjnej AI

Instrukcja organizacyjna AI jako kompletny dokument zawiera zatem

Informacje dotyczące odprawy pracowników i
Informacje do celów instruktażu pracowników.

Rodzaje wykorzystania sztucznej inteligencji

Systemy AI mogą być wykorzystywane do różnych zadań. Istnieją również różne systemy AI, takie jak różne typy modeli AI. Najbardziej znane są modele głosowe ("chatboty"). Istnieją również generatory obrazów, generatory wideo, modele audio itp.

Firmy powinny zdefiniować cele, dla których pracownicy są upoważnieni do korzystania z danego systemu AI.

W szczególności ważne jest, aby zrozumieć, że wszystkie wyniki wygenerowane za pomocą sztucznej inteligencji muszą zostać sprawdzone przed dalszym wykorzystaniem. Wynika to z faktu, że to nie system AI, ale użytkownik wyników AI jest odpowiedzialny (początkowo i często ostatecznie) za wyniki AI.

Wydawania AI mogą naruszać prawa autorskie osób trzecich. Zastosowanie ma to zarówno do zdjęć, jak i każdej innej formy medium, takiej jak teksty lub pliki audio. Dlatego też nie wolno po prostu zezwalać na użycie przez pracowników wygenerowanych za pomocą AI obrazków. Zrób to w swojej instrukcji organizacyjnej dotyczącej AI!

Dalej treści generowane przez AI nie posiadają żadnego ochrony praw autorskich. AI nie może być autorem. Jeśli stworzyliście wspaniałe logo lub wspaniały tekst przy pomocy AI, upewnijcie się, że zdjęcie lub tekst został ręcznie poprawiony. Tylko tak możecie później odwołać się do swojej autorstwa i powstrzymać innych przed nieuprawnionym wykorzystaniem Waszego dzieła.

Ochrona i bezpieczeństwo danych

Systemy AI przetwarzają więcej danych niż jakikolwiek inny typ konwencjonalnego systemu IT.

Dlatego ważne jest, aby dostawca cieszył się zaufaniem użytkownika AI (Twojej firmy?). Dostawca obejmuje również kraj siedziby głównej. Powszechnie wiadomo, że w USA istnieje wiele przepisów wywiadowczych, które zezwalają na szpiegowanie zarówno obcokrajowców, jak i obywateli. Obejmują one ustawę Cloud Act, prezydenckie rozporządzenia wykonawcze 12333 i 14086 oraz sekcję 702 FISA.

Dane osobowe można automatycznie NIE zależnie od wiarygodnie anonimizować lub psewdomizować.
"Oferty rozwiązań, które to twierdzą, mogą być obalone (Przykład).

Dane wrażliwe w firmach obejmują w szczególności:

Prywatne sprawy biznesowe: Firmy mogą tu zrobić co chcą. Czy jest sens w tym, aby geheimniska poprzez ich rozdanie tracić wartość to decyzja każdej firmy.
Dane poufne: Dane te zostały deklarowane jako poufne w sposób subiektywny, np. poprzez umowę niejawności (NDA). Partner biznesowy może dochodzić swoich praw sądownie, jeśli jego dane zostaną udostępnione trzecim osobom (ChatGPT?).
Dane osobowe: Jeśli nie ma danych przetwarzanych na podstawie art. 6 (1) RODO, osoby dotknięte mogą wnieść skargi prawne.

Dla danych osobowych są również spełnione obowiązki informacyjne zgodnie z art. 12 RODO. Powinno więc być znane, co dokładnie dzieje się w systemie AI, który jest używany. Najlepiej to sprawdza się, gdy system AI samodzielnie działa.

Dowód kompetencji w zakresie sztucznej inteligencji

Dowód powinien być dostarczony w formie odpowiedniej dla formy obsługiwanej lub oferowanej AI.

Jeśli na stronie internetowej oferowana jest inteligencja artficialna, powinien ona być tam udokumentowana, czyli na stronie internetowej.

Jeśli dostęp do chatbota jest zapewniony pracownikom za pośrednictwem intranetu, informacje powinny być przekazywane tam lub dodatkowo za pośrednictwem newslettera.

Treść certyfikatu świadczy o specjalistycznej wiedzy firmy lub jej pracowników w zakresie sztucznej inteligencji. Chodzi o uwiarygodnienie kompetencji. W każdym razie specjalista ds. sztucznej inteligencji nie jest obowiązkowy. Posiadanie osoby zajmującej się ważnym tematem sztucznej inteligencji w firmach o określonej wielkości z pewnością nie jest złe.

Ocena ryzyka związanego z systemami sztucznej inteligencji

Ocena ryzyka powinna zostać przeprowadzona dla każdego systemu AI i każdego narzędzia AI używanego w firmie.

Im bardziej ogólne jest używane narzędzie AI, tym trudniej jest ocenić ryzyko. Jak wiemy, ChatGPT może być również używany do tworzenia instrukcji budowania bomb (przy niewielkim wysiłku w podpowiadaniu). Z drugiej strony pojawia się pytanie, jaki jest sens systemu sztucznej inteligencji bez konkretnego celu dla Twojej firmy. Z tych dwóch powodów firma powinna zezwalać na korzystanie z systemów sztucznej inteligencji tylko w konkretnych, znaczących celach. To, co można zrobić za pomocą wyszukiwarki, nie musi być realizowane za pomocą chatbota.

Tak zwana sztuczna inteligencja wysokiego ryzyka nie powinna być stosowana. Każdy, kto mimo to zamierza to zrobić, wymaga dogłębnego doradztwa, które wykracza daleko poza pisemne porady.

Ograniczanie ryzyka

Spółki ponoszą odpowiedzialność wobec świata zewnętrznego (początkowo i często ostatecznie) za zachowanie swoich pracowników w imieniu spółki.

Firma powinna więc mieć własny interes w tym, aby pracownicy nie używali systemów AI dostępnych do użytku bez ograniczeń. W przypadku ChatGPT lub innych ogólnych systemów AI można to osiągnąć poprzez Strona podglądu z chatbotem. Bezpośredni dostęp do ChatGPT za pomocą własnej powierzchni czatu nie oferuje żadnej kontroli dla firmy.

Taka wstępna strona odbiera zapytania pracowników do AI i przekazuje je do AI w tle. Odpowiedź AI jest wysyłana z powrotem do pracownika w przeciwnym kierunku.

Pozytywnym efektem ubocznym jest możliwość kontrolowania kosztów i intensywności użytkowania. Niektóre żądania mogą być również blokowane. W przypadku niektórych zapytań do sztucznej inteligencji sensowne może być odwołanie się bezpośrednio do wewnętrznego dokumentu firmy, zamiast zlecania ChatGPT dostarczenia odpowiedzi z wiedzy o świecie.

Wynik

Rozporządzenie w sprawie AI wprowadza umiarkowane obowiązki dla firm, jeśli są one jedynie operatorami systemów AI lub dostawcami systemów AI innych niż niebezpieczne.

Obowiązki te wymagają jednak wysiłku, który powinien być podejmowany we własnym interesie spółki.

Im wcześniej rozpoczną się działania mające na celu wzmocnienie pozycji i poinstruowanie pracowników w firmie, tym szybciej zostanie osiągnięty odporny, praktyczny stan. Głównym celem pierwszego kroku będzie ograniczenie odpowiedzialności firmy poprzez poinstruowanie pracowników, aby nie rozwijali żadnych działań z wykorzystaniem sztucznej inteligencji, które są niebezpieczne dla firmy.

Jeśli przedsiębiorstwa chcą zastosować ogólne systemy AI, takie jak ChatGPT lub Copilot, powinny również rozważyć korzyści z ich użycia. W szczególności Copilot cechuje się brakiem jakości. ChatGPT jest natomiast uniwersalnym systemem, który nie znaje słownika przedsiębiorstwa ani nie został zoptymalizowany do konkretnych przypadków zastosowania.

Kwestie te można wyjaśnić, tworząc dyrektywę organizacyjną dotyczącą sztucznej inteligencji, która może również zawierać nazwy zatwierdzonych systemów sztucznej inteligencji.