З 2 лютого 2025 року німецькі компанії повинні дотримуватися загальних правил і заборон Закону про штучний інтелект, якщо вони використовують системи штучного інтелекту, такі як ChatGPT, Copilot або фільтр спаму в Outlook. Це включає в себе підтвердження експертизи в галузі штучного інтелекту та оцінку ризиків, пов'язаних з використанням штучного інтелекту. Огляд з рекомендаціями.
Вступ
З 2 лютого 2025 року німецьким компаніям доведеться щось робити, якщо вони використовують ШІ:
У статті 113 КІ-Верорнунгі регулюється, що деякі положення цієї верорнунги починаючи з 02 лютого 2025 року повинні бути застосовувані. КІ-Верорнунга називається також AI-VO і на англійській мові — AI Act.
Статті 1–4 КІ-ВО утворюють перше розділ. У ньому встановлені загальні вимоги.
Стаття 5 КІ-ВО складається з розділу ІІ та містить заборони.
Тому з 2 лютого 2025 року німецькі компанії повинні дотримуватися загальних правил і заборон, якщо в компанії використовуються системи штучного інтелекту. Використання ChatGPT, Copilot або систем штучного інтелекту від інших постачальників вже є відповідним використанням у розумінні Регламенту про штучний інтелект.
Згідно зі статтею 113, літера а КІ-ВО загальні вимоги (статті 1-4) та заборони (статті 5) КІ-ВО починаючи з 2 лютого 2025 року застосовуються.
Коли застосовуються зобов'язання?
З 2 серпня 2025 року набудуть чинності подальші положення Регламенту про ШІ, які, зокрема, стосуються моделей ШІ загального призначення. До останніх належать такі відомі системи штучного інтелекту, як ChatGPT, Microsoft Copilot або моделі штучного інтелекту з "Містраля".
Якщо взяти за основу пункт 12 Регламенту про штучний інтелект, то програмні системи, які використовують штучний інтелект, також вважатимуться системами штучного інтелекту. Прикладами цього є пошукові системи, які генерують рекомендації на основі ШІ, або спам-фільтри на основі ШІ. Що стосується спам-фільтрів, то необхідне навчання має бути мінімальним, але працівники повинні бути принаймні проінструктовані. З іншого боку, великі пошукові системи підпадають під дію іншого нормативно-правового акта, а саме Регламенту про цифрові послуги, згідно з пунктом 118 Регламенту про ШІ.
Які зобов'язання застосовуються з 2 лютого 2025 року?
Зобов'язання випливають зі статей 4 і 5 Регламенту АІ. Стаття 3 містить важливі визначення термінів. Перші дві статті містять інформацію про сферу застосування та предмет Регламенту.
Підтвердження компетентності в галузі штучного інтелекту
Стаття 4 Регламенту про штучний інтелект стосується виключно підтвердження компетентності у сфері штучного інтелекту. Це означає, що кожна компанія, працівники якої мають працювати з системами штучного інтелекту, повинна надати такий доказ.
Співробітники повинні бути проінструктовані компанією. Це також включає в себе навчання. Як саме компанія надає докази своєї компетентності в галузі ШІ, не прописано. У цьому відношенні існують хороші способи зробити це розумно і ефективно.
Приклад підтвердження компетентності КІ є на сайті Dr. GDPR. Подтвердження складається з ([1]) :
- Технічна експертиза
- Експертиза
Якщо пропонуються системи ШІ або відбувається програмування ШІ, технічна експертиза повинна бути принаймні присутня і бути правдоподібною. Останнє вже може бути реалізовано за допомогою інтерфейсу прикладного програмування (API), як-от той, що пропонує ChatGPT.
Категоризація використовуваних систем штучного інтелекту
Стаття 5 Регламенту про ШІ містить численні заборони, тобто цілі, для яких системи ШІ можуть або не можуть використовуватися. Наприклад, забороняється підсвідомий вплив на людей за допомогою ШІ. Також заборонено оцінювати або класифікувати фізичних осіб або групи осіб протягом певного періоду часу на основі їхньої соціальної поведінки. Стаття 5 містить багато інших заборон.
Щоб виключити заборонені цілі використання системи штучного інтелекту, необхідно проаналізувати та описати систему штучного інтелекту. Після цього її можна класифікувати та перевірити на відповідність положенням Регламенту про ШІ.
Також можна розібратися, чи підприємство лише власниця системи КІ або навіть її постачальниця. Постачальник систем КІ повинен виконувати набагато більше обов'язків ніж власник.
Рекомендації
Компанії повинні ознайомити своїх співробітників з роботою з системами штучного інтелекту і видавати інструкції в їхніх же інтересах. Те, як компанії будуть діяти далі, залежить від них самих.
Є введення – це навчання співробітників. Вона може відбуватися письмово або у формі особистої чи цифрової навчання. Введення призначене для підготовки працівників. Останнім часом КІ для підприємств є засобом до кінця. Тому слід забезпечити, щоб системи КІ створювали користь для підприємства.
Порада навпаки є більшою мірою регулюючим заходом. Вона призначена для того, щоб допомогти працівникам працювати з системами КІ в організованому порядку. бо не кожне використання КІ бажане або розумне.
Для брифінгу рекомендується використовувати загальну інформацію, збагачену цільовою інформацією. Конкретно це означає:
- Навчання співробітників на місці – у вас або в навчальному центрі
- Початкове навчання також може проходити онлайн, наприклад, у формі вебінару
- Створення інструкції, яка може бути частиною AI-Організаційної вказівки. Інструкція призначена для підтримки працівників. Вона також може бути живою, тобто регулярно оновлюватися. Відповідно слід подумати про використання онлайн-підходу.
Інструкції для співробітників, які працюють зі штучним інтелектом у компанії, зокрема, включають:
- Вимоги до дозволеного професійного використання ШІ
- Вказівки щодо несанкціонованого професійного використання ШІ
- Контактна особа (наприклад, відповідальний за захист даних)
- Також вказівка може бути частиною AI-організаційної вказівки
Таким чином, організаційна інструкція зі штучного інтелекту як повноцінний документ містить
- Інформація для інструктажу працівників та
- Інформація для інструктажу співробітників.
Типи використання штучного інтелекту
Системи штучного інтелекту можна використовувати для різних завдань. Існують також різні системи ШІ, наприклад, різні типи моделей ШІ. Найвідомішими є голосові моделі ("чат-боти"). Існують також генератори зображень, відеогенератори, аудіомоделі тощо.
Компанії повинні визначити, для яких цілей співробітники мають право використовувати ту чи іншу систему штучного інтелекту.
Зокрема, важливо розуміти, що всі результати, отримані за допомогою ШІ, повинні бути перевірені перед подальшим використанням. Це пов'язано з тим, що не система ШІ, а користувач результатів ШІ несе відповідальність (спочатку і часто в кінцевому підсумку) за результати ШІ.
AI-випуски можуть порушувати авторські права третіх осіб. Це стосується як зображень, так і будь-якої іншої форми медіа, наприклад текстів чи аудіозаписів. Тому створені за допомогою AI зображення не повинні бути вільно використовувані співробітниками. Регулюйте це у своїй організації щодо використання AI!
В подальшому вміст, згенерований з допомогою КІ, згідно наявних даних не має охоронюваних авторських прав. КІ не може бути автором. Якщо ви створили чудовий логотип чи чудернацький текст за допомогою КІ, то забезпечте, щоб відповідний зображення або текст було пізніше ручної обробки. Тільки так можна буде пізніше звернутися до своєї авторської прави та попередити інших від використання вашого твору без згоди.
Захист та безпека даних
Системи штучного інтелекту обробляють більше даних, ніж будь-який інший тип традиційних ІТ-систем.
Тому важливо, щоб постачальник користувався довірою користувача ШІ (вашої компанії?). Провайдер також включає в себе країну, в якій знаходиться його штаб-квартира. Відомо, що в США є численні закони про розвідку, які дозволяють шпигувати за іноземцями та громадянами країни. До них належать Закон про хмарні технології, президентські укази 12333 і 14086, а також розділ 702 FISA.
Персональні дані можна автоматизовано НІ з надійністю анонімізувати або псевдонімізувати.
"Представники пропозицій, які стверджують це, можуть бути спростовані (Наприклад).
До чутливих даних у компаніях належать, зокрема, такі:
- Господарські таємниці: підприємства можуть тут робити все, що їм заманеться. Чи є сенс у зниженні вартості секретів шляхом їх розповсюдження, це власне рішення кожного підприємства.
- Відповідальні дані: Ці дані були суб'єктивно оголошені як конфіденційні, наприклад, згідно з угодою про нерозголошення (NDA). Партнер за договором зможе звернутися до суду щодо юридичних кроків, якщо його дані будуть передані третім особам (ChatGPT?).
- Персональні дані: Якщо немає підстав для обробки даних згідно з стаття 6 (1) ДЗКП, особам, яким це стосується, можна звернутися до суду.
Для персональних даних також необхідно виконувати інформаційні обов'язки згідно з статтею 12 ДЗПВ. Тому слід знати, що саме відбувається в використовуваному системі штучного інтелекту. Це краще здійснюється тоді, коли система штучного інтелекту самовідправляється.
Підтвердження компетентності в галузі штучного інтелекту
Докази повинні бути надані у формі, яка відповідає формі ШІ, що експлуатується або пропонується.
Якщо на вебсайті надається КІ, тоді доказ повинен бути зроблений саме там, тобто на вебсайті.
Якщо доступ до чат-бота надається працівникам через інтранет, то інформацію слід надавати там же або додатково через розсилку.
Зміст сертифіката демонструє експертизу компанії або її співробітників у сфері штучного інтелекту. Йдеться про те, щоб зробити компетентність правдоподібною. У будь-якому випадку, наявність АІ-офіцера не є обов'язковою. Наявність людини, яка займається важливою темою штучного інтелекту в компаніях певного розміру, безумовно, не є чимось поганим.
Оцінка ризиків систем штучного інтелекту
Оцінку ризиків слід проводити для кожної системи ШІ та кожного інструменту ШІ, що використовується у вашій компанії.
Чим загальніший інструмент ШІ використовується, тим складніше оцінити ризик. Як ми знаємо, ChatGPT також можна використовувати для створення інструкцій зі створення бомб (з невеликими зусиллями для підказок). З іншого боку, виникає питання, який сенс у системі штучного інтелекту без конкретної мети для вашої компанії. З цих двох причин ваша компанія повинна дозволяти використання систем штучного інтелекту тільки для конкретних, значущих цілей. Те, що можна зробити за допомогою пошукової системи, не обов'язково реалізовувати за допомогою чат-бота.
Так звані ШІ з високим ступенем ризику не повинні використовуватися. Той, хто все ж має намір це зробити, потребує поглибленої консультації, яка виходить далеко за межі письмових порад.
Обмеження ризику
Компанії несуть відповідальність перед зовнішнім світом (спочатку і часто остаточну) за поведінку своїх співробітників, які діють від імені компанії.
Компанія повинна мати власний інтерес у тому, щоб працівники не вільно використовували відкриті системи КІ. У разі з ChatGPT або іншими загальними системами КІ це можна зробити шляхом спілкування працівників через Вступну сторінку із чат-ботом. Пряме звернення до ChatGPT через власну інтерфейс чату ніяк не забезпечує контролю компанії.
Така попередня сторінка отримує запити працівників і пересилає їх до ШІ у фоновому режимі. Відповідь АІ надсилається працівникові у зворотному напрямку.
Позитивним побічним ефектом є можливість контролювати витрати та інтенсивність використання. Певні запити також можуть бути заблоковані. Для деяких запитів до штучного інтелекту може мати сенс звернутися безпосередньо до внутрішнього документа компанії, замість того, щоб ChatGPT надавав відповідь зі світових знань.
Результат
Регламент про ШІ запроваджує помірні зобов'язання для компаній, якщо вони є лише операторами систем ШІ або постачальниками безпечних систем ШІ.
Однак ці зобов'язання вимагають зусиль, які слід докладати у власних інтересах компанії.
Чим раніше буде розпочато діяльність з розширення прав і можливостей працівників компанії, тим швидше вдасться досягти стійкого стану, який можна буде застосувати на практиці. Основна мета першого кроку – обмежити відповідальність компанії, проінструктувавши працівників не розвивати будь-яку діяльність зі штучним інтелектом, яка може становити небезпеку для компанії.
Якщо компанії хочуть використовувати загальні системи КІ, такі як ChatGPT або Copilot, їм слід також подумати про користь цих систем. У особливості Copilot виділяється через брак якості. ChatGPT навпаки є універсальним системою, яка не знає лексикону компанії та не була оптимізована для конкретних випадків застосування.
Ці питання можна з'ясувати, створивши організаційну директиву зі штучного інтелекту, в якій також можна назвати схвалені системи штучного інтелекту.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
