AI Act: Bezpečnostní pásy pro umělou inteligenci

Evropská unie schválila Akt o umělé inteligenci (AI Act), který je první komplexní regulací AI na světě. Tento legislativní rámec, který postupně nabývá účinnosti od srpna 2024 do srpna 2027, přináší řadu nových pravidel pro firmy všech velikostí, jež využívají nebo plánují zavádět AI technologie. Přestože jsou tato nařízení vnímána jako další zátěž ze strany Bruselu, jejich dodržování může firmám přinést vyšší důvěryhodnost a konkurenční výhodu na trhu.

Jedním ze základních principů AI Actu je rozdělení systémů umělé inteligence do čtyř kategorií podle jejich rizikovosti. Firmy musí věnovat pozornost zejména tomu, do které z těchto kategorií jejich systémy spadají. První skupinou jsou systémy s nepřijatelným rizikem, které jsou v Evropské unii zakázány. Sem patří například technologie pro rozpoznávání obličejů ve veřejném prostoru nebo sociální scoring, které by mohly ohrozit práva občanů. Firmy, které pracují s takovými technologiemi, musí okamžitě přehodnotit jejich využití.

Druhou skupinou jsou systémy s vysokým rizikem. Tyto systémy mohou výrazně ovlivnit bezpečnost fyzických osob, a proto podléhají přísným pravidlům. Jde například o AI nástroje používané v kritické infrastruktuře, zdravotnictví nebo při hodnocení zaměstnanců. Vysoce rizikové systémy musí splňovat náročné požadavky na správu dat, dokumentaci, řízení rizik a transparentnost. Firmy budou muset zajistit, že tyto systémy jsou v souladu se všemi regulačními požadavky, a to nejen na technické úrovni, ale také z hlediska ochrany práv uživatelů.

Do třetí kategorie patří systémy s omezeným rizikem, které mohou manipulovat uživatele nebo vytvářet obsah, jenž se podobá realitě. Příkladem jsou chatboty nebo generátory textů. U těchto systémů musí být uživatelé jasně informováni, že komunikují s umělou inteligencí.

Poslední kategorií jsou systémy s minimálním rizikem, které zahrnují většinu běžně používaných AI aplikací. Tyto systémy mohou být i nadále využívány bez zvláštních povinností, avšak musí být v souladu s ostatními právními předpisy, jako je GDPR.

Firmy, které využívají nebo plánují používat vysoce rizikové systémy AI, musí splnit několik klíčových požadavků, aby byly v souladu s AI Actem. Nejdříve je nutné provést posouzení shody, což zahrnuje důkladnou dokumentaci všech aspektů systému a prokázání, že systém splňuje všechny regulační požadavky. To je zvláště důležité u systémů, které zpracovávají osobní údaje. Například při vývoji AI systému pro posuzování kreditního skóre musí firma zajistit, že systém splňuje nejen požadavky AI Actu, ale i GDPR.

Dalším klíčovým krokem je zavedení systému řízení rizik. Firmy musí identifikovat a analyzovat potenciální rizika spojená s jejich AI systémy a zajistit, že tyto systémy neohrožují bezpečnost nebo základní práva fyzických osob. To zahrnuje i zpětnou sledovatelnost činností AI, což umožňuje monitorování a vyhodnocování rizik. Tento postup je nezbytný například u systémů, které mají přímý dopad na veřejnost, jako jsou autonomní vozidla nebo zdravotnické systémy.

Vysoce rizikové systémy musí být také transparentní a srozumitelné pro uživatele. Technická dokumentace musí obsahovat podrobné návody k použití a popis rizik spojených se systémem. Například při používání AI systému pro výběr zaměstnanců je nutné jasně definovat, jakým způsobem systém vyhodnocuje uchazeče a jaké jsou potenciální dopady na jejich práva. Pravidelné testování těchto systémů je dalším důležitým požadavkem, aby se zajistilo, že fungují podle očekávání a že všechna rizika jsou řádně řízena. Pro firmy je klíčové zavést rutinní testovací postupy a aktualizovat výsledky testů v souladu s novými technologiemi a legislativními požadavky.

AI Act rovněž zavádí povinnost hodnocení dopadu na základní lidská práva, známou jako FRIA (Fundamental Rights Impact Assessment). Tato povinnost se vztahuje na veřejnoprávní subjekty a firmy poskytující veřejné služby, které využívají vysoce rizikové systémy AI. Firmy budou muset posoudit, jaký vliv má jejich AI systém na práva a svobody jednotlivců. Například banky využívající AI pro hodnocení úvěruschopnosti budou muset prokázat, že jejich systém nepředstavuje nepřiměřenou diskriminaci nebo neohrožuje práva spotřebitelů. FRIA se může překrývat s posouzením dopadu na ochranu osobních údajů (DPIA) podle GDPR, zejména u systémů, které zpracovávají citlivé osobní údaje. Firmy mohou využít synergie mezi těmito dvěma posouzeními, což jim umožní snížit administrativní zátěž a efektivněji splnit zákonné požadavky.

AI Act přináší zásadní změny pro firmy působící v oblasti umělé inteligence v Evropské unii. Tyto nové regulace vyžadují důkladnou přípravu, přehodnocení stávajících AI systémů a zavedení nových procesů pro řízení rizik a dodržování předpisů. Přestože se může zdát, že jde o složitý a nákladný proces, splnění těchto požadavků přinese firmám konkurenční výhodu, vyšší důvěru zákazníků a snížení rizik spojených s využíváním AI.