1290_GAMO_POI8-foto na web-v1-05

Čo je AI Akt? Naštudujte si možnosti a zodpovednosti nadväzujúcich poskytovateľov

Ak akákoľvek spoločnosť použije ChatGPT cez API na svojej platforme, označí ho svojou značkou alebo ochrannou známkou, podstatne zmení systém alebo jeho účel, môže byť považovaná za poskytovateľa vysokorizikového AI systému. Čo je AI Akt?

Ide o legislatívny rámec ukladajúci povinnosti nadväzujúcim poskytovateľom využívajúcim alebo integrujúcim umelú inteligenciu vytvorenú inými subjektmi.

Medzi zákonné povinnosti druhých strán, teda nadväzujúcich poskytovateľov AI, patria napríklad zabezpečenie transparentnosti, ochrana údajov, a bezpečné použitie AI systémov. Platí, že aj keď nie sú vývojármi daného užívateľského typu AI, zodpovedajú za to, aby používané technológie spĺňali všetky zákonné požiadavky a neohrozovali používateľov.

Nadväzujúci poskytovatelia, využívajúci alebo integrujúci systémy umelej inteligencie (AI) vytvorené inými subjektmi, majú v rámci AI Aktu špecifické postavenie. Ich povinnosti sa odvíjajú od povahy a rizikovosti AI systému, ktorý používajú.

Ak, napríklad, spoločnosť použije ChatGPT cez API na svojej platforme, označí ho svojou značkou alebo ochrannou známkou, podstatne zmení systém alebo jeho účel, môže byť považovaná za poskytovateľa vysokorizikového AI systému. V takom prípade sa na nadväzujúceho poskytovateľa vzťahujú povinnosti poskytovateľa podľa článku 16 AI Aktu, čo predstavuje značnú regulačnú záťaž.

Nadväzujúci poskytovateľ je považovaný za poskytovateľa tohto konkrétneho AI systému, čo znamená, že musí dodržiavať aj povinnosti podľa článkov 17, 18 a 20. To zahŕňa aj podrobnú dokumentáciu o dizajne a výkone systému, povinnosť udržiavať záznamy a protokoly o činnosti AI systému, ktoré môžu byť požadované regulátormi na účely preskúmania, ako aj pravidlá pre monitorovanie a aktualizácie vysokorizikových systémov s cieľom zaistiť ich bezpečnosť počas celej ich životnosti. Rovnako sa na neho hľadí ako na poskytovateľa toho konkrétneho systému AI, čo so sebou prináša značnú regulačnú záťaž.

Praktický príklad často vysvetlí viac než samotná teória, preto si ukážme nasledovnú situáciu:

Príklad: Microsoft a Bank XYZ

Spoločnosť Microsoft poskytuje model umelej inteligencie pre analýzu rizika a detekciu podvodov pomocou svojho produktu Azure AI. Tento sofistikovaný model ponúka iným firmám prostredníctvom cloudovej služby a API, hoci pôvodne nebol navrhnutý pre vysoko regulované oblasti ako je zdravotníctvo či bankovníctvo.

Bank XYZ (veľká európska banka) využíva tento model ako nadväzujúci poskytovateľ a integruje ho do svojej aplikácie pre monitorovanie a prevenciu podvodov. Bank XYZ takto využíva model Azure AI na analyzovanie transakcií a odhaľovanie podozrivého správania sa zákazníkov. V tomto prípade môžu nastať rôzne situácie, ktoré ovplyvnia povinnosti Bank XYZ podľa AI Aktu:

  1. Označenie systému značkou banky
    • Ak Bank XYZ označí AI systém svojím menom a integruje ho priamo do svojich bankových služieb, stáva sa priamym poskytovateľom pre koncových používateľov. Aj keď nemení pôvodný kód AI modelu, musí zabezpečiť súlad s požiadavkami AI Aktu, vrátane ochrany údajov, prístupnosti a bezpečnosti.
  2. Podstatná zmena systému
    • Ak Bank XYZ upraví model Azure AI, napríklad pridaním funkcií, ktoré umožnia systému rozhodovať o pridelení úverov alebo investičných odporúčaniach, môže sa to považovať za podstatnú zmenu. To znamená, že banka musí plniť všetky povinnosti podľa článku 16 AI Aktu. Medzi nich patrí napríklad zavedenie systému riadenia kvality a uchovávanie záznamov o činnosti systému (logy).
  3. Zmena zamýšľaného účelu systému
    • Ak by Bank XYZ použila Azure AI aj na hodnotenie kreditných rizík, ktoré by ovplyvnili rozhodovanie o hypotékach alebo spotrebiteľských úveroch, model by mohol byť zaradený medzi vysokorizikové systémy. V tomto prípade by sa na Bank XYZ vzťahovali ďalšie prísne povinnosti podľa článku 16 AI Aktu.

V týchto situáciách by bola Bank XYZ plne zodpovedná za dodržiavanie súladu s AI Aktom, pričom je potrebné dôkladne zhodnotiť, či úpravy spôsobia, že systém spadá do kategórie vysokorizikových.

Ako zistiť, či je systém vysokorizikový, si môžete prečítať v našom predchádzajúcom článku tu.

Záver: Dôležité aspekty integrácie AI

Povinnosti poskytovateľov vysokorizikových systémov AI sú rozsiahlou témou, ktorej sa v tomto článku nebudeme detailne venovať. V budúcnosti však pripravíme krátky príspevok, ktorý bude detailne vysvetľovať túto oblasť AI Aktu.

Z praktického hľadiska je však dôležité byť obozretný pri rozhodovaní o integrácii AI do firemných procesov alebo produktov. Predovšetkým je potrebné vykonať kontrolu, či použitie zmeny AI systému zodpovedajú požiadavkám AI Aktu. Takýto regulačný prístup totiž znamená, že do regulácie vysokorizikových systémov vstúpi aj značný počet malých a stredných podnikov.

Podniky majú dve základné možnosti: môžu sa rozhodnúť nefungovať ako poskytovatelia a zakúpiť hotový AI produkt od tretej strany alebo si vyvinúť vlastný AI systém a splniť všetky regulačné požiadavky.

Publikované: 17. decembra 2024

Signum.legal

advokátska kancelária

Signum.legal

Tento článok je súčasťou magazínu č.

Publikované: 17. decembra 2024

reklama

Peter Bednár

GAMO a.s.

Povedať, že SIEM je ‘mŕtvy‘ je tvrdením, ktoré v komunite kybernetickej bezpečnosti vyvoláva intenzívne diskusie. Je pravdou, že v posledných...

Igor Kmiť

ESET, spol. s r.o.

Firmy čelia aktuálne mnohým kybernetickým hrozbám, ktoré ich môžu zasiahnuť cez široké spektrum vektorov. Správcovia zodpovední za IT bezpečnosť majú...

Signum.legal

Signum.legal

Medzi zákonné povinnosti druhých strán, teda nadväzujúcich poskytovateľov AI, patria napríklad zabezpečenie transparentnosti, ochrana údajov, a bezpečné použitie AI systémov....
reklama