Polityka etycznego korzystania ze sztucznej inteligencji (AI) w firmie

Kto potrzebuje polityki etycznego korzystania z AI?

W 2024 roku ponad 50% wszystkich przedsiębiorstw z siedzibą na terytorium Unii Europejskiej korzystało z narzędzi sztucznej inteligencji. To jeden z najszybciej rozwijających się sektorów rynków na całym świecie. Jeśli Twoja firma na co dzień używa narzędzi AI, opracowanie polityki korzystania z nich powinno stanowić jedno z pierwszych działań, poprzedzających jeszcze wdrożenie nowoczesnych technologii. Dlaczego jest to takie ważne?

Zgodność z obowiązującymi przepisami (AI Act, RODO, standardy branżowe)

Krajobraz legislacyjny AI nie jest już dłużej obszarem, w którym praktycznie wszystkie działania były akceptowane przez brak regulacji prawnych. Rozporządzenie AI Act nałożyło wiele ograniczeń oraz procedur zarządzania ryzykiem, jakie muszą spełnić przede wszystkim dostawcy systemów sztucznej inteligencji wysokiego ryzyka. Polityka korzystania ze sztucznej inteligencji ułatwia zachowanie compliance w takich obszarach, jak ochrona danych osobowych, czy zarządzanie prawami autorskimi.

Wiele sektorów istotnych z punktu widzenia przemysłu wypracowało również własne standardy branżowe, których przestrzeganie ma elementarne znaczenie dla odpowiedzialności biznesowej (a niekiedy wręcz finansowej). Mowa chociażby o regulacjach HIPAA/HITECH dla branży zdrowotnej, czy standaryzacji TISAX w branży automotive. Na szeroką skalę z generatywnej sztucznej inteligencji korzysta branża reklamowa — tworzenie obrazów, animacji, czy treści pisanej z wykorzystaniem algorytmów pozwala pracować efektywniej.

Promowanie dobrych praktyk w polityce AI pomaga zachować bezpieczeństwo i świadomie zarządzać ryzykiem w organizacji.

Zabezpieczenie danych osobowych w procesach z udziałem AI

Ogromna liczba narzędzi sztucznej inteligencji jest wykorzystywanych do pobierania, przetwarzania i analizy danych osobowych. Dobrym przykładem w tym zakresie jest branża e-commerce, sięgająca po nowoczesne technologie w celu scrapingu danych na potrzeby działań optymalizacyjnych SEO, budowania bazy danych CRM, czy tzw. lead enrichmentu, czyli rozbudowy już posiadanych informacji o nowe dane w celu lepszego targetowania usług.

Opracowanie polityki AI pomoże zadbać, aby dane osobowe były pozyskiwane i przetwarzane w zgodzie z przepisami.

Unikanie uprzedzeń i dyskryminacji algorytmicznej

Sztuczna inteligencja w istocie stanowi zbiór zautomatyzowanych algorytmów, które są odpowiednio „wzmacniane” lub „osłabianie” przez działania użytkownika. W rezultacie może dojść do sytuacji, kiedy decyzje podejmowane względem określonej grupy użytkowników będą obarczone błędem z uwagi na dostarczenie danych niskiej jakości. AI Act nakazuje opracowanie procedur, które pozwolą uniknąć uprzedzeń w działaniu sztucznej inteligencji.

Warto jednak wskazać jaskrawy przykład z 2024 roku, kiedy chatboty instytucji finansowej rekomendowały, aby wnioski o kredyt hipoteczny składany przez czarnoskórych obywateli USA rzadziej były oceniane pozytywnie, a także, aby te osoby miały oferowane mniej korzystne warunki kredytowania (wyższe oprocentowanie) oraz były oceniane jako „bardziej ryzykowne”.³

Zdefiniowane zasady korzystania z AI pomogą uniknąć takich sytuacji i związanego z nimi ryzyka.

Budowanie etycznego i transparentnego modelu biznesowego

Polityka korzystania ze sztucznej inteligencji wspiera etyczne i transparentne używanie zautomatyzowanych algorytmów przez pracowników. Może mieć to znaczenie z punktu widzenia reputacji i jakości współpracy z kontrahentami.

Łatwo wyobrazić sobie sytuację, w której agencja marketingowa wykonuje na zamówienie sklepu internetowego opisy setek produktów i kategorii, posługując się przy tym generatywną sztuczną inteligencją, wskutek czego zaczynają pojawiać się problemy z duplikacją treści, jej indeksowaniem i widocznością witryny w Google. Choć takie działania nie zawsze będą na wskroś nielegalne, z pewnością można je uznać za mało profesjonalne i nieefektywne.

Elementy polityki AI – co powinna zawierać polityka korzystania ze sztucznej inteligencji w firmie?

Kształt polityki AI powinien być przede wszystkim dopasowany do specyfiki danej branży, przedmiotu działalności i podziału obowiązków. Zdecydowanie nie jest dobrym pomysłem pobieranie gotowego wzoru dokumentu z internetu, ponieważ istnieje spore ryzyko, że takie wytyczne nie zapewnią wystarczającego poziomu bezpieczeństwa. Na które spośród elementów warto zwrócić szczególną uwagę?

Zasady zarządzania ryzykiem (governance, odpowiedzialaności, monitoring)

Przede wszystkim wytyczne w zakresie korzystania ze sztucznej inteligencji powinny zakreślać solidne ramy zarządzania narzędziami AI. Ważne jest, aby wskazać, jakie działanie podejmuje dana organizacja, aby identyfikować, monitorować i zmniejszać ryzyka powiązane z tym segmentem swojej działalności.

Duże znaczenie ma zaadresowanie konkretnych problemów, jak testowanie dokładności i wiarygodności, uprzedzenia, błędy algorytmiczne i podatności w zakresie bezpieczeństwa. Chodzi o to, aby zaprezentować proaktywne podejście do zagadnień, czyli określić, kto dokładnie odpowiada za zgodność działań organizacji z polityką AI, w jaki sposób i jak często ta zgodność jest badana. W mniejszych firmach może być to dział IT, w większych, specjalna komórka poświęcona compliance w zakresie sztucznej inteligencji.

Zasady przetwarzania danych osobowych (kontrola dostępu, szyfrowanie, anonimizacja)

Jeżeli narzędzia AI są wykorzystywane do przetwarzania danych osobowych, wewnętrzna polityka sztucznej inteligencji powinna określać, w jaki sposób dane są zbierane, gromadzone i używane. W tym aspekcie krytyczne znaczenie ma ustalenie, jakie środki będą stosowane do zabezpieczenia dostępu do systemów. Może to być np. wieloskładnikowe szyfrowanie, kontrola dostępu, anonimizacja. W ten sposób można chronić wrażliwe informacje dotyczące realizowanych projektów, pracowników lub klientów.

Transparentność i reguły korzystania z narzędzi AI

W dobie rozporządzenia AI Act bardzo duże znaczenie ma określenie jasnych zasad korzystania z narzędzi sztucznej inteligencji. Polityka powinna określać jasne dozwolone i niedozwolone reguły wykorzystania nowoczesnych technologii. Dodatkowo warto zadbać, aby transparentność rozciągała się także na zasady podejmowania decyzji przez algorytmy. Ma to szczególnie duże znaczenie w tych przypadkach, kiedy decyzje dotyczą konkretnych osób.

W tym miejscu dobrze jest wskazać, jakie dokładnie zadania realizują w organizacji narzędzia AI. Może to być na przykład obsługa klienta, analiza danych, zautomatyzowane podejmowanie decyzji w przedmiocie rekrutacji.

Częstotliwość audytów i przegląd polityki AI

Kolejnym elementem polityki korzystania z AI jest określenie częstotliwości audytów sztucznej inteligencji. W szczególności o takie badanie należy zadbać za każdym razem, kiedy zmianie ulegają wykorzystane narzędzia AI, dostawca usług SaaS oraz kiedy dochodzi do przejęcia lub połączenia spółek. Realizację takiego audytu warto zlecić zewnętrznej kancelarii prawnej, która łączy nie tylko znajomość obowiązujących przepisów, ale także nowoczesnych technologii. Tak zwany review timeline pozwala zachować zgodność z przepisami niezależnie od zmian legislacyjnych oraz stanowisk organów nadzorczych.

Lista dozwolonych narzędzi AI i procedura akceptacji

Wiele polityk zawiera także regularnie odświeżaną listę narzędzi sztucznej inteligencji, jakich wykorzystanie uznaje się za dopuszczalne w danej organizacji. Wykroczenie poza tę listę i samowola pracownika polegająca na dobrowolnym użyciu nowego, niezatwierdzonego algorytmu, może rodzić konkretne konsekwencje w postaci odpowiedzialności dyscyplinarnej lub ogólnej odpowiedzialności odszkodowawczej w zależności od podstawy zatrudnienia.

Czy firma, która nie korzysta z narzędzi AI też potrzebuje polityki korzystania ze sztucznej inteligencji?

Ryzyka „halucynacji” i błednych wyników modeli generatywnych

Polityki AI potrzebują nie tylko firmy, które narzędzia AI mają wpisane w swoje biznesowe DNA. To narzędzie potrzebne także w przypadku organizacji, gdzie specyfika działalności nawet hipotetycznie umożliwia wykorzystanie takich narzędzi w pracy. Dobrym przykładem jest sięganie po modele AI takie, jak DeepSeek, ChatGPT, czy Google Gemini w celu opracowania raportu biznesowego.

Takie działanie może prowadzić do wygenerowania nieprawdziwych informacji, które wymagają dodatkowej regulacji.

Lokalizacja danych a zgodność z RODO

Dodatkowo warto wspomnieć, że serwery przedsiębiorstw odpowiedzialnych za opracowanie modeli AI mogą być zlokalizowane w kraju, gdzie nie mają zastosowania przepisy RODO. Takie kontrowersje dotyczyły przypadku chińskiego modelu DeepSeek. Udostępnienie algorytmom danych osobowych może prowadzić do poważnego naruszenia obowiązujących regulacji i wysokich kar finansowych.

Jak przygotować organizację na korzystanie z narzędzi AI?

Nie zawsze wystarczy po prostu zaimplementować nowe narzędzia, ani określić zasady korzystania z nich. Część organizacji – zwłaszcza tych, które znajdują się na początku swojej drogi biznesowej – powinna określić, czy jest w stanie w praktyce monitorować nowoczesne technologie i zagwarantować przestrzeganie wytycznych.

1) Jakość danych wejściowych

W pierwszej kolejności należy upewnić się, że narzędzia otrzymują dane odpowiednio wysokiej jakości, z którymi można bezpiecznie pracować. Tylko w ten sposób algorytmy AI zapewnią realne i wiarygodne wsparcie w bieżącej działalności. Utrzymanie tych danych na odpowiednio wysokim poziomie jakości zwiększa bezpieczeństwo całej organizacji.

2) Infrastruktura i tzw „dług technologiczny”

Kolejną kwestią jest analiza infrastruktury technicznej pod kątek długu technologicznego. Wdrożenie sztucznej inteligencji spowoduje znaczące zwiększenie zapotrzebowania na moc obliczeniową komputerów, dostępne miejsce na dyskach, ale także ruch sieciowy. Może się okazać, że w pierwszej kolejności dobrym pomysłem będzie modernizacja sprzętu lub serwerów, a dopiero następnie – instalacja i konfiguracja narzędzi AI.

3) Integracja AI z istniejącymi politykami bezpieczeństwa

Trzeba też pamiętać o tym, że narzędzia AI powinny stanowić integralną część ram bezpiecznościowych w organizacji. Ne stoją one obok nich, ale są z nimi nierozerwalnie związane. Tylko w taki sposób możliwe jest efektywne wykorzystanie osiągnięć technologicznych dla poprawy zgodności z przepisami.

Co grozi za brak polityki korzystania z narzędzi AI w firmie? (Kary RODO, NIS2, Ai Act)

Sama polityka AI jest narzędziem fakultatywnym, którego nie trzeba opracowywać. Jej brak może jednak doprowadzić do poważnych konsekwencji finansowych i wizerunkowych.

Za naruszenie zasad przetwarzania danych osobowych firma może zapłacić nawet 4% globalnego obrotu z poprzedniego roku obrotowego. Naruszenie wytycznych NIS2 wiąże się z ryzykiem kary w wysokości do 2% rocznego obrotu dla podmiotów kluczowych i 1,4% dla podmiotów ważnych. Bardzo surowe kary uwzględnia także AI Act – naruszenie zakazanych praktyk wiąże się z ryzykiem 35 milionów euro albo 7% rocznego obrotu kary. Sankcje te mogą się sumować, ponieważ są nakładane na podstawie różnych przepisów.

Opracowując kompletną regularnie odświeżaną politykę korzystania z narzędzi AI, możesz znacząco ograniczyć ryzyko tych kar bez rezygnacji z nowych technologii.

Korzystanie z AI w firmie – jak możemy Ci pomóc?

Bezpieczne i świadome korzystanie z narzędzi sztucznej inteligencji w organizacji powinno być poprzedzone konsultacjami ze specjalistami. W jaki sposób może pomóc Ci zespół Kancelarii RPMS?

Przeprowadzamy audyt AI i ocene ryzyk w przedsiebiorstwie,
Analizujemy istniejących zasad i praktyk korzystania z narzędzi sztucznej inteligencji,
Opracowujemy politykę AI dostosownej do branży,
Przygotowujemy rekomendacje wdrożeniowe i zapewniamy nadzór,
Szkolimy pracowników w zakresie bezpiecznego korzystania z narzędzi AI.

Pytania i odpowiedzi

W jaki sposób dostawcy AI mogą walczyć z uprzedzeniami pojawiającymi się w algorytmach?

Uprzedzenia mogą wystąpić na różnych etapach kreowania modelu AI (zbieranie danych, ich etykietowanie, trenowanie modeli i ich wykorzystanie z realnym, nie-sandboxowym środowisku). Aby ich uniknąć, w każdej fazie stosuje się różnego rodzaju techniki. Może to być np. zapewnienie odpowiednio zróżnicowanych i reprezentatywnych danych, stosowanie narzędzi i metod – adversarial testing, pomiar dokładności oraz opracowanie modelu self-explainable AI. Należy też zadbać o ciągły nadzór człowieka nad algorytmem i jego ciągłe monitorowanie.

Organizacja korzysta z narzędzi AI, które zapisuje dane na serwerach zlokalizowanych w Chinach. Czy jest to bezpieczne?

Chiny opracowały własny akt regulujący przetwarzanie danych osobowych – Personal Information Protection Law (PIPL). Choć PIPL częściowo pokrywa się z RODO, nie jest z nim w pełni zgodny. Dlatego przed wyborem narzędzia należy dokładnie zapoznać się z zasadami porządku prawnego, w jakim ono funkcjonuje.

W jakich działach polityka korzystania z narzędzi AI na największe znaczenie?

Świadome korzystanie z narzędzi AI jest szczególnie istotne w takich działach, jak IT, compliance, zarządzanie ryzykiem, a także różnego rodzaju komórki kreatywne w agencjach marketingowych.

¹ https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

² https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Use_of_artificial_intelligence_in_enterprises

³https://missouriindependent.com/2024/10/11/as-ai-takes-the-helm-of-decision-making-signs-of-perpetuating-historic-biases-emerge/

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ