Jeszcze rok temu większość z nas nie była świadoma potencjału narzędzi generatywnej sztucznej inteligencji (AI). Widzieliśmy co prawda przykłady treści generowanych przez systemy AI, ale ich jakość przeważnie nie była wystarczająca, aby myśleć o wykorzystaniu ich w biznesowej działalności.
Od tamtej pory zaszło wiele zmian.
Co się zmieniło w ciągu ostatniego roku?
W czerwcu 2022 roku GitHub uruchomił Co-Pilot, pozwalając programistom na włączenie wygenerowanego przez AI kodu do ich projektów. Następnie pojawiła się możliwość tworzenia obrazów przez systemy AI – w lipcu 2022 roku pojawiła się usługa MidJourney, w sierpniu Stable Diffusion, a we wrześniu DALL-E. Niedługo potem pojawiło się generowanie tekstów – w listopadzie 2022 r. uruchomiona została usługa ChatGPT.
Elementem tego przełomu było udostępnienie narzędzi generatywnej AI wszystkim chętnym za darmo, wskutek czego liczba użytkowników rosła i nadal rośnie lawinowo. Nic dziwnego, że wszystkie organizacje, w tym zwłaszcza przedsiębiorcy, próbują jak najszybciej zrozumieć potencjał tych nowych narzędzi – jakie są ich możliwości zastosowania, co potrafią, a czego nie i do czego mogą być wykorzystane w praktyce biznesowej.
Nowe rozwiązania i nowe ryzyka prawne
Niemal każdy dzień przynosi nowe informacje na tematów systemów AI. Oprócz informacji o nowych systemach i nowych zastosowaniach, pojawiły się także informacje o pierwszych sporach.
W listopadzie 2022 r. w USA złożono pozew zbiorowy przeciwko firmie Co-Pilot oparty na zarzucie, że proces uczenia maszynowego naruszył warunki licencji open source. W styczniu 2023 roku roku w USA wniesiono pozew zbiorowy przeciwko Midjourney, Stability AI and Deviantart z zarzutem naruszenia praw autorskich w toku uczenia maszynowego. Wkrótce potem Getty Images wniosło w Wielkiej Brytanii i Stanach Zjednoczonych pozew przeciwko twórcom Stable Diffusion.
Pozwy te dotyczą kwestii związanych z wykorzystywaniem danych chronionych prawem autorskim w toku procesu uczenia maszynowego i trenowania systemów AI oraz relacji pomiędzy danymi szkoleniowymi a wynikami działania generatywnych systemów AI.
Także europejskie organy ochrony danych zaczęły się przyglądać się niektórym dostawcom systemów generatywnej AI.
W marcu 2023 r. włoski organ ochrony danych (Garante) zablokował przetwarzanie danych osobowych przez ChatGPT skutecznie blokując usługę we Włoszech, dopóki ChatGPT nie zastosuje się do środków zaradczych wymaganych przez organ.
W kwietniu 2023 roku hiszpański organ ochrony danych (AEPD) rozpoczął własne dochodzenie w podobnej sprawie. Prawdopodobnie inne organy ochrony danych osobowych pójdą w ich ślady, zwłaszcza, że Europejska Rada Ochrony Danych uruchomiła grupę zadaniową ds. ChatGPT.
Europejskie organy ochrony danych są zaniepokojone wykorzystaniem danych osobowych w systemach AI, w tym do ich szkolenia, a także kwestiami dotyczącymi zgodnego z prawem przetwarzania, przejrzystości, praw osób, których dane dotyczą, oraz minimalizacji danych.
Oprócz kwestii związanych ze zgodnością z prawem autorskim i ochroną danych, pojawia się wiele innych pytań związanych z korzystaniem z systemów generatywnej AI. Dotyczą one np. możliwości kopiowania i ponownego wykorzystywania danych wejściowych i rezultatów przez dostawców systemów generatywnej AI, prawidłowości rezultatów, ochrony informacji poufnych, warunków użytkowania i ogólnie ryzyk związanych z korzystaniem z takich systemów.
W międzyczasie trwają prace nad ostatecznym tekstem unijnego rozporządzenia o sztucznej inteligencji, w którym niedawno pojawiły się definicje systemów AI ogólnego przeznaczenia oraz “systemów podstawowych (ang. foundation) AI”, które są próbą objęcia regulacjami także systemów generatywnej AI.
Ryzyka a korzyści
Czy wyżej wskazane ryzyka przewyższają możliwości, jakie dają systemy generatywnej AI? Jak znaleźć punkt równowagi pomiędzy zagrożeniami a korzyściami?
Naszym zdaniem, punktem wyjścia jest zrozumienie potencjalnych zagrożeń, zestawienie ich z potencjalnymi korzyściami i opracowanie odpowiednich polityk i wytycznych.
A może po prostu nic nie robić?
Dostęp do systemów generatywnej AI jest bezpłatny i łatwy, a media codziennie dostarczają wskazówek, jak z nich korzystać. Korzystanie przez pracowników z tych systemów, choćby w ramach eksperymentów, jest nieuniknione. Często będą to osoby pełniące role kreatywne, tworzące oprogramowanie lub opracowujące kampanie marketingowe.
Brak polityki w zakresie systemów generatywnej AI naraża firmę na ryzyko, które będzie nieokreślone i niezarządzane.
Jak przygotować wytyczne w zakresie korzystania z systemów generatywnej AI?
Najprostszą polityką jest całkowity zakaz korzystania z systemów generatywnej AI w organizacji oraz zablokowanie dostępu do dostawców takich systemów.
Może to być rozwiązanie dla firm, które działają w sektorach poddanych złożonym regulacjom prawnym, w których ryzyka związane z systemami generatywnej AI są bardzo wysokie. Być może całkowity zakaz jest także najlepszym rozwiązaniem dla tych firm, które publicznie przeciwstawiają się rozpowszechnianiu systemów generatywnej AI lub myślą o wytoczeniu spraw sądowych przeciwko producentom lub użytkownikom takich systemów. Mogą być także firmy, które chcą po prostu poczekać, aż będą w stanie lepiej ocenić ryzyka.
Jednak w większości organizacji właściwą drogą będzie rozpoczęcie korzystania z generatywnej AI, ale w sposób kontrolowany. Zazwyczaj organizacje zdają sobie także sprawę z tego, że zakaz korzystania z systemów generatywnej AI nie wyeliminuje całkowicie ryzyka, gdyż pracownicy mogą nadal wykorzystywać te systemy na prywatnych urządzeniach.
Nie ma jednego uniwersalnego podejścia do opracowania wytycznych dotyczących korzystania z systemów generatywnej AI. Charakter i zakres zagrożeń ze strony narzędzi generatywnej AI różni się w zależności od kontekstu, w tym sposobów wykorzystania tych narzędzi, w szczególności zaś od tego, czy organizacja będzie tylko eksperymentować „na sucho” z systemami AI czy też zamierza wykorzystać je w swojej realnej działalności.
W naszej ocenie trzeba wziąć pod uwagę m.in. następujące kwestie:
- Czy do systemów generatywnej AI będą wprowadzane dane osobowe? Jak będą one wykorzystywane?
- Czy używany system generatywnej AI został opracowany samodzielnie, zbudowany na bazie modelu „foundation” czy też jest to rozwiązanie opracowane całkowicie przez dostawcę?
- Czy rezultaty działania systemów AI będą elementem produktów lub usług świadczonych przez organizację?
- Czy wyniki działania systemów AI będę wykorzystywane wewnętrznie w ramach organizacji?
- Czy system AI jest implementowany on premises czy w modelu SaaS?
- Jakie rodzaje danych będą wykorzystywane jako dane wejściowe i czy są one chronione przez prawo? Czy będą to dane poufne?
- Czy organizacja lub klienci organizacji będą podejmować decyzje na podstawie rezultatów działania systemów AI? Czy takie rezultaty będą dotyczyć konkretnych osób?
- Jak będą prezentowane rezultaty działania systemów AI?
- Czy są ustalenia umowne dotyczące korzystania z systemów generatywnej AI? Czy jest uregulowana odpowiedzialność dostawcy?
Co dalej?
Opracowanie polityki lub wytycznych dotyczących korzystania z systemów generatywnych AI to proces, który wymaga wkładu ze strony wielu interesariuszy w ramach organizacji. Powinna ona ponadto podlegać regularnemu przeglądowi w miarę rozwoju regulacji prawnych oraz pojawienia się nowych ustaleń dotyczących narzędzi generatywnej AI.
Przy przygotowywaniu wytycznych warto wziąć pod uwagę perspektywę odbiorców i nadać wytycznym taką formę i strukturę, która będzie zrozumiała i łatwa w stosowaniu. Nie powinien być to kolejny regulamin, którego nikt nie przeczyta.
W praktyce jednym z polecanych rozwiązań jest przygotowanie zestawu dobrych i niewłaściwych praktyk (dos and dont’s) w zakresie korzystania z systemów generatywnej AI oraz wskazania obszarów, gdzie konieczne jest zaangażowanie działu prawnego lub compliance.
Można także rozważyć uzupełnienie wytycznych drzewami decyzyjnymi, które w graficzny sposób wskazują właściwą ścieżkę postępowania lub wykorzystania formy interaktywnego chatbota.
Jeśli są Państwo zainteresowani przygotowaniem takich wytycznych, prosimy o kontakt. Możemy także przeprowadzić dla Państwa szkolenie dotyczące wyżej opisanego zakresu tematycznego.
