Jeszcze rok temu większość z nas nie była świadoma potencjału narzędzi generatywnej sztucznej inteligencji (AI). Widzieliśmy co prawda przykłady treści generowanych przez systemy AI, ale ich jakość przeważnie nie była wystarczająca, aby myśleć o wykorzystaniu ich w biznesowej działalności.

Od tamtej pory zaszło wiele zmian.

Co się zmieniło w ciągu ostatniego roku?

W czerwcu 2022 roku GitHub uruchomił Co-Pilot, pozwalając programistom na włączenie wygenerowanego przez AI kodu do ich projektów. Następnie pojawiła się możliwość tworzenia obrazów przez systemy AI – w lipcu 2022 roku pojawiła się usługa MidJourney, w sierpniu Stable Diffusion, a we wrześniu DALL-E. Niedługo potem pojawiło się generowanie tekstów – w listopadzie 2022 r. uruchomiona została usługa ChatGPT.

Elementem tego przełomu było udostępnienie narzędzi generatywnej AI wszystkim chętnym za darmo, wskutek czego liczba użytkowników rosła i nadal rośnie lawinowo. Nic dziwnego, że wszystkie organizacje, w tym zwłaszcza przedsiębiorcy, próbują jak najszybciej zrozumieć potencjał tych nowych narzędzi – jakie są ich możliwości zastosowania, co potrafią, a czego nie i do czego mogą być wykorzystane w praktyce biznesowej.

Nowe rozwiązania i nowe ryzyka prawne

Niemal każdy dzień przynosi nowe informacje na tematów systemów AI. Oprócz informacji o nowych systemach i nowych zastosowaniach, pojawiły się także informacje o pierwszych sporach.

W listopadzie 2022 r. w USA złożono pozew zbiorowy przeciwko firmie Co-Pilot oparty na zarzucie, że proces uczenia maszynowego naruszył warunki licencji open source. W styczniu 2023 roku roku w USA wniesiono pozew zbiorowy przeciwko Midjourney, Stability AI and Deviantart z zarzutem naruszenia praw autorskich w toku uczenia maszynowego. Wkrótce potem Getty Images wniosło w Wielkiej Brytanii i Stanach Zjednoczonych pozew przeciwko twórcom Stable Diffusion.

Pozwy te dotyczą kwestii związanych z wykorzystywaniem danych chronionych prawem autorskim w toku procesu uczenia maszynowego i trenowania systemów AI oraz relacji pomiędzy danymi szkoleniowymi a wynikami działania generatywnych systemów AI.

Także europejskie organy ochrony danych zaczęły się przyglądać się niektórym dostawcom systemów generatywnej AI.

W marcu 2023 r. włoski organ ochrony danych (Garante) zablokował przetwarzanie danych osobowych przez ChatGPT skutecznie blokując usługę we Włoszech, dopóki ChatGPT nie zastosuje się do środków zaradczych wymaganych przez organ.

W kwietniu 2023 roku hiszpański organ ochrony danych (AEPD) rozpoczął własne dochodzenie w podobnej sprawie. Prawdopodobnie inne organy ochrony danych osobowych pójdą w ich ślady, zwłaszcza, że Europejska Rada Ochrony Danych uruchomiła grupę zadaniową ds. ChatGPT.

Europejskie organy ochrony danych są zaniepokojone wykorzystaniem danych osobowych w systemach AI, w tym do ich szkolenia, a także kwestiami dotyczącymi zgodnego z prawem przetwarzania, przejrzystości, praw osób, których dane dotyczą, oraz minimalizacji danych.

Oprócz kwestii związanych ze zgodnością z prawem autorskim i ochroną danych, pojawia się wiele innych pytań związanych z korzystaniem z systemów generatywnej AI. Dotyczą one np. możliwości kopiowania i ponownego wykorzystywania danych wejściowych i rezultatów przez dostawców systemów generatywnej AI, prawidłowości rezultatów, ochrony informacji poufnych, warunków użytkowania i ogólnie ryzyk związanych z korzystaniem z takich systemów.

W międzyczasie trwają prace nad ostatecznym tekstem unijnego rozporządzenia o sztucznej inteligencji, w którym niedawno pojawiły się definicje systemów AI ogólnego przeznaczenia oraz “systemów podstawowych (ang. foundation) AI”, które są próbą objęcia regulacjami także systemów generatywnej AI.

Ryzyka a korzyści

Czy wyżej wskazane ryzyka przewyższają możliwości, jakie dają systemy generatywnej AI? Jak znaleźć punkt równowagi pomiędzy zagrożeniami a korzyściami?

Naszym zdaniem, punktem wyjścia jest zrozumienie potencjalnych zagrożeń, zestawienie ich z potencjalnymi korzyściami i opracowanie odpowiednich polityk i wytycznych.

A może po prostu nic nie robić?

Dostęp do systemów generatywnej AI jest bezpłatny i łatwy, a media codziennie dostarczają wskazówek, jak z nich korzystać. Korzystanie przez pracowników z tych systemów, choćby w ramach eksperymentów, jest nieuniknione. Często będą to osoby pełniące role kreatywne, tworzące oprogramowanie lub opracowujące kampanie marketingowe.

Brak polityki w zakresie systemów generatywnej AI naraża firmę na ryzyko, które będzie nieokreślone i niezarządzane.

Jak przygotować wytyczne w zakresie korzystania z systemów generatywnej AI?

Najprostszą polityką jest całkowity zakaz korzystania z systemów generatywnej AI w organizacji oraz zablokowanie dostępu do dostawców takich systemów.

Może to być rozwiązanie dla firm, które działają w sektorach poddanych złożonym regulacjom prawnym, w których ryzyka związane z systemami generatywnej AI są bardzo wysokie. Być może całkowity zakaz jest także najlepszym rozwiązaniem dla tych firm, które publicznie przeciwstawiają się rozpowszechnianiu systemów generatywnej AI lub myślą o wytoczeniu spraw sądowych przeciwko producentom lub użytkownikom takich systemów. Mogą być także firmy, które chcą po prostu poczekać, aż będą w stanie lepiej ocenić ryzyka.

Jednak w większości organizacji właściwą drogą będzie rozpoczęcie korzystania z generatywnej AI, ale w sposób kontrolowany. Zazwyczaj organizacje zdają sobie także sprawę z tego, że zakaz korzystania z systemów generatywnej AI nie wyeliminuje całkowicie ryzyka, gdyż pracownicy mogą nadal wykorzystywać te systemy na prywatnych urządzeniach.

Nie ma jednego uniwersalnego podejścia do opracowania wytycznych dotyczących korzystania z systemów generatywnej AI. Charakter i zakres zagrożeń ze strony narzędzi generatywnej AI różni się w zależności od kontekstu, w tym sposobów wykorzystania tych narzędzi, w szczególności zaś od tego, czy organizacja będzie tylko eksperymentować „na sucho” z systemami AI czy też zamierza wykorzystać je w swojej realnej działalności.

W naszej ocenie trzeba wziąć pod uwagę m.in. następujące kwestie:

  • Czy do systemów generatywnej AI będą wprowadzane dane osobowe? Jak będą one wykorzystywane?
  • Czy używany system generatywnej AI został opracowany samodzielnie, zbudowany na bazie modelu „foundation” czy też jest to rozwiązanie opracowane całkowicie przez dostawcę?
  • Czy rezultaty działania systemów AI będą elementem produktów lub usług świadczonych przez organizację?
  • Czy wyniki działania systemów AI będę wykorzystywane wewnętrznie w ramach organizacji?
  • Czy system AI jest implementowany on premises czy w modelu SaaS?
  • Jakie rodzaje danych będą wykorzystywane jako dane wejściowe i czy są one chronione przez prawo? Czy będą to dane poufne?
  • Czy organizacja lub klienci organizacji będą podejmować decyzje na podstawie rezultatów działania systemów AI? Czy takie rezultaty będą dotyczyć konkretnych osób?
  • Jak będą prezentowane rezultaty działania systemów AI?
  • Czy są ustalenia umowne dotyczące korzystania z systemów generatywnej AI? Czy jest uregulowana odpowiedzialność dostawcy?

Co dalej?

Opracowanie polityki lub wytycznych dotyczących korzystania z systemów generatywnych AI to proces, który wymaga wkładu ze strony wielu interesariuszy w ramach organizacji. Powinna ona ponadto podlegać regularnemu przeglądowi w miarę rozwoju regulacji prawnych oraz pojawienia się nowych ustaleń dotyczących narzędzi generatywnej AI.

Przy przygotowywaniu wytycznych warto wziąć pod uwagę perspektywę odbiorców i nadać wytycznym taką formę i strukturę, która będzie zrozumiała i łatwa w stosowaniu. Nie powinien być to kolejny regulamin, którego nikt nie przeczyta.

W praktyce jednym z polecanych rozwiązań jest przygotowanie zestawu dobrych i niewłaściwych praktyk (dos and dont’s) w zakresie korzystania z systemów generatywnej AI oraz wskazania obszarów, gdzie konieczne jest zaangażowanie działu prawnego lub compliance.

Można także rozważyć uzupełnienie wytycznych drzewami decyzyjnymi, które w graficzny sposób wskazują właściwą ścieżkę postępowania lub wykorzystania formy interaktywnego chatbota.

Jeśli są Państwo zainteresowani przygotowaniem takich wytycznych, prosimy o kontakt. Możemy także przeprowadzić dla Państwa szkolenie dotyczące wyżej opisanego zakresu tematycznego.

Author

  • Bird & Bird

    Bird & Bird LLP to międzynarodowa kancelaria prawna, która wspiera organizacje zmieniane przez cyfrowy świat lub te, które przewodzą tym zmianom. Łączymy wyjątkową wiedzę prawniczą z dogłębną znajomością branży i odświeżająco kreatywnym myśleniem, aby pomóc klientom osiągnąć ich cele komercyjne. Mamy ponad 1450 prawników w 32 biurach w Europie, Ameryce Północnej, na Bliskim Wschodzie, w regionie Azji i Pacyfiku oraz w Afryce, a także bliskie relacje z firmami w innych częściach świata. Więcej informacji można znaleźć na stronie www.twobirds.com.

    Zobacz wszystkie posty