30 lipca 2021

Sztuczna inteligencja w kontekście automatyzacji sektora finansowego

Udostępnij

W drugiej połowie kwietnia 2021 r. Komisja Europejska (KE) opublikowała bardzo ważny projekt rozporządzenia ustanawiającego zharmonizowane zasady dla sztucznej inteligencji (dalej: projekt)[1]. Choć jest to jedynie pierwsza iteracja, to uwzględnia większość postulatów i założeń instytucji oraz organów unijnych publikowanych w ostatnim roku w kontekście sztucznej inteligencji (ang. Artificial Intelligence – AI), m.in. w Białej Księdze[2] opracowanej również przez KE. Można założyć, że projekt nie ulegnie istotnej modyfikacji przynajmniej co do fundamentalnych zasad.

Dla kogo projekt ma znaczenie?

Projekt jest szczególnie istotny z punktu widzenia sektora finansowego, szczególnie bankowego, bowiem w wielu miejscach odwołuje się do postanowień dyrektywy 2013/36/UE (CRD). Robi to m.in. w zakresie stosowania procedur wewnętrznych na potrzeby tzw. Conformity assessment, czyli oceny zgodności, która zostanie omówiona w dalszej części opracowania.

Projektowane rozporządzenie będzie miało istotne znaczenie także dla szeregu podmiotów, które opracowują, sprzedają oraz użytkują systemy oparte na szeroko rozumianej sztucznej inteligencji. Ważne jest też to, że w dokumencie znajdują się konkretne odniesienia do sektora bankowego czy szerzej finansowego, m.in. w zakresie zarządzania i odpowiedzialności za systemy tzw. wysokiego ryzyka. W niniejszym opracowaniu przedstawione zostaną najważniejsze założenia projektu oraz wymogi specyficzne dla sektora finansowego. Poruszone zostaną także wątki dotyczące tzw. AI godnej zaufania (trustworthy AI).

Obszary regulowane przez rozporządzenie

Projekt reguluje pięć obszarów tematycznych:

  1. zharmonizowane zasady w zakresie użytkowania oraz wprowadzania na rynek systemów sztucznej inteligencji;
  2. praktyki zakazane w zakresie AI;
  3. specyficzne wymogi w zakresie systemów AI wysokiego ryzyka;
  4. zharmonizowane zasady w zakresie przejrzystości dla wybranych systemów AI;
  5. zasady monitorowania i nadzoru nad rynkiem sztucznej inteligencji.

Projektowi rozporządzenia towarzyszą także liczne załączniki, które uzupełniają wiele obszarów istotnych dla poszczególnych adresatów. 

Należy także pamiętać, że zgodnie z art. 2 Projekt znajduje zastosowanie do:

  1. dostawców systemów AI oferujących swoje usługi lub umieszczających takie systemy na terenie Unii, niezależnie od pochodzenia takiego dostawcy (czyli dotyczy to także podmiotów spoza Europejskiego Okręgu Gospodarczego – EOG);
  2. użytkowników systemów AI zlokalizowanych na terenie Unii;
  3. dostawców i użytkowników systemów AI z siedzibą poza EOG, jeżeli rezultat działania systemu ma miejsce na terenie UE.

Jednocześnie przewidziano też wyłączenia, które jednak nie mają istotnego znaczenie z punktu widzenia sektora finansowego.

Warto w tym miejscu podkreślić, że projektowane rozporządzenie nie powinno wpływać na stosowanie postanowień dyrektywy w sprawie handlu elektronicznego w odniesieniu do odpowiedzialności usługodawców będących pośrednikami na mocy tej dyrektywy. Ma ona zresztą zostać zastąpiona przez tzw. Digital Services Act[3].

Widać więc wyraźnie, że zakres uregulowania projektowanym rozporządzeniem jest bardzo szeroki i ma zapewnić bezpieczeństwo w obszarze wykorzystania sztucznej inteligencji na terytorium Unii Europejskiej.

Definicja

Jednym z najważniejszych zagadnień, jest definicja systemu sztucznej inteligencji. Ta składa się zasadniczo z dwóch komponentów:

  1. definicji zawartej w słowniczku oraz
  2. wykazu technik stosowanych w ramach systemów AI.

Definicja ta doznaje modyfikacji w przypadku, gdy mowa jest o systemach tzw. wysokiego ryzyka, o czym w dalszej części opracowania.

Zgodnie z definicją słowniczkową systemem sztucznej inteligencji będzie oprogramowanie utworzone z użyciem jednej lub więcej technik lub podejść określonych w załączniku I do Projektu, które w celu określonym przez człowieka może generować wyniki takie jak treść, przewidywania, rekomendacje czy decyzje wpływające na otoczenie, z którym oprogramowanie wchodzi w interakcję.

Lista metod jest dość szeroka (znajduje się w załączniku I) i obejmuje m.in. metody statystyczne, uczenie maszynowe i głębokie, ale także metody optymalizacyjne. Obecnie projekt nie przewiduje dodatkowego uprawnienia dla Komisji do dokonywania zmian w tym załączniku.

Konsekwencją przyjęcia tak szerokiej definicji jest pewne ryzyko uznania określonych rozwiązań (oprogramowania) za systemy sztucznej inteligencji, co w pewnych warunkach może generować dodatkowe obowiązki po stronie dostawców usług, ale i użytkowników. Z punktu widzenia sektora finansowego już sama definicja ma istotne znaczenie. Wiele z modelów, np. modele oceny ryzyka kredytowego, może spełniać przesłanki do uznania za systemy sztucznej inteligencji, co po stronie organizacji może rodzić obowiązki w zakresie dostosowania działalności w tym obszarze do rozwiązań przyjętych w przyszłości w rozporządzeniu.

Z tego względu – co zresztą wynika m.in. z projektu rozporządzenia w sprawie cyfrowej odporności operacyjnej sektora finansowego oraz licznych wytycznych organów regulacyjnych – konieczne będzie dokonanie mapowania wszystkich systemów, które potencjalnie mogą być definiowane jako systemy sztucznej inteligencji, a następnie przypisanie ich do poszczególnych kategorii systemów sztucznej inteligencji.

Kategorie systemów AI

Kategorie systemów to zresztą kolejny istotny element Projektu. Analiza przepisów wskazuje, że wyróżnić można cztery zasadnicze kategorie systemów AI, które będą podlegały określonym reżimom prawnym.

Są to:

  1. systemy AI podlegające zakazom określonym w art. 5 (praktyki zakazane);
  2. systemy wysokiego ryzyka;
  3. systemy podlegające wymogom w zakresie przejrzystości;
  4. systemy niepodlegające szczególnym wymogom Projektu.

Zakwalifikowanie systemu do jednej z trzech pierwszych kategorii będzie wiązało się z określonymi wymogami, przy czym najwyższy poziom przypisać należy najmniej precyzyjnie zdefiniowanym systemom AI, czyli tym, których stosowanie będzie co do zasady zakazane. W drugiej kolejności będą to systemy wysokiego ryzyka, a trzeciej systemy „wchodzące w interakcje”, o czym w dalszej części opracowania. Ostatnia kategoria będzie wyłączona spod wymogów rozporządzenia.

Zacznijmy więc od systemów sztucznej inteligencji, które wykorzystują praktyki zakazane. Cały katalog tych praktyk został określony w art. 5, jednak ze względu na przedmiot opracowania skupimy się tutaj na tych zagadnieniach, które są istotne z perspektywy sektora finansowego. Nadmienić jedynie należy, że wśród tych praktyk znajdują się takie, które polegają na wykorzystywaniu systemów AI przez podmioty publiczne do identyfikacji biometrycznej osób fizycznych w czasie rzeczywistym oraz systemy tzw. scoringu społecznego. Zakaz ten nie ma jednak charakteru bezwzględnego, bowiem w pewnych warunkach stosowanie tego typu praktyk będzie dopuszczalne.

Jeżeli chodzi o praktyki zakazane, mogące mieć zastosowanie w sektorze prywatnym, to Projekt przewiduje, że będzie to dotyczyło stosowania (w tym wprowadzania do obiegu) systemów AI:

  1. wykorzystujących techniki podprogowe, czyli oddziałujące na podświadomość, w celu istotnego zniekształcenia lub wpłynięcia na ludzkie zachowania w taki sposób, że może wywołać (lub wywołuje) to szkodę fizyczną lub psychiczną oraz
  2. wykorzystujących jakiekolwiek „luki” określonych grup ludzi dotyczące wieku lub fizycznej lub umysłowej ułomności w celu istotnego zniekształcenia lub wpłynięcia na zachowanie osoby należącej do tej grupy, w taki sposób, że może wywołać (lub wywołuje) to szkodę fizyczną lub psychiczną.

Jak więc widać z powyższego opisu, potencjalna lista systemów AI objętych zakazem jest dosyć szeroka ze względu na zastosowanie nieostrych pojęć. W obecnym kształcie przepisu, o tym czy mamy do czynienia z praktyką zakazaną, może decydować subiektywne odczucie, a nie obiektywne przesłanki. W przypadku przyjęcia takiej treści przepisu na znaczeniu zyska orzecznictwo sądowe, które kreować będzie de facto „listę” tych praktyk.

Drugą kategorią są wspomniane już systemy wysokiego ryzyka. W Projekcie nie znajdziemy jednej i całkowicie klarownej definicji, bowiem o tym, czy mamy do czynienia z takim systemem, decydować będzie:

  1. ocena, czy dany system jest wskazany w załączniku III do Projektu;
  2. ocena, czy dany system jest elementem bezpieczeństwa produktu lub samodzielnym produktem, do którego stosuje się przepisy wskazane w załączniku II do Projektu oraz do którego stosuje się wymóg przeprowadzania przez stronę trzecią tzw. conformity assessment.

Jednocześnie Komisja (UE) zostanie upoważniona do dokonywania zmian w załączniku III i dodawania nowych typów systemów wysokiego ryzyka. Jest to obwarowane odpowiednimi „zabezpieczeniami” (przesłankami), ale sama lista pozostaje de facto otwarta.

Zacznijmy więc od informacji, jakiego rodzaju systemy zostały wskazane w załączniku, bowiem ocena pozytywna skutkować będzie przyznaniem takiemu systemowi statusu systemu wysokiego ryzyka. Jest ich kilkanaście i znajdziemy wśród nich zarówno te wykorzystywane przez szeroko rozumiany sektor publiczny, jak i te, które znajdują zastosowanie komercyjne.

Są to zatem m.in. systemy biometrycznej identyfikacji osób fizycznych, systemy wykorzystywane do udzielania dostępu do edukacji czy systemy odpowiedzialne za proces rekrutacji pracowników lub rozwiązywania stosunku pracy. Będą to także takie rozwiązania, które zapewniają dostęp do podstawowych usług publicznych i prywatnych. Ta ostatnia kategoria jest szczególnie istotna z punktu widzenia sektora finansowego, bowiem za systemy AI wysokiego ryzyka mogą być uznane takie rozwiązania, które generują ocenę zdolności kredytowej lub przyznanie określonego scoringu kredytowego osób fizycznych. Dla takich systemów przewidziano wyłączenie, jeżeli są one stosowane przez mniejszych dostawców, którzy wykorzystują je do własnych celów. Jednocześnie, na co zwróciliśmy już uwagę, pod pewnymi warunkami Komisja (UE) będzie uprawniona do rozszerzania listy zawartej w załączniku III, a więc istotne będzie tutaj bieżące monitorowanie ewentualnych zmian.

Druga kategoria systemów wysokiego ryzyka jest nieco mniej intuicyjna. W Projekcie przewidziano, że takim systemem może być samodzielny produkt lub element bezpieczeństwa, który podlega obowiązkowi tzw. conformity assessment, jeżeli wobec takich rozwiązań stosuje się przepisy określone w załączniku II. Lista w tym przypadku jest dość długa i zasadniczo nie znajdziemy tam aktów prawnych, które mogą mieć znaczenie dla sektora finansowego, ale przykładowo akty regulujące zasady dla niektórych pojazdów czy transportu.

Kolejną kategorią systemów AI, ale niebędących już systemami wysokiego ryzyka, są te, które podlegają szczególnym wymogom w zakresie przejrzystości (art. 52 Projektu). W przepisie tym wskazano, jakie konkretnie obowiązki informacyjne ciążą na dostawcach, ale i użytkownikach wskazanych systemów. Chodzi o:

  1. systemy, których celem jest „wchodzenie” w interakcje z osobami trzecimi;
  2. systemy, które rozpoznają emocje oraz stosują kategoryzację biometryczną oraz
  3. systemy, które generują lub zmieniają obrazy, treści audiowizualne „naśladujące” prawdziwe osoby, obiekty lub miejsca i podobne „przedmioty” lub „zdarzenia” i które mogą wprowadzać w błąd co do autentyczności, czyli tzw. deep fakes.

Powyższe systemy mają specyficzne wymogi w zakresie informowania, które można jednak sprowadzić do obowiązku przekazania informacji o tym, że mamy do czynienia nie z człowiekiem, a właśnie systemem sztucznej inteligencji. Jednocześnie bardzo istotne jest to, że ten obowiązek nie wpływa na inne, które mogą wynikać chociażby z faktu, że system jest zaliczony do wysokiego ryzyka.

Ostatnia kategoria nie generuje dodatkowych wymagań, gdyż, w pewnym uproszczeniu, są to systemy nieistotne z punktu widzenia ewentualnych zagrożeń dla praw podstawowych czy praw człowieka.

Obowiązki

Z punktu widzenia sektora finansowego istotne są obowiązki, które powstają w związku z wykorzystywaniem lub tworzeniem systemów AI wysokiego ryzyka. Zanim jednak przejdziemy do szczegółów, warto zwrócić uwagę na pewne kwestie „techniczne” dotyczące wykonywania i wdrażania poszczególnych obowiązków.

W pierwszej kolejności należy zwrócić uwagę na liczne odniesienia do procesów zawartych w pakiecie CRD/CRR, który reguluje wiele aspektów działalności sektora bankowego, w samym Projekcie. Oznacza to, że niektóre obowiązki mogą być realizowane przykładowo w ramach procesów kontroli wewnętrznej. Po drugie, obecnie projektowane jest rozporządzenie w sprawie odporności cyfrowej sektora finansowego, o czym mowa była wcześniej.

Wprowadzi ono szereg nowych wymogów w zakresie zarządzania szeroko rozumianymi ryzykami ICT oraz bezpieczeństwa, w tym w zakresie zarządzania zasobami, np. oprogramowaniem. Istotne będzie więc takie zarządzanie określonymi wymaganiami, aby uwzględnione zostały zarówno wymogi sektorowe, jak i specyficzne, np. dla systemów AI wysokiego ryzyka. Jednym z pierwszych działań powinno być mapowanie stosowanych modeli, procesów i oprogramowania, które może podlegać szczególnym obowiązkom.

Na wymagania w zakresie systemów wysokiego ryzyka należy spojrzeć z dwóch perspektyw:

  1. ogólnych wymogów dla tych systemów (art. 8–15 projektowanego rozporządzenia) oraz
  2. wymogów specyficznych dla poszczególnych kategorii podmiotów zaangażowanych w systemy wysokiego ryzyka; będą to nie tylko użytkownicy oraz dostawcy, ale także np. wytwórcy produktów czy importerzy.

Dodatkowo projektowane rozporządzenie wprowadza pewne specyficzne wymagania np. w odniesieniu do tzw. conformity assessment, będące procedurą poprzedzającą wprowadzenie produktu na rynek czy certyfikacji systemów. Wyodrębnienie zarówno wszystkich obowiązków, jak i specyficznych wymogów może być więc zadaniem skomplikowanym, jednakże kluczowe jest tutaj zrozumienie, że każdy system wysokiego ryzyka będzie musiał być zgodny z przepisami Projektu. Ważne jest także to, że art. 8 ust. 2 Projektu zakłada, że zamierzony cel wykorzystania takiego systemu oraz system zarządzania ryzykiem powinny być brane pod uwagę przy dokonywaniu takiej oceny.

Wymogi dla systemów wysokiego ryzyka są następujące:

  1. odpowiedni system zarządzania ryzykiem;
  2. adekwatne rozwiązania w zakresie danych oraz zarządzania danymi;
  3. rozwiązania w zakresie dokumentacji technicznej;
  4. ewidencjonowanie;
  5. przejrzystość oraz udostępnianie informacji;
  6. nadzór sprawowany przez człowieka;
  7. odporność, cyberbezpieczeństwo i dokładność.

Poziom szczegółowości tych wymagań nie pozwala na ich pełne przedstawienie w niniejszym opracowaniu więc zostaną one jedynie krótko opisane.

Pierwszym wymogiem, który de facto wyznacza kierunek dla pozostałych, jest obowiązek stworzenia, wdrożenia, udokumentowania oraz utrzymywania systemu zarządzania ryzykiem systemem lub systemami wysokiego ryzyka (przepisy określają, co powinno wchodzić w jego skład). Jednocześnie w art. 9 ust. 9 przewidziano, że w odniesieniu do instytucji kredytowych (w tym banków) obszar zarządzania ryzykiem powinien stanowić część systemu zarządzania ryzykiem wymaganego na mocy właściwych przepisów, m.in. ustawy Prawo bankowe (art. 9 ust. 3) czy rozporządzenia w tej sprawie oraz wytycznych i rekomendacji regulatorów. Do tej pory nie opracowano wytycznych sektorowych, choć Urząd Komisji Nadzoru Finansowego wystosował w drugiej połowie maja 2021 r. ankietę do sektora finansowego w sprawie wykorzystania sztucznej inteligencji.

Kolejnym wymogiem jest zapewnienie odpowiedniego poziomu danych oraz systemu zarządzania danymi. Pod tym nieco enigmatycznym stwierdzeniem kryje się obowiązek zapewnienia odpowiedniej jakości danych na każdym etapie cyklu życia systemu AI, w tym uczenia algorytmu, walidacji czy testowania. Projektowane rozporządzenie jest tutaj dość rygorystyczne, bowiem zakłada, że wykorzystywane zestawy danych muszą być odpowiednie, reprezentatywne, wolne od błędów i kompletne, a także posiadać odpowiednie właściwości statystyczne. Istotne jest przy tym, że Projekt zakłada możliwość wykorzystywania danych wrażliwych, ale co do zasady jedynie w przypadku, gdy jest to niezbędne do monitoringu algorytmów.

Kolejne dwa obowiązki są ze sobą w pewnym zakresie powiązane. Chodzi tutaj mianowicie o konieczność opracowywania i aktualizacji dokumentacji technicznej (minimalny zakres danych określa załącznik IV) oraz przechowywanie tzw. logów. Szczególnie to drugie zobowiązuje dostawcę do zautomatyzowania rozwiązań pozwalających na ich pozyskiwanie i zapisywanie. Logi powinny też umożliwiać prześledzenie działania algorytmów, a także spełniać obowiązki określone m.in. w art. 12 ust. 4. Jednocześnie musimy pamiętać, że art. 17 zobowiązuje dostawców systemów wysokiego ryzyka do posiadania tzw. Quality Management Systems, czyli systemów zapewniających, że działania w ich obszarze są podejmowane zgodnie z wymogami projektowanego rozporządzenia. Z punktu widzenia banków taki system może być częścią rozwiązań wynikających m.in. z pakietu CRD, czy bardziej precyzyjnie – aktów implementujących, jak np. prawo bankowe.

Dalej projekt przewiduje szczególne obowiązki w zakresie przejrzystości oraz informowania użytkowników. Kluczowe jest tutaj to, że systemy wysokiego ryzyka powinny być tworzone i rozwijane w taki sposób, aby zapewnić użytkownikom odpowiednie informacje pozwalające na zrozumienie algorytmu i wyniku jego działania, a także prawidłowe użycie, co wiąże się z obowiązkiem opracowania przez dostawcę instrukcji do systemu. Przepisy projektowanego rozporządzenia wskazują, jaki minimalny zakres informacji powinien znaleźć się w takiej instrukcji. Warto w tym miejscu zaznaczyć, że choć nie jest to stricte obowiązek wynikający z art. 13, to warto rozważyć – a w niektórych przypadkach, np. przy profilowaniu, zastosować – sposób prezentacji informacji o stosowanych systemach AI w dokumentacji klientowskiej, czyli np. w regulaminie usługi finansowej czy w stosownej umowie. 

Projekt skupia się także na roli człowieka w całym cyklu życia systemu sztucznej inteligencji, co w dużej mierze sprowadza się do obowiązku zapewnienia efektywnego nadzoru człowieka nad algorytmem. Jednak w projekcie wyraźnie wskazano, że nadzór człowieka powinien koncentrować się na przeciwdziałaniu lub minimalizowaniu ryzyka generowanego przez system sztucznej inteligencji dla zdrowia, bezpieczeństwa czy praw podstawowych człowieka. Rozwiązania powinny być konstruowane w taki sposób, aby nie utrudniać sprawowania tego nadzoru, a także zapewnić, że kontrola jest rzeczywista, m.in. wymuszając posiadanie „przycisku stop”, który zatrzyma działanie systemu, jeżeli okaże się to konieczne.

Ostatnim wymogiem przewidzianym w Projekcie dla systemów AI – przynajmniej w dziale III, jest konieczność tworzenia i rozwijania systemów w taki sposób, aby zapewniały one odpowiedni poziom dokładności, odporności operacyjnej i w zakresie cyberbezpieczeństwa. Niewątpliwie te wymagania należy wiązać z innymi wymogami dla sektora finansowego, w tym ustawy o krajowym systemie cyberbezpieczeństwa czy projektowanym rozporządzeniem w sprawie cyfrowej odporności, a także licznymi wymogami regulacyjnymi. W tym obszarze z pewnością pożądane będą odpowiednie wyjaśnienia organów nadzorczych.

Zdjęcie przedstawia zbliżenie na osobę, która dokonuje płatności smartphonem w sklepie.

To oczywiście nie koniec wymagań stawianych dostawcom; zakres obowiązków użytkowników systemów wysokiego ryzyka jest nieco węższy. Jeżeli spojrzymy przykładowo do rozdziału 3, który definiuje obowiązki poszczególnych „uczestników” cyklu życia systemu AI, to okaże się, że jest ich znacznie więcej. Poza już wspomnianym systemem zarządzania jakością, dostawca musi przykładowo zapewnić przeprowadzenie tzw. conformity assessment, czyli swoistego badania zgodności czy też uzyskanie certyfikatu, ale także podejmować stosowne działania korygujące i współpracować z odpowiednimi organami. Szczęśliwie, przynajmniej w odniesieniu do instytucji kredytowych (w tym banków), przewidziano możliwość uwzględnienia tych wymogów w ramach procedur wewnętrznych. Być może takie rozwiązanie zostanie rozszerzone też na inne podsektory sektora finansowego.

Warto także pamiętać, że nie tylko na dostawcach systemów AI wysokiego ryzyka ciążą obowiązki wynikające z rozporządzenia. Mamy tutaj importerów, producentów, ale przede wszystkim użytkowników. Ci muszą przede wszystkim postępować zgodnie z otrzymanymi instrukcjami, ale także zapewnić odpowiednią jakość danych wejściowych. Pojawia się także obowiązek monitoringu działania systemu i reagowania na ewentualne incydenty czy skrzywienia. Całokształt tych obowiązków może być również częścią już istniejących rozwiązań w ramach instytucji kredytowej.

Tyle w skrócie, bowiem pamiętać należy, że obowiązki – z wyjątkami określonymi w stosownych załącznikach do projektu – są opisane dość ogólnie i to od instytucji uczestnika zależy, w jaki sposób zorganizuje wszystkie te procesy. Z pewnością jednak posiadanie systemów wysokiego ryzyka będzie wiązało się z koniecznością rewizji istniejących rozwiązań organizacyjno-technicznych, w tym polityk, procedur, regulaminów i strategii.

Środki wspierające innowacyjność w obszarze AI

W projekcie znajdziemy jeszcze wiele interesujących wątków, ale ze względu na ograniczone ramy niniejszego artykułu warto na koniec zwrócić uwagę na środki, które w założeniu mają wpłynąć pozytywnie na rozwój AI w Unii Europejskiej.

Projektowane rozporządzenie przewiduje m.in. tworzenie tzw. piaskownic regulacyjnych dla AI, które obejmować mogą jedno lub więcej państw członkowskich. Piaskownice takie będzie mógł tworzyć także Europejski Inspektor Ochrony Danych. Ich założeniem będzie wprowadzenie ułatwień w zakresie rozwoju, testowania oraz walidacji innowacyjnych projektów w obszarze AI w specjalnym (chronionym czy nadzorowanym) środowisku i przez określony czas. Rozwiązania tam inkubowane będę dojrzewały do wyjścia na rynek z uwzględnieniem pewnej elastyczności, ale i poszanowaniem podstawowych zasad. Oczekiwać należy, że na poziomie krajowym pojawiać się będą stosowne rozwiązania w tym zakresie. Jednocześnie w Projekcie przewidziano pewne specyficzne wymogi dla szczególnych rozwiązań AI, które mogą służyć interesowi publicznemu.

W tym kontekście warto zwrócić także uwagę na propozycję powołania Europejskiej Rady ds. Sztucznej Inteligencji, która będzie miała za zadanie wspierać radą Komisję (UE) przy wdrażaniu i stosowaniu nowych rozwiązań prawnych. Rada będzie składała się z krajowych organów nadzorczych, które dopiero zostaną desygnowane, oraz Europejskiego Inspektora Ochrony Danych, ale już przewodniczyć pracą będzie sama Komisja, która zorganizuje także sekretariat dla Rady.

Jeżeli chodzi o zadania Rady, to są one dość szerokie i obejmują m.in. wydawanie opinii czy rekomendacji, czy też przyczynianie się do tworzenia dobrych praktyk oraz oczywiście doradzanie Komisji. Trudno teraz oceniać, jaki będzie realny wpływ Rady na działania podejmowane przez Komisję, jednak sam pomysł – szczególnie przy uwzględnieniu udziału ekspertów zewnętrznych – uznać należy za obiecujący. 

Na koniec warto podkreślić, że choć sektor finansowy jest specyficzny i ma swoje wymogi wynikające z szeroko rozumianej regulacji, to jednak projektowane rozwiązania w zakresie AI mają charakter uniwersalny i są aplikowane w wielu innych obszarach. W przypadku sektora finansowego największym wyzwaniem będzie znalezienie rozwiązań zapewniających uwzględnienie – niekiedy mogących się wykluczać – wymogów prawno-regulacyjnych, szczególnie w obszarze ICT. Dlatego tak istotne będzie mapowanie wymogów, systemów oraz zasobów już dzisiaj, aby mieć świadomość czekającej pracy, gdy akty prawne, o których wspomniano, zostaną przyjęte.

 

Michał Nowakowski

doktor nauk prawnych i radca prawny; założyciel bloga www.finregtech.pl i prawnik w jednej z instytucji finansowych; pasjonat nowych technologii, członek Grupy Roboczej ds. Sztucznej Inteligencji przy KPRM oraz członek Komisji LegalTech przy Okręgowej Izbie Radców Prawnych w Warszawie


[1] https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:52021PC0206

[2] https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_pl.pdf

[3] https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_pl

Zobacz więcej podobnych artykułów