За използването на изкуствен интелект при подбор на таланти, кредитиране и ценообразуване, вижте какво споделя адв. Миткова - старши мениджър в Адвокатско дружество „Делойт Лигъл“
Адв. Аделина Миткова. Снимка: личен архив
„Поначало Законодателният акт за изкуствения интелект (ЗАИИ) категоризира като високорискови системи с изкуствен интелект за подбор на персонал, по-специално системи за публикуване на обяви за работа, за анализиране или филтриране на молби за работа и за оценяване на кандидатите. Работодателите ще могат да използват такива системи и след като регламентът започне да се прилага, ако са спазени изискванията за това“, посочва адв. Аделина Миткова. Тя е старши мениджър, ръководител на отдел „Банкови и финансови услуги“ в Адвокатско дружество „Делойт Лигъл“ и има над 15 години опит в сферата на банковото и финансово право. Свързахме се с нея, за да ни разкаже повече за Регламента за изкуствен интелект - кои компании и системи попадат в обхвата му, по какво изискванията му за оценка на риска се различават от тези на GDPR, как регулира използването на чатботове и системи с изкуствен интелект при подбор на таланти. Ето какво сподели адв. Миткова по тези и други въпроси пред екипа на Economy.bg:
Кои са най-значителните промени, до които очаквате ЗАИИ да доведе?
ЗАИИ е европейски регламент. След влизането му в сила ще се прилага пряко в целия ЕС, без да е необходимо държавите членки да приемат имплементиращо законодателство. Има въпроси, които са оставени на преценката на държавите членки или изискват детайлизиращи правила, за да могат да бъдат прилагани на практика. Относно промените, на първо място, за първи път ЕС ще регулира цялостно използването на такива системи. Досега само някои държави членки бяха въвели отделни правила в правните си системи. Сериозна стъпка в защитата на правата на физическите лица е, че регламентът ще забрани някои системи с изкуствен интелект (ИИ), т.е. такива, при които, дори и да се предприемат мерки за ограничаване на рисковете, остатъчният риск за живота, здравето, основните права на физическите лица според европейския законодател не е приемлив. За разрешените системи с ИИ, които пораждат съществен риск за правата на физическите лица, ще бъдат въведени редица изисквания. За почти всички системи с ИИ, предназначени да взаимодействат пряко с физически лица, се въвежда задължение да бъдат проектирани и разработени по такъв начин, че съответните лица да бъдат информирани, че взаимодействат със система с ИИ, освен ако това не е очевидно за физическо лице, което е сравнително добре информирано, наблюдателно и предпазливо, като се вземат предвид обстоятелствата и контекстът на употреба на системата. Положителна стъпка е и въвеждането на правила за модели на ИИ с общо предназначение, т.е. модели, които се внедряват в други системи с ИИ. Тези правила не бяха залегнали в проекта, предложен от ЕК. Те бяха въведени при дискусиите между ЕК, Европейския парламент и Съвета.
Бихте ли посочили примери за изисквания към разрешените системи с ИИ, които пораждат съществен риск?
За въвеждане и прилагане на система за управление на рисковете и за управление на качеството, правила за оценка на съответствие с изискванията на регламента и маркировка за съответствие, изискване за регистрация в регистър към ЕК, изискване за записи на работата на системата през целия ѝ живот, изисквания за докладване на сериозни инциденти и др.
Бихте ли дали примери за разрешени системи с ИИ, които пораждат съществен риск?
Такива са например повечето разрешени системи за дистанционна биометрична идентификация, системи за разпознаване на емоции, системи в критична инфраструктура (пътна, електроснабдителна и др.), определени системи в образованието, заетостта, при предоставянето на основни частни и обществени услуги (оценка на кредитоспособност, оценка на риска при животозастраховане, класифициране на спешни повиквания и др.).
Какви компании попадат в обхвата на ЗАИИ?
В обхвата на регламента ще попаднат всякакви компании, които разработват, пускат на пазара, внасят на територията на ЕС, внедряват и използват в дейността си системи с ИИ така, както са дефинирани от регламента. Попадат големи, средни, малки и микропредприятия. Попадат и публични органи, държавни и общински, органи на ЕС. Целта е да се адресират рисковете, които произтичат от използването на такива решения, както в частния, така и в публичния сектор.
Има ли предвидени облекчения за стартиращи компании?
За малки, средни и микропредприятия (МСП) и стартиращи компании са предвидени някои облекчения, за да не се създава непропорционална тежест. Например техническата документация за високорискови системи с ИИ, разработени от МСП и стартиращи компании, може да се състави по опростен начин, като ЕК ще разработи опростен формуляр за целите на оценката на съответствие с изискванията на регламента. Предвиждат се и мерки да се подпомогне разработването и внедряването на такива решения, включително от МСП и стартиращи компании. Една от мерките е компетентни органи на държавите членки да създадат регулаторни лаборатории в областта на ИИ (regulatory sandbox), които ще осигуряват контролирана среда, която да насърчава иновациите и да улеснява разработването, обучението, изпитването и валидирането на иновативни системи с ИИ, особено от страна на МСП и стартиращи предприятия, които разполагат с ограничени ресурси, включително финансови и експертни. За МСП и стартиращи компании ще се предвиждат по-ниски такси за оценка на съответствие на системата с ИИ с изискванията на регламента, ще се осигуряват обучения и др.
Кои системи с изкуствен интелект попадат в обхвата на ЗАИИ?
Дефиницията на система с изкуствен интелект е доста широка, за да покрие максимален набор от системи с ИИ, както такива, които в момента се разработват и ползват на пазара, така и такива, които ще се разработят занапред с напредването на иновациите и развитието на технологиите. По-конкретно, в обхвата попада всяка машинно базирана система, която е проектирана да работи с различни нива на автономност, може да прояви адаптивност след внедряването ѝ и която с ясно определена или скрита цел въз основа на въведените в нея входящи данни извежда начина на генериране на резултати като прогнози, съдържание, препоръки или решения, които могат да окажат влияние върху физическа или виртуална среда.
Какви изисквания към оценка на риска поставя? Различава ли се тази оценка от оценката, която се изисква по GDPR?
ЗАИИ изисква от доставчиците да оценят системите с ИИ, като, ако са високорискови, следва да се изпълнят изискванията за високорискови системи с ИИ. Едно от задълженията на доставчиците на високорискови системи е да въведат и прилагат система за управление на риска, като част от тази система е оценката на рисковете от използването на системата с ИИ по отношение на живота, здравето, безопасността и основните права на физическите лица. Този процес е непрекъснат, прилага се през целия жизнен цикъл на високорисковата система. Внедрителите (т.е. ползвателите) на повечето високорискови системи с ИИ, от друга страна, следва да извършват оценка на въздействието върху основните права на физическите лица преди въвеждането в експлоатация на системата, като в определени случаи те могат да се позоват на оценка, извършена от доставчика. Предвижда се Службата по ИИ, която ще се създаде, да разработи образец на въпросник, включително чрез автоматизиран инструмент, за да улесни внедрителите при спазването на задълженията. От една страна, оценката на въздействието по ЗАИИ е по-широка от оценката на въздействието по GDPR, която касае основно правата на субектите във връзка с обработването на личните им данни. От друга страна, оценката на въздействието по ЗАИИ е по-тясна по отношение обработването на лични данни, доколкото се отнася само до дадена система с ИИ, а не до цялостната дейност на доставчика/внедрителя. Ако вече е извършена оценка на въздействието по GDPR (тя се изисква само в определени случаи) и тя е адекватна, оценката на въздействието по ЗАИИ може да бъде допълнена с изискванията по ЗАИИ. Ако такава оценка по GDPR не е извършена (напр. защото не е задължителна), оценката по ЗАИИ трябва да обхване и въздействието на дадената система върху правата, свързани с обработването на личните данни на лицата.
Въвеждат ли се изисквания относно данните, върху които се обучават системите с изкуствен интелект? Предвидена ли е защита на авторски права?
Да, предвиждат се изисквания за качество на данните, за да се осигури, че системата с ИИ функционира по предназначение, по безопасен начин и не води до предубеденост и дискриминация. Следва да се прилагат подходящи практики за администриране и управление на данните напр. във връзка с процесите на събиране и подготовка на данните, във връзка с оценка на наличието, количеството и годността на необходимите набори от данни и др. Обучителните, както и валидационните и изпитвателни данни следва да бъдат подходящи, достатъчно представителни и във възможно най-голяма степен пълни и без грешки с оглед на предназначението на системата. По изключение могат да се обработват специални категории лични данни, като се въвеждат допълнителни на GDPR изисквания с цел да се гарантират основните права и свободи на физическите лица. Обръща се значително внимание на сигурността на данните с оглед риска от кибератаки. Например техническите решения за преодоляване на специфичните за ИИ слаби места следва да включват мерки за предотвратяване, откриване, реакция, неутрализиране и контрол на атаки, целящи да манипулират обучителните данни (т.нар. отравяне на данните) или предварително обучените компоненти, използвани за обучение (т. нар. отравяне на моделите). Относно авторските права и сега действащото законодателство съдържа правила, които намират приложение спрямо системите с ИИ. Друг е въпросът дали правилата се спазват. Регламентът съдържа някои разпоредби по темата (например доставчиците на модели на ИИ с общо предназначение следва да въведат политика за спазване на правото на ЕС в областта на авторското право), но има какво да се желае за подобряване на законодателната уредба и гарантиране на авторските права във връзка със системи с ИИ.
Кои са най-съществените срокове в ЗАИИ от гледна точка на компаниите в България?
ЗАИИ ще започне да се прилага 24 месеца след влизането му в сила. Въпреки това се предвижда някои правила да се прилагат по-рано. Например правилата за забранените системи с ИИ ще се прилагат след изтичането на 6 месеца от влизането в сила на регламента. Правилата за някои високорисковите системи ще се прилагат по-късно, след изтичането на 36 месеца от влизането в сила на регламента, като законодателят отчита, че е необходим по-дълъг срок. В тази връзка е важно да се отбележи, че се препоръчва прилагане на правилата на добра воля възможно най-рано с цел своевременна защита на физическите лица.
Какви забрани, касаещи бизнеса, въвежда ЗАИИ?
Както споменах, определени системи с ИИ ще бъдат забранени за пускане на пазара, въвеждане в експлоатация и използване. Такива са например системи с ИИ, които действат на подсъзнателно ниво на поведението на дадено лице, като значително се нарушава способността за вземане на информирано решение. Лицето се подтиква да вземе решение, което не би взело и се причиняват, или има вероятност да се причинят, значителни вреди (напр. система, която подтиква дадено лице да увреди живота или здравето си). Друг пример са определени системи, които оценяват или класифицират лицата въз основа на тяхното социално поведение или личностни характеристики, което води до неблагоприятно третиране, напр. неблагоприятна оценка, че дадено лице ще извърши престъпление. Забраняват се и системи с ИИ, които създават или разширяват бази данни за разпознаване на лица чрез нецеленасочено извличане на лицеви изображения от интернет или записи от видеонаблюдение (facial scraping), както и системи с ИИ, които целят да се направят заключения за емоциите на дадено физическо лице на работното място, освен когато системата е внедрена по медицински или свързани с безопасността съображения. В списъка със забранени системи са и системи за дистанционна биометрична идентификация в реално време на обществено достъпни места за целите на правоприлагането, като има изключения.
Какви са предвидените санкции?
ЗАИИ задава рамка на санкциите, като изисква държавите членки да определят правилата относно санкциите и другите принудителни мерки, които могат да включват и предупреждения и неимуществени мерки за въздействие. Най-значителните имуществени санкции са за неспазване на забраната за пускане на пазара, въвеждане в експлоатация и използване на забранени системи с ИИ. Санкцията е до 35 000 000 евро или ако нарушителят е предприятие, до 7% от общия му годишен световен оборот за предходната финансова година в зависимост от това коя от двете суми е по-висока. За нарушение на други разпоредби се предвижда санкция до 15 000 000 евро или ако нарушителят е предприятие, до 3% от общия му годишен световен оборот за предходната финансова година в зависимост от това коя от двете суми е по-висока. Ако задължено лице предоставя неточна, непълна или подвеждаща информация в отговор на искане от компетентен орган, санкцията е в размер до 7 500 000 евро или ако нарушителят е предприятие, до 1% от общия му годишен световен оборот за предходната финансова година в зависимост от това коя от двете суми е по-висока.
С какъв тип казуси във връзка с бъдещото приложение на този регламент се сблъсквате най-често в практиката си?
Към момента много от компаниите не са наясно с новата рамка, задълженията и рисковете, които ще породи за тях. Новата регулация ще изисква комплексна експертиза, както правна, така и техническа в сферата на информационните технологии, планиране и изпълнение на комплексни проекти за спазване на изискванията, подготовка на адекватна стратегия и др. Аз и моите колеги както в България, така и чужбина, организираме и участваме в различни семинари, дискусии, форуми с цел да повишим информираността по темата.
Имате ли наблюдения относно често срещани пропуски на бизнеса при въвеждане на чатботове?
В нашата практика сме се сблъсквали с различни проблеми. Например невинаги се спазват изцяло или частично правилата на GDPR и законодателството в областта на защита на интелектуалната собственост. Често има проблеми с нарушаване на изисквания (договорни или законови) за конфиденциалност и търговска тайна. На потребителите не се предоставя достатъчно информация за това как оперира системата и какви са рисковете за потребителя, както и информация, която потребителят споделя или ползва в резултат на работата на системата. Ако не са проектирани правилно и не са захранени с подходящи, точни, верни данни, с информация, която вярно отразява действащото законодателство, тези системи могат да генерират неточни, дискриминационни, подвеждащи, грешни, дори неправомерни резултати и съвети. В зависимост от сферата, в която се ползват, това може да доведе до сериозни рискове за потребителите, включително за живота, здравето и основните им права.
Могат ли компаниите да използват изкуствен интелект в процеса си на подбор на таланти и при какви условия?
Поначало ЗАИИ категоризира като високорискови системи с ИИ за подбор на персонал, по-специално системи за публикуване на обяви за работа, за анализиране или филтриране на молби за работа и за оценяване на кандидатите. Работодателите ще могат да използват такива системи и след като регламентът започне да се прилага, ако са спазени изискванията за това, напр. да се осигури човешка намеса при използването на системата от лица, които са компетентни, имат необходимите правомощия и са преминали необходимото обучение; да се предостави информация на засегнатите лица, че спрямо тях се използва такава система и др. Препоръчително е работодателите да направят анализ дали доставчикът на системата, която ползват, е изпълнил задълженията си по регламента и да предприемат корективни действия, ако е необходимо, напр. да спрат използването на системата, докато не установят доставчикът спазва ли изискванията или не.
Има ли ограничения и какви при използването на системи с ИИ за оценка на риска при отпускане на кредити?
Както и при системите за подбор на персонал по принцип ЗАИИ категоризира като високорискови системи за оценка кредитоспособността на физическите лица, като има възможност да се докаже, че системата не е високорискова при определени условия. Оценка на кредитоспособността на юридически лица от системи с ИИ не е високорискова на този етап, но като цяло регламентът цели да защити физически лица при използването на такива решения. Според европейския законодател системите за оценка на кредитоспособността на физически лица са високорискови, защото те определят какъв достъп ще имат тези лица до финансови ресурси или основни услуги като жилищно настаняване, електроенергия и телекомуникационни услуги. Използваните за тези цели системи с ИИ според регламента могат да доведат до дискриминация и да продължат да възпроизвеждат съществували в миналото модели на дискриминация, например въз основа на расов или етнически произход, пол, увреждания, възраст, сексуална ориентация, или да създадат нови форми на дискриминация.
Законосъобразно ли е използването на алгоритми, които променят цената според профила на потребителя?
Това е класически пример как система с ИИ, ако е базирана на такова решение, може да засегне неблагоприятно правата на потребителя. Такава система е проблемна не само от гледна точка на новия ЗАИИ, но и от гледна точка на потребителското законодателство.
Вижте профила и актуалните позиции за работа на Делойт България в JOBS.bg
