למעט טכנולוגיות יש פוטנציאל להדאיג את הרגולטורים ולשמח עסקים כמו בינה מלאכותית (AI). זה קיים כבר שנים בצורות שונות. אבל מחוקקים אירופיים הרגישו נאלצים להתערב כאשר אלגוריתמים חכמים הופכים להיות מוטמעים יותר ויותר בתהליכים עסקיים ובטכנולוגיות העומדות בפני אזרחים.
האתגר עבור עסקים המפתחים מערכות כאלה יהיה להעריך האם הן עומדות בקריטריונים המחמירים הדרושים כדי לצאת לשוק בתוך הגוש. עבור חברות בבריטניה, במיוחד, תצטרך לקבל החלטה כיצד לנהל את המשטרים הרגולטוריים השונים.
מה יש בחוק הבינה המלאכותית?
ממשלות ברחבי העולם מסתכלות מקרוב על AI במטרה למזער שימוש לרעה או שימוש לרעה מקרי. ה G7 דן בזה. הבית הלבן מנסה לקבוע חוקי יסוד להגן על זכויות הפרט ו להבטיח פיתוח ופריסה אחראיים. אבל האיחוד האירופי הוא הכי רחוק לחקיקה מעוצבת במלואה. שֶׁלָה הצעות עבור "חוק AI" חדש אושרו לאחרונה על ידי הפרלמנט האירופי.
חוק הבינה המלאכותית יבקש לנקוט בגישה מבוססת סיכונים, ולסווג מודלים של בינה מלאכותית לפי סיכון "לא מקובל", "גבוה", "מוגבל" ו"מינימלי".
סיכון בלתי מתקבל על הדעת פירושו מערכות המאיימות על "ביטחונם, פרנסתם וזכויותיהם של אנשים". הם כוללים טכנולוגיית זיהוי פנים, ניקוד חברתי ממשלתי ושיטור חזוי, והם ייאסרו על הסף.
סיכון גבוה מערכות יכולות לכלול בינה מלאכותית המשמשת בתשתיות קריטיות, העלולות לסכן את בריאות האזרחים, או במסגרות הכשרה חינוכיות, שבהן ניתן להשתמש בה כדי לקבל ציון בבחינות. דוגמאות נוספות הן:
- שימוש בבינה מלאכותית בהגדרות של מקום עבודה, כגון מיון קורות חיים.
- ניקוד אשראי.
- אימות מסמכים בביקורת גבולות.
- המשטרה בוחנת ראיות.
חברי הפרלמנט האירופי הכניסו גם מערכות המלצות למדיה חברתית, ובינה מלאכותית נהגה להשפיע על הבוחרים במהלך בחירות בקטגוריית הסיכון הגבוה.
סיכון מוגבל הכוונה למערכות בינה מלאכותית שבהן יש ליידע את המשתמשים שהם מקיימים אינטראקציה עם מכונה, כגון צ'אט בוט.
מינימלי/ללא סיכון ניתן להשתמש במערכות כגון מסנני דואר זבל בינה מלאכותית או משחקי וידאו ללא הגבלות. האיחוד האירופי טוען שקטגוריה זו כוללת את רוב מוצרי הבינה המלאכותית הנמצאים בשימוש כיום.
מהן ההתחייבויות לחברות העומדות בדרישות?
אותם מפתחים (ספקים) של בינה מלאכותית שעלולה להיות בסיכון גבוה חייבים לקפוץ דרך חישוקים מרובים לפני שהמוצרים שלהם יורשו לשוק. אלו כוללים:
- הערכות סיכונים ומערכות הפחתה
- שמירה על מערכי נתונים איכותיים כדי למזער סיכונים ואפליה
- רישום פעילות כדי להוסיף שקיפות לתוצאות
- תיעוד מפורט של המערכת ומטרתה לשתף עם הרשויות
- מידע ברור ו"הולם" למשתמשים
- פיקוח אנושי "הולם" כדי למזער סיכונים
- רמות גבוהות של "חוסן, אבטחה ודיוק".
לאחר שפותחה מערכת ועברה הערכת התאמה, היא תירשם במסד נתונים של האיחוד האירופי ותקבל סימון CE. עם זאת, משתמשים ארגוניים של מודלים של AI חייבים להבטיח פיקוח אנושי וניטור מתמשכים, בעוד שלספקים יש חובה לפקח על מערכות פעם אחת בשוק. שני בעלי העניין חייבים לדווח על תקריות חמורות וכל תקלה במודלים של AI.
כיצד ישפיע החוק על חברות בבריטניה?
ההבדל בין המשטר הפוטנציאלי הזה לזה של בריטניה הוא בולט. פי לאדוארד מאשין, עורך דין בכיר בצוות נתונים, פרטיות ואבטחת סייבר ב-Ropes & Grey, האחרון טוענים שהוא יותר מונע חדשנות ופרו-עסקי.
"בניגוד לאיחוד האירופי, ממשלת בריטניה לא מתכננת להציג חקיקת AI, וגם לא תיצור רגולטור חדש של AI. במקום זאת, סוכנויות קיימות (למשל, ICO, FCA) יתמכו במסגרת ויוציאו הנחיות ספציפיות למגזר", הוא אומר ל-ISMS.online.
"למרות שבריטניה היא קצת חריגה בגישתה הקלה במגע, המסגרת מבוססת על עקרונות - ביטחון, שקיפות, הוגנות, אחריות ותיקון - המשותפים לאופן שבו רוב המחוקקים חושבים כיום על רגולציה של AI."
עם זאת, אין זה סביר שחברות בבריטניה עם פעילות באיחוד האירופי יוכלו לנצל את הגישה הקלה יותר הזו, אלא אם כן הן יבחרו לתמוך במשטרי הציות השונות, שיגיעו עם תקורה נוספת.
"אם בריטניה תמשיך לנקוט בגישה קלה יותר לרגולציה מאשר האיחוד האירופי, ארגונים בריטיים הכפופים לחוק הבינה המלאכותית יצטרכו להחליט אם לאמץ גישה יחידה כלל אירופה לציות", ממשיך מאצ'ין.
"החלופה היא לקיים תהליכים נפרדים לבריטניה ולאיחוד האירופי, שעבור חברות רבות יהיו יקרים, קשים לתפעול וכנראה בעלי תועלת מסחרית מוגבלת. אם עסקים יכולים להפריד בבירור ובקלות חובות ציות מסוימות לפי גיאוגרפיה, עליהם, כמובן, לשקול אותן תוך הכרה שבפועל, הם יצטרכו לעמוד בסטנדרטים הגבוהים יותר של האיחוד האירופי במקרים אחרים".
ממה להיזהר
כמובן, הכללים עדיין בתנופה עד שייגמרו. הנציבות האירופית, המדינות החברות וחברי הפרלמנט ייפגשו בסדרה של פגישות "טרילוגים" כדי לפרט את הפרטים. לדוגמה, נותר לראות כיצד יטופלו מודלים גנרטיביים של AI. כל מה שהוועדה אמרה עד כה הוא שהם יצטרכו לעמוד בדרישות השקיפות ולמנוע מהם לייצר "תוכן לא חוקי" ולהפר זכויות יוצרים. חוקרי סטנפורד כבר טענו שדגמי בינה מלאכותית רבים, כולל GPT-4, אינם עומדים כעת בחוק הבינה המלאכותית.
מאצ'ין מוסיף כי עסקים המפתחים או משתמשים במודלים בסיכון גבוה חייבים גם לעקוב מקרוב אחר המתרחש לאחר מכן.
"סביר להניח שיהיו חילוקי דעות בנוגע לאופן שבו מוגדרות מערכות בינה מלאכותית 'בסיכון גבוה', ועסקים יראו מקרוב כיצד זה מתערער, בהתחשב בכך שמודלים וטכנולוגיות בסיסיות שישפיעו יותר ויותר על חייהם של אנשים (כגון בתעסוקה ושירותים פיננסיים) להיתפס בהגדרה הזו", הוא טוען.
ג'ונתן ארמסטרונג, שותף ב-Cordery, מעריך שיעברו לפחות ארבעה חודשים עד שהחברות יקבלו את הבהירות שהן מחפשות.
"העצה שאנו נותנים ללקוחותינו כרגע היא לעשות הערכה רשמית, אבל זה לא צריך להיות מכביד מדי. עזרנו ללקוחות להתאים את תהליך הערכת ההשפעה של הגנת הנתונים שלהם, למשל. זהו בסיס טוב מכיוון שהוא בוחן כמה מהדברים שחוק הבינה המלאכותית יעסוק בהם, כמו הוגנות, שקיפות, אבטחה ומענה לבקשות", הוא אומר ל-ISMS.online.
"זה גם יעזור להם להתמודד עם חמשת עקרונות הבינה המלאכותית בבריטניה [נייר מדיניות]. אני חושב שזה לא יותר מדי נטל נוסף עבור רוב הארגונים אם הם עושים זאת GDPR נכון - אבל עבור חלק, זה אם גדול."
