Jis aiškiai apibrėžia DI technologijų rizikos lygius bei nustato, kas gali grėsti identifikavus pažeidimus. KPMG ekspertas pasidalino, ko nedelsiant vertėtų imtis organizacijoms, kad priimtasis įstatymas joms neapkarstų ir kokia rizikų valdymo praktika užtikrintų ilgalaikį atitikimą naujo įstatymo reikalavimams.
Augantis nepasitikėjimas paskatino imtis veiksmų
Kai 2022 metų pabaigoje pokalbių robotas „ChatGPT“ pribloškė pasaulį gebėjimu per kelias sekundes parašyti tekstus, sugeneruoti didelius duomenis ar atlikti kitas žmogui daug laiko užtrunkančias ar sudėtingas funkcijas, visuomenėje kilo ne tik nuostabos, bet ir nerimo bangos, ar ši technologija yra tinkamai naudojama ir nepažeidžia žmogaus teisių.
KPMG ir Klivlendo universiteto atliktas išsamus visuomenės nuomonės tyrimas 2023 m. atskleidė, kad iš 17 tūkst. žmonių, apklaustų 17 DI lyderiaujančiose šalyse, trys iš penkių nepasitiki DI sistemomis, o 71 proc. pabrėžė reguliavimo svarbą.
KPMG partnerio Edvino Žukausko teigimu, augantis visuomenės nepasitikėjimas DI sistemomis bei duomenų saugumo klausimas lėmė EP sprendimą priimti DI įstatymą. Tiesa, pastarasis visiškai įsigalios nuo 2026 m., tačiau tam tikri aspektai bus pradėti taikyti anksčiau skirtingais laikotarpiais.
„Inovatyvus verslas, kuris siekia didesnio produktyvumo, geresnių pelno rodiklių ir savo klientams pasiūlyti kokybiškes paslaugas ar produktus, sparčiai diegia DI technologijas į savo veiklos procesus. Jos priverstos tai daryti, kad išliktų dinamiškoje konkurencinėje aplinkoje ir įgytų ar išlaikytų tvirtas pozicijas rinkoje. Naujasis įstatymas, kuris įsigalios nuo 2026 m., turės įtakos verslo procesams, tačiau jis taip pat užtikrins, kad technologijų kūrimas ir naudojimas atitiktų nustatytus standartus, taip pat skaidrumą, saugumą ir žmogaus teisių apsaugą, dėl ko visuomenėje buvo kvestionuojama šiais klausimais“, – komentuoja ekspertas.
Numatomos reikšmingos baudos
Naujasis dirbtinio intelekto (DI) įstatymas įveda keturias rizikų kategorijas, leidžiančias atpažinti ir klasifikuoti DI sistemas pagal jų saugumo lygį. Į mažos rizikos kategoriją patenka sistemos, kurios nekelia grėsmės, ir gali būti naudojamos be ribojimų.
Po vidutinės rizikos kategorija patenka sistemos, kurios gali turėti tam tikrą poveikį vartotojų saugumui ar privatumui, bet ne tokį didelį, kad reikalautų labai griežtų reguliavimo priemonių. Didelės rizikos kategorijai priskiriamos sistemos, kurios gali turėti didelį poveikį, reikalauja papildomų saugumo priemonių. Po ketvirta, nepriimtinos rizikos kategorija, patenka sistemos, kurios gali pažeisti žmogaus teises arba ES nuostatas, yra draudžiamos.
„Kaip laikomasi DI akto nuostatų prižiūrės nacionalinės valdžios institucijos, o jiems padės Europos Komisijos DI biuras. Jei bus nustatyta, kad įmonė naudoja DI sistemas, kurios yra priskiriamos nepriimtinos rizikos kategorijai, tokios įmonės gali būti baudžiamos skiriant finansines baudas“, – įspėja E.Žukauskas.
Naujasis įstatymas numato, kad įmonės, naudojančios aukščiausios rizikos DI sistemas, gali būti nubaustos bauda iki 35 mln. eurų arba turės sumokėti iki 7 proc. bendros pasaulinės praėjusių finansinių metų metinės apyvartos, atsižvelgiant į pažeidimo tipą ir įmonės dydį. Mažesni pažeidimai gali atsieiti iki 7,5 mln. eurų arba 1,5 proc. metinės apyvartos.
Verslas turi nedelsiant vertinti rizikas
Įstatymas, kuris pilnai įsigalios nuo 2026 metų, skatins verslus, kurie yra įdiegę ar naudoja duomenų inžinerijos (DI) technologijas savo veikloje, nedelsiant atlikti rizikos vertinimą, jeigu to dar nėra padarę.
„Pirmas žingsnis, kurį privalo atlikti verslas po priimto įstatymo – įvertinti disponuojamas DI sistemas ir suskirstyti jas į kategorijas pagal rizikos lygius. Priklausomai nuo to, į kurią rizikos kategoriją – minimalią, didelę, vidutinę ar nepriimtiną – DI sistema patenka, gali tekti atlikti reikšmingus procesų pakeitimus ir operacijas. Tai svarbus veiksmas siekiant išvengti saugumo ir etikos normų pažeidimų bei įstatyme numatytų sankcijų“, – teigia KPMG partneris E.Žukauskas.
Kitas svarbus aspektas, pasak E.Žukausko, kurį svarbu nedelsiant atlikti įmonėms – įdiegti rizikos valdymo sistemas. Pastarosios gali sušvelninti rizikos įtaką veiklos efektyvumui ir sumažinti atitikties pažeidimų galimybę.
„Priimtas įstatymas reikalauja, kad įmonės užtikrintų DI technologijų bei duomenų tvarkymo procesų atitikimą aukščiausiems duomenų apsaugos standartams. Tad bus svarbu ne tik skatinti darbuotojų supratimą apie duomenų saugumą, bet ir suteikti jiems žinias, kaip atpažinti ir reaguoti į galimas grėsmes. Be to, bus būtinybė nuolat atnaujinti saugumo protokolus ir parengti atsparumo planus, siekiant efektyviai tvarkytis su iškilusiais iššūkiais ateityje“, – pažymi E.Žukauskas.
Jis priduria, kad norint maksimaliai išnaudoti DI potencialą, svarbu rasti pusiausvyrą tarp automatizavimo ir žmonių kompetencijų. Tai reiškia, kad žmogiškoji priežiūra turėtų būti integruota į DI sistemų veikimą, užtikrinant, kad sprendimai būtų priimami etiškai ir atsakingai.
„Žmogiškoji priežiūra yra būtina DI sistemų dalis, garantuojanti duomenų saugumą ir etinių standartų laikymąsi. Rekomenduojama įtraukti išorinius ekspertus, kurie užtikrintų, kad visi DI sprendimai būtų nuodugniai peržiūrėti ir, esant poreikiui, pritaikyti, siekiant išvengti neteisingų ar žalingų pasekmių“, – pataria E.Žukauskas.
Be to, anot eksperto, apie DI sistemų veikimą, jų teikiamas galimybes ir keliamas rizikas būtina informuoti įmonės darbuotojus ir partnerius. Tai padės kurti atsakingą ir etišką darbo aplinką, stiprins pasitikėjimą įmonės viduje bei su išoriniais partneriais.