Akt o umjetnoj inteligenciji (AUI) stupio je na snagu 1. kolovoza 2024. godine, a primjenjivat će se u etapama. Stoga nam je po tome pitanju budućnost, u bitnome, ovakva:

• od 2. veljače 2025. godine se primjenjuje zabrana u odnosu na UI (AI) sustave koji predstavljaju tzv. “neprihvatljivi rizik”;
• od 2. kolovoza 2025. godine primjenjuju se obveze u vezi UI sustava opće namjene (General Purpose AI; GPAI)
• od 2. kolovoza 2026. godine primjenjuju se odredbe u vezi “visokorizičnih” UI sustava
• od 2. kolovoza 2027. godine primjenjuje se čitav AUI, u odnosu na UI sustave svih kategorija rizičnosti.

Conditio-sine-qua-non: Pismenost u području UI

Djeluje da smo od pojave WorldWideWeba (1991.) preko pojave Facebooka (2004.) pa sve do “porinuća” ChatGPT-a (2022.) ipak malo unaprijedili svoje sposobnosti predviđanja rizika.

Naime, AUI već svojim početnim člancima obvezuje dobavljače (providers) i subjekte koji uvode UI sustave (deployers) na aktivno poduzimanje mjera koje će omogućiti dostatnu razinu pismenosti u području umjetne inteligencije – kod svih onih osoba koje su u njihovo ime uključene u rad i korištenje UI sustava.

Ja pak mislim da bi se svatko iz stručnih krugova “s prve crte” trebao smatrati obveznim podijeliti s okolinom svoja znanja o temi (op.a. barem o pojavnostima UI (sustavi, modeli); procesima koji se zbivaju iza korisničkog sučelja (user interface) pojedinog UI sustava; rizicima korištenja; benefitima korištenja; kretanju podataka koji su u pojedini UI sustav uneseni i onima koji se unose putem interakcije s UI sustavom (prompt)) te tražiti od svojeg auditorija da znanje odgovorno i bez panike prenosi dalje.

Jer sada kada Meta izlazi s informacijama da su svoje AI modele “nahranili” javnim Facebook postovima od 2007. naovamo – bilo bi zgodno da svoj suživot s UI sustavima započnemo tako da za 20-ak godina ne moramo na subotnjoj kavi u kvartu razgovor započeti s: “da smo barem znali, da su nas barem educirali…”

AUI pod “pismenost u području umjetne inteligencije” smatra: vještine, znanje i razumijevanje koji dobavljačima, subjektima koji uvode sustav i zahvaćenim osobama omogućuju da informirano uvode UI sustave i steknu svijest o mogućnostima i rizicima UI te šteti koju može izazvati.

Javite mi, molim vas, što se danas uči u školama na satovima informatike?

Sustav ili model?

AUI razlikuje UI modele opće namjene i UI sustave, a prepoznaje i mogućnost njihove kombinacije.

UI modele možemo pokušati shvatiti kao računalne programe koji obrađuju i analiziraju podatke te su sposobni iz takve obrade i analize producirati određeni rezultat. U stvaranju tih modela koriste se velike količine podataka (treniranje, op.a.). Procesuiranjem i analizom tih podataka program može među ostalim detektirati uzorke, a time onda i generirati određene zaključke i predviđanja te druge vrste rezultata (pa čak i ako korisnik sustava temeljenog na tome modelu kroz svoj upit tzv. prompt podastre kakav novi podatak, op.a.).

AUI definicija UI modela opće namjene: znači UI model, uključujući takav UI model treniran s pomoću velike količine podataka uz primjenu samostalnog nadzora u širokim razmjerima, koji ima vrlo općenitu namjenu i može kompetentno obavljati širok raspon različitih zadaća bez obzira na način na koji se model stavlja na tržište i koji se može integrirati u razne sustave ili primjene niže u lancu, osim UI modela koji se upotrebljavaju za aktivnosti istraživanja, razvoja ili izrade prototipova prije njihova stavljanja na tržište.

Prema tekstu AUI: veliki generativni UI modeli tipičan su primjer UI modela opće namjene s obzirom na to da omogućuju fleksibilnu proizvodnju sadržaja, primjerice u obliku teksta, audio zapisa, slika ili videozapisa, koji mogu lako obavljati širok raspon različitih zadaća.

Možda ključna razlikovna karakteristika UI modela u odnosu na UI sustave jest primarno to što su UI modeli integrirani u UI sustave te uobičajeno čine njihovu ključnu komponentu, ali nisu sami po sebi UI sustav. UI modeli zahtijevaju dodavanje određenih komponenti (npr. korisničko sučelje/user interface) da bi postali UI sustavi.

AUI razumije UI sustav kao strojni sustav koji, za određene ciljeve, može iz ulaznih vrijednosti koje prima zaključivati kako generirati izlazne vrijednosti kao što su predviđanja, sadržaj, preporuke ili odluke od utjecaja na okolinu, a koji je k tome dizajniran za rad s promjenjivim razinama autonomije te može demonstrirati prilagodljivost nakon uvođenja u upotrebu. Zbog potonjeg segmenta “autonomije” i “prilagodljivosti”, kolokvijalno ga se može shvatiti kao “inteligentniji-softver” jer ga upravo te značajke razlikuju od “standardnog-softvera”.

Ako je UI model opće namjene integriran u UI sustav ili je njegov dio – takav bi se UI sustav, prema AUI, trebao smatrati sustavom opće namjene ako zbog takve integracije taj sustav može služiti različitim namjenama.

Dakle, ako ovo čitate i programer ste – onda točno znate što je što, s kojom AI pojavnosti ste u interakciji i tražite mi “greške” u tekstu. Sjajno, proširite znanje dalje kome stignete!

Ako pak ovo čitate i niste programer niti aktivni u IT svijetu – ono s čime ste vi najvjerojatnije u interakciji je UI sustav.

Dobavljač, distributer, uvoznik, operater… A tko sam ja?

Osim što radi određenu diferencijaciju AI pojavnosti, AUI razlikuje i nekoliko mogućih uloga za subjekt koji je u interakciji s AI pojavnosti.

Dobavljač (provider), subjekt koji uvodi sustav (deployer), distributer (distributor), ovlašteni zastupnik (authorized representative), uvoznik (importer), operater (operator), proizvođač (manufacturer).

Klasifikacija uzima u obzir ne samo s kojom AI pojavnošću subjekt ima interakciju (npr. provider s UI modelom; subjekt koji uvodi sustav s UI sustavom) već i raznolikost pravnih odnosa u koje subjekti međusobno ulaze.

Pa je tako dobavljač prema tekstu AUI: fizička ili pravna osoba, tijelo javne vlasti, javna agencija ili drugo javno tijelo koje razvija UI sustav ili UI model opće namjene ili ga ima razvijenog te ga stavlja na tržište ili u upotrebu pod vlastitim imenom/žigom, bilo uz plaćanje ili besplatno.

Subjekt koji uvodi sustav je prema tekstu AUI: fizička ili pravna osoba, tijelo javne vlasti, javna agencija ili drugo javno tijelo koje upotrebljava sustav u okviru svoje nadležnosti u svojem profesionalnom kapacitetu.

Ostale uloge su uglavnom u vezi s jednom od ovih dviju. No, primjerice, iz perspektive organizacije koja namjerava koristiti određeni AI sustav u svojem poslovanju te je k tome još i poslodavac – obratite pažnju na “subjekt koji uvodi sustav” – izvjesno ćete se upravo u njoj pronaći.

Sortiranje u kategoriju rizika

Nakon što se kao progresivna poslovna organizacija u AI križaljci pronađete kao “subjekt koji uvodi AI sustav” – jer planirate u svoje poslovanje uvesti korištenje određenih AI sustava (npr. MS 365 Copilot) – preostaje samo detektirati u koju kategoriju rizika taj AI sustav pripada. O tome će ovisiti i koliko je ekstenzivan popis vaših obveza, što prije, a što nakon uvođenja u korištenje.

AUI u bitnome prepoznaje četiri kategorije rizika u kojima se mogu naći AI sustavi, ovisno o njihovim namjenama i značajkama te potencijalnom negativnom utjecaju na određena temeljna prava i slobode te vrijednosti EU – neprihvatljiv, visok, ograničen ili minimalan rizik.

Tako će određeni UI sustavi biti zabranjeni jer njihova namjena i mogućnosti predstavljaju neprihvatljiv rizik za temeljna prava i slobode. Primjerice, sustavi koji bi služili za biometrijsku identifikaciju u stvarnome vremenu (real-time), služili za tzv. social scoring, iskorištavali ranjivost adresata itd.

Sustavi u ostalim kategorijama rizika bit će dopušteni u stvaranju i korištenju – uz više ili manje pratećih obveza njihovih „stvoritelja“ i korisnika.

AUI najdetaljnije obrađuje sustave visokog rizika, propisujući domene korištenja koje ih čine visokorizičnim. Europska komisija može te s vremenom zasigurno i hoće, ažurirati popis visokorizičnih domena u skladu s razvojem UI-a. Zasad su su to:

1. Biometrija/prepoznavanje emocija
2. Sigurnosne komponente kritične infrastrukture (digitalna, cestovni promet, opskrba vodom, plinom itd.)
3. Radni odnosi/zapošljavanje (npr. procesi donošenja odluka od utjecaja na radni odnos; zapošljavanje/otkazi/dodjeljivanje radnih zadataka)
4. Obrazovanje/strukovno osposobljavanje (npr. prijem u obrazovne ustanove)
5. Pristup osnovnim privatnim i javnim uslugama (pristup zdravstvenoj zaštiti, evaluacija prihvatljivosti osobe za određenu naknadu, određivanje kreditnog rejtinga)
6. Kazneni progon (evaluacija pouzdanosti dokaza itd.)
7. Migracije, azil, upravljanje nadzorom državne granice
8. Demokratski procesi
9. Sustavi namijenjeni kao sigurnosne komponente proizvoda u dometu posebnih propisa sukladno kojima prije stavljanja na tržište moraju imati ocjenu sukladnosti od strane treće osobe (npr. vozila, zrakoplovna industrija, medicinski proizvodi itd.)

No, kako to obično biva u bespućima pravnih tekstova, AUI predviđa i određene iznimke od klasifikacije među visokorizične. Sustav koji bi po svojim namjenama i mogućnostima potpadao pod visokorizični sustav možda će biti izuzet ako ispuni određene uvjete koje propisuje AUI te prođe tamo propisane procedure dokumentiranja i procjene. To će, u bitnome, biti moguće kada se za pojedini UI sustav zaključi da ne predstavlja znatan rizik za zdravlje, sigurnost i temeljna prava – a među ostalim zbog toga što, primjerice, nema bitan utjecaj na ishod procesa donošenja odluka.

Što nam je, dakle, činiti?

Dobro se pripremiti prije implementacije!

Među obvezama subjekata koji u svoje poslovanje uvode visokorizične sustave, AUI propisuje i:

• poduzimanje organizacijskih i tehničkih mjera radi osiguranja da se uvedeni UI sustav koristi u skladu s uputama dobavljača;
• imenovanje kompetentne osobe koja će vršiti nadzor nad korištenjem UI sustava;
• nadzor nad operacijama koje se vrše kroz UI sustav i kako bi mogli, bez odgode, obavijestiti dobavljače o slučajevima kada smatraju da UI sustav može predstavljati određen rizik čak i kad se koristi sukladno uputama (kao i pohranjivanje određenih automatskih zapisa);
• informiranje radnika/predstavnika o uvođenju UI sustava; informiranje osoba u odnosu na koje će se koristiti UI sustav o činjenici takvog korištenja; itd.

Onaj tko se pronađe kao subjekt koji uvodi visokorizični AI sustav (high-risk AI system deployer) – ima nešto manje od dvije godine za pripremu i usklađivanje. I pri tome ne mislim samo na pro formae usklađivanje s propisima, već i usklađivanje s visokim sigurnosnim standardima svaki odgovoran poslovni subjekt mora/želi primijeniti na podatke – gotovo najveću vrijednost današnjice.

Naime, svaki AI sustav koji uvedemo u naše poslovne organizacije će više ili manje koristiti naše i podatke trećih osoba koje nam one dostavljaju, a među njima će biti povjerljivih poslovnih podataka i osobnih podataka. Također, generirat ćemo putem AI sustava rezultate koji možda neće imati autorskopravnu zaštitu, ali ćemo morati razriješiti pitanja prava na njihovo korištenje.

Zato nas u praktičnom smislu čeka „priprema“ koja u bitnome podrazumijeva: 

• detaljan rad na procesima klasificiranja podataka kojima naša organizacija raspolaže i razradi politika postupanja s podacima (digitalnih u smislu kontrola pristupa i uvođenju alata za klasifikaciju i prepoznavanje povjerljivih podataka, ali i pisanih politika, op.a.);
• polaganje posebne pozornosti na osobne podatke među svim podacima koje sređujemo;
• ažuriranje postojećih politika, internih akata i ugovora adekvatnim klauzulama koje prepoznaju našu UI realnost.

And just like that… u 2024. godini započelo je,  od 1. kolovoza, jedno odbrojavanje ponešto posebnije od onog koje očekujemo na 31. prosinca.

pročitaj cijeli članak