#CyberMagazyn: Jak wdrożyć w firmie sztuczną inteligencję? Poradnik krok po kroku

O tym, jak bezpiecznie wprowadzić AI nawet do niewielkiej firmy, opowiada radca prawny Andrzej Boboli w rozmowie z CyberDefence24.pl

Monika Blandyna Lewkowicz, CyberDefence24.pl: Do czego firmy używają sztucznej inteligencji?

Andrzej Boboli, radca prawny: Organizacje najczęściej stosują GPT i inne duże modele językowe do automatyzacji funkcji. Używają generatywnego AI niekoniecznie do generowania treści, ale raczej jako inteligentnych wyszukiwarek, które pozwalają odnaleźć się w dużej ilości dokumentów, procedur czy danych. Te wyszukiwarki potrafią streszczać długie teksty, pomagają helpdeskom w udzielaniu odpowiedzi.

W medycynie sztuczna inteligencja pomaga np. w diagnostyce. Wbrew pozorom generatywny komponent AI nie jest aż tak często wykorzystywany przez firmy.

Dlaczego?

Z powodu ryzyka naruszenia praw autorskich, czy szerzej praw własności intelektualnej. Duże modele językowe są trenowane na różnych treściach. Ich autorzy mogli nie wyrazić na to zgody.

Co prawda obecnie obowiązują przepisy, które mówią, że jeśli autor nie wyrazi sprzeciwu względem wykorzystania jego contentu do trenowania dużych sieci neuronowych, czy dużych modeli językowych, to podmiot, który dostarcza tego typu rozwiązania AI, może to zrobić.

Należy jednak pamiętać, że czym innym jest trenowanie AI, a czym innym wykorzystanie cudzych materiałów do generowania treści i dalej wykorzystanie takich treści przez jakąkolwiek organizację. Co do zasady takie wykorzystanie jest niedopuszczalne na gruncie prawa autorskiego, czy to polskiego, czy też unijnego, czy to nawet szerzej – amerykańskiego.

Sztuczna inteligencja a prawa autorskie

Jak można się zabezpieczyć przed złamaniem praw autorskich?

W praktyce wygląda to w ten sposób, że organizacje, które chcą korzystać z generatywnych funkcji sztucznej inteligencji, tworzą własne zbiory danych i na tej bazie generują treści. Nie ryzykują naruszenia praw osób trzecich, bo korzystają tylko z treści, do których mają prawo.

Jakiś czas temu modne było generowanie grafik reklamowych w stylu Disney’a. Co Pan o tym myśli?

Jeśli agencja marketingowa korzysta do tego celu z Midjourney, czy DALL-E, w ogólnodostępnej wersji, to ryzykuje naruszeniem praw osób trzecich. Dużym problemem jest to, że agencja nie jest w stanie zidentyfikować, jakie utwory były wykorzystywane przez dostawcę jako treści bazowe. Pierwsze pozwy w tym kontekście się pojawiają.

Ochrona danych osobowych - OpenAI znalazło rozwiązanie

A jakie jest największe ryzyko dla firmy związane z prywatnością?

Główny problem to obawa o to, jak wykorzystywane są dane, które trafiają do narzędzia generatywnej sztucznej inteligencji, którego używamy (np. ChatGPT) i co robi z tymi danymi dostawca. To ryzyko bardzo długo hamowało wykorzystanie komercyjne AI. Obecnie problem w dużej mierze jest już rozwiązany. OpenAI umożliwia dostosowanie ustawień prywatności do potrzeb danej firmy.

W jaki sposób?

Użytkownik, z poziomu interfejsu, podczas zakładania konta, może anulować zgodę na zbieranie danych. Większe firmy mogą skontaktować się z OpenAI mailowo i opisać swoje oczekiwania. Big Tech je uwzględni. To stało się już standardem.

Czyli wystarczy wysłać maila?

Zgadza się. Firma przesyła formularz opt-out (oznaczający rezygnację -red.) i w tym momencie OpenAI nie przetwarza jej danych. Formularz opt-out dotyczy osób fizycznych i dużych organizacji. Te dwa rozwiązania (ustawienia z poziomu interfejsu i kontakt mailowy) sprawią, że dane będą pod kontrolą organizacji, a nie dostawcy AI.

Wtedy możemy mieć pewność, że te dane nie wyjdą poza organizację?

Zawsze istnieje ryzyko, że nasz kontrahent, w omawianym przypadku OpenAI, złamie swoje zobowiązania. Ale w razie kontroli organów, możemy dowieść, że zachowaliśmy należytą staranność, aby dane były bezpieczne.

Co to jest należyta staranność?

To taki standard, podstawa, którą każda strona powinna dochować. Polega na prawidłowym wykonywaniu swoich obowiązków. Kiedy nie zastrzeżemy sobie innych reguł odpowiedzialności, to każda ze stron, w razie sporu, jest rozliczana z należytej staranności.

Podobnie jest w relacjach z organami. Kiedy organ właściwy do spraw danych osobowych, sprawdza, czy dana organizacja prawidłowo postępowała, to zazwyczaj weryfikuje należytą staranność. Wtedy musimy wykazać, co zrobiliśmy, żeby wszystko prawidłowo działało, że jasno określiliśmy, że nie zgadzamy się na wykorzystanie naszych danych przez dostawcę, że wdrożyliśmy odpowiednie polityki i przeszkoliliśmy pracowników.

Zawsze może pojawić się błąd, np. ludzki albo okoliczność całkowicie niezależna od organizacji. Ale w przypadku sporu z organem kluczowe jest, aby udowodnić, że organizacja zrobiła wszystko, co mogła, żeby taki błąd nie wystąpił.

Sztuczna inteligencja może wygenerować kod lub reklamę

A na czym polega ryzyko kontraktowe?

W firmach IT i agencjach reklamowych, często można spotkać się z umowami, w których zamawiający usługi oczekuje osobistego działania konkretnych osób. Jeśli te osoby skorzystają z generatywnej sztucznej inteligencji, to w razie sporu zamawiający mógłby próbować podważyć, że treści osobiście tworzyły dane osoby. Przykładowo: umawiamy się z software housem, że wydeleguje nam do pracy określony zespół programistów/programistek. Dostajemy CV tych osób i w ramach umowy z software house’em zapewniamy sobie, że będą dla nas pracowały przy projekcie.

I wszystko jest dobrze, dopóki strony się nie pokłócą. Gdyby okazało się, że kod został napisany przez generatywne AI, to zamawiający mógłby kwestionować, czy faktycznie było to osobiste działanie programistów w umówionym zakresie.

Podobnie jest w branży kreatywnej. Przypuśćmy, że produkujemy reklamę ze znaną aktorką. Umówiliśmy się z zamawiającym, że całość będzie wykonana osobiście przez gwiazdę. I wyobraźmy sobie, że nagramy z aktorką kilka ujęć i na tej podstawie generatywne AI wygeneruje nam reklamę. Zamawiający będzie mógł kwestionować, czy ta aktorka była osobiście zaangażowana w całość produkcji.

W jaki sposób się zabezpieczyć się przed takim ryzykiem?

W umowie zaznacza się możliwość edytowania czy modyfikowania powstałych treści oraz tworzenia dalszych treści na podstawie utworów bazowych.

AI w małych firmach

Co by Pan poradził mniejszym firmom, które chcą korzystać z rozwiązań AI, ale mają obawy przed tą technologią?

Zacząłbym od tego, żeby nie obawiać się sztucznej inteligencji. Korzystać z narzędzi AI, ale zabezpieczyć się w odpowiedni sposób. Trzeba stosować te same zasady, które stosują duże organizacje. Infrastruktura chmurowa jest powszechnie dostępna i umożliwia stosunkowo łatwe implementowanie rozwiązań dedykowanych dla dużych firm, nawet w małej firmie.

Wykorzystanie sztucznej inteligencji ma sens tam, gdzie zachodzi proces, który jest powtarzalny i można go zautomatyzować. Nieważne, czy on się pojawia w małej, czy w dużej firmie. Jeśli mamy proces, który często się pojawia, to nawet w małej organizacji dość szybko możemy zbudować bazę danych, pozwalającą na to, żeby działało na niej nasze generatywne AI.

Wdrożenie polityki, szkolenia pracowników

Jak wobec tego wdrożyć w firmie rozwiązania AI tak, aby było bezpiecznie?

Najważniejsze jest, żeby dobrze ułożyć architekturę rozwiązania. I to nie jest typowe tylko dla generatywnej sztucznej inteligencji, ale dla większości rozwiązań IT. Rozwiązanie powinno być tak wdrożone, żeby nawet pracownik, który być może nie w pełni będzie podążał za polityką firmy i złamie jakieś zasady, niejako nie mógł zaszkodzić sobie, ani organizacji.

Pierwszy krok to więc wyodrębnienie instancji, na bazie której będzie działać nasze narzędzie AI. Ważne jest skorzystanie z komercyjnej wersji i ustawienie parametrów bezpieczeństwa tak, aby odpowiadały potrzebom organizacji.

Drugi krok to stworzenie polityki używania AI. To nie są bardzo skomplikowane dokumenty. Mała firma może ją zawrzeć na jednej lub dwóch stronach A4. I jak z każdą polityką – nie wystarczy tylko napisać i schować do szuflady, trzeba ją komunikować pracownikom. Przesłanie maila to za mało, warto użytkowników przeszkolić.

W tej chwili jest ogromny boom na AI, pracownicy chcą się szkolić. Chcą używać narzędzi AI, aby sobie ułatwić pracę. Jeżeli pokażemy im, jak to zrobić zgodnie z prawem i po prostu bezpiecznie, to jest dużo większa szansa na to, że oni faktycznie postąpią zgodnie z polityką firmy i będą korzystali z tych rozwiązań, które dostarcza organizacja, a nie z darmowych, które nie są dostosowane do potrzeb firmy.

Dziękuję za rozmowę.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].