Nubrėžta aiški riba
IT įmonės „Cognizant“ vyriausioji duomenų analitikė, Edita Mačienė, mano, kad šis aktas nubrėžia griežtą ribą DI sistemų naudojimo atvejams, kur rizika yra nepriimtina. Tokie naudojimo atvejai, kaip, pavyzdžiui, socialinis reitingavimas ir gyventojų vertinimas remiantis elgsenos modeliais, netikslingas asmenų veidų vaizdo ar video duomenų prieinamų internete kaupimas, ES zonoje yra draudžiami., rašoma pranešime spaudai
Pagal kitus skirtingus rizikos lygius naudojimo atvejai skirstomi į labai rizikingus, ribotos rizikos ir mažai rizikingus. Pavyzdžiui, aktas atneša sustiprintą reguliavimą siekiant sumažinti asmenų ar jų grupių diskriminavimo riziką tokiais naudojimo atvejais kaip gyvenimo aprašymų skanavimas kandidatų rangavimui.
Ji pabrėžia, kad toks DI aktas skirtas reguliuoti neetišką ar kitokią veiklą nukreiptą prieš vartotoją atsirado ne veltui: „Nors šis aktas padės mus vartotojus saugoti, turėtume ir patys išlikti budrūs, kad ir paduodami jautresnę (asmeninę) informaciją į užklausas (angl. prompt) – pasitikrinti DI sistemos aprašyme, ar ta informacija bus naudojama tik užklausoje ir saugiai izoliuota paskyroje, ar bus saugoma DI sistemoje ir naudojama algoritmo mechanizmo apmokymui ar suderinimui.“
Įgyvendinimui numatyti terminai
Priklausomai nuo rizikos lygio įmonėms yra duodami skirtingi terminai reikalavimams įgyvendinti versle.
E. Mačienė atkreipia dėmesį, jog per 6 mėnesius nuo akto įsigaliojimo draudžiami DI naudojimo atvejai turi būti išgyvendinti.
„Kiti DI sistemos valdymo reikalavimai turėtų būti įgyvendinti versle per 12 – 36 mėnesius, priklausomai nuo rizikos lygio ir akto skilties. Pavyzdžiui, bendrinio naudojimo DI sistemų kūrėjai tam kad užtikrintų skaidrumą, atsakingą DI sistemų kūrimą ir naudojimą, turės kaupti techninę dokumentaciją apie modelio apmokymą, testavimo procesą ir DI įvertinimo rezultatus, skelbti informaciją apie apmokymo detales ir naudotus duomenis. Įmonės naudojančios bendro pobūdžio DI sprendimus ir integruojančios juos savo versle, gali tikėtis iš šių sprendimų kūrėjų išsamios informacijos apie siūlomo DI sprendimo galimybes ir ribotumą. Čia labai svarbus darbuotojų švietimas. Mūsų įmonėje bendriniai mokymai apie duomenų saugumą ir DI kasmet atnaujinami. Šiais metais akcentuojamos atsakingo DI kūrimo ir naudojimo praktikos – kaip kurti, naudoti ir prižiūrėti DI sistemas, minimizuojant rizikas ir žalą visuomenei; įmonės politika ir principai duomenų saugumo, privatumo, etikos ir skaidrumo klausimais. Taip pat apžvelgiami besiformuojantys ar išleisti teisės aktai, tokie kaip EU DI aktas, ISO, NIST DI rizikos valdymo sistema. Šie aktai yra labiau nukreipti į naudojimo atvejus, negu į pačią technologiją. Dėl šios priežasties mokymuose mūsų darbuotojai supažindinami su geromis praktikomis ir rizikomis per verslo situacijas ir galimų pasekmių pavyzdžius“, – kalba pašnekovė.
Ginčų dėl DI Lietuvoje dar nebuvo
Advokatų kontoros „Triniti Jurex“ partnerė, IT ir duomenų apsaugos komandos vadovė Aurelija Rutkauskaitė, teigia, jog Lietuvos kontekste teisinių ginčų dėl DI sprendimų dar nebuvo, tačiau tarptautiniu mastu pasitaiko ginčų dėl DI sukeltų šališkumų, privatumo pažeidimų ar intelektinės nuosavybės teisių pažeidimų. Pavyzdžiui, JAV jau yra nagrinėjama visa eilė ieškinių dėl „genAI“ sukurtų kūrinių autorių teisių pažeidimų arba neautorizuoto duomenų naudojimo modelių mokymui.
Pasak jos, DI aktas pirmiausia skirtas didelės rizikos DI sistemų kūrėjams, todėl mažai paveiks vidutinio ar mažo dydžio Lietuvos bendroves, kurios dažniausiai naudoja standartinius „genAI“ sprendimus arba kuria nesudėtingus sprendimus, nelaikomus rizikingais. Svarbiausia čia yra reikalavimai skaidrumui, ypač, jei DI sprendimai naudojami klientų aptarnavimui, ir DI sprendimų politikos parengimas bei jos laikymosi priežiūra.
„DI aktas pirmiausia reguliuoja aukštos rizikos DI įrankių kūrimą, taikydamas griežtus reikalavimus dėl atskaitomybės, skaidrumo, saugumo ir etikos, bei intelektinės nuosavybės teisių apsaugos. Tačiau Lietuvos įmonėms šie reikalavimai dažnai nebus aktualūs, nes dauguma įmonių nevysto didelės rizikos sprendimų ir naudoja jau egzistuojančius „genAI“ sprendimus, kurie nėra griežtai reguliuojami. Nepaisant to, vidinės DI politikos svarba lieka neabejotinai svarbi“, – apibendrina ji.