Miért fontos az AI governance, és hogyan építhetünk jó AI irányítási rendszert? 2. rész.

Június 2-án az Arsboni és a Mestersége(s) Ügyvéd közös szervezésében az AI governance gyakorlati megvalósításáról tartok részletes előadást. A prezentációra készülve a terület leggyakrabban felmerülő kérdéseiről beszélgettünk az Arsboni jogi platform munkatársaival.

Arsboni: Az Oppenheimnél és a Mestersége(s) Ügyvéd projektben is a digitális transzformáció élén jársz. Mi a véleményed, az AI governance lehet több, mint egy újabb PDF a céges intraneten?

Mint minden más területen, itt is akkor várhatunk komolyabb eredményt egy governance rendszertől, ha a kialakított szabályzatok és eljárások megfelelően illeszkednek a cég tényleges tevékenységéhez, lekövetik a jogszabályi követelményeket és a szervezettel szemben támasztott egyéb elvárásokat, sikeresen megtörténik az egyes folyamatokért (pl. felhasználási eset értékelése, kockázatkezelés, rendszer monitoring stb.) felelős személyek kijelölése, akik megfelelő tudással és tapasztalattal rendelkeznek a feladataik végrehajtására, elszámoltathatóak, és végső soron megvalósítják azt, amit a munkáltatójuk elvár. Egy céget, mint jogi személyt terhelő jogi megfelelés és kockázatkezelés mindig a cég képviseletében eljáró személyek megfelelő teljesítményén múlik. Így van ez minden más területen is, például az információbiztonság vagy az adatvédelem terén is.

Ez végső soron vállalati kultúra kérdése is. Ahol a felső-, és középvezetés részéről is elkötelezettek a folyamatok iránt, megfelelő képzésekkel biztosítják a kijelölt személyek felkészültségét és tapasztalatszerzését, hackathonokkal és red teaming-gel tesztelgetik a saját rendszereik ellenállóképességét és felkészültségét, a munkavállalók megfelelően motiváltak és az elszámoltathatóság is megfelelően működik, az incidensek és egyéb események tapasztalatait megfelelően feldolgozzák és beépítik a folyamatokba, és az életciklus-alapú megközelítés az AI projektek valóban minden szakaszában teljesül, akkor ott várhatóan jobb hatásfokkal fog működni egy ilyen rendszer, mint ahol ezek a szervezeti sajátosságok hiányoznak. Lehet, hogy készítenek policy-ket, de ha az nem válik „élővé” és nem épül be a mindennapi gyakorlatba, akkor valójában csak felesleges dokumentumgyártás történt. Ez ráadásul azért is hátrányos, mert a felső vezetői és tulajdonosi szinteken a megfelelés hamis látszatát és érzetét keltheti, és ilyenkor egy incidens, vagy az azt követő hatósági vagy bírósági eljárás komoly meglepetéseket okozhat.

Arsboni: Sokan úgy gondolják, hogy a governance egyenlő a tiltással. Hogyan lehet ezt a szemléletet megfordítani, és egy olyan keretrendszert építeni, ami nem falakat húz, hanem biztonságos pályát jelöl ki az innovációnak? 

A governance pont arról szól, hogy megfelelő mederbe terelje az AI-jal kapcsolatos folyamatokat, és a vonatkozó szabályokat betartva és a kapcsolódó kockázatokat megfelelően menedzselve szabad utat biztosítson az innovációnak.

Ennek értelemszerűen egy része az, hogy a cég belső szabályozása meghatározza azokat a tiltott tevékenységeket, amelyek sértenék a jogszabályokat, a cég által kötött szerződéseket, vagy a hatósági elvárásokat. Egy reklámügynökségnél például hasznos lehet egy olyan tiltás, hogy ne használják az AI-t tudatalatti reklámok készítésére, vagy ne használják engedély nélkül felismerhető személyek képmását, vagy hangját. Hogy egy kicsit hazabeszéljek, egy ügyvédi irodában szintén helye van egy olyan tiltásnak, hogy egy genAI eszköz által generált tartalmat ne használjunk fel megfelelő átnézés, domain specifikus tudás és szakértői felügyelet nélkül az ügyfeleknek kiküldött anyagokban.

Ez azonban csak egy része a governance-nek. A szabályok többi része inkább azzal foglalkozik, hogy mit hogyan csináljunk. Idetartozik többek között az is, hogy az egyes felhasználások, fejlesztések során megvalósuló tevékenységeknek mik a keretei, például egy modell fejlesztésekor hogyan gondoskodjunk arról, hogy a majdani use case-re figyelemmel kellően reprezentatívak és jó minőségűek legyenek az adatok, hogyan biztosítható az általunk épített rendszer kiberbiztonsági megfelelősége, hogyan biztosítsa a HR az AI használata során a diszkriminációmentességet, hogyan építsük be a bekövetkezett események tapasztalatait a folyamatainkba, hogy legközelebb jobban fel tudjunk készülni a hasonló veszélyekre, esetleg meg is előzzük azt. Ezek az eszközök mind azt a célt szolgálják, hogy a vállalati és üzleti célok a jogszabályok megsértése nélkül elérhetőek legyenek.

A felsővezetés részéről a lehetőségek és az elvárások hangoztatása mellett a kockázatok megismerésének és megértésének, valamint a megfelelő erőforrások rendelkezésre bocsátásának a fontosságát nem lehet túlhangsúlyozni.

Arsboni: Ügyvédként te is naponta használod a technológiát. Mennyire hozol a képzésre olyan "műhelytitkokat", amik a saját digitális transzformációs tapasztalataidból fakadnak? Milyen gyakorlati ismeretek elsajátítására számíthatnak a résztvevők?

Természetesen fogok beszélni a saját tapasztalataimról, a szoftverek és AI rendszerek közötti alapvető különbségekről, és az ebből fakadóan szükséges másfajta hozzáállás szükségességéről, a generatív AI hatékony használatához szükséges újfajta mentális modellekről, az AI agent-ek szabályozásának kihívásairól, és a governance során az ügyfeleinknél látott fontosabb tapasztalatokról is.

Az AI kockázatkezelés fontosabb folyamat-részeit igyekszem majd a hétköznapi életből vett példákkal is szemléltetni, hogy annak is érthető legyen a téma, aki még nem vett részt ilyen tevékenységben.

Arsboni: Mi a jogi szakember legfontosabb feladata, amikor a menedzsmentnek kell prezentálnia az AI kockázatait és a szükséges felelősségi köröket? Hogyan segíti a modulod őket ebben?

A jogász első és legfontosabb feladata az, hogy az AI jogi szabályozásáról és az adott cég érintettségéről, a konkrét teendőkről mielőbb tájékoztassa az üzleti döntéshozókat, akik ezzel a tudással felvértezve tájékozottabban tudnak AI víziót és/vagy stratégiát alkotni. 

Ezt követően a jogász feladata a compliance támogatása a cég tevékenysége alapján irányadó jogi (és egyéb) kötelezettségek beazonosítása, majd ezzel kapcsolatban a megfelelés és a governance módszerének meghatározásában való közreműködés, majd a kialakított rendszerben való aktív részvétel, és a folyamatos tanulás.

Fontos leszögezni, hogy mivel az AI governance egy igazán multidiszciplináris terület és sokféle tudást igényel, így téves elképzelés, hogy egy mérnök, egy adattudós, egy AI terület szakértője, vagy éppen egy ügyvéd önállóan létre tud hozni vagy működtetni tud egy komplex AI governance rendszert. A compliance csak a jog nyelvét beszéli, az üzleti oldal pénzt szeretne keresni, az IT és kiberbiztonsági szakemberek a biztonságért aggódnak, az auditnak a reprodukálhatóság a fontos, a döntéshozók pedig sokszor csak meglovagolják az AI hype-ot, és már rövidtávon is költségmegtakarítást is várnak a munkafolyamatok automatizálásától, a kockázatok figyelmen kívül hagyásával. Ahhoz, hogy ezek az elvárások teljesüljenek, és egy valóban jól működő AI governance rendszer szülessen és működjön, világos, tájékozott döntések alapján kialakított stratégiára, és leginkább a fenti területek képviselőinek érdemi kooperációjára van szükség.

Ezekről a szempontokról részletesen beszélni fogok az előadásom során is.

Arsboni: A modul során megnézzük, hogyan épül fel egy AI irányítási rendszer a valóságban. Milyen döntési mechanizmusok és monitoring-folyamatok nélkülözhetetlenek egy cégnél?

Ez függ az adott cég szervezeti érettségétől, felhasználási eseteitől, az értékláncban betöltött szerepétől (szolgáltató is lesz-e, vagy csak felhasználó), és az AI-jal kapcsolatos folyamatainak scope-jától is.

Ami a legtöbb helyen megjelenik, az a stratégiaalkotást követően a cég tevékenységére irányadó követelményrendszer meghatározása (jogszabályok, szerződések, belső szabályzatok), a felhasználási esetek meghatározása, befogadása és értékelése, a használat és a fejlesztés szabályozása, a használattal és fejlesztéssel járó kockázatok azonosítása, értékelése és kezelése, a használt vagy fejlesztett rendszerek monitorozása, az incidenskezelés, eszkalációs, döntéshozatali, konzultációs és tájékoztatási folyamatok, a beszállítói és vevői oldal megfelelő kezelése, az AI kommunikációs stratégia gyakorlati működése.

Arsboni: Mi az a leggyakoribb strukturális hiba, amit a cégek elkövetnek az AI-felelősségi körök kiosztásakor?

Egy tipikus hiba, amikor az adott cég optimalizál: csak „letudni”, és nem a gyakorlati, hatékony működtetés igényével megoldani szeretné ezt a kérdéskört, ami általában azt jelenti, hogy az egész AI-projektet egy az adott területhez nem értő munkavállaló nyakába varrják, vagy az egész kérdést elintézik egy egyszerű, és a gyakorlatban nem használt vagy működő szabályzattal.

Egy másik probléma, amikor nem rendelnek megfelelő erőforrásokat a governance kialakítására, és az egész területet a joghoz, illetve a compliance-hez allokálják. Ahogy a fentiekben is említettem, az AI governance interdiszciplináris együttműködést feltételez a különböző területek között (informatikai, kiberbiztonság, operatív működés, jog stb.), és ebben a jog és a compliance is csak egy szereplő, akik kellő hozzáértés hiányában a saját szempontrendszerüket és működési algoritmusaikat erőltetve nem fogják tudni hatékonyan menedzselni és drive-olni ezeket a folyamatokat. Ha valami, akkor éppen ez az, ami lelassíthatja és akár ki is nyírhatja ezeket a folyamatokat. Főleg nagyobb cégeknél látom azt, hogy a beszállítók fennakadnak a minden részletre kiterjedő compliance kérdőíveken, amelynek egy része biztos, hogy felesleges.

A jogászokat általában kockázatkerülésre nevelik, de ez egy ilyen innovatív és gyorsan változó technológia esetében, mint amilyen az AI, egész egyszerűen nem működik, ugyanis az AI kockázatok nagy része egyszerűen nem zárható ki teljes mértékben. Itt jön be az AI kockázatelemzés szerepe, aminek köszönhetően a cégvezetés a kockázati étvágyának megfelelő, tájékozott döntést tud hozni az általa elérni kívánt célhoz szükséges transzparens és bevett módszerekkel kalkulált kockázatok vállalásáról. Meggyőződésem ezért, hogy már rövid távon is azok a cégek fognak tudni versenyelőnyre szert tenni, ahol a kockázatelemzésre is megfelelő hangsúlyt fektetnek, és én minden projektben ki is domborítom ennek a szerepét.

A harmadik jellemző hiba, hogy ahol ki is neveznek egy külön AI officer-t, ott az ő javaslatai, észrevételei nem mindig kerülnek beépítésre, az egyszerűsítő, szintetizáló és előremutató előterjesztések elvesznek a céges kommunikációban a klasszikus vállalati hatalmi dinamika szabályai szerint. Ez végső soron szintén a folyamatok lelassulását eredményezheti, ami viszont pont szembemegy a szóban általában deklarált vállalati célokkal.

Arsboni: A résztvevők a modul elvégzése után képesek lesznek egy AI governance keretrendszer alapjait megtervezni. Miért fontos ez a tudás most a jogászok számára?

Az EU Mesterséges Intelligencia Rendelete alapján már egy egyszerű genAI eszköz használata is szabályozott tevékenységnek minősül. Ez azt jelenti, hogy minden ilyen cégnek foglalkoznia kell a jogszabályi megfeleléssel, a felelős AI használat feltételeinek megteremtésével, a compliance-en túlmutató AI governance kiépítésével. Ehhez természetesen jogászokra is szükség van.

A képzés egy áttekintést ad az AI governance lehetőségeiről és lehetséges irányairól, hogy a résztvevő cégeket segítse a céljaikhoz és működésükhöz leginkább illő megoldás kiválasztásában.

Arsboni: Mit üzensz azoknak, akik szerint az AI governance ráér addig, amíg a technológia teljesen kiforrja magát?

Besenyő Pista bácsit idézném, miszerint „mindenki a saját szerencséjének a pogácsa.” Az AI technológia használata valódi governance, azaz szervezeti felelősség és felkészültség nélkül csak jogi és pénzügyi kitettséghez vezet. Mindenki szabadon eldöntheti, hogy ennek menedzselésével kíván-e érdemben foglalkozni, vagy sem. A tapasztalat azt mutatja, hogy ott, ahol a működési keretrendszert a használat megkezdését követően utólag kívánják kialakítani, az mindig sokkal kevésbé hatékony, mint a proaktív felkészülés. Kétségtelen, hogy a technológia használatának is van egy hatásmechanizmusa, és van egy csomó dolog, ami csak menet közben derül ki, de ez inkább arra figyelmeztet minket, hogy kellőképpen adaptív és alakítható governance rendszert hozzunk létre.

Én ezért minden ügyfelemnek azt javaslom, hogy az érdemi AI-hasznosítást megelőzően kerítsenek sort a szabályozás kialakítására, és ne utólag.

Arsboni: Az oktatáson túl hogyan tudsz segíteni azoknak, akiknek gyakorlati segítségre lenne szüksége ezen a területen?

Igénytől, szervezeti érettségtől és területtől függően elég széles a skála. A leggyakrabb megkeresések az AI használati esetek és határesetek minősítésével, AI használati, governance vagy kockázatkezelési szabályzatok kidolgozásával vagy véleményezésével, cégcsoport-szintű standardok lokalizálásával, a folyamatok megtervezésében való részvétellel, AI irányítási rendszerek bevezetésével kapcsolatosak.

Az AI beszállítókkal való szerződések véleményezése is egyre nagyobb teret nyer, ezek a megállapodások ugyanis újfajta megközelítést igényelnek; a technológia működései sajátosságai (pl. véletlenszerűség) miatt a régi megoldások (pl. a szállítóktól elvárt kimentési klauzulák) már nem igazán működnek, a működési architektúrával kapcsolatos felelősségmegosztás és az ezzel kapcsolatos elhatárolási kérdések viszont előtérbe kerülnek. Ezek mind fontosak lehetnek, ha a cél a szerződéses pozíciónk "kimaxolása", és a kockázatok tudatos kezelése, és persze mindezt ki kell egészítse a megvett eszköz használatának megfelelő céges szabályozása is.

Sok esetben hasznos lehet egy külsős AI officer megbízása is, aki kérésre rugalmasan tudja biztosítani az adott cég folyamataihoz szükséges AI jogi szakértelmet, a kockázatkezelési vagy compliance folyamatban való részvételt, a szervezeti egységek közötti vitás helyzetek feloldásában való közreműködést, a széttartó álláspontok jogi, vagy éppen "szabvány-szemlélettel" történő szintetizálását, vagy akár a felsővezetés részére történő stratégiai tanácsadást. Ilyen megbízásokat is szívesen vállalok, márcsak azért is, mert azt tapasztalom, hogy ez számomra is kiváló tanulási lehetőséget biztosít, és ebben az iparágban a napi szintű szinten tartás és fejlődés elengedhetetlen. Mivel az AI nem egy izolált jogi terület, az ilyen feladatok ellátása során hasznos lehet a több évtizedes gyakorlatom is az adatvédelem, a szellemi alkotások és a digitális technológiák jogi kérdéseiben, ami az olyan új területeken szerzett tapasztalataimmal kiegészülve, mint a platformjog, az adatjog, vagy a kiberbiztonság, strukturáltabb és holisztikusabb megközelítést és tanácsadást tesz lehetővé.

Végül, és elsősorban nagyon szívesen segítenék olyan hazai start-up-oknak is az AI jogi megfelelés biztosításában és hatékony kockázatkezelésben, akik esetleg még nem rendelkeznek az ilyen tanácsadáshoz szükséges erőforrásokkal. Ha valaki ezt olvasva magára ismer, nyugodtan keressen meg valamelyik elérhetőségemen.

Ha a jelen cikkben foglaltaknál mélyebben is érdekel az AI governance, akkor jelentkezz a Mestersége(s) Ügyvéd és az Arsboni közös szervezésében megrendezésre kerülő gyakorlati AI jogi megfeleléssel foglalkozó rendezvénysorozatára, amelynek utolsó részében az AI governance megoldásokról tartok részletes előadást.