Czy EU AI Act wyjdzie nam na zdrowie?

Jak europejskie akt w sprawie sztucznej inteligencji (EU AI Act) wpłynie na zastosowanie AI w medycynie? Rozmowa z Pamelą Krzypkowską, dyrektorką Departamentu Badań i Innowacji w Ministerstwie Cyfryzacji.

Jak trafiłaś z Microsoftu do Ministerstwa Cyfryzacji?

Chciałam robić coś, co sprawi, że społeczeństwo będzie troszeczkę lepsze. To jest praca z misją i bardzo to doceniam. Tyle i aż tyle.

1 sierpnia w życie wszedł Akt w sprawie AI. Co dalej?

Europejski Akt o Sztucznej Inteligencji jest pierwszą na świecie twardą regulacją AI. Dokument został opublikowany w Dzienniku urzędowym 12 lipca, a w życie wszedł 1 sierpnia. Najważniejsze – jako rozporządzenie obowiązuje on bezpośrednio, nie są potrzebne dodatkowe przepisy w prawie krajowym, jak to się dzieje w przypadku dyrektyw unijnych. Oczywiście należy przystosować lokalne prawo do nowych obowiązków, np. wyznaczyć lub powołać organ nadzoru nad rynkiem AI.

Cała idea regulacji oparta jest na kategoryzowaniu rozwiązań AI pod względem ryzyka. W ochronie zdrowia będziemy mieli do czynienia w większości z systemami wysokiego ryzyka, bo są to rozwiązania, które często decydują o bezpieczeństwie, zdrowiu i życiu pacjentów. W AI Act mamy 4 kategorie ryzyka: Systemy zakazane, wysokiego ryzyka, o ograniczonym ryzyku oraz o minimalnym ryzyku.

Po 6 miesiącach, licząc od 1 sierpnia 2024 r., czyli od początku lutego 2025 roku, jako pierwsze zaczną obowiązywać przepisy związane z systemami zakazanymi. Chodzi o rozwiązania, które w ogóle nie będą dopuszczone do użytku. W drugiej kolejności, po 12 miesiącach, wchodzą przepisy dotyczące tzw. systemów AI ogólnego przeznaczenia, z angielskiego General Purpose AI. Regulacji podlegają systemy i sposób ich rozwoju, niezależnie od ich przyszłego zastosowania. Pod to podchodzi m.in. generatywna sztuczna inteligencja.

I na koniec, po 24 miesiącach, czyli 1 sierpnia 2026 roku, wchodzi pozostała część aktu. Wyjątkiem są systemy ogólnego przeznaczenia, które były obecne na rynku przed sierpniem 2025 roku – w takim przypadku dostawca ma 36 miesięcy na ich dostosowanie.

Możesz wytłumaczyć pojęcie systemów AI ogólnego przeznaczenia?

W skrócie to rozwiązania AI, które mają wiele funkcji, robią różne rzeczy, przykładowo generują i klasyfikują treści oraz obrazy.

Jedni mówią „AI to potężne narzędzie, które trzeba regulować”, a inni, że „Europa znowu tworzy biurokrację i ogranicza innowacyjność”. A jakie jest twoje zdanie?

Bardzo się cieszę, że mamy Akt ws. AI, bo jego podstawą jest etyczna sztuczna inteligencja. Regulacja wychodzi z założenia, że systemy AI powinny być godne zaufania – żebyśmy byli w stanie zrozumieć, dlaczego podejmują takie, a nie inne decyzje.

Przykładem jest system, który triażuje pacjentów i decyduje o ich dalszym leczeniu. Proszę sobie teraz wyobrazić, że system byłby wytrenowany na złych danych, zhakowany albo zaczął błędnie działać po modyfikacji. Jednocześnie nie wiemy, dlaczego podjął daną decyzję. To system wysokiego ryzyka i musi podlegać kontroli.

Co ma zrobić dyrektor szpitala, który ma na biurku plan wdrożenia systemu AI? Czekać do lutego 2026 r. aż w życie wejdzie część związana z systemami wysokiego ryzyka, nie wychodząc przed szereg? A może spokojnie zacząć wdrażać AI?

Nie trzeba chować się pod kamień (śmiech). Akt został już opublikowany w języku polskim, a ostatecznie przyjęta wersja ma tylko 123 stron plus 17 stron załączników, podczas gdy poprzednia miała ich prawie 500. Aktu nie trzeba czytać od deski do deski, łatwo znaleźć interesujące nas fragmenty.

Po pierwsze trzeba się zastanowić, jakie systemy AI już zostały wdrożone i czy wpadają one do jednej z kategorii ryzyka. W przypadku rozwiązań dla medycyny najczęściej będą to systemy wysokiego ryzyka. Raczej nie spodziewam się, aby w szpitalu były stosowane jakiekolwiek systemy zakazane.

Część medycznych rozwiązań AI podpada już pod prawodawstwo harmonizacyjne w zakresie np. urządzeń medycznych; wymagania dotyczące tego typu urządzeń także wejdą w życie jako wyjątek po 36 miesiącach, czyli w sierpniu 2027. Dodatkowo, placówka medyczna może mieć systemy o ograniczonym ryzyku, czyli należące do 3. kategorii. Weźmy na przykład chatbota, który służy do umawiania wizyt. W tym przypadku będzie to system o ograniczonym ryzyku i konieczne będzie poinformowanie pacjenta, że rozmawia z botem, a nie z człowiekiem. Niektóre z aplikacji będą podpadać pod kategorię minimalnego ryzyka, czyli de facto wychodzące poza Akt. Mogą to być filtry antyspamowe albo gry wideo dla pacjentów.

Trzeba pamiętać, że nawet jeżeli placówka medyczna ma tylko systemy minimalnego ryzyka, także wiąże się to z pewnymi minimalnymi wymaganiami związanymi z AI Act. Najważniejszym jest zapewnienie odpowiednich kompetencji, aby pracownicy wiedzieli, jak poprawnie korzystać z tych systemów, i rozumieli jak one działają.

Nie bójmy się aktu ws. AI, bo nie nakłada on jakiś wybujałych wymagań. To całkiem przyziemne kwestie, jakich oczekiwalibyśmy od dostawców systemów AI, jak zarządzanie ryzykiem czy dbałość o cyberbezpieczeństwo. W centrum AI Act jest nadzór człowieka nad rozwojem AI, dlatego legislacja wymaga monitorowania procesu rozwoju sztucznej inteligencji oraz prowadzenia dokumentacji technicznej w przypadku systemów wysokiego ryzyka.

Etyczna AI to także taka AI, która nie jest stronnicza. Ale ludzie też są przecież w pewnym stopniu stronniczy, bo kierują się ograniczonymi informacjami, do których mają dostęp.

To prawda, że ludzie także nie są neutralni. Lekarz albo lekarka mogą pracować w regionie geograficznym, gdzie częściej występują jakieś choroby i wówczas mogą stronniczo weryfikować objawy. Taka stronniczość jest oczekiwana. Jednak łączy się to z faktem, że wiem skąd ta moja stronniczość pochodzi. W przypadku algorytmów, muszą one analogicznie wskazać, z czego wynika podejmowana decyzja. Tak, aby człowiek mógł zweryfikować, czy jest ona zasadna, albo podać hipotezę algorytmu lepszej weryfikacji. Nie możemy mieć sytuacji, kiedy algorytm podejmuje decyzję o zdrowiu pacjentów bez wglądu człowieka w powody tej decyzji.

AI może też założyć, że skoro jestem kobietą, to mam większe szanse na zachorowanie na np. Hashimoto, bo jest to choroba, która generalnie częściej występuje u kobiet. I to jest dobra stronniczość oparta na danych statystycznych, taka sama, jaką może mieć lekarz czy lekarka.

Ale gdyby taki algorytm założył, że skoro jestem kobietą to mam automatycznie mniejsze kwalifikacje do pracy na jakimś stanowisku pracy, byłaby to już krzywdząca stronniczość – na to należy uważać.

Jak bezpiecznie korzystać z rozwiązań AI, jak np. ChatGPT?

Pamiętam jak za moich czasów szkolnych mówiło się, że nie wolno opierać się na Wikipedii, bo jest niewiarygodna. Dzisiaj bardzo często mówi się o Wikipedii jako o wartościowym źródle informacji, nad którym czuwa armia moderatorów.

Analogicznie mówi się o dziś o modelach generatywnej AI: Nie powinno się korzystać z ChatGPT, bo może podawać błędne informacje. Tak może być, ale wierzę, że niedługo znajdziemy sposób, jak bezpiecznie używać takich narzędzi i aby one nie halucynowały, kłamały.

Na chwilę obecną najważniejsze jest, aby nauczyć się umiejętności weryfikacji informacji, krytycznego myślenia, łączenia faktów. Wierzę, że dobra regulacja pomoże nam w bezpiecznym korzystaniu z AI. I jeszcze jedno – zawsze będą tacy, którzy zechcą wykorzystać AI do złych rzeczy, jak przykładowo tworzenia fake-newsów. Ale jestem pewna, że z czasem pojawią się systemy, które pomogą weryfikować teksty i wyłapywać zmanipulowane zdjęcia. Sam fakt, że ktoś próbuje nas oszukać, nie jest niczym nowym. Zmieniają się tylko narzędzia.

Kliknij tutaj, aby pobrać polską wersję Rozporządzenia EU w sprawie AI.

Czytaj także: EU AI Act. Lekarze będą musieli zgłaszać błędy systemów AI