AI v cloudu a AI Act: Kdo je odpovědný za compliance?

Úvod do složitého světa AI v cloudu a AI Actu

Vstup Evropského nařízení o umělé inteligenci, známého jako AI Act (Nařízení EU 2024/1689), mění pravidla hry pro každého, kdo vyvíjí nebo nasazuje systémy umělé inteligence. S rozmachem cloudových platforem jako jsou AWS, Microsoft Azure a Google Cloud Platform (GCP), které se staly de facto standardem pro hostování a provozování AI řešení, vyvstává klíčová otázka: Kdo je vlastně odpovědný za dodržování AI Actu, když vaše AI běží v cloudu?

Tato otázka není triviální. Cloud computing z podstaty věci rozmazává hranice tradičních odpovědností, a AI Act, se svými přísnými požadavky, přidává další vrstvu komplexnosti. Cílem tohoto článku je rozklíčovat vztah mezi cloudovými providery a jejich zákazníky – takzvanými deployery – a objasnit, jak se princip sdílené odpovědnosti promítá do compliance s AI Actem.

Pochopení těchto rolí a povinností je naprosto zásadní pro každou organizaci, která využívá AI v cloudu, aby se vyhnula potenciálním pokutám a reputačním rizikům. Zorientujeme se v klíčových článcích AI Actu a podíváme se, jak se tato pravidla aplikují v reálném světě cloudových služeb.

Kdo je kdo: Role providera a deployera podle AI Actu

AI Act definuje několik klíčových aktérů v ekosystému umělé inteligence, z nichž pro cloudové nasazení jsou nejdůležitější role 'providera' a 'deployera'. Podle čl. 3 odst. 14 je 'provider' (poskytovatel) fyzická nebo právnická osoba, veřejný orgán, agentura nebo jiný subjekt, který vyvíjí systém AI nebo má systém AI vyvinut a uvádí jej na trh nebo do provozu pod svým vlastním jménem či obchodní značkou. Naopak 'deployer' (uživatel) je dle čl. 3 odst. 15 fyzická nebo právnická osoba, veřejný orgán, agentura nebo jiný subjekt, který systém AI používá pod svou pravomocí, s výjimkou případů, kdy je systém AI používán v rámci osobní neprofesionální činnosti.

V kontextu cloudu je situace často nuancovaná. Cloudový gigant jako AWS, Azure nebo GCP může být 'providerem' v případě, že vyvíjí a nabízí přímo AI služby (např. rozpoznávání obrazu, převod textu na řeč) jako součást své platformy. Pokud však zákazník (deployer) pouze využívá cloudovou infrastrukturu (virtuální stroje, kontejnery) k nasazení svého vlastního AI systému, stává se on sám primárním 'providerem' pro svůj AI systém a zároveň 'deployerem' pro cloudovou infrastrukturu.

Tato dvojí role je základem pro pochopení sdílené odpovědnosti. Je důležité si uvědomit, že i když cloudový provider nabízí nástroje a prostředí, konečná odpovědnost za compliance AI systému, který zákazník nasadí, obvykle leží na zákazníkovi. Zvláště to platí pro vysoce rizikové systémy AI, kde jsou požadavky AI Actu nejpřísnější, jak je popsáno například v čl. 6 a příloze III AI Actu. Pro podrobnější informace o rizikových kategoriích AI systémů, můžete navštívit náš článek o rizikových kategoriích AI Actu.

Sdílená odpovědnost v praxi: AWS, Azure, GCP a AI Act

Princip sdílené odpovědnosti je základem cloud computingu a AI Act na něj navazuje. Cloud provideri jako AWS, Azure a GCP jsou odpovědní za 'bezpečnost cloudu' – tedy za fyzickou bezpečnost datových center, síťovou infrastrukturu a základní služby, které poskytují. Zákazník neboli deployer je pak odpovědný za 'bezpečnost v cloudu' – tedy za konfiguraci svých aplikací, dat, identit a přístupů. Tato dělba odpovědnosti se plně přenáší i na AI Act compliance.

Konkrétně, cloud provideri se snaží usnadnit compliance svých zákazníků tím, že poskytují infrastrukturu, která splňuje nejvyšší bezpečnostní standardy a nabízí nástroje pro správu dat, šifrování a řízení přístupu. Například AWS, Azure i GCP nabízejí certifikace jako ISO 27001, SOC 2 a další, které jsou sice relevantní, ale samy o sobě nezajišťují AI Act compliance pro konkrétní AI systém. Jejich povinnosti se často týkají obecných požadavků na kybernetickou bezpečnost (čl. 15 AI Act), robustnost a odolnost, které jsou zabudovány do jejich infrastruktury.

Pro deployery to znamená, že ačkoliv cloudoví giganti poskytují robustní základ, je na nich, aby zajistili, že jejich konkrétní nasazení AI systému splňuje všechny požadavky AI Actu. To zahrnuje například správnou implementaci systémů řízení rizik (čl. 9), zajištění kvality a správy dat (čl. 10), vytvoření technické dokumentace (čl. 13), zavedení lidského dohledu (čl. 14) a zajištění kybernetické bezpečnosti na úrovni aplikace (čl. 15). Deployer musí aktivně využívat nástroje a služby cloudového providera k zajištění těchto požadavků pro svůj AI systém.

Klíčové oblasti compliance pro deployery AI v cloudu

Jako deployer AI systému v cloudu nesete primární odpovědnost za splnění mnoha požadavků AI Actu. Jednou z nejdůležitějších oblastí je systém řízení rizik (čl. 9), který vyžaduje identifikaci, analýzu a hodnocení rizik spojených s vysoce rizikovými systémy AI po celou dobu jejich životního cyklu. I když cloudový provider nabízí zabezpečené prostředí, je na vás, abyste posoudili rizika spojená s *vaší* konkrétní aplikací AI a daty, které zpracovává.

Dále je kritická správa dat (čl. 10), která se zaměřuje na kvalitu trénovacích, validačních a testovacích dat. Musíte zajistit, že data jsou relevantní, reprezentativní, dostatečně robustní a bez chyb. Cloudoví provideri nabízejí služby pro ukládání a správu dat, ale odpovědnost za *kvalitu a etiku* těchto dat pro váš AI systém leží na vás. Podobně je to s technickou dokumentací (čl. 13), kde musíte detailně popsat svůj AI systém, jeho účel, architekturu a způsob fungování, což je nezbytné pro posouzení shody. Pro správné vypracování technické dokumentace může být užitečný náš článek o AI Act Technical Documentation.

V neposlední řadě je tu lidský dohled (čl. 14), který zajišťuje, že lidé mohou efektivně dohlížet na AI systémy a zasahovat v případě potřeby. I když AI běží v automatizovaném cloudovém prostředí, musíte mít mechanismy pro monitorování, interpretaci výstupů a možnost manuálního zásahu. To vše podtrhuje, že ačkoliv cloud zjednodušuje infrastrukturu, složitost compliance s AI Actem se přesouvá na úroveň aplikace a jejího provozu, za což je odpovědný deployer.

SMLOUVY A SLA: Vaše obrana proti riziku a záruka compliance

Vztah mezi cloudovým providerem a deployerem je formálně dán servisní smlouvou a dohodou o úrovni služeb (SLA – Service Level Agreement). Tyto dokumenty jsou pro AI Act compliance naprosto klíčové a neměly by být podceňovány. Je nezbytné, aby vaše smlouvy s AWS, Azure nebo GCP jasně specifikovaly odpovědnosti obou stran ve vztahu k AI Actu, zejména pokud jde o poskytování služeb, které jsou součástí vysoce rizikového AI systému.

SLA by měly zahrnovat klauzule týkající se dostupnosti, výkonu, bezpečnosti a správy dat, ale také transparentnosti a podpory při dodržování regulačních požadavků. Měly by například řešit, jak provider pomáhá deployerovi splnit požadavky na kybernetickou bezpečnost (čl. 15) nebo jaké nástroje a informace poskytuje pro post-market monitoring (čl. 50), což je povinnost pro kontinuální dohled nad AI systémem po jeho uvedení na trh.

Pečlivé prostudování a vyjednávání smluvních podmínek je proto nezbytné. Nejde jen o technické specifikace, ale i o právní závazky, které mohou mít dalekosáhlé důsledky v případě non-compliance. Jasné vymezení rolí a odpovědností ve smlouvách je základním kamenem pro minimalizaci rizika a zajištění, že vaše AI systémy v cloudu budou v souladu s novým evropským nařízením.

Závěr: Proaktivní přístup je klíčem k úspěchu

AI Act přináší revoluci do světa umělé inteligence a jeho dopad na cloudové nasazení je značný. Jak jsme si ukázali, odpovědnost za compliance je sdílená, ale většina břemene leží na deployerovi, který AI systém v cloudu provozuje. Cloudoví provideri jako AWS, Azure a GCP nabízejí robustní a bezpečné prostředí, ale konečné zajištění souladu s AI Actem pro váš konkrétní AI systém je na vás.

Pochopení rolí, proaktivní přístup k řízení rizik, pečlivá správa dat, důkladná technická dokumentace a správné nastavení smluvních vztahů jsou pilíře úspěšné compliance. Nezapomeňte, že AI Act není jen o regulaci, ale také o budování důvěry v AI a podpoře inovací. Dodržováním těchto pravidel zajistíte nejen právní soulad, ale i etický a bezpečný provoz vašich AI řešení.

Jste si jisti, že vaše AI systémy v cloudu splňují všechny požadavky AI Actu? Nenechte nic náhodě! Objevte potenciální slabiny a zajistěte si klid. Pro rychlý a efektivní přehled o compliance vašeho webu a AI systémů, využijte náš komplexní skener.

Související články

• rizikových kategoriích AI systémů
• AI Act Technical Documentation
• komplexní skener