Lista kontrolna zakazanych praktyk AI dla founderow i liderow compliance

Zakazane praktyki AI to zastosowania, ktore trzeba zablokowac, przeprojektowac albo eskalowac przed produkcja. Dla zespolu SaaS wazne jest nie tylko pytanie, czy stosuje sie art. 5 unijnego AI Act. Wazne jest, czy firma potrafi wczesnie wykryc niedopuszczalne uzycie AI i zapisac decyzje przed launch'em, wdrozeniem dostawcy albo przegladem klienta.

Uzyj tej listy przy wlasnych funkcjach AI, zewnetrznej AI w produkcie, narzedziach wewnetrznych, klientach regulowanych i zmianach wplywu wyniku AI na ludzi.

1. Potwierdz przypadek uzycia

Opisz system, produkt, proces, wlasciciela, dostawce, model lub usluge, cel, uzytkownikow, osoby dotkniete, dane, geografie i to, czy wynik AI wplywa na decyzje. Sprawdz, czy firma buduje, kupuje, integruje, konfiguruje lub uzywa systemu; czy jest wewnetrzny lub dla klienta; czy ocenia, klasyfikuje, wplywa na osoby albo przetwarza biometryke; i czy moze dotyczyc osob w UE.

Jesli przypadek jest poza zakresem, zachowaj uzasadnienie. W razie watpliwosci kontynuuj.

2. Sprawdz manipulacje lub wprowadzanie w blad

Art. 5 obejmuje okreslone systemy uzywajace technik subliminalnych, manipulacyjnych lub wprowadzajacych w blad, ktore istotnie znieksztalcaja zachowanie, ograniczaja swiadoma decyzje i powoduja albo moga powodowac znaczna szkode.

Przejrzyj sciezke uzytkownika, personalizacje, rekomendacje i nudges. Czy system ukrywa wazne informacje? Czy dostosowuje presje do osoby? Czy kieruje do szkodliwych decyzji? Czy uzycie AI jest zrozumiale?

Zachowaj zrzuty ekranu, logike personalizacji, grupy dotkniete, analize szkody i decyzje o zmianie. Przy ukrytej presji lub mylacym wplywie launch powinien sie zatrzymac.

3. Wyklucz wykorzystywanie podatnosci

AI Act dotyczy tez wykorzystywania podatnosci zwiazanych z wiekiem, niepelnosprawnoscia albo okreslona sytuacja spoleczna lub ekonomiczna, jesli zachowanie jest znieksztalcone i grozi znaczna szkoda.

Sprawdz, czy funkcja targetuje, profiluje albo wywiera presje na osoby wrazliwe: dzieci, pacjentow, studentow, pracownikow, konsumentow w trudnej sytuacji, osoby z niepelnosprawnosciami lub uzytkownikow uslug podstawowych. Wymagaj przegladu, gdy system personalizuje perswazje, priorytet, kwalifikowalnosc, cene, wsparcie lub egzekwowanie.

4. Wyklucz social scoring

Ryzyko social scoring powstaje, gdy system ocenia ludzi w czasie na podstawie zachowan spolecznych lub cech osobistych i powoduje niekorzystne traktowanie w niepowiazanych kontekstach albo skutek nieproporcjonalny.

W SaaS B2B wzorzec moze pojawic sie w trust, fraud, safety, HR, edukacji, spolecznosciach lub marketplace. Udokumentuj zastosowanie wyniku, osoby fizyczne, zwiazek kontekstu z danymi i proporcjonalnosc skutku.

5. Eskaluj biometryke, emocje i ryzyko karne

Eskaluj, jesli system ocenia ryzyko przestepstwa tylko z profilowania lub cech osobowosci, tworzy bazy rozpoznawania twarzy przez nieukierunkowane scraping, rozpoznaje emocje w pracy lub edukacji poza powodami medycznymi lub bezpieczenstwa, uzywa biometrii do cech wrazliwych albo wspiera zdalna identyfikacje biometryczna w czasie rzeczywistym w przestrzeni publicznej dla organow scigania.

Patrz na faktyczna funkcje, nie nazwy dostawcy typu engagement, insight, safety lub identity.

6. Wskaz wlasciciela i reviewera

Wlasciciel biznesowy dostarcza fakty. Reviewer decyduje, czy uzycie idzie dalej, zmienia sie czy jest blokowane. Rekord powinien zawierac nazwe systemu, cel, osoby dotkniete, dostawce, odpowiedzi, konkluzje, uzasadnienie, wymagane zmiany, akceptujacego i trigger ponownego przegladu.

7. Polacz z bramkami launchu i dostawcow

Dodaj pytania do product intake, security review, privacy review, onboardingu dostawcow, zatwierdzania narzedzi wewnetrznych i dokumentacji AI dla klientow. Zadne uzycie AI nie powinno startowac bez zakonczonego screeningu albo potwierdzenia, ze nie jest wymagany.

8. Ustal ponowny przeglad

Otworz decyzje ponownie, gdy zmieni sie cel, rynek, uzytkownicy, dostawca, dane, automatyzacja, konfiguracja klienta albo wytyczne UE.

FAQ

Jaki jest praktyczny cel?

Zatrzymac niedopuszczalne uzycie AI zanim trafi do produktu, dostawcy, procesu wewnetrznego albo zobowiazania wobec klienta.

Kiedy ma to znaczenie dla SaaS?

Gdy zespol buduje, kupuje, integruje, sprzedaje, konfiguruje lub uzywa AI, ktora moze manipulowac ludzmi, wykorzystywac podatnosc, oceniac osoby, przetwarzac biometryke albo rozpoznawac emocje.

Co dokumentowac najpierw?

Intake, wlasciciela, reviewera, krotka konkluzje i bramke launchu, powiazane z vendor review, prywatnoscia, security i customer trust.

Zrodla

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689.