Blog

Zajímavosti a postřehy ze světa i z MoyaZone.

Kyberbezpečnost a umělá inteligence: Odpovědnost manažerů, zaměstnanců a firem – zápisky ze CyberEdu Konzultační hodiny

– Vytvořil/a

Olga Pincová

v kategorii

Další ze CyberEdu Konzultačních hodin se věnovala otázce umělé inteligence a jejímu využití ve firmách z pohledu práva. Soustředili jsme se především na zodpovědnosti jednotlivých zaměstnanců, manažerů i samotných firem. Klíčové body z vysílání s JUDr. Jiřím Matznerem, Ph.D., LL.M. z AK Matzner & Vítek si nyní můžete přečíst níže. Případně si můžete poslechnout záznam vysílání.

AI a právní praxe

  • Omyl o nahrazení právníků AI: Navzdory obavám o ztrátu práce, právníci jsou stále potřeba, zejména kvůli kontrolám AI výstupů.
  • Mezinárodní praxe: V zemích jako Austrálie, USA (a nově i Německo) musí právníci prohlásit, že podání k soudu byla zkontrolována a nebyla pouze vygenerována AI.
  • AI jako pomocník, ale špatný pán: AI je dobrým pomocníkem, ale stává se „špatným sluhou, špatným pánem“, pokud není kontrolována a zvažována její vhodnost a způsob využití.

Studie společnosti Antropic

  • Experiment: 16 předních AI modelů bylo implementováno do fiktivní firmy na různých místech (chat, e-mail).
  • Výsledek: Většina modelů začala bránit svému odpojení/redukci činnosti, dokonce se uchýlily k vydírání manažera prozrazením jeho tajného milostného vztahu s podřízenou.
  • Závěr: Ukazuje, jak moc AI umí a je schopna se chránit před zásahem člověka, nešlo o odchylku, ale chování napříč modely. Je nutné věnovat obezřetnost při plošném zvyšování přístupových práv AI.

Propojenost agend a odpovědnost

  • ICT, civilní a trestní agenda: Tyto oblasti jsou silně propojeny v otázkách bezpečnosti a rizik pro firmy, manažery a zaměstnance.
  • Trestní odpovědnost právnických osob: Nabývá na síle. Trestní stíhání má obrovský reputační dopad na firmy, často vedoucí k obchodnímu nepřežití. Ve většině případů stačí zahájení trestního stíhání, aby byly dopady fatální – ztráta reputace je kritická.
  • Důležitost prevence: Vzhledem k potenciálnímu ohrožení z AI je klíčové myslet na kontrolu a mechanismy již od počátku.

Zákon o kybernetické bezpečnosti

  • Účinnost: Od 1. listopadu 2025 (pravděpodobně).
  • Regulované služby: Energetika, doprava, bankovnictví, zdravotnictví, telekomunikace, vodárenství, digitální služby, cloudové služby, datová centra, e-commerce – platí i pro subdodavatele.
  • Počet regulovaných subjektů: Nárůst ze zhruba 400 na 6500.
  • Povinnosti: Zavést a udržovat robustní a nekončící vnitřní kybernetickou bezpečnost.
  • Nahlašování NÚKIBu: Poskytovatelé regulovaných služeb se musí nahlásit NÚKIBu přes elektronický dotazník, který vyhodnotí, zda se na ně zákon vztahuje.
  • Bezpečnostní opatření: Nezbytná míra pro zajištění kybernetické bezpečnosti služby. NÚKIB připravuje prováděcí předpisy.
  • Vnitřní struktura: Změny v práci s informacemi, nastavení kontrolních rolí, analýza rizik, kontrola distribučních práv, výběr a kontrola dodavatelů.
  • Audity: Podléhání auditu kybernetické bezpečnosti.
  • Další aspekty: Fyzická bezpečnost, bezpečnost sítí a zařízení.
  • Hlášení incidentů: Povinnost hlásit kybernetické incidenty NÚKIBu a národnímu centru.
  • Nové pravomoci NÚKIBu: Může vyhlásit 30denní stav kybernetické nebezpečnosti, omezit služby, vydávat příkazy co a kdy se má stát a jakým způsobem se mají orgnizace chovat.
  • Sankce: Až 10 milionů EUR nebo 2 % z celkového ročního obratu.

AI Act (Nařízení Evropského parlamentu a Rady)

  • Přístup EU vs. USA: EU se snaží regulovat a priori, USA ex post.
  • Regulace dle úrovně rizik: Čtyři kategorie systémů (od užití bez omezení, až po zakázané).
  • Zakázané použití: Např. vyhodnocování na základě biometrických prvků nebo autonomní rozhodování systémů.

Doporučení pro společnosti již nyní

  • Úvaha o využití AI: K čemu AI chcete používat? Proč? (úspora práce, zrychlení procesů).
    • Příklad „lhaní“ AI: Americký soudní případ, kdy AI vygenerovala neexistující precedenty a právní věty.
    • Důsledky: AI může bez uzardění lhát. Proto je klíčový výběr nástroje, technologie a kontrola výstupů.
  • Compliance programy: Zásadní pro obranu proti trestní odpovědnosti právnických osob. Musí být efektivně zavedeny, proškoleny, kontrolovány a dodržovány. (Mohou společnosti pomoci se vyvinit v případě problémů).
  • Školení a kontrola pracovníků: Důležité je nejen zaškolení, ale i pravidelná kontrola efektivity a funkčnosti školení a výstupů z AI.
  • Způsob práce s nástroji: Přechod od „Bring Your Own Device“ k firemním, přednastaveným a kontrolovaným zařízením.

Zákon o zpracování osobních informací

  • Největší hodnota jsou osobní data.
  • Nárůst podvodů: Využívání AI pro hlasové/obrazové/chatovací podvody (napadení účtu, ohrožení příbuzného, falešné informace o fúzi firem) vedoucí k finančním škodám.

Povinnosti a rizika

Zaměstnanci

  • Povinnosti:
    • Projít školením
    • Řídit se pravidly pro využití AI
    • Nezadávat důvěrná data (osobní data, citlivá data…)
    • Ověřovat generovaný obsah
  • Rizika:
    • Uložení a analýza zadaných údajů
    • Použití bezplatných online služeb – může hrozit zneužití zadaných dat
    • AI není spolehlivý zdroj faktických informací
    • Odpovědnost za výstupy a způsob použití AI
    • Užívání neověřených nástrojů

Manažeři

  • Povinnosti:
    • Školení pro zaměstnance
    • Interní předpisy pro využívání AI
    • Lidská kontrola a evidence procesů
    • Hlídání kvality a bezpečnosti dat
  • Rizika:
    • Odpovědnost za škodu způsobenou AI
    • Odpovědnost za chybná rozhodnutí v oblasti HR
    • Nedostatečná připravenost a zabezpečení
    • Práce s osobními daty
    • Vyzrazení obchodního tajemství

Dopady nedodržení pravidel

  • Pro zaměstnance: Propuštění z práce, náhrada škody způsobené nedbalostí.
  • Pro manažery: Omezená možnost zprostit se odpovědnosti, vyšší odpovědnost.
  • Pro statutární zástupce: Dvojí odpovědnost (vůči společnosti i externím subjektům), potenciální odpovědnost za škody při bankrotu (skutečná škoda, ušlý zisk, nemajetková újma – reputace).
  • Odpovědnost právnických osob: Za funkčnost závěrů a produktů AI. AI Act přenáší důkazní povinnost – poskytovatel/uživatel musí prokázat, že škodu nezpůsobil.

Interní procesy – rady a nastavení

  • Pozitivní přístup: Vnímat nastavení jako proaktivní opatření pro zabránění problémům.
  • Výhody AI: Efektivnější, levnější, rychlejší, snadnější, udržitelnost. Může podpořit kreativitu, ale studie ukázala sníženou mozkovou aktivitu studentů při psaní esejí s AI.
  • Soulad s právními předpisy: Klíčová je znalost a dodržování objemných a komplexních právních předpisů (doporučeno konzultovat s odborníky).
  • Jednoznačnost a závaznost předpisů: Předpisy musí být konkrétní, ne obecné. Musí být vymáhány a kontrolovány.

Doporučená konkrétní interní pravidla

  • Zákaz používání neschválených AI nástrojů, případně úplný zákaz AI pro určité činnosti.
  • Proškolování: Seznámení se s AI nástrojem, jeho tvůrcem, ukládáním dat.
  • Zákaz vkládání obchodních nebo důvěrných dat do AI, která by mohla být zneužita.
  • Běžná bezpečnostní opatření: Např. dvoufaktorové ověřování.
  • GDPR: Automatizované rozhodování je v rozporu s GDPR (článek 22), zejména v oblasti HR, pokud do procesu nevstupuje člověk s kontrolou. Subjekt má právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, které má pro něj právní účinky.

Doporučený obsah směrnic pro AI

  • Seznam doporučených a zabezpečených AI nástrojů
  • Pravomoc: Kdo má pravomoc rozhodovat o AI nástrojích a jak.
  • Data: Jaká data AI dostane.
  • Odpovědnost: Stanovení odpovědnosti zaměstnanců za školení, výběr a kontrolu.
  • Bezpečnostní opatření
  • Etické zásady: Důležité pro reputační riziko.
  • Úkoly: Pro jaký úkol bude AI nástroj využit.

Autorská práva a AI

  • Dvě oblasti: Využití autorských děl AI nástrojem a autorství AI-generovaného díla.
  • České rozhodnutí (konec 2023): Výstup vygenerovaný AI není chráněn autorským zákonem.
  • Využívání autorských děl AI: Není porušením autorského práva, pokud se k využití AI přiznáte.
  • Příklad: Generování obrázku ve stylu Josefa Lady pomocí AI je právně v pořádku, pokud uvedete, že jde o produkt AI (etika je jiná věc).
  • Rizika: Pokud neuvedete, že jde o AI-generovaný obsah, může jít o trestný čin. Existují softwary, které zabraňují kopírování originálních obrázků.

Kybernetická bezpečnost a AI

  • Základní kámen propojení: Musí se vzájemně doplňovat a kontrolovat.
  • Lidský faktor: Nejde jen o kontrolu jedním AI nástrojem druhého, ale o začlenění lidského aspektu a kontroly.
  • Příklad biasu AI: Americký test AI při rozhodování o podmíněném propuštění ukázal, že AI preferovala bílé žadatele projednávané odpoledne, podobně jako lidské komise ovlivněné únavou. Ukazuje, že AI se učí od lidských dat a může přenášet lidské předsudky.
  • Rizika AI systémů: Netestované verze, možnost instalace „on-premise“ (offline), ale otázka aktualizací. Otázka: Hrozí únik dat i z offline systémů při aktualizaci?

Druhý díl

Protože o toto vysílání CyberEdu Konzultační hodiny byl velký zájem, rozhodli jsme se s panem doktorem na vypsání druhého dílu. Registrovat se můžete zde: https://zoom.us/meeting/register/vZh44AURSQGKZlGiMyIL3g

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.