Nos últimos meses, os esforços para regular a inteligência artificial esquentaram na Europa, América do Norte e Ásia, tanto nos níveis nacional quanto local. Digitalização. Parceiro
Oficial de Ética da AI Chefe We discussed the implications for companies of this increasingly complex regulatory environment with Steven Mills, BCG’s chief AI ethics officer, and Kirsten Rulf, a partner and the firm’s associate director for data and digitalization.
Meet Steven and Kirsten
BCG: O que está por trás da recente enxurrada de movimentos regulatórios da IA? Mas a chegada repentina de ferramentas generativas de IA como o ChatGPT criou uma nova urgência. Os governos estão respondendo à maior preocupação entre o público em geral sobre a IA. Na Europa, que está prestes a promulgar a Lei de Inteligência Artificial após anos de debate, também há pressão política sobre os líderes que apostaram em suas carreiras na regulação da IA. O desafio para os governos é como regulamentar a IA sem abafar a inovação.
Steven Mills: AI regulations have been in the works for a number of years. But the sudden arrival of generative AI tools like ChatGPT created new urgency. Governments are responding to heightened concern among the general public about AI. In Europe, which is about to enact the Artificial Intelligence Act after years of debate, there is also political pressure on leaders who have staked their careers on regulating AI. The challenge for governments is how to regulate AI without stifling innovation.
O que o ato da AI da UE exige?
Kirsten Rulf: The draft of the AI Act does three things. First, it establishes a definition of AI. Next, it lays out a risk framework, defining use cases that present unacceptable risk, high risk, limited risk, or little or no risk. Finally, it enables enforcement by establishing implications if companies fail to adhere to requirements—including fines of up to 6% of global annual revenue.
AI systems posing unacceptable risk will be prohibited. Use cases that fall in the “high risk” category are those that could unintentionally cause emotional, financial, or physical harm. For example, they could influence access to social-service benefits, housing, credit, health care, or employment. The AI Act will lay out a set of requirements, including disclosure, certification, transparency, and postdeployment documentation for these use cases.
O que vem a seguir? Muito ainda pode acontecer nessas negociações. Embora a estrutura básica da lei provavelmente esteja, os casos de uso específicos que se enquadram em cada categoria de risco e quando e como os modelos fundamentais serão incluídos, continuarão a evoluir. Depois disso, provavelmente haverá um período de carência de um ou dois anos antes que a lei entre em vigor. É provável que os Estados -Membros individuais o adotem em lei muito rapidamente, bem antes de se tornar obrigatório para toda a UE.
Rulf: Now that the European Parliament and the council of member states have stated their positions on the EU Commission’s original draft, all three entities will negotiate on the final law. A lot can still happen in these talks. While the law’s basic framework is likely to stand, the specific use cases that fall within each risk category, and when and how foundational models will be included, will continue to evolve.
The EU Parliament and council of member states must then vote on a final draft, possibly in mid-fall 2023 but almost certainly by the end of the year. After that, there will likely be a grace period of one or two years before the law goes into effect. Individual member states are likely to adopt it into law very quickly, well before it becomes mandatory for the entire EU.
Regulatory compliance will require solutions that are integrated into a company's broader AI technology stack.
A Lei da AI, além disso, não está saindo no vácuo. Na UE, há também a Lei de Dados, a Lei de Segurança Cibernética e a Lei de Serviços Digitais, que regula as plataformas on -line. Depois, há o Regulamento Geral de Proteção de Dados (GDPR), que entrou em vigor em 2018. Um estudo recente contou 104 leis européias sobre tecnologias e dados digitais. As empresas enfrentam um desafio de conformidade regulamentar cada vez mais complexo que exigirá soluções integradas como parte de sua pilha de tecnologia de IA mais ampla. Essa complexidade pode ter um grande custo inicial e requer tempo para implementar.
O que está acontecendo nos EUA? Várias propostas estão perante o Congresso, mas não houve indicação de que elas avançarão. Estados e cidades dos EUA estão começando a agir, no entanto, com leis aprovadas na Califórnia, Illinois, Nova York e em outros lugares. Na ausência de regulamentação em nível nacional, esperamos que as agências federais apliquem regimes regulatórios existentes à IA, consistente com a orientação anterior da Casa Branca. A Comissão Federal de Comércio, o Departamento de Proteção Financeira do Consumidor e outros já emitiram declarações que implicavam essa estratégia. Como resultado, uma colcha de retalhos do regulamento da IA está começando a emergir. O que isso significará para as empresas que implantam a IA globalmente? Observe que pode depender de onde o modelo de IA é construído, não apenas onde será usado. Meu grande medo é que as empresas sobreponham todos esses regulamentos e acabem com algo que é muito, muito mais restritivo do que o que qualquer uma jurisdição imaginava ou pretendia. Isso tem o potencial de sufocar o uso da IA.
Mills: At the national level, US AI regulation is nascent. Several proposals are before Congress, but there’s been no indication that they will move forward. US states and cities are beginning to act, however, with laws passed in California, Illinois, New York City, and elsewhere. In the absence of national-level regulation, we expect federal agencies to apply existing regulatory regimes to AI, consistent with prior White House guidance. The Federal Trade Commission, Consumer Financial Protection Bureau, and others have already issued statements implying this strategy. A patchwork of AI regulation is beginning to emerge as a result.
This sounds like quite a regulatory jungle. What will this mean for companies deploying AI globally?
Mills: Companies will need to determine which regulations apply in each jurisdiction in which they operate and ensure they comply. Note that it may depend on where the AI model is built, not just where it will be used. My big fear is that companies will overlay all of these regulations and end up with something that is far, far more restrictive than what any one jurisdiction imagined or intended. This has the potential to stifle AI use.
Qual é a chance de as leis da UE se tornarem o padrão global de fato? Mas fica claro nas discussões nos EUA, na Europa e em todo o mundo que estão chegando. Então, acho que muitos globais
Rulf: I don’t think all countries will follow the EU regulatory framework. But it’s clear from the discussions in the US, Europe, and around the world that regulations are coming. So I think many global Companies apenas implementarão a AI da UE como uma primeira estrutura enquanto seus próprios reguladores continuam trabalhando. Com efeito, portanto, pode se tornar um padrão de fato para as empresas. Só posso ver isso acontecendo, no entanto, se a UE puder se comunicar e implementar a lei de uma maneira que as empresas possam realmente operacionalizar sem sufocar a inovação. A UE teria que divulgar padrões muito claros, explicando como você pode criar um produto de IA e torná -lo seguro. Caso contrário, levará muito tempo para as empresas decifrarem a linguagem regulatória em algo que pode ser implementado. Do ponto de vista de um formulador de políticas, faz total sentido sujeitar todo o uso da IA nos cuidados de saúde a requisitos rigorosos de divulgação e transparência. Agora imagine que uma empresa deseja usar a IA generativa para facilitar a preparação dos médicos de saída, resumindo o tratamento do paciente e o atendimento a pós -transmissão. Um memorando simples e fácil de entender seria útil para os pacientes, que de outra forma poderiam ir para casa e pesquisar na Internet para interpretar um diagnóstico e obter conselhos sobre cuidados pós-tratamento. Esse tipo de resumo está bem nos recursos generativos da IA hoje. E como inclui inerentemente a entrada do médico, há um humano no loop. Mas, sob a regulamentação emergente, pode ser considerada de alto risco, criando uma carga regulatória que torna a prosseguição desse caso de uso muito caro. Mas muitas empresas podem ir embora, dizendo: "Não vou fazer nada de alto risco - Período. Não vale a pena". Mas ainda há tempo para as empresas darem informações aos detalhes aos formuladores de políticas da UE e a legisladores e reguladores nos Estados -Membros. Nos EUA, como Steve mencionou, todo o processo está apenas começando. O grupo que não está sendo consultado o suficiente, porém, são os 99% das empresas que implementarão a IA. Essas empresas também precisam estar no diálogo e ter voz. Eles precisam explicar aos formuladores de políticas o que será realista e alcançável do ponto de vista regulatório. Se os requisitos forem muito onerosos, pode se tornar impossível para a média, a NOntech Company implantar IA. Eles entendem profundamente a tecnologia e têm equipes de IA responsáveis. São os outros 99% das empresas - aqueles que implementarão modelos de IA - que precisam tomar medidas para se preparar. Muitos estão esperando até que novos regulamentos de IA realmente entrem em vigor. Por exemplo, criando uma boa documentação dos sistemas de IA. Os detalhes específicos do que precisa ser incluído podem mudar, mas os requisitos de amplo eixo já são entendidos. Vimos o mesmo com os regulamentos de proteção de dados da UE. Muitas empresas não entraram nos detalhes da conformidade até que fosse tarde demais. Cerca de uma semana antes de o GDPR entrar em vigor em 2018, muitas empresas européias ainda estavam lutando. Nossa esperança é que, ao levantar esses problemas agora, possamos incentivar as empresas a evitar o mesmo tipo de luta desta vez.
How could vague or poorly written policy stifle a good use of AI?
Rulf: Let’s use a health care example. From a policymaker’s standpoint, it makes total sense to subject all use of AI in health care to stringent disclosure and transparency requirements. Now imagine a company wants to use generative AI to make it easier for doctors to prepare an exit memo summarizing patient treatment and postrelease care. A simple, easy-to-understand memo would be useful for patients, who may otherwise go home and search the internet to interpret a diagnosis and get advice on posttreatment care. This type of summarization is well within generative AI capabilities today. And because it inherently includes doctor input, there is a human in the loop. But under emerging regulation, it may be considered high risk, creating a regulatory burden that makes pursing this use case too costly.
Some companies will continue to pursue high-risk use cases, of course, because they know AI can deliver an incredibly positive impact and because they have the right responsible AI programs in place. But many companies may walk away, saying, “I’m not going to do anything high risk—period. It’s just not worth it.”
Is it too late for companies to influence the regulatory details?
Rulf: In Europe, where regulation is furthest along, it’s too late to influence the basic framework. But there’s still time for companies to give input on the details to EU policymakers and to legislators and regulators in the member states. In the US, as Steve mentioned, the whole process is just starting.
Mills: Policymakers should continue getting the perspective of the big tech companies, who continue to innovate and develop many of the foundational models, as they did recently when seven US tech companies committed to voluntary safeguards. The group that isn’t being consulted enough, though, is the 99% of companies who will be implementing AI. These companies also need to be in the dialogue and have a voice. They need to explain to policymakers what is going to be realistic and achievable from a regulatory standpoint. If the requirements are too onerous, it could become impossible for the average, nontech company to deploy AI.
How well prepared are companies for emerging AI regulations?
Mills: Many tech companies are well positioned. They deeply understand the technology and have responsible AI teams in place. It’s the other 99% of companies—those that will be implementing AI models—that need to take steps to prepare. Too many are waiting until new AI regulations actually go into effect.
These companies don’t realize that the fundamental process and basic steps that need to be in place are clear. For example, creating good documentation of the AI systems. The specific details of what needs to be included may change, but the broad-brush requirements are already understood.
Rulf: I think European companies are much less prepared than those in the US. We saw the same with the EU’s data-protection regulations. Many companies didn’t get into the details of compliance until it was too late. About a week before the GDPR went into effect in 2018, many European companies were still scrambling. Our hope is that by raising these issues now, we can encourage companies to avoid the same type of scramble this time.
Assuming they have a basic responsible AI program, how can companies proceed using generative AI in high-risk areas?
RULF: Se você realmente olhar para o processo de fazer um caso de uso de alto risco, não é realmente diferente com IA generativa em relação a outros tipos de IA. Você precisa ter alguém pastoreando o produto desde o momento da concepção até o momento da certificação e, em seguida, alguém a vigiar depois de implantado. E documente cada etapa do processo, os riscos identificados, as medidas tomadas para mitigá -las e como você validou a mitigação.
Qual é o seu conselho para empresas que não estão preparadas? Você realmente precisa de uma estrutura de IA responsável por ágil e holística que abranja estratégia, processos, governança e ferramentas. Você precisará comunicar essa transformação em toda a sua organização. Os primeiros motores de tudo isso terão uma grande vantagem. Se você tiver uma estrutura adaptável, haverá custo antecipadamente. Mas é a única maneira de aproveitar a IA ao máximo a longo prazo.
Inscreva -se
Mills: Start setting up a responsible AI program now because it takes an average of about three years to get there. You really need an agile and holistic responsible AI framework that encompasses strategy, processes, governance, and tools. You will need to communicate this transformation throughout your organization. First movers in all this will have a big advantage. If you have an adaptable framework, there will be cost up front. But it’s the only way you will be able to leverage AI to the fullest over the long term.
