Michał Pietrzyk

blog
podcast
materiały AI
O mnie
Usługi
Kontakt

O jakie kwestie należy zadbać w umowie o wdrożenie systemu AI?

Umowa wdrożenia systemu AI

Umowy o wdrożenie systemu AI to zasadniczo takie same umowy jak inne umowy wdrożeniowe. Istnieje jednak kilka istotnych kwestii wyróżniających umowy o wdrożenie systemu AI od innych umów.

Jaka umowa?

Wdrożenie systemu AI wymaga elastycznego podejścia zarówno do zarządzania projektem, jak i do formy prawnej współpracy. Ze względu na niedeterministyczny charakter modeli AI i trudność w precyzyjnym określeniu oczekiwanego rezultatu biznesowego, zaleca się stosowanie metodyk zwinnych oraz zawieranie umów typu Time&Material, w których wynagrodzenie zależy od czasu poświęconego na realizację zadań.

Alternatywnie można zastosować umowę ramową, regulującą ogólne warunki współpracy, lub – w bardziej przewidywalnych projektach – umowę typu Fixed price. Ta ostatnia wymaga jednak bardzo dokładnej specyfikacji efektu końcowego. W tym kontekście istotne stają się mechanizmy takie jak change request oraz Proof of Concept (PoC), które umożliwiają przetestowanie rozwiązania przed jego pełnym wdrożeniem.

Więcej na ten temat w artykule Jaka umowa dla wdrożenia systemu AI?.

Kwestie regulacyjne

W zależności od przeznaczenia wdrażanego systemu AI na dostawcy i korzystającym mogą spoczywać dodatkowe obowiązki regulacyjne (np. wynikające z DORA dla dostawców do sektora finansowego). W umowie należy określić jakie wymogi prawne znajdą zastosowanie do dostarczanego oprogramowania – pozwoli to na uniknięcie wątpliwości, czy dostawca powinien uwzględnić wymogi przy tworzeniu rozwiązania.

W pierwszej kolejności należy zweryfikować do jakiej kategorii systemów AI wg AI Act zalicza się wdrażany system. AI dotyczy systemów o różnym przeznaczeniu, ale zakres wymogów dla poszczególnych kategorii (zakazane, wysokiego ryzyka, ograniczonego ryzyka, minimalnego ryzyka) jest różny. Ocena założeń wdrażanego systemu pozwoli na określenie wymogów jakie musi spełniać. Jeżeli w trakcie projektu np. realizowanego w formule Time&Material zmienią się istotnie założenia dla systemu, konieczne będzie ponowne dokonanie oceny.

Kwestie związane z danymi

W porównaniu z umowami na korzystanie z narzędzi AI w modelu SaaS, wdrożenie dedykowanego systemu u klienta ma istotne różnice.

W przypadku SaaS twórca i dostawca rozwiązania musi samodzielnie pozyskać dane do nauki modelu. W przypadku umów o wdrożenie dedykowanego rozwiązania, klient może dostarczyć swoje dane do nauki modelu. Odpowiedzialność za pozyskiwanie danych do nauki modelu zgodnie z RODO spoczywa więc na zupełnie innych podmiotach. W tym kontekście konieczne jest ustalenie źródeł danych do trenowania i testowania modelu1 oraz jaki będzie ich los prawny po zakończeniu treningu i testów.

W modelu SaaS to na dostawcy spoczywa niemal cały ciężar zapewnienia bezpieczeństwa danych przetwarzanych w systemie. Przy wdrożeniu na infrastrukturze klienta, to klient będzie odpowiadał za bezpieczeństwo infrastruktury, a w zależności od uzgodnień dostawca będzie mógł zrzucić część odpowiedzialności za bezpieczeństwo systemu na klienta. Wdrażając system AI u klienta należy jednak pamiętać przynajmniej o umowie powierzenia przetwarzania danych i zapewnieniu odpowiednich środków bezpieczeństwa dla danych klienta, z którymi pracujemy.

Kwestie związane z modelami

Kluczowe jest pytanie jaki model czy modele wykorzystamy w naszym systemie. Zawierając umowę powinniśmy przynajmniej określić czy budujemy własny model czy korzystamy z gotowego. Jeżeli wybieramy gotowy, to na jakich warunkach i w jaki sposób będziemy z niego korzystać – czy instalujemy model open source na infrastrukturze klienta, czy korzystamy z modeli poprzez API dostawcy modeli.

Konieczne jest oszacowanie kosztów dostępnych rozwiązań, bo ich koszty początkowe i eksploatacyjne w zależności od podejścia będą się diametralnie różnić.

Cudze modele

W razie korzystania z modeli przez API komplikuje się kwestia odpowiedzialności za działanie systemu AI. Jeżeli zewnętrzny dostawca modeli ma problemy i jego API nie działa, to nie działa też wdrożony system (chyba, że na taki wypadek mamy plan awaryjny i zapasowego dostawcę). Dostawcy wdrażający system AI powinni dążyć do umownego wyłączenia odpowiedzialności za takie przypadki.

Jeżeli korzystamy z cudzego modelu na naszej infrastrukturze musimy ustalić, czy mamy do tego prawo – sprawdzamy więc licencję2. Dlatego w umowie o wdrożenie systemu AI powinniśmy określić wymogi aby modele wykorzystywane przez dostawcę we wdrażanym systemie AI były oparte na otwartych licencjach (najlepiej niewirusowych).

Wybór podejścia determinuje też kwestie zapewnienia odpowiedniego poziomu ochrony danych osobowych. Jeżeli system AI będzie korzystać z modelu poprzez API, to klient musi zweryfikować dostawcę modelu pod kątem poziomu bezpieczeństwa, zawrzeć z nim umowę powierzenia przetwarzania danych i zadbać, aby jego dane nie były wykorzystywane do nauki modeli.

Dedykowane modele

Jeżeli budujemy własny model, umowa powinna określać na czyjej infrastrukturze odbywać się będzie trening, ponieważ stanowi to istotny koszt.

Ponadto musimy ustalić kto będzie miał prawa do modelu.

Jak wspomniałem konieczne jest także ustalenie źródeł danych do trenowania i testowania modelu oraz jaki będzie ich los po zakończeniu treningu i testów.

Za co odpowiada dostawca? Ocena jakości rozwiązania i granice odpowiedzialności

Istotnym problemem jest mierzenie wyników pracy systemu AI oraz ustalania przyczyn błędów, czy też nieoptymalnych wyników działania systemu. Przekłada się to na kwestie granic odpowiedzialności stron umowy za działanie systemu AI.

Przyczyn nieprawidłowego działania może być wiele np. błędy infrastruktury, niedoskonałość modelu, czy błędne dane. Dlatego istotne jest transparentność działania systemu i posiadanie narzędzi, które pozwolą zweryfikować dlaczego system działa tak a nie inaczej. W przypadku systemów wysokiego ryzyka jest to wymóg wynikający z AI Act.

Dlatego umowy typu Time&Material są wygodniejsze dla dostawców, ponieważ pozwalają na uniknięcie czytelnych kryteriów oceny dostarczanego rozwiązania. Z drugiej strony, klienci mogą czuć się rozczarowani, że nie uzyskali tego czego oczekiwali. Umowy Fixed price, w których oczekiwania określone są na wstępie pomagają uniknąć tego problemu.

Podsumowanie

Wdrożenie systemów AI wiąże się z unikalnymi wyzwaniami, zarówno technologicznymi jak i prawnymi. Kluczowe jest odpowiednie dopasowanie rodzaju umowy do charakteru projektu. Najczęściej sprawdza się podejście zwinne i umowy typu Time&Material, które oferują elastyczność i możliwość iteracyjnego rozwijania rozwiązania. Umowy typu Fixed price wymagają precyzyjnego określenia wymagań, co jest trudne przy projektach opartych na AI.

W umowie o wdrożenie systemu AI powinny znaleźć się postanowienia dotyczące:

  1. wymogów regulacyjnych (np. wynikających z AI Act lub RODO),
  2. źródeł i statusu prawnego danych treningowych,
  3. zasad korzystania z modeli AI (czy są autorskie, czy pochodzą od dostawców zewnętrznych, kto ma do nich prawa),
  4. odpowiedzialności za jakość i efekty działania system;
  5. powierzenia przetwarzania danych.

Zalecane jest korzystanie z PoC i MVP jako narzędzi ograniczających ryzyko niedopasowania rozwiązania do oczekiwań. Dobrze przygotowana umowa zwiększa szanse powodzenia wdrożenia i minimalizuje spory pomiędzy stronami.

Jeżeli ciekawi Cię temat, którego jeszcze nie opisałem albo masz dodatkowe pytania, napisz do mnie. Możesz też sprawdzić bazę wiedzy Kancelarii JDP.

Przypisy:

  1. Jeżeli trenujemy lub dotrenowujemy model ↩︎
  2. O modelach proprietary i open source możecie przeczytać tutaj: https://www.linkedin.com/pulse/choosing-right-llm-guide-proprietary-vs-open-source-babenko-ph-d–gcese ↩︎

r.pr. Michał Pietrzyk

,
, , ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *