Blog

Regulamentação da IA de Fronteira: Gerenciando Riscos Emergentes para a Segurança Pública

Resumo

Os modelos avançados de IA prometem enormes benefícios para a humanidade, mas a sociedade precisa gerir proativamente os riscos que os acompanham. Neste artigo, nos concentramos no que chamamos de modelos de “IA de fronteira”: modelos fundamentais altamente capazes que podem possuir capacidades perigosas o suficiente para representar riscos graves à segurança pública. Os modelos de IA de fronteira representam um desafio regulatório distinto: capacidades perigosas podem surgir inesperadamente; é difícil impedir de forma resiliente que um modelo implementado seja utilizado indevidamente; e é difícil impedir que as capacidades de um modelo proliferem amplamente. Para enfrentar esses desafios, são necessários pelo menos três elementos básicos para a regulamentação de modelos de fronteira: (1) processos de definição de normas para identificar requisitos apropriados para desenvolvedores de IA de fronteira, (2) requisitos de registro e comunicação para fornecer aos reguladores visibilidade sobre os processos de desenvolvimento de IA de fronteira e (3) mecanismos para garantir a conformidade com as normas de segurança para o desenvolvimento e a implementação de modelos de IA de fronteira. A autorregulamentação da indústria é um primeiro passo importante. No entanto, serão necessárias discussões sociais mais amplas e intervenção governamental para criar normas e garantir o cumprimento delas. Consideramos várias opções para esse fim, incluindo a concessão de poderes de aplicação a autoridades de supervisão e regimes de licenciamento para modelos de IA de fronteira. Finalmente, propomos um conjunto inicial de normas de segurança. Elas incluem realizar avaliações de risco pré-implementação; investigar externamente o comportamento do modelo; usar avaliações de risco para informar decisões de implementação; e monitorar e responder a novas informações sobre capacidades e usos do modelo pós-implementação. Esperamos que esta discussão contribua para uma conversa mais ampla sobre como equilibrar os riscos para a segurança pública e os benefícios da inovação a partir dos avanços de fronteira do desenvolvimento da IA.

Sumário Executivo

As capacidades dos modelos fundamentais atuais destacam tanto a promessa como os riscos dos rápidos avanços na IA. Esses modelos demonstraram um potencial significativo para beneficiar as pessoas numa vasta gama de domínios, incluindo educação, medicina e investigação científica. Ao mesmo tempo, os riscos colocados pelos modelos atuais, juntamente com as previsões do progresso futuro da IA, estimularam legitimamente apelos a uma maior supervisão e governança da IA numa série de questões políticas. Concentramo-nos numa dessas questões: a possibilidade de que, conforme as capacidades continuam a avançar, novos modelos fundamentais possam representar riscos graves para a segurança pública, seja por uso indevido, seja por acidente. Embora haja um debate contínuo sobre a natureza e o alcance desses riscos, esperamos que o envolvimento do governo seja necessário para garantir que tais “modelos de IA de fronteira” sejam aproveitados para o interesse público.

Três fatores sugerem que o desenvolvimento de IA de fronteira possa necessitar de uma regulamentação direcionada: (1) os modelos podem possuir capacidades perigosas inesperadas e difíceis de detectar; (2) modelos implementados para uso amplo podem ser difíceis de controlar de forma confiável e de impedir que sejam usados para causar danos; (3) eles podem proliferar rapidamente, permitindo contornar as proteções. É pouco provável que a autorregulamentação proporcione proteção suficiente contra os riscos de modelos de IA de fronteira: será necessária a intervenção governamental. Exploramos opções para tal intervenção. Elas incluem:

  • Mecanismos para criar e atualizar normas de segurança para o desenvolvimento e a implementação responsável da IA de fronteira. Eles devem ser desenvolvidos através de processos multilaterais e podem incluir normas relevantes para modelos fundamentais em geral, e não exclusivas à IA de fronteira. Esses processos devem facilitar a iteração rápida para acompanhar o ritmo da tecnologia.
  • Mecanismos para dar aos reguladores visibilidade sobre o desenvolvimento da IA de fronteira, tais como regimes de divulgação, processos de monitoração e proteções a delatores. Eles equipam os reguladores com as informações necessárias para se dirigir aos alvos regulatórios apropriados e projetar ferramentas eficazes para governar a IA de fronteira. As informações fornecidas diriam respeito à qualificação de processos, modelos e aplicações de desenvolvimento da IA de fronteira.
  • Mecanismos para garantir o cumprimento das normas de segurança. Os esforços de autorregulamentação, como a certificação voluntária, podem contribuir em parte para garantir a conformidade às normas de segurança por parte dos desenvolvedores de modelos da IA de fronteira. No entanto, parece provável que isso seja insuficiente sem a intervenção do governo, por exemplo, dando poder a uma autoridade de supervisão para identificar e sancionar a falta de cumprimento; ou licenciando a implementação e potencialmente o desenvolvimento da IA de fronteira. Projetar esses regimes para serem bem equilibrados é um desafio difícil; devemos ser sensíveis aos riscos de regulamentação excessiva e de entraves à inovação, por um lado, e de avançar demasiado lentamente com relação ao ritmo do progresso da IA, por outro.

Depois disso, descrevemos um conjunto inicial de normas de segurança que, se adotadas, forneceriam algumas proteções para o desenvolvimento e a implementação de modelos de IA de fronteira. Versões delas também poderiam ser adotadas para os atuais modelos de IA para a proteção contra uma série de riscos. Sugerimos que, no mínimo, as normas de segurança para o desenvolvimento da IA de fronteira incluam:

  • Realizar avaliações de risco completas baseadas em avaliações de capacidades perigosas e controlabilidade. Isso reduziria o risco de que os modelos implementados possuam capacidades perigosas desconhecidas ou se comportem de forma imprevisível e pouco confiável.
  • Envolver especialistas externos para aplicar um escrutínio independente aos modelos. O escrutínio externo do perfil de segurança e risco dos modelos melhoraria o rigor da avaliação e promoveria a prestação de contas perante o interesse público.
  • Seguir protocolos normatizados sobre como modelos de IA de fronteira podem ser implementados com base no risco avaliado. Os resultados das avaliações de risco devem determinar se e como o modelo será implementado e que proteções serão implementadas. Isso pode variar desde a implementação do modelo sem restrições até a não implementação. Em muitos casos, pode ser apropriada uma opção intermediária: implementação com proteções apropriadas (p. ex., mais pós-treinamento que torne o modelo mais propenso a evitar instruções arriscadas).
  • Monitorar e responder a novas informações sobre as capacidades do modelo. O risco avaliado de modelos de IA de fronteira implementados pode mudar ao longo do tempo devido a novas informações e novas técnicas de aprimoramento pós-implementação. Se forem descobertas informações significativas sobre as capacidades do modelo após a implementação, as avaliações de risco deverão ser repetidas e as proteções da implementação deverão ser atualizadas.

Daqui para frente, parece provável que os modelos de IA de fronteira justifiquem normas de segurança mais rigorosas do que as impostas à maioria dos outros modelos de IA, dados os riscos potenciais que representam. Exemplos de tais normas incluem: evitar grandes saltos nas capacidades entre gerações de modelos; adotar técnicas de alinhamento de última geração; e realizar avaliações de risco pré-treinamento. Tais práticas são incipientes hoje em dia e necessitam de maior desenvolvimento.

A regulamentação da IA de fronteira deve ser apenas uma parte de um portfólio político mais amplo, abordando a ampla gama de riscos e danos da IA, bem como os benefícios da IA. Os riscos colocados pelos atuais sistemas de IA devem ser abordados com urgência; a regulamentação da IA de fronteira teria como objetivo complementar e reforçar esses esforços, visando um subconjunto específico de esforços de IA com utilização intensiva de recursos. Embora permaneçamos incertos sobre muitos aspectos das ideias deste documento, esperamos que ele possa contribuir para uma discussão mais informada e concreta sobre como governar melhor os riscos dos sistemas avançados de IA, ao mesmo tempo viabilizando os benefícios da inovação para a sociedade.

[…]

3. Os Blocos de Construção para a Regulamentação da IA de Fronteira

Os três problemas descritos acima implicam que sérios riscos podem surgir durante o desenvolvimento e a implementação de um modelo de IA de fronteira, não apenas quando é utilizado em setores críticos de segurança. A regulamentação de modelos de IA de fronteira, portanto, deve lidar com a forma particular do desafio regulatório: as potenciais capacidades perigosas inesperadas; a dificuldade de implementar modelos de IA de forma segura; e a facilidade de proliferação.

Nesta seção, delineamos potenciais blocos de construção para a regulamentação da IA de fronteira. Na próxima seção, descrevemos um conjunto de normas de segurança inicial para modelos de IA de fronteira que esse regime regulatório poderia garantir que os desenvolvedores cumprissem.

Muito do que descrevemos poderia ser útil para estruturas de entendimento sobre como lidar com a variedade de desafios apresentados pelos modelos de IA atuais. Também reconhecemos que grande parte da discussão abaixo é mais diretamente aplicável ao contexto dos Estados Unidos. No entanto, esperamos que outras jurisdições possam se beneficiar dessas ideias, com modificações apropriadas.

Um regime regulatório para a IA de fronteira provavelmente precisaria incluir diversos blocos de construção:

  • Mecanismos para o desenvolvimento de normas de segurança de IA de fronteira, especialmente por meio de processos multilaterais liderados por especialistas e potencialmente coordenados por órgãos governamentais. Com o tempo, essas normas poderiam se tornar requisitos legais aplicáveis para garantir que os modelos de IA de fronteira sejam desenvolvidos de forma segura.
  • Mecanismos para fornecer visibilidade aos reguladores sobre o desenvolvimento de IA de fronteira, como regimes de divulgação, processos de monitoramento e proteção para delatores. Isso equipa os reguladores com as informações necessárias para lidar com os alvos regulatórios apropriados e projetar ferramentas eficazes para governar a IA de fronteira.
  • Mecanismos para garantir o cumprimento das normas de segurança, incluindo esquemas de autodeclaração voluntária, fiscalização por autoridades supervisoras e regimes de licenciamento. Embora os esforços de autorregulamentação, como a certificação voluntária, possam contribuir até certo ponto para garantir o cumprimento, isso parece provavelmente insuficiente para os modelos de IA de fronteira.

Os governos poderiam incentivar o desenvolvimento de normas e considerar aumentar a visibilidade regulatória hoje; ao fazer isso, também poderiam lidar com os danos potenciais dos sistemas existentes. Expomos as condições em que ferramentas mais rigorosas, como a fiscalização por autoridades supervisoras ou o licenciamento, podem ser justificadas abaixo.

A regulamentação da IA de fronteira também deve ser complementada com esforços para reduzir os danos que podem ser causados por diversas capacidades perigosas. Por exemplo, além de reduzir a utilidade dos modelos de IA de fronteira na concepção e produção de patógenos perigosos, as empresas de síntese de DNA deveriam fazer triagem para essas sequências genéticas preocupantes [142, 100]. Embora não discutamos tais esforços para fortalecer a sociedade contra a proliferação de capacidades perigosas neste artigo, apoiamos tais iniciativas da parte de outros.

3.1. Institucionalizar o Desenvolvimento das Normas de Segurança da IA de Fronteira

Os formuladores de políticas deveriam apoiar e iniciar processos sustentados e multilaterais para desenvolver e continuamente aprimorar as normas de segurança às quais os desenvolvedores de modelos de IA de fronteira podem ser obrigados a aderir. Para iniciar esses processos, os desenvolvedores de IA, em parceria com a sociedade civil e a academia, podem testar práticas que melhorem a segurança durante o desenvolvimento e a implementação [143, 144, 145, 146]. Essas práticas poderiam evoluir para melhores práticas e normas,36 finalmente sendo incorporadas às normas nacionais [149] e internacionais [150]. Os processos devem envolver, no mínimo, especialistas em ética e segurança da IA, pesquisadores de IA, acadêmicos e representantes dos consumidores. Por fim, essas normas poderiam formar a base para requisitos regulatórios substanciais [151]. Discutimos possíveis métodos para fazer cumprir essas normas legalmente requeridas abaixo.

Embora haja vários esforços semelhantes nos EUA, no Reino Unido e na UE, as normas específicas para o desenvolvimento e a implementação seguros de modelos de IA fundamentais de ponta estão em estágio inicial.37 Em particular, atualmente nos falta um conjunto resiliente e abrangente de métodos de avaliação para operacionalizar essas normas, e que capturem as capacidades potencialmente perigosas e os riscos emergentes que os sistemas de IA de fronteira podem apresentar [25]. Normas e métodos de avaliação bem especificados são um bloco de construção crítico para uma regulamentação eficaz. Os formuladores de políticas podem desempenhar um papel crítico direcionando investimentos e talentos para o desenvolvimento dessas normas com urgência.

Os governos podem promover o desenvolvimento de normas trabalhando com partes interessadas para criar um ecossistema resiliente de capacidade para testes de segurança e organizações de auditoria, iniciando um ecossistema de garantia de terceiros [155]. Isso pode ajudar no desenvolvimento de normas de IA em geral, não apenas normas de IA de fronteira. Em particular, os governos podem liderar o desenvolvimento de métodos de teste, avaliação, validação e verificação em domínios críticos para a segurança, como defesa, saúde, finanças e contratação [156, 157, 158]. Eles podem impulsionar a demanda por garantia de IA atualizando seus requisitos de aquisição para sistemas de alto risco [159] e financiando pesquisas sobre riscos emergentes de modelos de IA de fronteira, inclusive oferecendo recursos computacionais para pesquisadores acadêmicos [158, 160, 161]. Orientações sobre como as regras existentes se aplicam à IA de fronteira também podem apoiar o processo, por exemplo, operacionalizando termos como “robustez” [162, 163, 164].

O desenvolvimento de normas também fornece uma via para uma entrada mais ampla na regulamentação da IA de fronteira. Por exemplo, é comum realizar processos de Solicitação de Comentários para obter opiniões sobre questões de grande importância pública, como normatização em privacidade [165], cibersegurança [166] e responsabilidade algorítmica [167].

Oferecemos uma lista de possíveis normas de segurança iniciais abaixo.

3.2. Aumentar a Visibilidade Regulatória

A informação é frequentemente considerada a “essência” da governança eficaz.38 Para que os reguladores possam impactar positivamente um determinado domínio, eles precisam entendê-lo. Portanto, os reguladores dedicam recursos significativos para a coleta de informações sobre as questões, atividades e organizações que buscam governar [171, 172].

Regulamentar a IA não deve ser uma exceção [173]. Os reguladores precisam entender a tecnologia, os recursos, os atores e o ecossistema que a criam e a utilizam. Caso contrário, os reguladores podem deixar de lidar com os alvos regulatórios apropriados, oferecer soluções regulatórias ineficazes ou introduzir regimes regulatórios que tenham consequências adversas não pretendidas.39 Isso é particularmente desafiador para a IA de fronteira, mas certamente é verdadeiro para a regulamentação de sistemas de IA em geral.

Existem várias abordagens complementares para alcançar a visibilidade regulatória [169]. Primeiro, os reguladores poderiam desenvolver uma estrutura que facilite que as empresas de IA divulguem voluntariamente informações sobre a IA de fronteira ou modelos fundamentais em geral. Isso poderia incluir prover documentação sobre os próprios modelos de IA [175, 176, 177, 178, 179], bem como os processos envolvidos em seu desenvolvimento [180]. Em segundo lugar, os reguladores poderiam exigir essas ou outras divulgações e impor requisitos de relatórios às empresas de IA, como é comum em outras indústrias.40 Em terceiro lugar, os reguladores poderiam auditar diretamente, ou por meio de terceiros, as empresas de IA com relação a estruturas [182] estabelecidas de segurança e gerenciamento de riscos (sobre auditoria, veja [183, 184]). Por fim, como em outras indústrias, os reguladores poderiam estabelecer regimes de denúncia que protejam indivíduos que divulguem informações críticas para a segurança às autoridades governamentais relevantes [185, 186].

Ao estabelecer esquemas de divulgação e relatórios, é fundamental que informações sensíveis fornecidas sobre modelos de IA de fronteira e seus proprietários sejam protegidas de atores adversários. Os riscos de vazamento de informações podem ser mitigados mantendo uma alta segurança da informação, reduzindo a quantidade e a sensibilidade das informações armazenadas (exigindo apenas informações claramente necessárias e tendo políticas claras de retenção de dados) e divulgando informações apenas a um pequeno número de pessoal com políticas claras de confidencialidade.

Atualmente, a visibilidade regulatória nos modelos de IA em geral ainda é limitada e geralmente é fornecida por atores não governamentais [187, 188, 189]. Embora esses esforços privados ofereçam informações valiosas, eles não substituem a visibilidade regulatória mais estratégica e orientada ao risco. Os esforços governamentais incipientes para aumentar a visibilidade regulatória devem ser apoiados e reforçados, tanto para a IA de fronteira quanto para uma variedade mais ampla de modelos de IA.41

3.3. Garantir o Cumprimento das Normas

Normas concretas lidam com os desafios apresentados pelo desenvolvimento de IA de fronteira apenas na medida em que são cumpridas. Esta seção discute uma lista incompleta de ações que os governos podem realizar para garantir o cumprimento, potencialmente em combinação, incluindo: incentivar a autorregulamentação voluntária e a certificação; conceder poderes aos reguladores para detectar e emitir penalidades pela não conformidade; e exigir uma licença para desenvolver e/ou implementar IA de fronteira. A seção conclui discutindo pré-condições que devem informar quando e como tais mecanismos são implementados.

Várias dessas ideias poderiam ser aplicadas adequadamente à regulamentação de modelos de IA em geral, especialmente modelos fundamentais. No entanto, como observamos abaixo, intervenções como regimes de licenciamento provavelmente só são justificadas para as atividades de IA de mais alto risco, nas quais há evidências de uma chance suficiente de danos em grande escala e outras abordagens regulatórias parecem inadequadas.

3.3.1. Autorregulamentação e Certificação

Os governos podem acelerar a convergência da indústria e a adesão às normas de segurança criando ou facilitando estruturas multilaterais para a autorregulamentação e a certificação voluntárias, implementando estruturas de boas práticas para governança de riscos internamente [192] e incentivando a criação de terceiros ou órgãos da indústria capazes de avaliar a conformidade de uma empresa com essas normas [193]. Tais esforços incentivam tanto a conformidade com as normas de segurança quanto ajudam a construir uma infraestrutura organizacional crucial e uma capacidade para apoiar uma ampla gama de mecanismos regulatórios, incluindo abordagens mais rigorosas.

Embora normas voluntárias e esquemas de certificação possam ajudar a estabelecer referências da indústria e normatizar as melhores práticas,42 a autorregulamentação por si só provavelmente será insuficiente para modelos de IA de fronteira, e provavelmente também para os modelos fundamentais de ponta atuais em geral. No entanto, esquemas de autorregulamentação e certificação frequentemente servem como base para outras abordagens regulatórias [194], e os reguladores comumente se baseiam na experiência e recursos do setor privado [195, 151]. Dado o rápido ritmo do desenvolvimento de IA, esquemas de autorregulamentação podem desempenhar um papel importante na construção da infraestrutura necessária para a regulamentação formal.43

3.3.2. Mandatos e Aplicação da parte de Autoridades Supervisoras

Uma abordagem mais rigorosa é exigir o cumprimento das normas de segurança para o desenvolvimento e a implementação de IA de fronteira e capacitar uma autoridade supervisora 44 para tomar medidas administrativas de fiscalização para garantir o cumprimento. A fiscalização administrativa pode ajudar a promover vários objetivos regulatórios importantes, incluindo dissuasão geral e específica por meio de anúncios públicos de casos e penalidades civis, e a capacidade de proibir os infratores de participar do mercado.

As autoridades supervisoras poderiam “nomear e envergonhar” desenvolvedores não conformes. Por exemplo, as autoridades supervisoras financeiras nos EUA e na UE publicam suas decisões de impor sanções administrativas com relação ao abuso de mercado (como negociação com informações privilegiadas ou manipulação de mercado) em seus sites, incluindo informações sobre a natureza da infração e a identidade da pessoa sujeita à decisão.45 Anúncios públicos, quando combinados com outras ferramentas regulatórias, podem desempenhar uma função de dissuasão importante.

A ameaça de multas administrativas significativas ou penalidades civis pode fornecer um forte incentivo para as empresas garantirem o cumprimento das orientações dos reguladores e das melhores práticas. Para casos particularmente flagrantes de não conformidade e danos,46 as autoridades supervisoras podem negar o acesso ao mercado ou considerar penalidades mais severas.47 Quando necessárias para o acesso ao mercado, a autoridade supervisora pode revogar autorizações governamentais como licenças, uma ferramenta regulatória amplamente disponível no setor financeiro.48 O acesso ao mercado também pode ser negado para atividades que não exigem autorização. Por exemplo, a Lei Sarbanes-Oxley permite que a Comissão de Valores Mobiliários dos EUA proíba pessoas de atuarem como diretores ou executivos de empresas de capital aberto [199].

Todas as medidas administrativas de fiscalização dependem de informações adequadas. Os reguladores de sistemas de IA de fronteira podem precisar de autoridade para coletar informações, como o poder de solicitar informações necessárias para uma investigação, conduzir investigações no local 49 e exigir auditorias contra estruturas estabelecidas de segurança e gerenciamento de riscos. As empresas reguladas também podem ser obrigadas a relatar proativamente determinadas informações, como acidentes acima de um certo nível de gravidade.

3.3.3. Licenciar o Desenvolvimento e a Implementação de IA de Fronteira

A aplicação por autoridades supervisoras penaliza a não conformidade após o ocorrido. Uma abordagem mais preventiva e antecipatória para garantir o cumprimento é exigir uma licença governamental para implementar amplamente um modelo de IA de fronteira, e potencialmente também para desenvolvê-lo.50 Exigências de licenciamento e similares são comuns em indústrias críticas para a segurança e outras de alto risco, como transporte aéreo [207, 208], geração de energia [209], fabricação de medicamentos [210] e serviços bancários [211]. Embora os detalhes possam variar, a regulamentação dessas indústrias geralmente exige que alguém envolvido em uma atividade crítica para a segurança ou de alto risco receba primeiro permissão governamental para fazê-la; relate regularmente informações ao governo; e siga regras que tornem essa atividade mais segura.

O licenciamento só é justificado para as atividades de IA de mais alto risco, nas quais há evidências de potencial risco de danos em larga escala e outras abordagens regulatórias parecem inadequadas. Impor tais medidas aos sistemas de IA atuais potencialmente cria ônus regulatórios excessivos para os desenvolvedores de IA que não são proporcionais à gravidade e escala dos riscos apresentados. No entanto, se os modelos de IA começarem a ter o potencial de apresentar riscos para a segurança pública acima de um alto limite de gravidade, regulamentar tais modelos de forma semelhante a outras indústrias de alto risco pode se tornar justificado.

Há pelo menos duas etapas em que o licenciamento para IA de fronteira pode ser exigido: implementação e desenvolvimento.51 O licenciamento baseado na implementação é mais análogo aos regimes de licenciamento comuns entre outras atividades de alto risco. No modelo de licenciamento para implementação, os desenvolvedores de IA de fronteira precisariam de uma licença para implementar amplamente um novo modelo de IA de fronteira. A licença de implementação seria concedida e mantida se o implementador demonstrasse conformidade com um conjunto especificado de normas de segurança (veja abaixo). Isso é análogo à abordagem regulatória em, por exemplo, regulamentação farmacêutica, na qual os medicamentos só podem ser comercializados se tiverem passado por testes adequados [212].

No entanto, exigir licenciamento apenas para a implementação de modelos de IA de fronteira pode ser inadequado se eles forem potencialmente capazes de causar danos em grande escala; licenças para o desenvolvimento podem ser um complemento útil. Em primeiro lugar, como discutido acima, existem argumentos razoáveis ​​para começar a regulamentação na fase de desenvolvimento, especialmente porque os modelos de IA de fronteira podem ser roubados ou vazados antes da implementação. Garantir que o desenvolvimento (não apenas a implementação) seja conduzido de forma protegida e segura seria, portanto, de suma importância. Em segundo lugar, antes que os modelos sejam amplamente implementados, eles geralmente são implementados em uma escala menor, testados por trabalhadores de crowdsourcing e usados internamente, borrando a distinção entre desenvolvimento e implementação na prática. Além disso, certos modelos podem não ser destinados a uma ampla implementação, mas sim usados, por exemplo, para desenvolver propriedade intelectual que o desenvolvedor distribui por outros meios. Em suma, os modelos podem ter um impacto significativo antes de uma implementação ampla. Como benefício adicional, fornecer ao regulador o poder de supervisionar o desenvolvimento do modelo também pode promover a visibilidade regulatória, permitindo que as regulamentações se adaptem mais rapidamente.

Um requisito de licenciamento para o desenvolvimento, por exemplo, poderia exigir que os desenvolvedores tenham medidas de segurança suficientes para proteger seus modelos do roubo, e que adotem práticas organizacionais de redução de riscos, como estabelecer registros de incidentes de risco e segurança e conduzir avaliações de risco antes de iniciar uma nova execução de treinamento. É importante que esses requisitos não sejam excessivamente onerosos para os novos entrantes; o governo poderia fornecer subsídios e apoio para limitar os custos de conformidade para organizações menores.

Embora menos comum, existem várias áreas em que a aprovação é necessária na fase de desenvolvimento, especialmente onde são necessários grandes investimentos de capital e onde um ator está em posse de um objeto potencialmente perigoso. Por exemplo, aeronaves experimentais nos EUA requerem uma certificação experimental especial para testar e operar sob restrições especiais.52 Embora isso possa ser considerado apenas “pesquisa e desenvolvimento”, na prática, a pesquisa e desenvolvimento de aeronaves experimentais, assim como modelos de IA de fronteira, necessariamente criarão alguns riscos significativos. Outro exemplo é o Programa Federal de Agentes Selecionados dos EUA [213], que exige que (a maioria dos) indivíduos que possuem, usam ou transferem certos agentes biológicos ou toxinas [214] altamente arriscados se registrem junto ao governo;53 cumpram regulamentações sobre como esses agentes são manuseados [216]; realizem avaliações de risco de segurança para prevenir que possíveis atores mal-intencionados obtenham acesso aos agentes [217]; e submetam-se a inspeções para garantir o cumprimento das regulamentações [218].

3.3.4. Pré-condições para Mecanismos Rigorosos de Aplicação

Embora acreditemos que o envolvimento do governo será necessário para garantir o cumprimento das normas de segurança para a IA de fronteira, há potenciais desvantagens em apressar a regulamentação. Como observado acima, ainda estamos nos estágios iniciais de compreensão do escopo completo, das capacidades e do impacto potencial dessas tecnologias. A ação governamental prematura poderia arriscar a ossificação e ônus regulatórios excessivos ou mal direcionados. Isso destaca a importância do investimento a curto prazo no desenvolvimento de normas e métodos de avaliação associados para operacionalizar essas normas. Além disso, sugere que seria uma prioridade garantir que os requisitos sejam regularmente atualizados por meio de processos tecnicamente informados.

Uma preocupação particular é que a regulamentação poderia impedir excessivamente a inovação, incluindo o ônus para pesquisa e desenvolvimento em confiabilidade e segurança da IA, exacerbando assim os problemas com que a regulamentação visa lidar. Os governos devem, portanto, ter um cuidado considerável ao decidir se e como regulamentar o desenvolvimento de modelos de IA, minimizando o ônus regulatório o máximo possível especialmente para atores com menos recursos e concentrando-se no que é necessário para atender aos objetivos de política descritos.

A capacidade de equipar os órgãos reguladores com expertise suficiente também é crucial para a regulamentação eficaz. A falta de expertise aumenta o risco de que assimetrias de informação entre a indústria regulada e os reguladores levem à captura regulatória [219], e reduz uma aplicação significativa. Tais questões devem ser antecipadas e mitigadas.54 Investir na construção e atração de expertise em IA, especialmente na fronteira, deve ser uma prioridade governamental.55 Mesmo com expertise suficiente, a regulamentação pode aumentar o poder dos incumbentes, e isso deve ser combatido ativamente no desenho da regulamentação.

Projetar um regime regulatório apropriado, equilibrado e adaptável para uma tecnologia em rápida evolução é um desafio difícil, no qual o momento e a dependência do caminho importam muito. É crucial regulamentar tecnologias de IA que poderiam ter impactos significativos na sociedade, mas também é importante estar ciente dos desafios de fazer isso bem. Cabe aos legisladores, especialistas em políticas e acadêmicos investir com urgência e suficiência para garantir que tenhamos uma base sólida de normas, expertise e clareza sobre o desafio regulatório sobre o qual construir a regulamentação da IA de fronteira.

Notas:

36. Exemplos de fóruns atuais incluem: [147, 148].

37. Nos Estados Unidos, o Instituto Nacional de Normas e Tecnologias produziu a Estrutura de Gerenciamento de Riscos de IA e a Agência Nacional de Telecomunicações e Informações solicitou comentários sobre quais políticas podem apoiar o desenvolvimento da garantia de IA. O Reino Unido estabeleceu um Centro de Normas de IA. A Comissão da União Europeia encarregou as organizações europeias de normatização CEN e CENELEC de desenvolver normas relacionadas à IA segura e confiável, para informar a sua próxima Lei de IA [149, 152, 153, 154].

38. Veja [168] (mas veja as alegações no artigo sobre o desafio dos incentivos privados), [169] (veja a página 282 sobre a necessidade de informação e a página 285 sobre a vantagem informacional da indústria), [170].

39. Isso é exacerbado pelo problema do ritmo [174] e pelo histórico ruim dos reguladores em monitorar plataformas (APIs de LLMs são plataformas) [172].

40. Um dos muitos exemplos de outras indústrias é a Lei de Títulos e Câmbio de 1934, que exige que as empresas divulguem informações financeiras específicas em relatórios anuais e trimestrais. Mas veja [181] sobre as deficiências da divulgação obrigatória.

41. O Roteiro Conjunto UE-EUA do TTC discute “monitoramento e medição dos riscos de IA existentes e emergentes” [190]. A Lei de IA proposta pelo Parlamento Europeu inclui disposições sobre a criação de um Escritório de IA, que seria responsável, p. ex., por “emitir opiniões, recomendações, conselhos ou orientações”, veja [24, considerando 76]. O Livro Branco do Reino Unido “Uma abordagem pró-inovação para a regulamentação da IA” propõe a criação de uma função governamental central destinada, p. ex., a monitorar e avaliar o ambiente regulatório para a IA [191, quadro 3.3].

42. Tal conformidade pode ser incentivada por meio da demanda do consumidor [193].

43. Alguns exemplos concretos incluem:

  • Na chamada “Nova Abordagem” da UE à segurança do produto adotada na década de 1980, a regulamentação sempre se baseia em normas para fornecer as especificações técnicas, como, por exemplo, como operacionalizar “suficientemente robusto.” [196]
  • Os membros da OMC comprometeram-se a utilizar normas internacionais na medida do possível na regulamentação doméstica [197, §2.4].

44. Não opinamos aqui sobre quais agências novas ou existentes seriam as melhores para isso, embora essa seja, claro, uma questão muito importante.

45. Para a UE, veja, por exemplo, o Art. 34(1) do Regulamento (UE) nº 596/2014 (MAR). Para os EUA, veja, por exemplo, [198].

46. Por exemplo, se uma empresa lançasse repetidamente modelos de ponta que pudessem ajudar significativamente a atividade criminosa cibernética, resultando em bilhões de dólares em danos contrafactuais, como resultado de não cumprir as normas exigidas e ignorar repetidas instruções explícitas de um regulador.

47. Por exemplo, uma variedade de más condutas financeiras — como insider trading e fraude de títulos — é punida com penas criminais. 18 U.S.C. § 1348; 15 U.S.C. § 78j(b)

48. Por exemplo, na UE, bancos e bancos de investimento requerem uma licença para operar, e as autoridades de supervisão podem revogar a autorização sob certas condições.

  • Art. 8(1) da Diretiva 2013/36/UE (CRD IV)
  • Art. 6(1) da Diretiva 2011/61/UE (AIFMD) e Art. 5(1) da Diretiva 2009/65/CE (UCITS)
  • Art. 18 da Diretiva 2013/36/UE (CRD IV), Art. 11 da Diretiva 2011/61/UE (AIFMD), Art. 7(5) da Diretiva 2009/65/CE (UCITS)

Nos EUA, a SEC pode revogar o registro de uma empresa, o que efetivamente encerra a capacidade de negociar publicamente ações da empresa. 15 U.S.C. § 78l(j).

49. Para exemplos de tais poderes na legislação da UE, veja o Art. 58(1) do Regulamento (UE) 2016/679 (GDPR) e o Art. 46(2) da Diretiva 2011/61/UE (AIFMD). Para exemplos na legislação dos EUA, veja [200, 201].

50. Jason Matheny, diretor-executivo da RAND Corporation: “Acredito que precisamos de um regime de licenciamento, um sistema de governança de trilhos de proteção em torno dos modelos que estão sendo construídos, a quantidade de computação que está sendo usada para esses modelos, os modelos treinados que, em alguns casos, estão sendo disponibilizados como código aberto para que possam ser usados de forma inadequada por outros. Acho que precisamos evitar isso. E acho que vamos precisar de uma abordagem regulatória que permita ao governo dizer que ferramentas acima de certo tamanho com certo nível de capacidade não podem ser livremente compartilhadas em todo o mundo, inclusive para nossos concorrentes, e precisam ter certas garantias de segurança antes de serem implementadas” [202]. Veja também [203], e declarações durante a audiência do Senado em 16 de maio de 2023 do Subcomitê de Privacidade, Tecnologia e Direito sobre Regras para Inteligência Artificial [204]. Pesquisas de opinião pública nos EUA também abordaram a questão. Uma pesquisa de janeiro de 2022 descobriu 52% de apoio para um órgão regulador fornecer pré-aprovação de certos sistemas de IA, semelhante à FDA [205], enquanto uma pesquisa de abril descobriu 70% de apoio [206].

51. Em ambos os casos, seria possível licenciar a atividade ou a entidade.

52. 14 CFR § 91.319.

53. 42 C.F.R. § 73.7. O governo dos EUA mantém um banco de dados sobre quem possui e trabalha com tais agentes [215].

54. Políticas a serem consideradas incluem:

  • Envolvimento de uma ampla variedade de grupos de interesse na elaboração de regras.
  • Confiança em especialistas independentes e realização de reavaliações regulares das regulamentações.
  • Imposição de períodos obrigatórios de “resfriamento” entre ex-reguladores que trabalham para regulados.
  • Rodízio de funções nos órgãos reguladores.

Veja [220, 221].

55. Nos Estados Unidos, o TechCongress — um programa que coloca cientistas da computação, engenheiros e outros tecnólogos para atuarem como assessores de políticas tecnológicas para os membros do Congresso — é um passo promissor na direção certa [222], mas é improvável que seja suficiente. Também existem várias iniciativas privadas com objetivos semelhantes (p. ex., [223]). No Reino Unido, o Livro Branco sobre regulamentação de IA destaca a necessidade de envolver expertise externa [191, Seção 3.3.5]. Veja também o relatório sobre capacidade regulatória para IA pelo Instituto Alan Turing [224].

Referências:

Consulte as referências do artigo original.

Publicado originalmente em 6 de julho de 2023 e traduzido a partir da versão de 11 de julho de 2023 disponível aqui.

Tradução: Luan Marques

Deixe um comentário