Dotaz:
- ČNB využívá nástroje AI (umělé inteligence). Jakým způsobem je zajištěna ochrana citlivých dat, např. údajů podléhajících bankovnímu tajemství? Zejména pokud nástroj generativní AI (např. Copilot) běží v prostředí cloudových služeb?
- Vydala ČNB nějaké doporučení, stanovisko, rozhodnutí apod. k využívání nástrojů AI (komerčními) bankami?
Odpověď:
Ad 1. Předně je třeba uvést, že ČNB provozuje vlastní interní prostředí ČNB Lab pro různé expertízy bankovních analytiků napříč ČNB (viz https://www.cnb.cz/cs/ekonomicky-vyzkum/cnb-lab/). K jeho provozu využívá vlastní interní infrastrukturu umožňující nezávisle zpracovávat informace, které nelze z bezpečnostních či právních důvodů zpracovávat v prostředí cloudových služeb zajišťovaných třetími stranami.
Zpracování citlivých dat a informací, včetně informací podléhajících služebnímu či dohledovému tajemství, v rámci cloudových služeb se striktně řídi nastavenými interními pravidly jejich ochrany. Cílem interních pravidel je nastavit bezpečný a odpovědný rámec pro nakládání s těmito informacemi. Interní pravidla stanovují základní bezpečnostní principy práce s cloudovými AI nástroji, jejich kategorizaci a pravidla pro nakládání s informacemi včetně zpracování osobních údajů a provádění analýz operačních rizik souvisejících s používáním AI. ČNB tak vychází z klasifikace dat, které mohou být zpracovány v cloudových službách a dále z kategorizace samotných cloudů.
ČNB z důvodu ochrany informací a dat, která podléhají bankovnímu tajemství dle § 49 zákona č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů[1], tyto informace pomocí nástrojů generativní AI provozovaných v prostředí cloudových služeb nezpracovává.
Ad 2. ČNB nevydala žádné stanovisko ani dohledový benchmark za účelem seznámení dohlížených úvěrových institucí se zobecněnými dohledovými poznatky a souvisejícími očekáváními dohledu v oblasti využívání nástrojů AI.
K tomu je třeba pro úplnost dodat, že oblast využívání nástrojů IT/IS úvěrovými institucemi, včetně nástrojů generativní AI, podléhá nařízení DORA a obecné regulaci řízení operačních rizik. Oblast operační odolnosti (DORA) je přehledně zpracována na webu ČNB zde: https://www.cnb.cz/cs/dohled-financni-trh/dora-digitalni-provozni-odolnost-financniho-trhu/.
[1] Ust. § 49: „Na všechny bankovní operace České národní banky včetně stavů na účtech, které vede, se vztahuje bankovní tajemství.“.