8 минуты чтения

Поделиться этой статьей

Rate this Post

Подготовьтесь к Закону ЕС о ИИ

03/08/2024

Искусственный интеллект давно является актуальной темой, привлекающей общественное внимание как своим потенциалом, так и вопросами прав и защиты граждан, связанными с его применением. Учитывая это, было только вопросом времени, когда будут приняты комплексные правовые нормы, регулирующие эту сферу, и ожидание наконец подошло к концу с принятием Закона ЕС о Искусственном Интеллекте!

После долгих переговоров в декабре 2023 года было достигнуто соглашение между Европейским парламентом и Советом Европы по проекту Закона о ИИ, и его окончательная версия была принята 21 мая 2024 года Советом Европейского Союза.

Реализация этого проекта Европейского Союза активно продолжается, и в январе этого года Европейская комиссия учредила Офис ИИ, а также был создан официальный сайт для Закона ЕС о ИИ (далее: Закон о ИИ), где можно узнать больше об этом «революционном» регулировании.

Наконец, Закон об искусственном интеллекте вступил в силу 1 августа 2024 года, и первый набор юридических обязательств начнет действовать с 2 февраля 2025 года, как указано в нашем блоге: «Хронология Закона об ИИ – обратный отсчет начинается!». С учетом этого, организации, которые используют или планируют использовать системы искусственного интеллекта, должны ознакомиться с новыми обязательствами и инновациями, введенными Законом о ИИ, и провести оценку уровня соответствия своих ИИ-систем новым правилам, чтобы быть готовыми к его внедрению.

 

Что такое системы искусственного интеллекта?

 

Закон о ИИ устанавливает правила использования систем ИИ и вводит запреты или специфические требования, связанные с определёнными типами этих систем, а также меры для поддержки инноваций с особым акцентом на малые и средние предприятия.

Соответственно, прежде всего необходимо определить, что такое системы ИИ, чтобы понять, к каким сферам применения относится этот Закон. Вместо того чтобы загромождать вас длинным юридическим определением «систем ИИ», ниже мы приводим несколько примеров таких систем:

  • Системы рекомендаций: Такие как те, что используются стриминговыми сервисами, такими как Netflix или Spotify, которые предлагают фильмы, телевизионные шоу или музыку на основе предпочтений пользователя и его прошлого поведения.
  • Автономные транспортные средства: Самоуправляемые автомобили, которые интерпретируют данные с датчиков для принятия решений по навигации, скорости и избеганию препятствий.
  • Чат-боты и виртуальные ассистенты: Разговорные агенты на базе ИИ, такие как Siri, Alexa или чат-боты службы поддержки, которые предоставляют ответы и рекомендации на основе ввода пользователя.
  • Инструменты для генерации контента: Системы на базе ИИ, которые генерируют текст, изображения или видео, такие как GPT-3 для генерации текста или инструменты, создающие произведения искусства или музыку.
  • Умные устройства для дома: Устройства, такие как умные термостаты или камеры видеонаблюдения, которые изучают поведение пользователя и принимают решения для оптимизации настроек дома или оповещают владельцев о необычных действиях.
  • Биометрические системы: Системы, использующие личные характеристики (непосредственно связанные с вашей личностью) для аутентификации или идентификации человека.
  • Системы ИИ, используемые для набора персонала или отбора кандидатов: Применяются для анализа и фильтрации заявок.

 

Мы подчеркиваем, что это только некоторые из множества типов систем ИИ, и новые приложения искусственного интеллекта постоянно разрабатываются.

 

Кому применим Закон о ИИ?

 

Закон о ИИ вводит широкий спектр категорий организаций, к которым он применяется, таких как:

  • Поставщики ИИ: Организации, которые разрабатывают системы ИИ самостоятельно или с помощью других.
  • Разработчики ИИ: Организации, которые используют системы ИИ (кроме личного использования).
  • Импортеры и дистрибьюторы систем ИИ.
  • Производители систем ИИ.
  • Уполномоченные представители поставщиков, которые не имеют представительства в ЕС.
  • Лица, на которых влияют системы ИИ, расположенные в ЕС.

 

Таким образом, если физическое лицо или компания попадают в одну из вышеуказанных категорий, они подпадают под действие Закона о ИИ и обязаны выполнять введенные им обязательства.

Подобно GDPR, Закон о ИИ имеет как территориальное, так и экстерриториальное применение. То есть, хотя это акт Европейского Союза, его положения будут применяться в некоторых случаях к физическим и юридическим лицам из стран, не входящих в ЕС.

Конкретно, помимо поставщиков и пользователей ИИ, расположенных в Европейском Союзе, Закон о ИИ также применяется к:

  • Поставщикам из третьих стран, которые размещают системы ИИ на рынке или вводят их в эксплуатацию в Европейском Союзе;
  • Поставщикам и разработчикам систем ИИ, которые находятся в третьих странах, где результаты, созданные системой ИИ, используются в Европейском Союзе.

 

Пример: ИТ-компания, расположенная в Сербии (или другой стране, не входящей в ЕС), разрабатывает ИТ-решение на базе ИИ для подбора кадров. Продукт будет доступен и предложен компаниям и пользователям в ЕС. Эта ИТ-компания из Сербии будет обязана соблюдать Закон о ИИ, и уровень обязательств будет зависеть от уровня риска системы ИИ (как поясняется ниже).

Таким образом, с определенными исключениями (например, системы, используемые исключительно в военных, оборонных или исследовательских целях), Закон о ИИ применяется к:

  • Частному и государственному секторам,
  • Организациям внутри и за пределами ЕС,
  • И устанавливает ряд обязательств для всех участников, участвующих в разработке, применении и использовании искусственного интеллекта — от поставщиков до импортеров и пользователей систем ИИ.

 

Подход Закона о ИИ к искусственному интеллекту

 

Закон о ИИ использует подход, основанный на оценке рисков, для регулирования использования искусственного интеллекта. Это означает, что обязательства и юридические меры соответствуют уровню риска, который конкретная система ИИ представляет для прав и свобод индивидуумов и общества в целом.

Подход Закона о ИИ основывается на выделении 4 уровней риска, с обязательствами, соответствующими каждому из них. Риски классифицируются как (1) неприемлемые, (2) высокие, (3) прозрачные и (4) минимальные (которые не подлежат регулированию).

(1) Для систем искусственного интеллекта, которые считаются имеющими неприемлемый риск, Закон о ИИ требует их запрета. Примеры неприемлемых систем ИИ, приведенные Европейским парламентом[1], включают:

  • Игрушки с голосовым управлением, которые побуждают детей к опасному поведению,
  • Системы классификации людей по поведению, социально-экономическому статусу или личным характеристикам. Системы биометрической идентификации в реальном времени и дистанционного распознавания, такие как распознавание лиц (разрешены только при определенных исключениях).

 

(2) Для систем с высоким риском Закон о ИИ вводит условия, которым должны соответствовать эти системы, такие как управление рисками, качество и безопасность данных, прозрачность, документация о производительности, обслуживание и обновления, надзор со стороны человека и точность. Организации, предоставляющие или внедряющие эти системы, будут обязаны выполнять такие обязательства, как регистрация, управление качеством, тестирование системы, мониторинг, ведение записей и отчетность о происшествиях. Примеры систем с высоким риском включают те, которые используются в образовании, трудоустройстве, предоставлении важных частных и общественных услуг, правоохранительных органах, управлении пограничным контролем и администрации правосудия.

(3) Как третью категорию регулируемых систем ИИ, Закон о ИИ признает системы с ограниченным риском, для которых он вводит обязательства по обеспечению прозрачности. Эта категория включает, например, чат-ботов для поддержки клиентов, которые предоставляют автоматизированные ответы на запросы пользователей.

(4) Наконец, другие системы ИИ, которые не подлежат специфическому регулированию по закону, считаются системами с низким риском, и Закон не накладывает особых обязательств для их разработки, тестирования или использования. Эта категория включает, например, фильтры электронной почты для отделения спама. Однако власти ЕС поощряют добровольное соблюдение нормативных требований для систем ИИ с низким риском, установленных Законом о ИИ.

 

Заключение: Чем выше риск, тем больше обязательств и последствий за несоответствие.

 

Кроме того, Закон о ИИ специально регулирует модели искусственного интеллекта общего назначения (GPAI), т.е. ИИ-модели, способные эффективно выполнять широкий спектр различных задач, независимо от того, как эти модели продвигаются на рынке, и которые могут быть интегрированы в различные системы или приложения (например, широко используемый ChatGPT). Для такого типа ИИ-моделей закон вводит конкретные обязательства для их поставщиков и пользователей, которые включают:

  • Создание и предоставление подробной технической документации модели в орган контроля по запросу,
  • Предоставление пользователям информации для понимания возможностей, ограничений и структуры модели, а также публичное размещение достаточно подробного резюме содержания, использованного для обучения модели,
  • Поддержание надлежащей защиты кибербезопасности, проведение оценки модели,
  • Назначение представителя в ЕС для поставщиков из третьих стран, которые размещают свои ИИ-системы на рынке ЕС.

 

Для получения дополнительной информации о классификации ИИ-систем в зависимости от их рисков, обязательств и мер, которым эти системы будут подлежать, читайте наш блог Изучаем Закон о ИИ ЕС.

 

Каков график соблюдения требований Закона о ИИ?

 

Полное внедрение Закона о ИИ начнется через 24 месяца после его вступления в силу, за исключением некоторых положений. Планируемый график внедрения Закона о ИИ следующий:

Юридическое обязательство

Срок

Ожидаемая дата начала

  • Запрещение использования ИИ-систем, признанных представляющими неприемлемый риск

6 месяцев

2 февраля 2025

   

• Положения, касающиеся моделей искусственного интеллекта общего назначения

• Создание Европейского совета по искусственному интеллекту и Научной панели независимых экспертов, а также назначение компетентных органов

• Назначение органов и учреждений для уведомлений

• Положения, касающиеся конфиденциальности и санкций

12 месяцев

2 августа 2025

   
  • Остальная часть Закона об ИИ, за исключением части, которая вступает в силу через 36 месяцев после публикации

24 месяца

2 августа 2026

   
  • Реализация условий для высокорисковых систем ИИ

36 месяцев

2 августа 2027

   
  • Для определённых систем, размещённых на рынке или введённых в эксплуатацию до истечения 12 месяцев после начала применения, но являющихся компонентами крупномасштабных ИТ-систем, установленных законодательством ЕС в области свободы, безопасности и правосудия.

До конца 2030 года

 

Как подготовиться к внедрению Закона об ИИ?

 

Учитывая сложность Закона об ИИ и многочисленные новые обязательства, которые он вводит, рекомендуется проактивный подход со стороны организаций и предприятий в отношении соблюдения требований, а также своевременное внедрение соответствующих мер для подготовки к применению нового законодательства.

 

1) Для обеспечения соблюдения рекомендуем предпринять следующие шаги:

Картирование систем ИИ Чтобы определить, подлежите ли вы действию Закона об ИИ, необходимо провести подробное картирование всех систем ИИ, которые вы в настоящее время разрабатываете, продвигаете, используете или планируете использовать в будущем.

Во время картирования следует определить, для кого предназначены эти системы, какие у них возможности и какую роль ваша организация играет в отношении этих систем ИИ (разрабатываете ли вы их, используете ли, планируете ли продавать их в Европейском Союзе и т.д.).

Кроме того, чтобы понять, будет ли на вашу организацию распространяться Закон об ИИ, нужно определить, в какую категорию риска попадают эти системы.

 

2) Определение обязательств в рамках Закона об ИИ

После того как будет определено, что Закон об ИИ будет применяться ко всем или некоторым системам ИИ вашей организации, необходимо ознакомиться с обязательствами, предусмотренными этим законом, и установить, какие обязательства относятся к вашей организации, чтобы перейти к следующим шагам. Как было объяснено ранее, объем обязательств будет зависеть от вашей роли и предполагаемого риска, связанного с системой ИИ.

 

3) Оценка соблюдения требований

Следующим шагом в подготовке к применению Закона об ИИ является проведение детального анализа областей, где ваши текущие системы, процессы и контрольные механизмы не соответствуют требованиям Закона и выявление шагов, необходимых для устранения несоответствий.

Эта оценка должна включать:

  • Выявление различий между текущими операциями и новыми юридическими требованиями;
  • Выявление пробелов и недостатков в вашей организации, в бизнес-областях и частях системы, которые необходимо дополнить, улучшить или изменить;
  • Создание плана по соблюдению требований, который будет включать оценку рисков и предложенные меры по снижению этих рисков, включая составление списка документации, которую нужно создать, а также все стратегические изменения, которые нужно реализовать с указанием сроков (например, адаптация систем ИИ для их использования, вывод из эксплуатации или переработка отдельных инструментов и т.д.);
  • Определение объема ресурсов, которые могут понадобиться для реализации плана соблюдения требований;
  • Разработка юридической структуры для управления ИИ, которая подходит для вашего бизнес-окружения.

 

4) Bнедрение мер безопасности

После выявления недостатков и создания плана соблюдения требований следующим шагом является его внедрение и принятие основных мер для смягчения воздействия всех выявленных рисков.

Для систем, попадающих в категорию высокого риска, эти меры могут включать:

  • Обеспечение механизмов контроля со стороны человека,
  • Установление требований к прозрачности для информирования пользователей о том, как принимаются решения системами ИИ,
  • Установление процедур управления рисками, включая тестирование и документацию качества данных,
  • Внедрение мер безопасности для защиты системы от потенциальных атак и установление процедур на случай нарушения безопасности системы,
  • Разработка программ обучения и повышение осведомленности для ознакомления сотрудников с требованиями и последствиями Закона об ИИ,
  • Инвестирование в экспертизу и получение знаний в области соблюдения норм и стандартов по ИИ.

 

Эти меры не только помогают соответствовать нормативным требованиям, но и служат для обеспечения безопасности ваших систем и бизнеса, повышения репутации и укрепления доверия со стороны пользователей и заинтересованных сторон.

 

5) Принятие соответствующих политик по ИИ

Сейчас самое подходящее время для установления комплексных руководящих принципов и правил, касающихся интеграции ИИ в различные функции внутри вашей организации, независимо от отрасли и вашей роли в применении или маркетинге ИИ систем.

Внутренние консультации с такими отделами, как ИТ, безопасность, юриспруденция и человеческие ресурсы, крайне важны для разработки внутренних политик и регламентов. Возможно, потребуется также адаптировать существующие политики для соответствия новым требованиям регулирования ИИ.

При разработке политик ИИ следует учитывать интеграцию людей, процессов и технологий, а также рассматривать следующие аспекты:

  • Системы управления доступом на основе ролей для ИИ систем или их использования внутри вашей организации,
  • Регулирование вопросов собственности на входные данные и права интеллектуальной собственности,
  • Регулирование вопросов конфиденциальности и меры по защите конфиденциальности при использовании или разработке ИИ систем,
  • Регулирование вопросов защиты данных, если персональные данные обрабатываются через ИИ системы,
  • Определение процедур для обеспечения точности, качества и законности ИИ систем,
  • Определение ответственности и последствий за несоответствие политикам и процедурам.

 

6) Mониторинг развития нормативных актов и практик в области ИИ

Для того чтобы правильно подготовиться к внедрению Закона об ИИ, недостаточно просто ознакомиться с его положениями. Необходимо также быть в курсе последних разработок относительно принятия нормативных актов и сопутствующих актов, руководств и инструкций, которые публикуются регулирующими органами и экспертами по данной теме, включая их изменения и обновления.

Оставаясь в курсе новостей и развития нормативных актов и практик в области ИИ, вы сможете проактивно корректировать свою стратегию и обеспечивать соответствие с развивающимся законодательством, получая конкурентные преимущества перед другими участниками рынка.

 

Что будет за нарушение Закона об ИИ?

 

Последствия нарушения или несоответствия требованиям Закона об ИИ могут значительно превысить штрафы за нарушение GDPR.

могут варьироваться в зависимости от типа нарушения. Самые строгие штрафы предусмотрены за нарушение запрета на использование определенных систем ИИ, и могут составлять до 35 миллионов евро или до 7% от общего мирового годового оборота компании, в зависимости от того, что больше.

За несоответствие большинству других положений закона предусмотрены штрафы до 15 миллионов евро или до 3% от общего мирового годового оборота, в зависимости от того, что больше.

Так как государства-члены уже начали создание надзорных органов (Испания сделала первый шаг) и был создан Офис ИИ ЕС, очевидно, что соответствующие органы уже готовятся к внедрению и применению Закона об ИИ.

Поэтому крайне важно заранее подготовиться и обеспечить, чтобы ваш бизнес и практики, связанные с разработкой, тестированием, применением и использованием искусственного интеллекта, соответствовали требованиям Закона об ИИ. В противном случае, как только Закон об ИИ вступит в силу, вам придется столкнуться с последствиями несоответствия нормам, включая значительные штрафы и ущерб репутации вашей организации.

[1] https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence

Похожие статьи

Последние статьи

Вы не уверены, с чего начать?

Если вы не уверены, с чего начать, запишитесь на консультацию с одним из наших специал

techlawafficiendo

privacywhisperer

cryptobuddy

evegreen

Не просто еще одна рассылка

Забудьте скучный юридический анализ. Получайте своевременные обновления,
новости и напоминания, которые действительно могут помочь вашему бизнесу.