AI Act: Новые правила для развития искусственного интеллекта в ЕС
- 1 февраля, 2024
- AI, Законодательства
В начале 2024 года в ЕС вступит в силу AI Act — ключевой регламент, который задаст новые правила для разработки и использования систем искусственного интеллекта. Этот закон изменит подход к контролю рисков, обеспечению безопасности и защите прав пользователей в цифровую эпоху. В статье разбираемся, какие изменения принесет AI Act, как классифицируются ИИ-системы по уровню риска и что нужно знать бизнесу, чтобы своевременно адаптироваться к новым требованиям.
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Введение в контекст
В декабре 2023 года Совет Европейского Союза и Европейский парламент после трехдневных интенсивных переговоров достигли политического соглашения по AI Act (далее — «Регламент»). Этот документ станет ключевым нормативным актом, регулирующим развитие систем искусственного интеллекта (ИИ) на территории ЕС. Однако окончательный текст еще не утвержден — формулировки некоторых положений продолжают дорабатываться, поскольку они неоднократно пересматривались в процессе согласования, чтобы устранить спорные моменты. Текущий вариант требует дополнительной вычитки и шлифовки.
Окончательный текст Регламента ожидается в ближайшее время. Между тем, 22 января в сеть просочилась предположительно финальная редакция документа.
Таким образом, AI Act будет принят и начнет действовать уже в первой половине 2024 года. Многие эксперты прогнозируют, что Регламент окажет такое же воздействие на индустрию ИИ, какое GDPR произвел в сфере защиты персональных данных: задаст вектор развития для правого регулирования искусственного интеллекта в мире, чем и обусловлено такое огромное внимание к акту.
Риск-ориентированный подход
Подобно GDPR, строгость требований AI Act напрямую зависит от влияния ИИ-систем на права и свободы пользователей: чем выше риск, тем более строгими будут нормы регулирования.
В зависимости от степени риска ИИ классифицируются на три различные категории: запрещенные, ИИ с высоким уровнем риска и ИИ с умеренным уровнем риска (или без риска). Рассмотрим их подробнее.
- Запрещенные ИИ
Некоторые системы ИИ считаются настолько опасными для прав и свобод физических лиц, что законодатели приняли решение запретить вывод таких систем на рынок. К ним относятся:
1. Системы ИИ, которые используют подсознательные или манипулятивные техники, а также особенности состояния человека (возраст, состояние здоровья, социальное положение), чтобы воздействовать на его поведение и убедить его принять решение, которое с высокой вероятностью повлечет нанесение вреда. Можно предположить, что здесь речь идет о различных чатах, которые работают с помощью ИИ: эксплуатируя слабости или уязвимости лица, они способны убедить предпринять его противозаконные действия.
2. Системы, которые занимаются классификацией физических лиц (если такая классификация производится исключительно на основании биометрических или чувствительных данных лица – обе категории толкуются по GDPR).
3. Системы, которые анализируют поведение физических лиц с целью создания социального рейтинга.
4. Системы дистанционного распознавания лиц в режиме «онлайн» для правоохранительных целей (из общего запрета будут исключения, однако использование таких систем будет ограничено конкретными целями и высоким уровнем подотчетности и раскрытия информации об их).
5. Системы ИИ, которые занимаются сбором и распознаванием фотографий и видео в Интернете или с камер наблюдения, неограниченные определенной (конкретно названной) целью.
С санкциями за нарушения AI Act мы подробнее ознакомимся далее, однако сейчас важно отметить, что ввод в эксплуатацию или на рынок описанных выше систем ИИ приведет к самым жестким правовым последствиям из предусмотренных в Регламенте.
- ИИ с высоким уровнем риска
Точные критерии для отнесения системы к данной категории пока неизвестны (однако сюда автоматически зачислены сервисы, которые используются в медицинских целях или в HR-отделах). Такие системы допускаются на рынок, однако к ним применяется самое строго регулирование: обязательная регистрация в специальном реестре с общим доступом, обязательное проведение оценки воздействия на права человека, создание специальных систем управления и контроля над ИИ, а также ряд технических требований, которые должны обеспечить надежность системы и кибербезопасность.
- ИИ с умеренным уровнем риска или без риска
Для таких систем ИИ не предусмотрено специальных норм. Они должны соответствовать базовым требованиям по прозрачности (transparency) и информировании (notifying) пользователей (важно уведомить пользователя о том, что он взаимодействует с искусственным интеллектом).
Надзорный орган
European AI Office – главный надзорный орган, который будет следить за единообразным применением AI Act во всех государствах-членах. А именно:
- отслеживать соблюдение Регламента,
- разрабатывать рекомендации и инструкции в соответствии с Регламентов,
- вести расследования в случае нарушения правовых норм,
- накладывать санкции за нарушение законодательства об ИИ,
- координировать глобальные усилия в области ИИ,
- проводить консультации для бизнеса в связи с применением и толкованием Регламента.
AI Act, как и GDPR, предполагает создание национальных надзорных органов в каждом государстве-члене ЕС, которые будут содействовать AI Office, но также обладать схожими с AI Office возможностями на территории своей юрисдикции (в целом, схема взаимодействия схожа с EDPB и национальными надзорными органами).
AI Board – консультационный орган, который, в основном, будет состоять из экспертов в области ИИ и помогать Комиссии разрабатывать новые подходы к регулированию и развитию технологий в сфере искусственного интеллекта.
Санкции
Регламент предполагает три вида административных штрафов:
1. Ввод в эксплуатацию или на рынок запрещенной системы ИИ будет наказываться административным штрафом до 35 млн. евро или до 7% от общемирового годового оборота компании в зависимости от того, какая сумма выше.
2. Нарушение любого другого обязательства, закрепленного в AI Act, которое не связано с запрещенными системами ИИ, будет наказываться штрафом до 15 млн. евро или до 3% от общемирового годового оборота компании в зависимости от того, какая сумма выше.
3. Предоставление ошибочной, неполной или вводящей в заблуждение информации надзорному органу относительно системы ИИ будет наказываться штрафом до 7,5 млн. евро или до 1% от общемирового годового оборота компании в зависимости от того, какая сумма выше.
Вступление в действие и принудительное исполнение
Как уже отмечалось выше, Регламент будет принят в начале 2024 года, однако его принудительное исполнение не начнется сразу. Бизнесу будет дана возможность перестроиться на новое регулирование: в течение от 1,5 до 3 лет (точный срок пока не ясен) не будут накладываться штрафы, а надзорные органы будут активно издавать рекомендации с целью объяснить и истолковать новое регулирование. В заключение отметим, что AI Act будет активно применяться совместно с другими нормативными актами, в том числе GDPR (в вопросах использования персональных данных при обучении ИИ и т.д.).
Помощь и поддержка по вопросам соответствия EU AI Act
В условиях новых европейских правил для ИИ важно не только понимать законодательство, но и оперативно приводить свои системы в соответствие. Мы готовы помочь вам на каждом этапе.
Практический курс, который даст вам и вашей команде четкие знания о Регламенте, его рисках и способах безопасного использования ИИ. Вы научитесь правильно оценивать ИИ-системы и применять нормативы на практике.
Обучим основам искусственного интеллекта и принципам его регулирования в Европе на основе закона EU AI Act. Расскажем, как связаны приватность и системы ИИ и как минимизировать риски для персональных данных при их разработке.
Наши эксперты проведут всесторонний аудит ваших ИИ-систем, выявят риски и несоответствия, а также разработают персональную дорожную карту для приведения бизнеса в соответствие. Это позволит избежать штрафов и защитить репутацию компании.