AI Act: Новые правила для развития искусственного интеллекта в ЕС
1 февраля, 2024
Table of Contents
Введение в контекст
В середине декабря 2023 года Совет Европейского Союза и Европейский парламент в результате тяжелых трехдневных переговоров достигли соглашение относительно AI Act (далее может также обозначаться как «Регламент»), который станет основным нормативным актом, регулирующим развитие систем искусственного интеллекта (далее – ИИ) на территории Европейского Союза. При этом окончательный текст документа утвержден не был. Органы достигли, прежде всего, политическое соглашение о том, как именно будет регулироваться тот или иной аспект в сфере ИИ, однако конкретные формулировки положений акта все еще требовали доработки, так как, по признанию участников переговоров, положения нередко переписывались на ходу по нескольку раз, чтобы прийти к согласию по спорным вопросам. В результате чего текст требует дополнительной вычистки и шлифовки.
Окончательный вариант Регламента мы сможем увидеть уже совсем скоро, а тем временем 22 января в Интернет утекла, предположительно, финальная редакция Регламента.
Таким образом, AI Act будет принят и начнет действовать уже в первой половине 2024 года. Многие эксперты прогнозируют, что Регламент окажет такое же воздействие на индустрию ИИ, какое GDPR произвел в сфере защиты персональных данных: задаст вектор развития для правого регулирования искусственного интеллекта в мире, чем и обусловлено такое огромное внимание к акту.
Риск-ориентированный подход
Как и в случае с GDPR, строгость норм AI Act будет непосредственно зависеть от воздействия программ, сервисов или иных продуктов, в основе которых лежит ИИ, на права и свободы пользователей. Чем выше риски, тем строже применение норм.
В зависимости от степени риска ИИ классифицируются на три различные категории: запрещенные, ИИ с высоким уровнем риска и ИИ с умеренным уровнем риска (или без риска). Рассмотрим их подробнее.
- Запрещенные ИИ
Некоторые системы ИИ считаются настолько опасными для прав и свобод физических лиц, что законодатели приняли решение запретить вывод таких систем на рынок. К ним относятся:
1. Системы ИИ, которые используют подсознательные или манипулятивные техники, а также особенности состояния человека (возраст, состояние здоровья, социальное положение), чтобы воздействовать на его поведение и убедить его принять решение, которое с высокой вероятностью повлечет нанесение вреда. Можно предположить, что здесь речь идет о различных чатах, которые работают с помощью ИИ: эксплуатируя слабости или уязвимости лица, они способны убедить предпринять его противозаконные действия.
2. Системы, которые занимаются классификацией физических лиц (если такая классификация производится исключительно на основании биометрических или чувствительных данных лица – обе категории толкуются по GDPR).
3. Системы, которые анализируют поведение физических лиц с целью создания социального рейтинга.
4. Системы дистанционного распознавания лиц в режиме «онлайн» для правоохранительных целей (из общего запрета будут исключения, однако использование таких систем будет ограничено конкретными целями и высоким уровнем подотчетности и раскрытия информации об их).
5. Системы ИИ, которые занимаются сбором и распознаванием фотографий и видео в Интернете или с камер наблюдения, неограниченные определенной (конкретно названной) целью.
С санкциями за нарушения AI Act мы подробнее ознакомимся далее, однако сейчас важно отметить, что ввод в эксплуатацию или на рынок описанных выше систем ИИ приведет к самым жестким правовым последствиям из предусмотренных в Регламенте.
- ИИ с высоким уровнем риска
Точные критерии для отнесения системы к данной категории пока неизвестны (однако сюда автоматически зачислены сервисы, которые используются в медицинских целях или в HR-отделах). Такие системы допускаются на рынок, однако к ним применяется самое строго регулирование: обязательная регистрация в специальном реестре с общим доступом, обязательное проведение оценки воздействия на права человека, создание специальных систем управления и контроля над ИИ, а также ряд технических требований, которые должны обеспечить надежность системы и кибербезопасность.
- ИИ с умеренным уровнем риска или без риска
Для таких систем ИИ не предусмотрено специальных норм. Они должны соответствовать базовым требованиям по прозрачности (transparency) и информировании (notifying) пользователей (важно уведомить пользователя о том, что он взаимодействует с искусственным интеллектом).
Надзорный орган
European AI Office – главный надзорный орган, который будет следить за единообразным применением AI Act во всех государствах-членах. А именно:
- отслеживать соблюдение Регламента,
- разрабатывать рекомендации и инструкции в соответствии с Регламентов,
- вести расследования в случае нарушения правовых норм,
- накладывать санкции за нарушение законодательства об ИИ,
- координировать глобальные усилия в области ИИ,
- проводить консультации для бизнеса в связи с применением и толкованием Регламента.
AI Act, как и GDPR, предполагает создание национальных надзорных органов в каждом государстве-члене ЕС, которые будут содействовать AI Office, но также обладать схожими с AI Office возможностями на территории своей юрисдикции (в целом, схема взаимодействия схожа с EDPB и национальными надзорными органами).
AI Board – консультационный орган, который, в основном, будет состоять из экспертов в области ИИ и помогать Комиссии разрабатывать новые подходы к регулированию и развитию технологий в сфере искусственного интеллекта.
Санкции
Регламент предполагает три вида административных штрафов:
1. Ввод в эксплуатацию или на рынок запрещенной системы ИИ будет наказываться административным штрафом до 35 млн. евро или до 7% от общемирового годового оборота компании в зависимости от того, какая сумма выше.
2. Нарушение любого другого обязательства, закрепленного в AI Act, которое не связано с запрещенными системами ИИ, будет наказываться штрафом до 15 млн. евро или до 3% от общемирового годового оборота компании в зависимости от того, какая сумма выше.
3. Предоставление ошибочной, неполной или вводящей в заблуждение информации надзорному органу относительно системы ИИ будет наказываться штрафом до 7,5 млн. евро или до 1% от общемирового годового оборота компании в зависимости от того, какая сумма выше.
Вступление в действие и принудительное исполнение
Как уже отмечалось выше, Регламент будет принят в начале 2024 года, однако его принудительное исполнение не начнется сразу. Бизнесу будет дана возможность перестроиться на новое регулирование: в течение от 1,5 до 3 лет (точный срок пока не ясен) не будут накладываться штрафы, а надзорные органы будут активно издавать рекомендации с целью объяснить и истолковать новое регулирование. В заключение отметим, что AI Act будет активно применяться совместно с другими нормативными актами, в том числе GDPR (в вопросах использования персональных данных при обучении ИИ и т.д.).
И здесь самое время напомнить о запуске первого в СНГ курса по ИИ «Искусственный интеллект: основы управления рисками, регулирование и персональные данные». Вы сможете не только разобраться в новых Регламентах, но и научитесь оценивать и управлять рисками, а также наметить правильный алгоритм, связанный с созданием или использованием модели искусственного интеллекта.
Подписывайтесь на рассылку
Data Privacy Office
Последние публикации
