Мониторинг регулирования ИИ

Вызовы имплементации Закона ЕС об искусственном интеллекте (EU AI Act) для предприятий: подготовка к соответствию

Европейский союз принял Закон об искусственном интеллекте (EU AI Act, Регламент (ЕС) 2024/1689) как первую в мире комплексную регуляторную базу […]

Европейский союз принял Закон об искусственном интеллекте (EU AI Act, Регламент (ЕС) 2024/1689) как первую в мире комплексную регуляторную базу для искусственного интеллекта. Регламент опубликован в Официальном журнале ЕС 12 июля 2024 года и вступил в силу 1 августа 2024 года. Данный нормативный акт вводит строгие требования для всех субъектов хозяйственной деятельности, которые разрабатывают, импортируют, распространяют или используют системы ИИ на рынке ЕС. Предприятия, не подготовившиеся своевременно, подвергаются серьёзным финансовым и репутационным рискам. Настоящий текст носит информационный характер и не заменяет индивидуальную юридическую консультацию.

Основы EU AI Act: структура и логика рисков

EU AI Act основан на подходе, базирующемся на оценке рисков. Все системы ИИ классифицируются по четырём категориям в зависимости от степени потенциального риска, который они несут для здоровья, безопасности и основных прав граждан.

Недопустимый риск — наиболее строгая категория, охватывающая системы, полностью запрещённые к использованию. К ним относятся: системы ИИ для социального скоринга (social scoring) со стороны публичных властей, манипулятивные техники, обходящие свободную волю пользователя, а также определённые применения биометрической идентификации в режиме реального времени в общественных местах.

Высокий риск — это центральная категория EU AI Act. Системы, подпадающие под неё, должны соответствовать целому ряду технических и организационных требований, прежде чем они могут быть введены в эксплуатацию. Речь идёт о системах ИИ, применяемых в критической инфраструктуре, образовании, сфере занятости, доступе к социальным льготам, пограничном контроле, правосудии и иных областях, оказывающих существенное влияние на жизнь граждан.

Ограниченный риск — системы, подобные чат-ботам, подчиняются обязательствам по прозрачности: пользователи должны быть уведомлены о том, что взаимодействуют с системой ИИ.

Минимальный риск — большинство приложений ИИ (игры с элементами ИИ, спам-фильтры) относится к этой категории и не является предметом особых регуляторных обязательств.

Кто является обязанным субъектом и какие роли предусмотрены

EU AI Act определяет несколько ключевых ролей в цепочке создания стоимости систем ИИ:

Поставщик (provider) — субъект хозяйственной деятельности, который разрабатывает систему ИИ или выводит её на рынок под своим наименованием или торговой маркой. На поставщиков систем высокого риска возлагаются наиболее обременительные обязательства — создание системы управления рисками, техническая документация, регистрация в базе данных ЕС, соответствие стандартам точности и надёжности.

Оператор (deployer/user) — любое юридическое или физическое лицо, использующее систему ИИ в профессиональном контексте. Обязательства оператора несколько менее обременительны, чем у поставщика, однако не являются несущественными — особенно в части прозрачности в отношении конечных пользователей и мониторинга работы системы.

Импортёр и дистрибьютор несут ответственность за то, чтобы системы ИИ, которые они вводят в оборот, отвечали требованиям регламента.

Предприятия, одновременно разрабатывающие и применяющие собственные системы ИИ, принимают на себя совокупные обязательства обеих ролей.

Конкретные обязательства для систем высокого риска

Для систем ИИ, классифицированных как высокорисковые, EU AI Act устанавливает ряд конкретных требований:

Система управления рисками — поставщик обязан создать, внедрить и задокументировать непрерывный процесс выявления, анализа и снижения рисков на протяжении всего жизненного цикла системы.

Данные и управление данными — наборы данных для обучения, валидации и тестирования должны быть релевантными, репрезентативными и свободными от недопустимых систематических искажений (bias). Требуется документация о происхождении данных.

Техническая документация — должна быть составлена до ввода системы в оборот и регулярно обновляться. Она включает описание назначения, технических характеристик, производительности, ограничений и мер по снижению рисков.

Ведение журналов (logging) — высокорисковые системы ИИ должны быть способны к автоматической регистрации событий в ходе работы, с тем чтобы в случае инцидента можно было восстановить последовательность действий.

Прозрачность в отношении пользователей — должно быть обеспечено чёткое, доступное для понимания руководство по эксплуатации, позволяющее пользователям применять систему осознанно.

Надзор со стороны человека — система должна быть спроектирована таким образом, чтобы физическое лицо могло эффективно осуществлять за ней надзор, вмешиваться в её работу и при необходимости отключать её.

Точность, надёжность и кибербезопасность — система должна демонстрировать надлежащий уровень производительности при устойчивости к ошибкам и попыткам злоупотреблений.

Сроки и поэтапное применение

EU AI Act вступил в силу 1 августа 2024 года, однако его положения применяются поэтапно. Положения о запрещённых практиках применяются с 2 февраля 2025 года, а обязательства в отношении моделей ИИ общего назначения (General Purpose AI — GPAI) — с 2 августа 2025 года. Требования к системам высокого риска предусматривают более длительный переходный период — по имеющимся сведениям, сроки применения этих положений являлись предметом последующих изменений и переносов на уровне ЕС, поэтому предприятиям следует обращаться к актуальному тексту регламента и соответствующим руководящим документам компетентных органов для уточнения точных сроков, применяемых к ним на дату публикации настоящего текста и после неё.

Санкции и надзор

EU AI Act предусматривает высокие штрафы для нарушителей. За наиболее серьёзные нарушения — например, использование запрещённых систем ИИ — установлены денежные штрафы в размере до 35 миллионов евро или до 7% общего мирового годового оборота, в зависимости от того, какая сумма больше. За нарушения обязательств, связанных с системами высокого риска, применяются штрафы в размере до 15 миллионов евро или до 3% оборота. За предоставление недостоверных или вводящих в заблуждение сведений надзорным органам предусмотрены штрафы в размере до 7,5 миллионов евро или до 1% оборота.

Национальные надзорные органы в каждом государстве — члене ЕС будут отвечать за применение регламента, а Европейское ведомство по искусственному интеллекту (AI Office) принимает на себя координирующую роль на уровне ЕС.

Стратегия приведения в соответствие: с чего начать

Предприятиям, желающим проактивно подойти к вопросу соответствия, рекомендуется предпринять следующие шаги:

Во-первых, картирование систем ИИ — полная инвентаризация всех инструментов и систем ИИ, которые предприятие разрабатывает или использует, с установлением их назначения и контекста применения.

Во-вторых, оценка рисков — для каждой выявленной системы необходимо определить, к какой категории риска она относится в соответствии с EU AI Act.

В-третьих, анализ разрывов — для высокорисковых систем оценить, в какой мере существующая практика соответствует предъявляемым требованиям, и выявить несоответствия.

В-четвёртых, разработка плана действий — определить приоритеты, ресурсы и сроки для проведения необходимых адаптаций.

В-пятых, назначение функции по обеспечению соответствия в сфере ИИ — вне зависимости от размера предприятия необходимо выделить лицо или команду, ответственных за мониторинг и обеспечение соответствия.

Часто задаваемые вопросы (Q&A)

Распространяется ли EU AI Act на предприятия за пределами ЕС, предоставляющие услуги ИИ европейским пользователям? Да. Подобно GDPR (General Data Protection Regulation, Регламент (ЕС) 2016/679), EU AI Act обладает экстерриториальным охватом. Он распространяется на всех поставщиков систем ИИ, результаты деятельности которых оказывают воздействие в ЕС, вне зависимости от места нахождения компании.

Что такое GPAI и почему это важно? Модели ИИ общего назначения (General Purpose AI — GPAI) — это модели, такие как большие языковые модели, которые могут применяться в широком круге различных контекстов. EU AI Act вводит особые обязательства для поставщиков GPAI-моделей, интегрируемых в другие системы, включая обязательства по прозрачности и — для наиболее мощных моделей — систематическую оценку рисков.

Должно ли каждое предприятие, использующее инструменты ИИ (например, ChatGPT для внутренней коммуникации), обеспечивать соответствие? Использование общедоступных инструментов ИИ во внутренних целях с минимальным уровнем риска, как правило, не влечёт особых обязательств. Вместе с тем, если предприятие интегрирует ИИ в собственные процессы или продукты, затрагивающие третьих лиц, особенно в областях, классифицированных как высокий риск, обязательства возникают.

Что означает маркировка CE для систем ИИ? Для высокорисковых систем ИИ EU AI Act предусматривает обязательность маркировки CE как подтверждения соответствия применимым требованиям регламента, при условии предварительной оценки соответствия, которая в определённых случаях предполагает участие нотифицированного органа (notified body).

Заключение

EU AI Act преобразует подход предприятий к разработке и применению искусственного интеллекта. Регламент является не просто бюрократическим требованием — он закладывает основы доверия к системам ИИ и долгосрочной устойчивости цифровой экономики. Предприятия, которые незамедлительно приступят к процессу приведения в соответствие, окажутся в более выгодном положении по сравнению с теми, кто откладывает это на последний момент. Проактивный подход не только снижает регуляторные риски, но и формирует конкурентное преимущество.

Если вы хотите оценить степень соответствия вашей деятельности в сфере ИИ требованиям EU AI Act и определить конкретные шаги, которые необходимо предпринять, запишитесь на консультацию к нашей команде, специализирующейся на регулировании искусственного интеллекта.

Источники: – https://eur-lex.europa.eu/eli/reg/2024/1689/oj – https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai – https://www.europarl.europa.eu/news/en/press-room/20240308IPR19015/artificial-intelligence-act-meps-adopt-landmark-law – https://www.consilium.europa.eu/sr/policies/eu-artificial-intelligence-act/

Содержание сайта носит информационный характер и не является юридической консультацией. За конкретными юридическими советами обращайтесь непосредственно к адвокату. Бюро работает в соответствии с Законом об адвокатуре и Кодексом профессиональной этики адвокатов.

Scroll to Top