Мониторинг регулирования ИИ

Руководство по приведению деятельности предприятий в соответствие с нормативными актами об искусственном интеллекте: практическое руководство по внедрению AI Act

EU Закон об искусственном интеллекте (AI Act, Регламент (ЕС) 2024/1689) вступил в силу 1 августа 2024 года, а его положения […]

EU Закон об искусственном интеллекте (AI Act, Регламент (ЕС) 2024/1689) вступил в силу 1 августа 2024 года, а его положения применяются поэтапно — большинство правил для высокорисковых систем применяется с 2 августа 2026 года, с продлёнными переходными сроками для отдельных категорий систем. Это возлагает на предприятия конкретные, измеримые требования, которые должны быть выполнены, — а время для подготовки стремительно уходит. Приведение в соответствие с AI Act — это не разовая активность, а непрерывная программа управления, которая должна быть укоренена в организационной структуре предприятия. Настоящее руководство предоставляет практическую дорожную карту для компаний, стремящихся системно подойти к этой задаче. Данный текст носит информационный характер и не заменяет индивидуальную юридическую консультацию.

Шаг 1: Инвентаризация систем ИИ — знать, что у вас есть

Каждая программа по достижению соответствия начинается с полной инвентаризации систем ИИ, которые предприятие разрабатывает, приобретает или использует. Удивительно большое число организаций не имеет этого понимания — системы ИИ приобретаются и внедряются на уровне бизнес-подразделений без централизованного учёта.

Что должна охватывать инвентаризация:

Для каждой системы ИИ или инструмента на основе ИИ необходимо документировать: наименование и версию, поставщика или внутреннюю команду-разработчика, деловое назначение и контекст применения, категории пользователей, подвергающихся воздействию системы (сотрудники, клиенты, деловые партнёры, широкая общественность), типы обрабатываемых данных, географическое происхождение и место нахождения системы, а также дату её внедрения.

Где искать системы ИИ: Помимо очевидных ИИ-приложений (чат-боты, рекомендательные системы), предприятиям не следует упускать из виду: компоненты ИИ в HR-инструментах (отбор кандидатов, оценка эффективности), ИИ в CRM-системах (скоринг клиентов, предиктивная аналитика), ИИ в финансовых системах (обнаружение мошенничества, кредитная оценка), ИИ в системах безопасности (видеонаблюдение, контроль доступа) и ИИ на аналитических платформах.

Шаг 2: Классификация рисков для каждой системы

Имея на руках инвентаризацию, каждая система должна быть классифицирована по матрице рисков AI Act: неприемлемый риск, высокий риск, ограниченный риск или минимальный риск.

Ключевые вопросы для классификации:

Принимает ли система решения, которые существенно влияют на жизнь, права или возможности физических лиц? Это является центральным критерием для идентификации высокорисковых систем.

Относится ли система к одной из явно перечисленных высокорисковых категорий из Приложения III к AI Act: критическая инфраструктура, образование, занятость, социальные услуги, финансовые услуги, правоохранительная деятельность, правосудие?

Кто является субъектом решений системы — относятся ли они к уязвимым категориям (дети, больные, лица, ищущие убежища)?

Осуществляет ли система взаимодействие с физическим лицом без прозрачного уведомления о природе этого взаимодействия с ИИ?

Для систем, в отношении которых имеются сомнения, рекомендуется более консервативная классификация и консультация с правовыми и техническими экспертами.

Шаг 3: Анализ разрыва для высокорисковых систем

Для каждой системы, классифицированной как высокорисковая, следующим шагом является анализ разрыва (gap analysis), сравнивающий текущее состояние с требованиями AI Act:

Система управления рисками — существует ли документированный, непрерывный процесс выявления и снижения рисков для данной системы?

Стандарты данных — документированы ли наборы данных для обучения и тестирования? Применены ли процедуры снижения предвзятости (bias)?

Техническая документация — существует ли полная документация в формате, требуемом AI Act (назначение, технические характеристики, показатели производительности (benchmarks), известные ограничения)?

Протоколирование (logging) — способна ли система автоматически регистрировать соответствующие транзакции и решения в целях последующего анализа?

Инструкция по применению — существует ли чёткая, понятная инструкция, предназначенная для оператора (deployer)/пользователя?

Надзор человека — реализованы ли механизмы, обеспечивающие эффективный надзор и возможность вмешательства?

Каждый выявленный разрыв становится пунктом плана действий с установленными сроками и ответственными лицами.

Шаг 4: Внутренняя структура управления (Governance)

Приведение в соответствие с AI Act требует чёткого внутреннего распределения ответственности. Для предприятий определённого размера и интенсивности использования ИИ рекомендуемые модели управления включают:

Сотрудник по соответствию в области ИИ (AI Compliance Officer, AICO) — по аналогии с функцией DPO (Data Protection Officer, Инспектора по защите персональных данных) из GDPR (General Data Protection Regulation, Общего регламента о защите данных, Регламент (ЕС) 2016/679) — это лицо или команда, ответственные за мониторинг регуляторных требований в области ИИ, координацию работы по приведению в соответствие и взаимодействие с регуляторами. В небольших предприятиях эту роль может взять на себя существующая служба комплаенса или правовой отдел.

Комитет по этике и рискам ИИ (AI Ethics/Risk Committee) — межфункциональный комитет, который утверждает внедрение новых высокорисковых систем ИИ, отслеживает показатели производительности и соблюдение этических норм действующих систем и принимает решения о корректирующих мерах.

Реестр инвентаризации ИИ (AI Inventory Register) — централизованная база данных всех систем ИИ, постоянно обновляемая и доступная для служб комплаенса и правового отдела.

Внутренняя политика ответственного использования ИИ — документ, определяющий, какие системы ИИ разрешены, а какие запрещены к использованию, при каких условиях и с какими защитными мерами. Этот документ должен быть доступен всем сотрудникам.

Шаг 5: Документация и технические требования

Для высокорисковых систем ИИ AI Act требует конкретной технической документации, которая должна быть составлена до введения системы в обращение:

Содержание технической документации: Общее описание системы и её назначения; подробное объяснение логики и алгоритмов; описание наборов данных, использованных для обучения, валидации и тестирования; описание мер по управлению рисками; показатели производительности, точности и устойчивости (benchmarks); известные ограничения и условия, при которых система может давать сбои; описание механизмов надзора человека; описание процедур мониторинга системы в производственной среде.

Данная документация должна храниться и обновляться на протяжении всего жизненного цикла системы. Компетентные органы вправе потребовать ознакомления с документацией, а её отсутствие или неполнота могут стать основанием для применения санкций.

Шаг 6: Этические ориентиры и практика ответственного ИИ

Приведение в соответствие с AI Act является необходимым, но недостаточным условием для ответственного использования ИИ. Предприятиям, стремящимся быть не только юридически соответствующими, но и заслуживающими доверия со стороны пользователей, клиентов и общества, следует принять этические ориентиры по использованию ИИ, выходящие за рамки минимальных законодательных требований.

Ключевые принципы этических ориентиров, рекомендованных институтами ЕС, в том числе «Руководящими принципами создания надёжного искусственного интеллекта» (Ethics Guidelines for Trustworthy AI) Экспертной группы высокого уровня по искусственному интеллекту Европейской комиссии (AI HLEG) 2019 года, включают:

Прозрачность и объяснимость — пользователи должны быть уведомлены о взаимодействии с системами ИИ и должны иметь возможность понять основания автоматических решений, которые их касаются.

Справедливость и недискриминация — системы ИИ не должны воспроизводить или усиливать дискриминационные паттерны на основе охраняемых характеристик.

Конфиденциальность и защита данных — обработка данных в системах ИИ должна быть минимальной, необходимой и соответствующей требованиям GDPR.

Безопасность и устойчивость — системы ИИ должны быть спроектированы так, чтобы надёжно функционировать в реальных условиях, включая граничные случаи (edge cases) и попытки манипуляций.

Благополучие пользователей — ИИ не должен использоваться для манипулирования пользователями или их эксплуатации.

Шаг 7: Непрерывный мониторинг и обновление

Комплаенс в области ИИ — это не разовый проект, а непрерывная программа. Предприятия должны установить процедуры для:

Регулярного пересмотра инвентаризации ИИ и актуализации классификаций с учётом новых систем или изменений назначения существующих.

Мониторинга производительности и потенциальной предвзятости (bias) высокорисковых систем в производственной среде.

Отслеживания эволюции регуляторной базы — AI Act сопровождается делегированными актами, техническими стандартами и интерпретационными руководящими принципами, которые непрерывно развиваются.

Сообщения о серьёзных инцидентах компетентному органу в соответствии с установленными процедурами.

Часто задаваемые вопросы (Q&A)

Должно ли каждое предприятие, использующее ИИ, соответствовать требованиям AI Act? Не автоматически. Предприятия, использующие исключительно системы ИИ с минимальным риском (спам-фильтры, рекомендательные системы в электронной коммерции), не несут особых обязательств по AI Act. Обязательства возникают для высокорисковых систем и — в части прозрачности — для систем с ограниченным риском. Принципиально важно провести классификацию, прежде чем делать вывод о применимости нормативного акта.

Как МСП (малые и средние предприятия) могут выполнить требования AI Act без значительных ресурсов? AI Act предусматривает определённые послабления для МСП в части сложности документации и административных требований, однако не освобождает от сущностных обязательств. Практический подход для МСП: сосредоточиться на использовании готовых, сертифицированных систем ИИ авторитетных поставщиков вместо разработки собственных; использовать стандартные шаблоны документации и инструменты комплаенса, появляющиеся на рынке; рассмотреть возможность совместного использования ресурсов комплаенса в рамках деловых ассоциаций.

Требует ли использование ChatGPT или аналогичных инструментов для внутренней работы особых мер? Использование общедоступных инструментов ИИ для внутренней работы, как правило, относится к категории минимального риска и не требует специального приведения в соответствие с AI Act. Тем не менее рекомендуется принять внутреннюю политику, регулирующую: какие виды конфиденциальных данных сотрудники вправе использовать в качестве входных данных для публичных ИИ-сервисов и как следует обращаться с результатами ИИ-генерированного контента, входящего в деловые процессы.

Что такое регуляторная песочница AI Act и чем она может быть полезна компаниям? AI Act предусматривает создание регуляторных песочниц (regulatory sandboxes) — контролируемых сред, в которых инновационные системы ИИ могут проходить тестирование при непосредственном взаимодействии с регуляторами и с временной гибкостью в применении определённых требований. Государства — члены ЕС обязаны создать такие песочницы, при этом точные сроки, согласно имеющимся сведениям, являются предметом текущих изменений в регуляторной базе. Это особенно ценно для стартапов и инновационных проектов на этапе разработки, которые стремятся протестировать системы до полноценного выхода на рынок.

Заключение

Внедрение AI Act — это не только регуляторная обязанность, но и возможность для предприятий систематизировать свою деятельность в области ИИ, снизить операционные риски и укрепить доверие со стороны клиентов и партнёров. Организации, относящиеся к регулированию ИИ как к стратегическому управлению рисками, а не к бюрократическому препятствию, окажутся в более выгодном рыночном положении. Соответствие требованиям AI Act, подобно GDPR, в будущем станет не только правовым обязательством, но и конкурентным дифференциатором и условием для делового сотрудничества с определёнными корпоративными партнёрами и государственным сектором.

Для структурированного анализа систем ИИ в вашем предприятии, разработки программы AI compliance и выполнения документационных требований запишитесь на консультацию к нашей команде, специализирующейся на регулировании искусственного интеллекта.

Источники: – https://eur-lex.europa.eu/eli/reg/2024/1689/oj (Uredba (EU) 2024/1689 — AI Act) – https://www.ey.com/en_uk/trust/artificial-intelligence-regulation-compliance – https://www.pwc.com/gx/en/issues/data-privacy/ai-governance.html – https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai

Содержание сайта носит информационный характер и не является юридической консультацией. За конкретными юридическими советами обращайтесь непосредственно к адвокату. Бюро работает в соответствии с Законом об адвокатуре и Кодексом профессиональной этики адвокатов.

Scroll to Top