8 декабря политики Европейского Союза достигли важной вехи, завершив работу над Законом об Искусственном Интеллекте (AI Act), который станет первой в мире комплексной нормативной базой для регулирования искусственного интеллекта. Будучи лидером в глобальном цифровом и 데이터-губернации, ЕС последовательно устанавливает стандарты по множеству вопросов, включая защиту данных и целевую рекламу. После продолжительного законодательного процесса, начатого в апреле 2021 года, AI Act готов преобразовать управление ИИ, открывая эру «Брюссельского эффекта», который повысит стандарты ИИ в мировой экономике.
Официальный текст сейчас находится на финальной доработке, однако лидеры ЕС ожидают, что исторический Закон об Искусственном Интеллекте будет официально принят в апреле 2024 года, а его поэтапное внедрение начнется в 2026 году.
Что такое Закон об Искусственном Интеллекте ЕС?
Закон об Искусственном Интеллекте представляет собой революционную правовую базу, представленную Европейской Комиссией в апреле 2021 года, направленную на обеспечение безопасности, ответственности и прозрачности ИИ-систем на рынке ЕС. Используя риск-ориентированный подход, Закон будет контролировать разработчиков, дистрибьюторов, импортеров и пользователей ИИ, внимательно оценивая потенциал негативного влияния ИИ-систем. Чем выше потенциальный вред от ИИ-приложений, тем строже необходимый контроль. Это законодательство напоминает Общий регламент защиты данных (GDPR) ЕС, который с момента своего принятия в 2016 году оказал влияние на глобальные стандарты конфиденциальности.
Кого затрагивает Закон об Искусственном Интеллекте?
Закон определяет конкретные определения и обязанности для различных участников экосистемы ИИ, включая разработчиков, дистрибьюторов и пользователей. Важно отметить, что даже компании, базирующиеся за пределами ЕС, могут подпадать под юрисдикцию Закона, если их ИИ-системы создают результаты, используемые в ЕС. Например, южноамериканская компания, разрабатывающая ИИ-систему, влияющую на резидентов ЕС, может подпадать под действие Закона.
Закон не применяется к военным или национальным программам безопасности, но устанавливает строгие условия для использования удаленных биометрических систем идентификации правоохранительными органами.
Черновик Закона, который Европейский парламент принял в июне 2023 года, выделяет две ключевые категории участников:
- Провайдер: этот термин относится к разработчикам, которые предлагают ИИ-системы под собственным брендом, независимо от того, являются ли они бесплатными или платными (например, OpenAI с ChatGPT на рынке ЕС).
- Применитель: ранее известный как "Пользователь", этот термин теперь используется для описания организаций, которые используют ИИ-системы в профессиональных или бизнес-целях.
Обязанности по соблюдению правил в первую очередь несет Провайдер ИИ, как и в случае с GDPR, когда ответственность лежит на контролерах данных. Однако количество пользователей ИИ (Применителей) значительно превысит количество Провайдеров, особенно в отношении высокорискованных систем, где Применители будут иметь ключевую роль в управлении рисками, связанными с ИИ.
Классификация рисков ИИ-практик
С акцентом на защиту прав и безопасности конечных пользователей, Закон классифицирует ИИ-системы на четыре категории рисков:
1. Неприемлемый ИИ: эта категория полностью запрещает использование ИИ-технологий, угрожающих демократическим ценностям или правам человека, таких как системы социального кредита и навязчивое биометрическое наблюдение.
2. Высокий Риск ИИ: ИИ-системы, которые могут причинить значительный вред критическим секторам, таким как инфраструктура, занятость и общественное здоровье, считаются высокорискованными. Разработчики таких систем должны соблюдать строгие требования, включая оценку соответствия, регистрацию, управление данными и протоколы кибербезопасности.
3. Низкий Риск ИИ: Системы, представляющие незначительные риски, такие как базовые чат-боты, требуют мер прозрачности, обязывая пользователей быть информированными о том, что содержимое генерируется ИИ.
4. Минимальный или Нулевой Риск ИИ: Эта категория охватывает низкорисковые приложения, такие как автоматизированные сумматоры и спам-фильтры, которые, как правило, не представляют значительной угрозы для пользователей.
Штрафы за несоблюдение
Нарушение положений Закона может повлечь значительные штрафы. Они варьируются от 7,5 миллиона евро или 1,5% от глобального годового дохода до 35 миллионов евро или 7% от глобального дохода, в зависимости от тяжести нарушения. Версия парламента 2023 года предлагает следующие возможные штрафы:
- Неприемлемый ИИ: до 7% от глобального годового дохода, увеличение с предыдущих 6%.
- Высокий Риск ИИ: до 20 миллионов евро или 4% от глобального дохода.
- Общего назначения ИИ (например, ChatGPT): штрафы до 15 миллионов евро или 2% от глобального дохода, с особыми положениями для генеративных ИИ-приложений.
- Предоставление некорректной информации: штрафы до 7,5 миллиона евро или 1,5% от глобального дохода.
Подготовка к Закону об Искусственном Интеллекте
Чтобы эффективно подготовиться к Закону, организациям необходимо разработать всестороннюю стратегию управления, включающую надежный внутренний контроль и управление цепочками поставок. Компании, разрабатывающие или внедряющие высокорисковые ИИ-системы, должны провести тщательную оценку своих операций и ответить на следующие вопросы:
- Какие отделы используют ИИ-инструменты?
- Обрабатывают ли эти инструменты конфиденциальную информацию или чувствительные личные данные?
- Попадают ли эти сценарии под категории неприемлемого, высокого или низкого рисков, как определено Законом?
- Является ли компания Провайдером или Применителем ИИ?
- Какие условия содержатся в соглашениях с поставщиками относительно защиты данных и соблюдения норм?
Продвижение ЕС в направлении Закона об Искусственном Интеллекте может вызвать значительные изменения в глобальных законодательных подходах к управлению рисками ИИ. В сочетании с недавним указом по ИИ в США, объявленным в октябре, это соглашение сигнализирует о начале новой эры в том, как компании могут ответственно и эффективно использовать технологии ИИ.
Рейтинг
