Divi roboti tur rokās svarus.

Pilnīgs ceļvedis par ES Mākslīgā intelekta likumu (MI likums)

Blog /

ES Mākslīgā intelekta likums — Regula (ES) 2024/1689 — nosaka juridiski saistošus noteikumus jebkurai mākslīgā intelekta sistēmai, kas tiek laista Eiropas tirgū vai kuras rezultāti sasniedz ES lietotājus, padarot to par pirmo horizontālo, uz risku balstīto mākslīgā intelekta likumu. Neatkarīgi no tā, vai veidojat modeļus, integrējat trešo pušu rīkus vai vienkārši ieviešat tērzēšanas robotus klientu apkalpošanai, likums rada jaunus pienākumus un pakļauj jūs satraucošiem naudas sodiem līdz pat 7% no globālā apgrozījuma par katru pārkāpumu. Likums stājās spēkā 1. gada 2024. augustā; atbilstības saistības stājas spēkā pakāpeniski no 2025. gada februāra līdz 2027. gada augustam, kas nozīmē, ka sagatavošanās laiks ir ierobežots.

Šī praktiskā rokasgrāmata pārvar juridisko žargonu un precīzi izskaidro to, kas jums jāzina: likuma darbības jomu un galvenās definīcijas, tā četru līmeņu riska klasifikāciju, laika grafiku un izpildes mehānismu, konkrētos pienākumus pakalpojumu sniedzējiem, lietotājiem, importētājiem un izplatītājiem, kā arī sodus par neievērošanu. Mēs arī sasaistām regulu ar GDPR, NIS2, produktu drošības noteikumiem un nozaru prasībām, pirms sniedzam jums pakāpenisku atbilstības kontrolsarakstu, pēc kura inženieru, juridisko un vadības komandu komandas var nekavējoties rīkoties. Sagatavosimies — krietni pirms auditoriem.

Īsumā: Kas īsti ir ES Mākslīgā intelekta likums

Regula (ES) 2024/1689, labāk pazīstama kā ES Mākslīgā intelekta likums, ir tieši piemērojama ES regula, nevis direktīva. Tas nozīmē, ka tās panti automātiski stājas spēkā katrā dalībvalstī bez nepieciešamības to transponēt valsts līmenī, līdzīgi kā GDPR izdarīja 2018. gadā. Mērķis ir divējāds: aizsargāt pamattiesības un drošību, vienlaikus nodrošinot uzņēmumiem juridisko noteiktību, lai atbildīgi ieviestu inovācijas, izmantojot mākslīgo intelektu. Lai to panāktu, likums ievieš horizontālu, uz risku balstītu instrumentu kopumu, kas aptver visas nozares, sākot no finansēm līdz veselības aprūpei, klasificējot sistēmas no “minimāla” līdz “nepieņemamam” riskam ar atbilstošiem juridiskajiem pienākumiem.

Darbības joma un definīcijas, kas jums jāzina

Pirms atbilstības plāna izstrādes apgūstiet galveno terminoloģiju:

  • Mākslīgā intelekta sistēma: “uz mašīnām balstīta sistēma, kas paredzēta darbībai ar dažādiem autonomijas līmeņiem un kas tiešu vai netiešu mērķu sasniegšanai no ievades datiem secina, kā ģenerēt rezultātus, piemēram, prognozes, saturu, ieteikumus vai lēmumus, kas var ietekmēt fizisko vai virtuālo vidi.”
  • Vispārējas nozīmes mākslīgais intelekts (MMAI): mākslīgā intelekta sistēma, kas spēj veikt plašu atšķirīgu uzdevumu klāstu neatkarīgi no tā, kā tā vēlāk tiek pilnveidota vai ieviesta.
  • Pakalpojumu sniedzējs: jebkura fiziska vai juridiska persona, kas izstrādā vai ir izstrādājusi mākslīgā intelekta sistēmu, lai to laistu tirgū vai nodotu ekspluatācijā ar savu vārdu vai preču zīmi.
  • Lietotājs (bieži saukts par “ieviesēju”): persona vai vienība, kas izmanto mākslīgā intelekta sistēmu tās pārvaldībā, izņemot privātu, neprofesionālu lietošanu.
  • Importētājs: Savienībā reģistrēta puse, kas ES tirgū laiž mākslīgā intelekta sistēmu ar ārpus Savienības esošas struktūras nosaukumu vai preču zīmi.
  • Izplatītājs: piegādes ķēdes dalībnieks, kas nav pakalpojumu sniedzējs vai importētājs un kas padara pieejamu mākslīgā intelekta sistēmu, to nemodificējot.

Teritoriālā darbības joma ir plaša: jebkura sistēma, kas laista ES tirgū vai kuras produkcija tiek izmantota ES, ietilpst likuma darbības jomā neatkarīgi no izstrādātāja atrašanās vietas. Pastāv izņēmumi tīri militāriem vai valsts drošības lietojumiem, vēl netirgotiem pētniecības un attīstības prototipiem un personīgiem hobiju projektiem.

Likumā ietvertie galvenie principi

Regula ietver ilgstoši pastāvošus ētikas principus piemērojamā tiesību aktā:

  • Cilvēka aģentūra un uzraudzība
  • Tehniskā izturība un drošība
  • Privātums un datu pārvaldība
  • Pārredzamība un izskaidrojamība
  • Dažādība, nediskriminācija un taisnīgums
  • Sabiedrības un vides labklājība

Tie atspoguļo ESAO mākslīgā intelekta principus un ES agrākās “Ētikas vadlīnijas mākslīgajam intelektam”. Uzticams AI”, bet tagad tiem ir regulējoši zobi.

Regulējums pretstatā esošajām ieteikuma tiesību vadlīnijām

Līdz 2024. gadam mākslīgā intelekta pārvaldība Eiropā balstījās uz brīvprātīgiem regulējumiem, piemēram, ES Mākslīgā intelekta paktu vai uzņēmumu ētikas kodeksiem. Mākslīgā intelekta likums maina spēles noteikumus: atbilstība ir obligāta, auditējama un atbalstīta ar... naudas sodi līdz 35 miljoniem eiro jeb 7 % no globālajiem ieņēmumiem. Citiem vārdiem sakot, “ētiskā mākslīgā intelekta” deklarācijas vairs nav pietiekamas — organizācijām ir jāiesniedz atbilstības novērtējumi, CE marķējumi un pārbaudāmi žurnāli, pretējā gadījumā tām draud izslēgšana no ES tirgus.

Laika grafiks, juridiskais statuss un izpildes fāzes

ES Mākslīgā intelekta likums no priekšlikuma līdz saistošam likumam nonāca nedaudz vairāk kā trīs gadu laikā — pēc Briseles standartiem zibens ātrumā. Tā kā tā ir regula, lielākā daļa pantu tiek piemēroti automātiski visā blokā bez transponēšanas valsts līmenī. Laika gaitā mainās tikai tas, kuras saistības stājas spēkā vispirms. Zemāk redzamajā grafikā ir parādīti politiskie pagrieziena punkti, kas mūs ir noveduši līdz šim brīdim, un noteikts pamats pakāpeniskajai atbilstības pienākumu ieviešanai, kas jūsu organizācijai tagad ir jāplāno.

datums Milestone Nozīme
21 aprīlis 2021 Komisija publicē mākslīgā intelekta likuma projektu Likumdošanas procesa oficiālais sākums
9 decembris 2023 Parlaments un Padome panāk politisku vienošanos Galvenais teksts lielākoties bloķēts
13 mar 2024 Eiropas Parlamenta galīgais balsojums (523-46) Demokrātu apstiprinājums nodrošināts
21 May 2024 ES Padomes pieņemšana Pēdējais likumdošanas šķērslis pārvarēts
10 jūlijs 2024 Teksts publicēts Oficiālajā Vēstnesī Sākas juridiskā atpakaļskaitīšana
Augusts 1 2024 Stājas spēkā Regula (ES) 2024/1689 “0. diena” visiem turpmākajiem termiņiem

Spēkā stāšanās datums izraisa virkni pakāpenisku piemērošanas datumu, kas sadalīti trīs gadu laikā. Šāda pieeja dod pakalpojumu sniedzējiem, lietotājiem, importētājiem un izplatītājiem brīvu laiku, lai izstrādātu atbilstības procesus, uzlabotu modeļus un apmācītu darbiniekus, taču tas arī nozīmē, ka auditori sagaidīs pierādāmu progresu krietni pirms 2027. gada.

Izpildes ceļvedis: Kas ir piemērojams, kad

  • 6 mēneši | 1. gada 2025. februāris
    • Aizliegtajām mākslīgā intelekta praksēm (5. pants) ir jābūt izņemtām no tirgus — nav attaisnojumu.
  • 12 mēneši | 1. gada 2025. augusts
    • Stājas spēkā pārredzamības pienākumi attiecībā uz dziļviltojumiem, tērzēšanas robotiem un emociju atpazīšanu.
    • Tiek gaidīti vispārējas nozīmes mākslīgā intelekta (GPAI) prakses kodeksi; brīvprātīgi, bet ļoti ieteicami.
  • 24 mēneši | 1. gada 2026. augusts
    • Sākas augsta riska sistēmas prasību izpilde: riska pārvaldība, datu pārvaldība, tehniskā dokumentācija, cilvēku pārraudzība un CE marķējuma sagatavošana.
    • Pakalpojumu sniedzējiem ir jāreģistrē augsta riska sistēmas jaunajā ES datubāzē.
  • 36 mēneši | 1. gada 2027. augusts
    • Attiecas pilns režīms, tostarp biometriskās identifikācijas sistēmas, paziņoto iestāžu atbilstības novērtējumi un obligāta ES atbilstības deklarācija visam augsta riska mākslīgajam intelektam.
    • Tirgus uzraudzības iestādes iegūt tiesības pieprasīt neatbilstošu produktu atsaukšanu vai izņemšanu no tirgus.

Pārejas klauzulas ļauj augsta riska sistēmām, kas jau likumīgi tika izmantotas pirms 2026. gada augusta, palikt tirgū, līdz tajās tiek veikta “būtiska modifikācija”. Rūpīgi plānojiet jauninājumus, lai izvairītos no atbilstības pulksteņa nejaušas atiestatīšanas.

Iestādes un uzraudzības struktūras

ES Mākslīgā intelekta akta īstenošanai tiek izmantoti trīs uzraudzības līmeņi:

  1. ES Mākslīgā intelekta birojs (Eiropas Komisija) – Koordinē vadlīnijas, uztur GPAI reģistru un var uzlikt naudas sodus sistēmisko modeļu sniedzējiem.
  2. Valsts kompetentās iestādes – Pa vienam katrai dalībvalstij; nodarbojas ar pārbaudēm, sūdzībām un ikdienas tirgus uzraudzību.
  3. Paziņotās struktūras – Neatkarīgas atbilstības novērtēšanas organizācijas, kas veic augsta riska sistēmu auditu pirms CE marķējuma piešķiršanas.

Šie dalībnieki sadarbojas, izmantojot Eiropas Mākslīgā intelekta valde (EAIB), kas izdod saskaņotas interpretējošas piezīmes — uztveriet to kā mākslīgā intelekta ekvivalentu GDPR EDAK. Sekojiet līdzi viņu norādījumiem; tie ietekmēs to, kā jūsu tehniskie faili un riska novērtējumi tiek vērtēti praksē.

Četru līmeņu riska klasifikācijas sistēma

ES Mākslīgā intelekta likuma (MI likuma) pamatā ir luksofora modelis, kas nosaka, cik stingri ir noteikumi: jo lielāks risks cilvēku tiesībām un drošībai, jo lielāka atbilstības slodze. Katra MI sistēma ir jāiedala vienā no četrām klasēm — nepieņemama, augsta, ierobežota vai minimāla. Klasifikācija nosaka visu pārējo: dokumentācijas dziļumu, testēšanas stingrību, uzraudzību un, galu galā, piekļuvi tirgum.

Riska līmenis Tipiski piemēri Galvenās juridiskās sekas Pirmā pieteikuma datums*
Nepieņemams Sociālā vērtēšana, reāllaika biometriskā identifikācija publiskās vietās, manipulatīvi “grūdienu” dzinēji Pilnīgs aizliegums; anulēšana un naudas sodi līdz 35 miljoniem eiro / 7% 1 februāris 2025
augsts CV pārbaudes rīki, medicīniskās diagnostikas programmatūra, kredītspējas vērtēšana, autonomās braukšanas moduļi Atbilstības novērtēšana, CE marķējums, iekļaušana reģistrā, pēcpārdošanas uzraudzība 1. gada 2026. augusts (biometriskie dati: 1. gada 2027. augusts)
ierobežots Čatboti, dziļviltojumu ģeneratori, emociju analīzes logrīki Paziņojums par pārredzamību un pamata lietotāja vadīklas Augusts 1 2025
Minimums Ar mākslīgo intelektu darbināmi surogātpasta filtri, videospēļu NPC Nav obligātu noteikumu; tikai brīvprātīgi kodeksi Jau spēkā

* Aprēķināts no spēkā stāšanās datuma 1. gada 2024. augusta.

Sistēma ir dinamiska: ja pievienojat jaunas funkcijas vai maināt mērķa lietotājus, jūsu sistēma var pāriet uz nākamo līmeni, aktivizējot jaunus pienākumus.

Nepieņemams risks: aizliegtas mākslīgā intelekta prakses

5. pants norobežo lietojumus, ko ES uzskata par nesavienojamiem ar pamattiesībām. Tie ietver:

  • Subliminālas metodes, kas būtiski kropļo uzvedību
  • Nepilngadīgo vai personu ar invaliditāti ievainojamības izmantošana
  • Neizvēlīgs reāllaiks biometriskā identifikācija publiski pieejamās vietās (tiek piemēroti šauri tiesībaizsardzības iestāžu izņēmumi)
  • Valsts iestāžu veiktā sociālā vērtēšana
  • Prognozējoša policijas darbība, kuras pamatā ir tikai profilēšana vai atrašanās vietas dati

Šādas sistēmas nekad nedrīkst nonākt ES tirgū. Valstu iestādes var pieprasīt tūlītēju atsaukšanu, un sodi ir tikai daži no likuma soda sliekšņiem.

Augsta riska mākslīgā intelekta sistēmas: III pielikuma kategorijas

Sistēma nonāk augsta riska grupā, ja tā ir:

  1. Produkta drošības sastāvdaļa, kas jau ir regulēta (piemēram, saskaņā ar Mašīnu vai Medicīnas ierīču noteikumiem), vai
  2. Uzskaitīts III pielikuma astoņās sensitīvajās jomās — biometrija, kritiskā infrastruktūra, izglītība, nodarbinātība, būtiski pakalpojumi, tiesībaizsardzība, migrācija un tiesiskums.

Kad pakalpojumu sniedzēji ir klasificēti kā augsta riska uzņēmumi, tiem ir jāievieš kvalitātes vadības sistēma, jāveic riska pārvaldības cikls un jānodrošina atbilstības novērtējums — dažreiz ar ārējas paziņotas iestādes starpniecību. Lietotāji (ieviesēji) manto reģistrēšanas, uzraudzības un incidentu ziņošanas pienākumus.

Ierobežots risks: pārredzamības pienākumi

Ierobežota riska rīki nav nekaitīgi, taču ES uzskata, ka lietotāju informētība mazina lielāko daļu apdraudējumu. Tērzēšanas robotu, ģeneratīvā mākslīgā intelekta mākslas dzinēju vai sintētiskās balss pakalpojumu veidotājiem ir jāievēro šādas prasības:

  • Informējiet lietotājus, ka viņi mijiedarbojas ar mākslīgo intelektu (“Šis attēls ir ģenerēts mākslīgā intelekta”).
  • Atklāt dziļviltojumu saturu mašīnlasāmā ūdenszīmē
  • Atturēties no slepenas personas datu vākšanas, pārsniedzot absolūti nepieciešamo.

Ja paziņojums netiek sniegts, sistēma tiek pazemināta līdz neatbilstības līmenim un tiek piemēroti administratīvie sodi.

Minimāls/niecīgs risks: Nav obligātu noteikumu

Šeit parasti ietilpst surogātpasta filtri, paredzamā teksta sūtīšana e-pastā vai mākslīgais intelekts, kas optimizē HVAC enerģijas patēriņu. ES Mākslīgā intelekta likums (MI likums) neuzliek stingras saistības, taču tas aktīvi mudina uz brīvprātīgiem kodeksiem, regulatīvām smilškastēm un tādu starptautisko standartu kā ISO/IEC 42001 ievērošanu. Vieglas dokumentācijas un pamata neobjektivitātes testu saglabāšana joprojām ir gudrs solis — regulatori var pārklasificēt robežgadījumus, ja parādās kaitējuma pierādījumi.

Pakalpojumu sniedzēju, izvietotāju un citu dalībnieku pamatpienākumi

ES Mākslīgā intelekta likums atbilstības pienākumus sadala visā piegādes ķēdē. Tā kā atbildība ir atkarīga no funkcijas, nevis uzņēmuma lieluma, vispirms ir jānosaka, kuru lomu jūs pildāt — pakalpojumu sniedzējs, lietotājs (ieviesējs), importētājs vai izplatītājs —, un pēc tam jāpiemēro visas ar risku saistītās prasības. Nepareiza klasifikācija ir bieži sastopams audita atklājums, tāpēc kartēšanas vingrinājumu uztveriet kā programmas nulles soli.

Augsta riska sistēmu nodrošinātāji

Pakalpojumu sniedzējiem ir vislielākais slogs, jo viņi kontrolē dizaina lēmumus. Galvenie uzdevumi:

  • Izveidojiet dokumentētu kvalitātes vadības sistēmu (KVS), kas aptver datu pārvaldību, risku pārvaldību, izmaiņu kontroli un kiberdrošību.
  • Veikt iepriekšēju atbilstības novērtējumu. Lielākā daļa III pielikuma sistēmu var veikt pašnovērtējumu, taču biometriskās identifikācijas, medicīnas ierīču un citu drošībai kritisku lietošanas gadījumu gadījumā ir nepieciešama paziņotās iestādes iesaistīšana.
  • Apkopot tehnisko dokumentāciju: modeļa arhitektūru, apmācības datu līniju, novērtēšanas rādītājus, robustuma testus, cilvēka uzraudzības mehānismus un pēcpārdošanas uzraudzības plānu.
  • Pirms pirmās ieviešanas izstrādāt ES atbilstības deklarāciju, piestiprināt CE marķējumu un reģistrēt sistēmu publiskajā mākslīgā intelekta datubāzē.
  • Ieviest nepārtrauktu uzraudzību pēc laišanas tirgū: reģistrēt nopietnus incidentus, atkārtoti apmācīt, ja tiek pārsniegtas novirzes robežvērtības, un 15 dienu laikā paziņot kompetentajām iestādēm.

Jebkuras no šīm darbībām neievērošana var izraisīt naudas sodus līdz 15 miljoniem eiro vai 3% no globālā apgrozījuma, pat ja kaitējums netiek nodarīts.

Augsta riska sistēmu lietotāji/ieviesēji

Izplatītāji pārveido kodu reālās pasaules ietekmē, tāpēc likums viņiem sniedz savu kontrolsarakstu:

  • Darbiniet sistēmu stingri saskaņā ar pakalpojumu sniedzēja norādījumiem un dokumentēto lietošanas gadījumu.
  • Veikt pamattiesību ietekmes novērtējumu (FRIA), ja lietotājs ir publiska iestāde vai ja mākslīgais intelekts ietekmē piekļuvi būtiskiem pakalpojumiem, piemēram, mājoklim vai kredītam.
  • Nodrošināt kvalificētu cilvēku uzraudzību: darbiniekiem jābūt apmācītiem, pilnvarotiem ignorēt rezultātus un spējīgiem izskaidrot lēmumus attiecīgajām personām.
  • Saglabājiet žurnālus vismaz sešus gadus, tostarp ievades datus, izvades datus, cilvēku iejaukšanās datus un veiktspējas anomālijas.
  • Ziņot par nopietniem incidentiem gan pakalpojumu sniedzējam, gan valsts iestādei bez “nepamatotas kavēšanās”, kas parasti tiek interpretēta kā 72 stundas.

Importētāji un izplatītāji

Dalībniekiem, kas ievieš vai nodod tālāk mākslīgā intelekta sistēmas ES, ir pienākums kontrolēt piekļuvi tām:

  • Pārliecinieties, vai CE marķējums, ES atbilstības deklarācija un instrukcijas pastāv un atbilst tirgotajai funkcionalitātei.
  • Atturēties no produkta piegādes, ja viņi zina — vai viņiem vajadzētu zināt —, ka tas neatbilst prasībām; tā vietā informēt piegādātāju un kompetento iestādi.
  • Veiciet sūdzību un atsaukumu reģistru, pēc pieprasījuma nodrošinot tam piekļuvi iestādēm.
  • Sadarboties korektīvo darbību veikšanā, tostarp produktu izņemšanā no tirgus vai programmatūras ielāpu ieviešanā.

Vispārējas nozīmes mākslīgā intelekta (pamatmodeļu) saistības

Likums pievieno pielāgotus noteikumus GPAI vai pamatmodeļu veidotājiem, kurus var iegult jebkur:

  • Sniedziet visaptverošu tehnisko dokumentāciju un izmantoto datu kopu kopsavilkumu, tostarp licences statusu un ģeogrāfisko izcelsmi.
  • Publicēt paziņojumu par autortiesību ievērošana un, ja iespējams, ieviest atteikšanās mehānismus aizsargātiem darbiem.
  • Veikt un dokumentēt sistēmiskā riska testēšanu, ja modelis pārsniedz XI pielikumā noteikto skaitļošanas slieksni (piemēram, 10^25 FLOP). Papildu pienākumi attiecas uz “sistēmisko GPAI”, piemēram, piedāvāt atsauces implementācijas un sadarboties ar ES Mākslīgā intelekta biroju.
  • Atvērtā pirmkoda modeļiem ir mazāk stingri noteikumi, tomēr tiem joprojām ir jāuzliek ģenerēts saturs ar ūdenszīmi un jāsniedz lietošanas instrukcijas, kurās sīki aprakstīti paredzamie ierobežojumi.

Saskaņojot iekšējās kontroles mehānismus ar iepriekš minētajiem konkrētajai lomai paredzētajiem kontrolsarakstiem, jūs varat novērst acīmredzamākās atbilstības nepilnības ilgi pirms 2026. un 2027. gada augusta izpildes termiņiem.

Tehniskās un organizatoriskās prasības atbilstības sasniegšanai

ES Mākslīgā intelekta likums neparedz universālus plānus. Tā vietā tas definē uz rezultātiem orientētas “būtiskās prasības” un ļauj jums brīvi izvēlēties kontroles metodes, kas tās pierāda. Knifs ir apvienot inženiertehnisko labo praksi ar normatīvo higiēnu, lai katrs modeļa atjauninājums vai datu atsvaidzināšana automātiski iekļautos atkārtojamā atbilstības procesā. Pieci tālāk minētie pamatelementi pārvērš likuma juridiskos pantus konkrētos uzdevumos, ko var veikt jūsu produktu, datu un juridiskās komandas.

Datu pārvaldība un pārvaldība

Slikti dati ir pielīdzināmi regulējošam kriptonītam. 10. pants uzliek augsta riska mākslīgā intelekta nodrošinātājiem pienākumu dokumentēt un pamatot katru baitu, kas nonāk datu plūsmā.

  • Kurēt datu kopas, kas ir atbilstošs, reprezentatīvs, bez kļūdām un aktuāls paredzētajai populācijai.
  • Uzturēt katra korpusa “datu lapu”: avots, savākšanas datums, licencēšanas noteikumi, pirmapstrādes soļi, neobjektivitātes pārbaudes un saglabāšanas periods.
  • Izsekojiet izcelsmi versiju kontrolētā repozitorijā, lai varētu atsaukt iepriekšējo versiju, ja iestāde pieprasa labojumus.
  • Veiciet neobjektivitātes un nelīdzsvarotības testēšanu, izmantojot statistiski pamatotas metodes (χ², KS-testvai modeļa ziņā neatkarīgus taisnīguma rādītājus) un žurnālu mazināšanas darbības.

Saglabājiet pilnu liecību — neapstrādātus datus, skriptus, testu rezultātus — pieejamu 10 gadiemlikuma retrospektīvā pārskata periods ir garš.

Riska pārvaldības sistēma

9. pants paredz nepārtraukts un dokumentēts process kas atspoguļo ISO 31000 un ISO/IEC 23894 projektu.

  1. Identificējiet apdraudējumus: ļaunprātīgas izmantošanas scenārijus, pretinieku uzbrukumus, datu novirzi.
  2. Analizējiet ietekmi un iespējamību; novērtējiet tos pēc kopīgas skalas (piemēram, risk = probability × severity).
  3. Izlemiet par kontroles mehānismiem: tehniskās garantijas, cilvēku uzraudzību, līgumā noteiktos ierobežojumus.
  4. Pārbaudiet kontroles pēc katra būtiska atjauninājuma; ņemiet vērā konstatējumus nākamajā sprintā.

Uzglabājiet visu dzīvā risku reģistrā; regulatori sagaida redzēt laika zīmogus, īpašniekus un slēgšanas pierādījumus.

Cilvēka uzraudzība un caurspīdīgums pēc būtības

14. un 52. pants pārveido “cilvēka savstarpējo saziņu” par obligātiem projektēšanas uzdevumiem.

  • Definējiet uzraudzības režīmu: cilpas ietvaros (manuāla apstiprināšana), nepārtraukti (reāllaika brīdinājumi) vai pa cilpu (post-hoc revīzijas).
  • Iegult izskaidrojamības slāņus: nozīmīguma kartes, hipotētisku piemērus, vienkāršotus lēmumu pieņemšanas noteikumus.
  • Nodrošiniet ignorēšanas un rezerves opcijas, kas ir abas tehniski izpildāms un organizatoriski pilnvarots.
  • Piedāvājiet vienkāršā valodā rakstītus lietotāja paziņojumus (“Jūs mijiedarbojaties ar mākslīgā intelekta sistēmu”) un, ja iespējams, atklājiet uzticamības rādītājus.

Stabilitāte, precizitāte un kiberdrošība

Saskaņā ar 15. pantu modeļiem jāievēro deklarētie kļūdu līmeņi un jāiztur ļaunprātīga iejaukšanās.

  • Noteikt minimālos veiktspējas sliekšņus; uzraudzīt precizitāti, precizitāti, atsaukšanas spēju un kalibrēšanas novirzes ražošanā.
  • Pirms katras izlaišanas veiciet adversarial-resistence testus (FGSM, PGD, datu saindēšanās).
  • Nostiprināt infrastruktūru saskaņā ar NIS2 un ETSI EN 303 645: drošas API, uz lomām balstīta piekļuve, šifrēti modeļu kontrolpunkti.
  • Sagatavojiet rezerves plānus — drošā režīma noklusējuma iestatījumus, cilvēka veiktas pārskatīšanas eskalāciju —, ja veiktspēja nokrītas zem tolerances joslām.

Uzskaite, reģistrēšana un CE dokumentācija

Ja tas nav pierakstīts, tas nekad nav noticis — mantra, kas kļūst par likumu 11. un 19. pantā.

Dokuments Galvenais saturs Saglabāšana
Tehniskais fails modeļa arhitektūra, apmācības datu kopsavilkums, novērtēšanas metrikas, kiberdrošības kontrole Dzīves cikls + 10 gadi
Baļķi ievades, izvades, ignorēšanas notikumi, veiktspējas statistika, incidenti ≥ 6 gadi
ES atbilstības deklarācija atbilstības deklarācija, piemērotie standarti, pakalpojumu sniedzēja informācija Publiski pieejams
Pēcpārdošanas uzraudzības plāns KPI, ziņošanas kanāli, aktivizēšanas sliekšņi Nepārtraukti atjaunināts

Automatizējiet žurnālu ierakstīšanu, ja iespējams; izmantojiet nemainīgu krātuvi vai tikai pievienojamās virsgrāmatas, lai pierādījumi izturētu tiesu medicīnas pārbaudi. Kad dokumentācija ir pabeigta, pievienojiet CE marķējums un iesniegt sistēmu ES datubāzē — tikai tad tā drīkst nonākt tirgū.

Integrējot šīs tehniskās un organizatoriskās kontroles savā izstrādes dzīves ciklā, jūs pārveidojat atbilstību no pēdējā brīža steigas par pastāvīgi darbojošos iespēju, ko auditori atpazīs un atalgos.

Sodi, tiesiskās aizsardzības līdzekļi un tiesvedības risks

ES Mākslīgā intelekta likums nepaļaujas uz pieklājīgiem grūdieniem; tas izmanto pietiekami lielu nūju, lai liktu vadītājiem sarauties. Finansiālās sankcijas atspoguļo GDPR mērogu, tomēr likums arī pilnvaro iestādes… izņemt produktus no plauktiem, dzēst pasūtījuma datus vai piespiesti pārkvalificēt modeli ja riski netiek mazināti. Naudas sodi tiek ierobežoti atkarībā no tā, kura summa ir lielāka — absolūta eiro summa vai iepriekšējā gada pasaules apgrozījuma procentuālā daļa —, tāpēc pat agrīnās stadijas jaunuzņēmumi izvairās no pašapmierinātības. Zemāk esošajā tabulā ir apkopoti sankciju līmeņi:

Pārkāpuma veids Maksimālais fiksētais sods Maksimālā procentuālā daļa no globālā apgrozījuma Tipiski izraisītāji
Aizliegtas darbības (5. pants) 35 milj. eiro 7% Sociālā vērtēšana, nelegāla biometriskā masveida novērošana
Augsta riska saistības (8.–15. pants) 15 milj. eiro 3% Trūkst atbilstības novērtējuma, nepilnības datu pārvaldībā
Informācijas un reģistrācijas kļūmes 7.5 milj. eiro 1% Neprecīza tehniskā dokumentācija, novēlota incidentu ziņošana
Parastais neatbilstības paziņojums 500 XNUMX eiro n / Nelieli pārkāpumi pēc brīdinājuma

Uzraudzības iestādes var noteikt ikdienas soda maksājumus, lai paātrinātu koriģējošos pasākumus. Produktiem, kas joprojām rada “nopietnu risku”, ir obligāta pārbaude. atsaukšana vai izņemšana no tirgus—reputācijas trieciens, ko nevar nomaskēt neviens sabiedrisko attiecību plāns.

Administratīvās sankcijas pret civiltiesisko atbildību

Normatīvie sodi nav stāsta beigas. Gaidāmā Mākslīgā intelekta atbildības direktīva (AILD) un pārskatītā Produkta atbildības direktīva (PLD) paver paralēlus ceļus privātas zaudējumu atlīdzības prasībasCietušajiem, kas cietuši mākslīgā intelekta lēmuma rezultātā, būs šādas tiesības:

  • A atspēkojama cēloņsakarības prezumpcija kad pakalpojumu sniedzēji pārkāpj Mākslīgā intelekta likuma pienākumus, atvieglojot pierādīšanas pienākumu.
  • Paplašinātas informācijas izpaušanas tiesības, ļaujot prasītājiem pieprasīt žurnālus un riska novērtējumus, kas parasti paliktu iekšēji.
  • Saskaņoti noteikumi visās dalībvalstīs, tomēr valstu deliktu tiesības joprojām var paredzēt stingrākus standartus (piemēram, Nīderlandes nelikumīgas darbības doktrīna).

Tādēļ uzņēmumiem varētu draudēt divkāršs trieciens: vairāku miljonu eiro administratīvs sods, kam sekotu kolektīvas prasības, īpaši tādās jomās kā kredītu atteikšana vai diskriminējoša pieņemšana darbā.

Tiesiskās aizsardzības mehānismi un trauksmes cēlēju aizsardzība

Privātpersonas un NVO var iesniegt sūdzības tieši savās valsts kompetentā iestāde vai ES Mākslīgā intelekta birojs. Iestādēm ir jāveic izmeklēšana “saprātīgā termiņā”, un tās var noteikt pagaidu pasākumus, tostarp apturēšanas rīkojumus. Skartās personas saglabā arī tiesiskās aizsardzības līdzekļus — aizliegumus, kompensācijas prasības un pārsūdzības pret uzraudzības lēmumiem.

Darbinieki Tie, kas pamana pārkāpumus, ir aizsargāti saskaņā ar ES noteikumiem Trauksmes celšanas direktīva:

  • Konfidenciāli ziņošanas kanāli ir obligāti uzņēmumiem ar 50 un vairāk darbiniekiem.
  • Atriebība — atlaišana, pazemināšana amatā, iebiedēšana — ir stingri aizliegta.
  • Ja iekšējie ziņošanas ceļi neizdodas, trauksmes cēlēji var vērsties pie ārējiem regulatoriem vai preses.

Tāpēc labi reklamētas, anonīmas ziņošanas līnijas izveide ir gan juridisks pienākums, gan agrīnās brīdināšanas sistēma, kas var pasargāt jūs no dārgākām tiesībaizsardzības sankcijām nākotnē.

Mākslīgā intelekta likuma sasaiste ar GDPR, NIS2, produktu drošību un nozares noteikumiem

ES Mākslīgā intelekta likums (MI likums) nav atsevišķa sala. Tas iekļaujas pārpildītā atbilstības okeānā, kas jau ietver datu aizsardzības, kiberdrošības un vertikālās drošības sistēmas. Šo savstarpējo plūsmu ignorēšana ir riskanta: MI sistēma, kas atbilst visām MI likuma prasībām, joprojām var pārkāpt GDPR vai NIS2 un otrādi. Zemāk mēs izceļam galvenos saskares punktus, lai jūsu juridiskās, drošības un produktu komandas varētu izveidot vienotu, integrētu kontroles karti, nevis žonglēt ar četriem atsevišķiem kontrolsarakstiem.

Pārklāšanās ar GDPR un ePrivātumu

  • Likumīgais pamats un mērķa ierobežojums: personas datu apstrādei augsta riska modeļa ietvaros ir jāatbilst vismaz vienam VDAR pamatojumam (bieži vien likumīgām interesēm vai piekrišanai).
  • Automatizētas lēmumu pieņemšanas ierobežojumi: VDAR 22. pants ierobežo pilnībā automatizētus lēmumus ar juridiskām vai būtiskām sekām; Mākslīgā intelekta likuma prasība par cilvēka uzraudzību bieži darbojas kā tehniskais drošības līdzeklis, kas atbloķē 22. panta (2) punkta (b) vai (c) apakšpunkta atbrīvojumus.
  • Kopīgu pārziņu scenāriji: kad ieviesējs precizē pārdevēja nodrošināto GPAI, abi var kļūt par kopīgais pārzinissaskaņā ar GDPR — attiecīgi plānojiet datu apstrādes līgumus.
  • Divkāršs pārredzamības pienākums: Mākslīgā intelekta likums nosaka lietotāju informācijas atklāšanu (“mākslīgā intelekta ģenerētu”), savukārt VDAR 12.–14. pants pieprasa privātuma paziņojumus, kuros sīki aprakstītas datu plūsmas, saglabāšana un tiesības. Izstrādājiet vienu daudzslāņu paziņojumu, kas aptver abus.

Kiberdrošība un NIS2 sinerģijas

NIS2 paredz riska novērtējumus, incidentu reaģēšanu un piegādes ķēdes drošību “būtiskām” un “svarīgām” vienībām. Mākslīgā intelekta likums to atspoguļo, pieprasot robustuma testēšanu, ievainojamību uzraudzību un pārkāpumu ziņošanu 15 dienu laikā. Izmantojiet vienu SOC darbplūsmu:

  1. Veiciet konkurētspējas noturības testus AI likuma atbilstības novērtēšanas laikā.
  2. Ievadīt rezultātus NIS2 riska reģistrā.
  3. Abiem režīmiem izmantojiet vienu un to pašu 72 stundu incidentu ziņošanas rokasgrāmatu.

Integrācija ar esošajiem produktu tiesību aktiem

Ja jūsu mākslīgais intelekts ir regulēta produkta (medicīnas ierīces, mašīnas, rotaļlietas, lifta, autobūves sistēmas) drošības sastāvdaļa, jums ir jāveic viens atbilstības novērtējums, kas aptver:

  • Vispārīgas drošības vai veiktspējas prasības saskaņā ar nozares tiesību aktiem un
  • Mākslīgā intelekta likuma pamatprincipi (risku pārvaldība, datu pārvaldība, cilvēka uzraudzība).

Saskaņā ar jauno tiesisko regulējumu saskaņotajos standartos drīzumā būs atsauce uz abiem prasību kopumiem, atļaujot vienu tehnisko dokumentāciju un vienu CE marķējumu.

Nozarei specifiski piemēri

  • Finanšu pakalpojumi: apvienot Mākslīgā intelekta likuma reģistrēšanu ar EBI vadlīnijām par nelikumīgi iegūtu līdzekļu legalizācijas novēršanu, lai pierādītu modeļa taisnīgumu un izskaidrojamību.
  • Energosistēmas pārvaldība: Mesh AI Act riska kontrole ar ENTSO-E kiberdrošības prasībām SCADA sistēmām.
  • Automobiļu nozare: ANO EEK WP.29 nosaka programmatūras atjauninājumu pārvaldību; integrējiet šos atjauninājumu žurnālus savā Mākslīgā intelekta likuma pēcpārdošanas uzraudzībā.
  • Veselības aprūpe: savienojiet ISO 13485 QMS artefaktus ar AI likuma datu kopas dokumentāciju, lai izvairītos no liekām revīzijām.

Starptautiskie salīdzinājumi

Globāliem uzņēmumiem ir jāsaskaņo ES Mākslīgā intelekta likums (MI likums) ar jaunajiem noteikumiem citur:

Jurisdikcija Galvenais instruments Ievērojama atšķirība
US Izpildrīkojums un NIST AI RMF Brīvprātīgi, bet var kļūt par federālo iepirkumu pamatprincipu
Ķīna Pagaidu Gen-AI pasākumi Īstā vārda reģistrācija un satura filtrēšana ir obligāta
UK Inovāciju veicinoša sistēma Regulatoram specifiskas vadlīnijas, horizontāla likuma vēl nav

Savlaicīgi kartējot pārklāšanos, starptautiskas komandas var izstrādāt kontroles sistēmas, kas vispirms atbilst stingrākajiem noteikumiem, un pēc tam samazināt to apjomu tur, kur vietējie likumi ir mazāk stingri.

Praktiskā atbilstības kontrolsaraksts un labākā prakse

ES Mākslīgā intelekta likuma (MI likuma) pantu un apsvērumu ieviešana ikdienas praksē var šķist biedējoša. Knifs ir sadalīt šo procesu nelielos soļos, par kuriem var uzņemties atbildību juridiskās, produktu un drošības komandas. Izmantojiet tālāk sniegto 12 soļu ceļvedi kā dzīvu projekta plānu — pārskatiet to katrā sprinta demonstrācijā un valdes sanāksmē līdz 2027. gada augustam.

  1. Inventarizēt katru mākslīgo intelektu vai algoritmisko komponentu ražošanā un pētniecībā un attīstībā.
  2. Klasificējiet katras sistēmas riska līmeni un savu dalībnieka lomu (pakalpojuma sniedzējs, lietotājs, importētājs, izplatītājs).
  3. Kartēt piemērojamos tiesību aktus (VDAR, NIS2, nozaru noteikumus) un noteikt pārklāšanos.
  4. Veikt neatbilstību analīzi atbilstoši Mākslīgā intelekta likuma pamatprasībām.
  5. Izstrādājiet vai atjauniniet savu kvalitātes vadības sistēmu (KVS).
  6. Izveidot daudznozaru pārvaldības struktūru.
  7. Izveidojiet tehniskās dokumentācijas veidnes un sāciet tās aizpildīt.
  8. Izveidojiet datu pārvaldības un neobjektivitātes testēšanas plūsmas.
  9. Veikt sākotnējos atbilstības novērtējumus vai izmēģinājuma auditus.
  10. Apmācīt personālu — inženierus, risku īpašniekus un klientu atbalsta dienestu.
  11. Uzsākt pēcpārdošanas uzraudzības un incidentu ziņošanas darbplūsmas.
  12. Plānojiet periodiskas pārskatīšanas un nepārtrauktas uzlabošanas ciklus.

Gatavības novērtējums un trūkumu analīze

Sāciet ar izklājlapu vai biļešu dēļa sarakstu: sistēmas nosaukums, mērķis, apmācības datu avoti, riska līmenis, esošie kontroles mehānismi un atvērtās nepilnības. Piešķiriet katrai nepilnībai īpašnieku un termiņu. Pēc katras slēgšanas atkārtoti novērtējiet atlikušo risku; regulatoriem patīk redzēt šo iteratīvo uzlabojumu gaitu.

Pareizas pārvaldības struktūras veidošana

Nodrošiniet, lai atbildīgi būtu cilvēki, ne tikai politika:

  • Mākslīgā intelekta atbilstības speciālists: viena rīkle, lai aizrītos.
  • Starpfunkcionālā ētikas komiteja: produktu, juridiskā, drošības, personāla vadības.
  • Ārējais recenzents vai paziņotās iestādes kontaktpersona.
  • Cieša saikne ar jūsu datu aizsardzības speciālistu un informācijas drošības vadītāju, lai izvairītos no neviennozīmīgas lēmumu pieņemšanas.

Dokumentējiet sanāksmju ritmu, lēmumu pieņemšanas tiesības un eskalācijas ceļus.

Dokumentācija un rīki

Standartizēt artefaktus, lai inženieriem nebūtu jāizgudro ritenis no jauna:

Krāsains Nolūks Ieteicamais formāts
Modeļa karte Iespējas, ierobežojumi, metrika Markdown + JSON
Datu lapa Avots, licencēšana, neobjektivitātes testi Izklājlapa
Pārredzamības ziņojums Lietotājam paredzēta informācijas atklāšana HTML/PDF
Pamattiesību ietekmes novērtējums Valsts sektora ieviesēji Uz veidlapām balstīts rīks

Atvērtā pirmkoda palīdzība: ES mākslīgā intelekta rīkkopa, ISO/IEC 42001 kontrolsarakstu melnraksti un GitHub krātuves neobjektivitātes rādītājiem.

Piegādātāju un piegādes ķēdes pārvaldība

Plūsmas mākslīgā intelekta likuma pienākumi lejup pa straumi:

  • Pievienot atbilstības novērtēšanas garantijas un audita tiesības līgumi.
  • Pieprasiet piegādātājiem kopīgot modeļu kartes, robustuma testu rezultātus un incidentu žurnālus.
  • Izveidojiet koplietojamu Slack vai biļešu rindu ātrai ievainojamību atklāšanai.

Nepārtraukta uzraudzība un modeļa dzīves cikla atjauninājumi

Pirmsizvietošanas, lietošanas un pēcizvietošanas uzraudzībai jāveic viens un tas pats telemetrijas steks. Aktivizējiet atkārtotu novērtēšanu, ja:

  • Ievades datu sadalījuma nobīdes (KL divergence > iepriekš iestatītais slieksnis).
  • Precizitāte nokrītas zem deklarētā minimuma.
  • Ir reģistrēts nopietns incidents vai gandrīz noticis negadījums.

Noslēdziet ciklu ar ceturkšņa pārvaldības pārskatiem un ikgadēju ārējo auditu — pierādījumu tam, ka atbilstība nav vienreizējs projekts, bet gan pastāvīga spēja.

BUJ: Ātras atbildes uz bieži uzdotiem jautājumiem

Vai ES Mākslīgā intelekta likums jau ir spēkā?
Jā. Regula (ES) 2024/1689 stājās spēkā 1. gada 2024. augustā. Tomēr lielākā daļa konkrēto saistību tiek ieviestas vēlāk: aizliegtās prakses izzūd līdz 2025. gada februārim, pārredzamības noteikumi stājas spēkā 2025. gada augustā, augsta riska pienākumi stājas spēkā 2026. gada augustā (biometriskās datu norādīšana 2027. gada augustā). Tātad laiks rit, lai gan pilnīga piemērošana vēl nav pabeigta.

Kādi ir četri riska līmeņi?
ES Mākslīgā intelekta likums sistēmas iedala šādās kategorijās: (1) nepieņemams risks — pilnībā aizliegts; (2) augsts risks — atļauts tikai pēc atbilstības novērtējuma un CE marķējuma piešķiršanas; (3) ierobežots risks — galvenokārt pārredzamības pienākumi (piemēram, tērzēšanas roboti, dziļviltojumi); un (4) minimāls risks — nav stingru noteikumu, bet tiek veicināti brīvprātīgi kodeksi. Jūsu pirmais uzdevums ir piesaistīt katru modeli vienam no šiem līmeņiem.

Vai likums ir aizstājis nacionālās mākslīgā intelekta stratēģijas?
Nē. Dalībvalstis var saglabāt vai izveidot valsts stratēģijas, izmēģinājuma izmēģinājuma programmas un finansēšanas shēmas. Likums vienkārši saskaņo regulējošais prasības, lai uzņēmumiem visā ES būtu jāievēro viens noteikumu kopums. Vietējās iniciatīvas nedrīkst būt pretrunā ar regulas riska regulējumu vai apdraudēt tās izpildes mehānismus.

Vai jaunuzņēmumiem ir atbrīvojumi?
Ne gluži. Noteikumi ir piemērojami neatkarīgi no uzņēmuma lieluma, jo saistību izpildi nosaka risks, nevis ieņēmumi. Tomēr smilškastes, vieglāka dokumentācija dažiem GPAI modeļiem un Komisijas finansētas vadlīnijas ir paredzētas, lai mazinātu administratīvo berzi MVU. Atbilstības ignorēšana tāpēc, ka esat "mazs", ir bīstams nepareizs priekšstats.

Kā Mākslīgā intelekta likums attiecas uz atvērtā pirmkoda modeļiem?
Modeļu svaru publiska publicēšana jūs neatbrīvo. Jums joprojām ir jāsniedz apmācības datu kopsavilkumi, ūdenszīmes ģenerēts saturs un jāpublicē lietošanas instrukcijas. Pienākumi ir vieglāki nekā slēgtiem komerciāliem modeļiem, taču, ja jūsu atvērtā pirmkoda sistēma kļūst par “sistēmisku GPAI”, stājas spēkā papildu testēšanas un ziņošanas pienākumi.

Vai likums ir direktīva?
Nē. Tā ir regula — tieši piemērojama visās dalībvalstīs bez transponēšanas valsts līmenī. Iedomājieties to kā GDPR: tiklīdz tā stājās spēkā, juridiskās saistības pastāvēja visā ES, un tikai praktiskās izpildes vadlīnijas var atšķirties vietējā līmenī.

Kas notiek, ja mans pakalpojumu sniedzējs atrodas ārpus ES?
Teritoriālā sasniedzamība seko produkcija, nevis galvenā mītne. Ja ārvalstu pārdevēja sistēma tiek tirgota ES vai tās rezultāti tiek izmantoti šeit, pakalpojumu sniedzējam ir jāatbilst ES Mākslīgā intelekta likuma prasībām un jānorīko ES bāzēts juridiskais pārstāvis. Izvietotājiem Savienībā joprojām ir lietotāju saistības, tāpēc piegādātājus izvēlieties rūpīgi.

Atslēgas

Joprojām pārskatāt? Šeit ir špikerlapa:

  • ES Mākslīgā intelekta likums (MI likums) vairs nav melnraksts — tas ir bijis spēkā kopš 1. gada 2024. augusta un ievieš pirmo horizontālo, uz risku balstīto mākslīgā intelekta likumu jebkur.
  • Riska līmeņi nosaka visu: nepieņemamas sistēmas ir aizliegtas, augsta riska sistēmām ir nepieciešama CE zīme un ieraksts reģistrā, savukārt ierobežota un minimāla riska rīkiem ir vieglāki, bet ne nulles, pienākumi.
  • Neatbilstība ir dārga: līdz pat 35 miljoni eiro jeb 7 % no globālā apgrozījuma par aizliegtu praksi, kā arī iespējamu civiltiesisko atbildību saskaņā ar gaidāmajām ES direktīvām.
  • Pienākumi attiecas uz visu piegādes ķēdi: piegādātājiem, lietotājiem, importētājiem un izplatītājiem katram ir īpaši kontrolsaraksti, un vispārējas nozīmes modeļiem tagad ir pielāgoti noteikumi.
  • Likums neaizstāj GDPR, NIS2 vai produktu drošības likumus; jums ir jāapvieno visi ietvari vienā integrētā pārvaldības programmā.

Vai nepieciešama palīdzība, lai juridisko tekstu pārvērstu darba kodā, politikās un līgumos? Tehnoloģiju un privātuma juristi uzņēmumā Law & More var veikt ātru AI likuma gatavības skenēšanu, sagatavot nepieciešamo dokumentāciju un vadīt jūs atbilstības novērtēšanā — pirms ierodas auditori.

Jums arī varētu patikt

Law & More