Закон об ИИ — это знаковый нормативный акт, принятый в Европейском союзом, чтобы регулировать разработки и использование технологий искусственного интеллекта.
Содержание
Что такое Закон ЕС об ИИ?
Закон ЕС об ИИ — это комплексная нормативно-правовая база, которая регулирует разработку, вывод на рынок и использование систем искусственного интеллекта в Европейском Союзе. Она применяется как к поставщикам ИИ, так и к развертываниям, и устанавливает четкие юридические обязательства на основе того, как ИИ-системы влияют на отдельных людей, общество и фундаментальные права. Закон продвигает инновации, одновременно защищая здоровье, безопасность и фундаментальные права, устанавливая требования к прозрачности, управлению рисками, надзору за людьми, управлению данными и кибербезопасности на протяжении всего жизненного цикла ИИ.
Категории риска согласно Закону ЕС об ИИ
Закон ЕС об ИИ использует подход, основанный на оценке рисков, то есть системы ИИ регулируются в соответствии с уровнем риска, который они представляют для отдельных людей и общества. Чем выше потенциальный риск, тем строже обязательства, возложенные на поставщиков и организации, развертывающие ИИ.
- Запрещенные практики
ИИ-системы, представляющие неприемлемый риск, запрещены. К ним относятся когнитивно-поведенческие манипуляции, социальная оценка со стороны государственных органов, недискриминационный сбор изображений лица и биометрический вывод конфиденциальных атрибутов, таких как политические убеждения или сексуальная ориентация. - Системы ИИ с высоким риском
Системы с высоким уровнем риска — это системы, используемые в таких важных или регулируемых областях, как критическая инфраструктура, управление персоналом, оценка кредитоспособности, образование, здравоохранение, правоохранительные органы, пограничный контроль и осуществление правосудия. Эти системы можно выпускать на рынок, только если они отвечают строгим требованиям, включая процессы управления рисками, высококачественные обучающие данные, техническую документацию, надзор за персоналом, меры кибербезопасности и маркировку CE. - Модели ИИ общего назначения
Эта категория включает крупномасштабные модели, например большие языковые модели (Large Language Model, LLM). Поставщики должны соблюдать обязательства по прозрачности, уважать авторские права, документировать методы обучения и внедрять меры для устранения системных рисков, особенно для самых эффективных или широко используемых моделей. - Системы ИИ с ограниченным риском
На эти системы, в основном, распространяются обязательства по прозрачности. Пользователей следует информировать о том, что они взаимодействуют с контентом, созданным ИИ, таким как чат-боты или дипфейки, за исключением некоторых случаев. - Системы ИИ с минимальным риском или без риска
ИИ-приложения, которые не представляют риска, например видеоигры с поддержкой ИИ или спам-фильтры, по большей части освобождаются от соблюдения требований, предусмотренных Законом об ИИ.
Нарушение Закона об ИИ может привести к штрафам в размере до 35 миллионов евро, но не менее 7% от глобального годового оборота.
Закон ЕС об ИИ и грамотность при работе с ИИ
Со 2 февраля 2025 года поставщики услуг и разработчики должны обеспечить достаточную грамотность персонала при работе с ИИ. Проводить обучение рекомендуется, но это не обязательно.
Все зависит от роли в компании и связанных рисков, но требуется обеспечить общее понимание ИИ и индивидуальные меры по повышению грамотности на основе технических знаний и контекста.
Реализация в компаниях
Принятие Закона ЕС об ИИ требует, чтобы организации внедрили меры по выполнению соответствующих обязательств. Аудит играет важнейшую роль в этом процессе, помогая компаниям понять, как используются ИИ-системы, где существуют риски и какие меры по обеспечению соответствия необходимо принять.
Аудиты помогают:
- Идентифицировать и классифицировать ИИ-системы в соответствии с категориями риска, предусмотренными Законом.
- Определять роль организации: поставщик, разработчик и т. д.
- Оценивать, как ИИ-системы обрабатывают данные и генерируют вывод.
- Выявлять проблемы с прозрачностью, контролем над пользователями, кибербезопасностью и управлением рисками.
- Собирать ценные данные для составления планов, проектирования структур управления и разработки средств контроля, необходимых для комплаенса.
На практике эти оценки формируют основу для программ управления ИИ и позволяют организациям приоритизировать меры по комплаенсу в зависимости от рисков и требований регуляторов.
График внедрения Закона ЕС об ИИ
Закон ЕС об ИИ внедряется поэтапно, чтобы у организаций было время на адаптацию своей стратегии контроля ИИ, управления рисками и программ комплаенса. Ключевые этапы включают в себя момент вступления закона в силу, применение отдельных обязательств и дату окончательной реализации.
Ключевые даты Закона ЕС об ИИ
Дата
Этап
1 августа 2024 г.
Закон ЕС об ИИ официально вступает в силу.
2 февраля 2025 г.
Запрещенные практики ИИ требуется полностью исключить. Назначены национальные органы, ответственные за контроль исполнения.
2 августа 2025 г.
Начинают действовать правила для моделей ИИ общего назначения и соответствующие обязательства по управлению.
2 августа 2026 г.
Закон об ИИ полноценно вступает в силу. Обязательства по комплаенсу распространяются на все категории рисков ИИ, включая системы с высоким уровнем риска.
2 августа 2027 г.
Системы ИИ с высоким риском, встроенные в регулируемые продукты, должны полностью соответствовать требованиям Закона ЕС об ИИ.
Поэтапный подход позволяет обеспечить комплаенс без ущерба для скорости инноваций. Организации могут постепенно внедрять средства контроля, технические меры безопасности и механизмы надзора на основе рисков ИИ.
Что такое ИИ?
Искусственный интеллект (ИИ) — компьютерная технология, которая имитирует когнитивные способности человека путем идентификации и сортировки входных данных. Для этого могут использоваться запрограммированные рабочие процессы или машинное обучение.
При применении машинного обучения ИИ на основе данных учится распознавать закономерности и делать прогнозы. Закон об ИИ определяет ИИ-систему как машинную систему, которая действует с разной степенью автономности и генерирует такие результаты, как прогнозы, контент, рекомендации или решения.
Примеры ИИ-систем в соответствии с Законом об ИИ включают распознавание эмоций, распознавание лиц, отбор кандидатов, отправление правосудия, здравоохранение (например, анализ симптомов), обслуживание клиентов, чат-боты и генеративный ИИ.
Генеративный ИИ, например ChatGPT, — это ИИ-система, которая автономно генерирует результаты на основе входных данных с использованием машинного обучения и больших языковых моделей (LLM). Эти системы могут ошибаться и «галлюцинировать», выдавая правдоподобные, но неточные утверждения.
Защита данных
При использовании ИИ-систем, включающих персональные данные, необходимо соблюдать GDPR и применять методы предотвращения потери данных. Штрафы за инциденты могут достигать 4% годового оборота или 20 миллионов евро.
Компании должны обеспечивать законную обработку, соблюдать требования к минимизации, точности и конфиденциальности данных, а также выполнять обязательства по предоставлению информации.
Автоматизированные решения с юридическими последствиями должны приниматься с участием человека. Кроме того, необходимо применять технические и организационные меры, такие как шифрование и псевдонимизация.
Для обработки данных с высоким риском требуется оценка воздействия на защиту данных.
Защита коммерческих тайн
Коммерческие тайны должны быть защищены от незаконного приобретения и раскрытия. Необходимо обеспечить их конфиденциальность, ограничить доступ к ним и требовать подписание соглашений о неразглашении.
ИИ-системы, обучающие данные и вывод могут представлять собой коммерческую тайну. Компании должны регулировать использование входных данных и изучать условия третьих сторон, чтобы избежать рисков раскрытия информации.
Как применение ИИ влияет на авторские права?
Проблемы авторских прав возникают как на входе, так и на выходе ИИ-систем. Использование защищенного контента для обучения требует юридической проверки.
В соответствии с действующим законодательством, произведения, созданные с помощью ИИ, не защищены авторским правом, поскольку не являются человеческими творениями. Это означает, что вывод является общедоступным.
На кого распространяется Закон ЕС об ИИ?
Закон ЕС об ИИ широко применяется к организациям, участвующим в разработке, распространении или использовании ИИ-систем, которые затрагивают рынок в ЕС, где бы ни находился головной офис организации.
Например:
- Поставщики ИИ, например компании, которые разрабатывают или размещают ИИ-системы или ИИ-модели общего назначения на рынке ЕС.
- Компании, применяющие ИИ, в том числе для бизнес-операций, принятия решений или в клиентских сервисах.
- Импортеры и дистрибьюторы, которые внедряют ИИ-системы в цепочку поставок в ЕС.
- Производители продуктов, которые интегрируют ИИ в регулируемые продукты или услуги.
В организациях ответственность обычно распространяется на следующие роли:
- Исполнительное руководство, отвечающее за управление и контроль рисков.
- Юридические отделы и отделы комплаенса, управляющие нормативными обязательствами.
- Специалисты по ИТ, безопасности и данным, ответственные за внедрение, мониторинг и защиту
В случае нарушений или ущерба, причиненного ИИ-системами, именно эти стороны по Закону будут нести ответственность, включая штрафы, рыночные ограничения и компенсации за несоблюдение требований.
Распространяется ли Закон ЕС об ИИ на Великобританию?
Закон ЕС об ИИ не применяется непосредственно в Великобритании, поскольку Великобритания больше не является частью Европейского Союза. Однако британские организации обязаны его соблюдать, если они разрабатывают, продают или развертывают ИИ-системы, которые используются в ЕС или затрагивают граждан ЕС.
В таких случаях британские компании обязаны соблюдать Закон ЕС об ИИ в качестве экстерриториального законодательства. Это актуально для британских организаций, работающих на международном уровне или в ЕС, особенно в сферах со строгим регулированием и высоким риском.
На что следует обратить внимание в условиях использования ИИ-систем?
Компании должны ознакомиться с условиями сторонних ИИ-систем и обратить особое внимание на следующую информацию:
Применимое законодательство и юрисдикция.
Хранение и использование входных данных для обучения.
Права на выходные данные.
Освобождение от ответственности по искам об авторском праве.
Ограничения гарантии и ответственности.
Какие рекомендации должны соблюдать компании в соответствии с Законом ЕС об ИИ?
Внутренние рекомендации по ИИ помогают регулировать использование ИИ-систем сотрудниками. Например:
Описания и авторизации ИИ-систем.
Инструкции по обработке входных и выходных данных.
Соблюдение требований по конфиденциальности и защите данных
Меры кибербезопасности и обязательства по обеспечению прозрачности.
Краткий обзор Закона ЕС об ИИ
Закон ЕС об ИИ по большей части вступает в силу со 2 августа 2026 года и распространяется на компании, использующие ИИ. Он регулирует работу поставщиков и разработчиков ИИ с помощью подхода на основе рисков: чем выше риск общественного вреда, тем строже правила.
При обработке персональных данных с помощью ИИ-систем требуется соблюдение GDPR.
ИИ-системы должны быть защищены от несанкционированного доступа и кибератак.
При использовании ИИ-систем необходимо защищать коммерческие тайны.
Необходимо тщательно рассматривать вопросы авторского права как во входных, так в выходных данных.
Компании несут ответственность за дефекты в продуктах и услугах, вызванные ИИ.
Условия использования сторонних ИИ-систем должны тщательно изучаться.
Необходимо развивать грамотность при работе с ИИ среди сотрудников.
Как Trend Micro поддерживает соблюдение Закона об ИИ?
Соблюдение Закона ЕС об ИИ означает не только понимание правил, но и активное управление, мониторинг рисков и четкое разделение обязанностей при использовании ИИ-систем. От авторских прав и обязательств до условий использования и внутренних руководств — организации должны обеспечивать соответствие каждого аспекта развертывания ИИ правовым стандартам, даже когда они меняются.
Для этого компании могут использовать передовые инструменты, которые упрощают комплаенс и снижают риск киберугроз, например платформу Trend Micro Cyber Risk Exposure Management, разработанную, чтобы помочь вам выявлять уязвимости, управлять рисками, связанными с ИИ, и поддерживать надежность своих цифровых операций.
Фернандо Кардосо занимает должность вице-президента по управлению продуктами в Trend Micro. Особое внимание он уделяет постоянно меняющимся технологиям ИИ и облаков. Он начал карьеру как инженер по сетям и инженер по продажам в сфере центров обработки данных, облака, DevOps и кибербезопасности. Эти темы по-прежнему увлекают его.
Часто задаваемые вопросы
Что такое Закон ЕС об ИИ?
Закон ЕС об ИИ — это нормативный акт, регулирующий системы искусственного интеллекта для обеспечения безопасности, прозрачности и защиты фундаментальных прав.
Когда вступает в силу Закон ЕС об ИИ?
Закон ЕС об ИИ вступил в силу в 2024 году, и с 2026 года организации во всех государствах-членах ЕС будут обязаны соблюдать все его требования.
На кого распространяется Закон ЕС об ИИ?
Закон ЕС об ИИ распространяется на поставщиков, пользователей и импортеров ИИ-систем, работающих в Европейском Союзе или предназначенных для этого рынка.
Когда был принят Закон ЕС об ИИ?
Закон ЕС об ИИ был принят Европейским парламентом в 2024 году после длительных переговоров и консультаций с заинтересованными сторонами.
Как соблюдать Закон ЕС об ИИ?
Для его соблюдения организации должны классифицировать ИИ-системы по рискам, обеспечивать прозрачность, проводить оценку соответствия и вести документацию.
Какие наказания предусмотрены за несоблюдение Закона ЕС об ИИ?
- Несоблюдение Закона ЕС об ИИ может привести к штрафам в размере до 35 миллионов евро или 7% от годового оборота.