Европарламент принял первый в мире закон об искусственном интеллекте
13 марта Европейский Парламент принял, знаковый человечеству, первый нормативно-правовой акт по регулированию “цифрового сознания”.
Прежде всего, хотелось бы предоставить конкретную терминологию, что есть такое на самом деле ИИ?
Если обратиться к известным программистам, типа IBM (англ. International Business Machines ), то по их простому определению термина,
ИИ – это технология, позволяющая компьютерам и машинам с помощью несложных алгоритмических действий имитировать человеческий интеллект, используя нейронную многоуровневую сеть для циклического (непрерывного) обучения системы, при этом их способность решать задачи любого масштаба значительно превосходит человеческий мозг в разы. Сложно?
СистемаИИозначает машинную систему, которая для достижения явных или неявных целей делает выводы на основе входящих данных о том, как генерировать исходные данные, такие как прогнозы, контент, рекомендации или решения, которые могут влиять на физическую или виртуальную среду. Различные системы ИИ отличаются по уровню автономности и адаптивности после развертывания.
Данное определение фокусируется на двух ключевых моментах:ИИработает с разными уровнями автономности (автоматическая обработка данных разного объема) и делает вывод на основе входящих данных (обучается самостоятельно на постоянной основе), получаемых для генерирования результатов.
Важно именно такую позицию определенияИИбыло размещено в тексте Закона о ИИ , ведь способность системыИИделать выводы выходит за пределы базовой обработки данных, делая возможным обучение, рассуждение или моделирование. Однако текст также содержит условия, при которых разрешается использование определенных ИИ , в частности, все системы ИИ , разработанные, распространенные и используемые в ЕС, должны быть безопасными, прозрачными, доступными для отслеживания, недискриминационными и экологически чистыми.
РегулировкаИИи обеспечение человеческого надзора за системамиИИявляется частью цифровой стратегии ЕС.
Перейдем к тексту Закона для определения, что именно он будет регулировать.
ПРЕДМЕТ ЗАКОНА
Данным законом регламентируется для всех государств-членов ЕС выполнить основные условия, определенные текстом, а именно:
гармонизация правил размещения на рынке, ввод в эксплуатацию и использование системИИв ЕС;
гармонизация правил прозрачности для определенных систем ИИ, классифицируемых как мощные;
запрет практикИИ(обучение, использование, разработка), установленные текстом Закона как запрещенные в соответствии с классификатором рисков;
определение особых требований к системамИИс высоким уровнем риска и обязательством к операторам таких систем на выполнение таких условий;
определение правил рыночного мониторинга, надзора и управления;
выполнение мер по поддержке инноваций в разработке системИИсогласно требованиям текста Закона.
СФЕРА ПРИМЕНЕНИЯ ЗАКОНА
распространяется на поставщиков, то есть организации, разрабатывающие системыИИс целью размещения их на рынке или ввода в эксплуатацию под собственным именем или торговой маркой, платно или бесплатно;
распространяется на импортеров и распространителей системИИв Европейском Союзе;
распространяется на разработчиков, которые определяются как физические или юридические лица, использующие ИИ под своим руководством во время своей профессиональной деятельности;
распространяется на поставщиков, разработчиков и развертывателей систем ИИ, имеющих местонахождение или расположенные в третьей стране, где результаты, производимые системой ИИ, используются в Европейском Союзе ;
распространяется на Импортеров и дистрибьюторов систем ИИ;
распространяется на производителей продуктов, которые размещают на рынке или вводят в эксплуатацию систему ИИ вместе со своим продуктом и под собственным именем или торговой маркой;
распространяется на Уполномоченных представителей поставщиков, не зарегистрированных в Европейском Союзе;
распространяется на Уполномоченные органы государств-членов ЕС;
распространяется на ИИ, которые отвечают основным требованиям Закона о безопасности, прозрачности, доступности для отслеживания, недискриминационности и экологичности;
распространяется на ИИ, созданной исключительно для военных целей, обороны или национальной безопасности, однако используется временно или постоянно для других целей, например гражданских или гуманитарных целей, правоохранительных целей или общественной безопасности;
распространяется на Пострадавших, находящихся в Европейском Союзе.
Следовательно, можно заключить, что закон о ИИ оказывает экстерриториальное влияние на большинство субъектов, на которых он распространяется, однако его основное действие направлено именно на территорию ЕС, где используются исходные данные системы ИИ.
ЗАПРЕЩЕНИЯ
не распространяется на ИИ , специально разработанные и введенные в эксплуатацию исключительно с целью научных исследований и разработок;
не распространяется на какую-либо исследовательскую, тестовую и разработную деятельность по ИИ к выводу на рынок или вводу в эксплуатацию, но это увольнение не касается тестирования в реальном мире;
не распространяется на системы, выпущенные по бесплатным лицензиям и лицензиям с открытым кодом, если такие системы не квалифицируются как высокорисковые, запрещенные или генерирующие ИИ;
не распространяется на системы ИИ , которые используются исключительно для военных целей, обороны или национальной безопасности, независимо от типа субъекта, осуществляющего такую деятельность;
не распространяется на ИИ , не отвечающие основным требованиям Закона относительно безопасности, прозрачности, доступности для отслеживания, недискриминационности и экологичности;
не распространяется на ИИ , созданной для гражданских или гуманитарных целей, правоохранительных целей или общественной безопасности, однако используется временно или постоянно для других целей, например военных целей, обороны или национальной безопасности;
запрещаются определенные приложения ИИ , угрожающие правам граждан, включая системы биометрической категоризации на основе конфиденциальных характеристик и нецелевого сбора изображений лица из Интернета или записей камер видеонаблюдения для создания баз данных распознавания лиц;
запрещается размещение на рынке, ввод в эксплуатацию или использование определенных систем ИИ, предназначенных для искажения человеческого поведения, что может привести к физическому или психологическому ущербу;
запрещается распознавание эмоций на рабочем месте и в школах, социальная оценка, прогнозирование с участием правоохранительных органов (если оно основывается исключительно на профилировании личности или оценке ее характеристик), а также манипулирование человеческим поведением или использование уязвимых мест людей.
Следовательно, из этого следует, что законом ограничивается использование ИИ по этическим соображениям, запрещая действия, нарушающие права граждан, такие как сбор биометрических данных без разрешения и использования распознавания лиц для создания баз данных. Также отмечается, что не допускается использование ИИ для распознавания эмоций, социальной оценки или манипулирования поведением людей. Эти ограничения направлены на защиту частности и прав граждан в контексте развития и применения ИИ .
Однако законом определена возможность использования биометрических систем идентификации правоохранительными органами только в исключительных ситуациях с разрешением суда с ограничениями по времени и месту. Развертывание ИИ в реальном времени допускается только по важным причинам, как поиск пропавших или предотвращение террористических нападений. Использование биометрических систем идентификации через ИИ считается высоким риском и требует судебного разрешения при связанности с уголовными действиями.
РИСК-ориентированный подход
Закон о ИИ использует подход, основанный на оценке риска, классифицирующего программы ИИ по разным уровням риска, определяя степень необходимого регуляторного надзора. Следовательно, законом вводится четырехуровневая структура классификации рисков ИИ:
Неприемлемый риск . Классифицированные как неприемлемые риски, это системы, определенные методы ИИ , которые считаются явной угрозой безопасности, средствам существования и правам людей, обязательно запрещенным. Соответствующий перечень в Законе о ИИ включает системы ИИ , которые манипулируют человеческим поведением или используют уязвимые места людей (например, возраст или инвалидность) с целью или результатом искажения их поведения. Другие примеры запретного ИИ включают биометрические системы, такие как системы распознавания эмоций на рабочем месте или категоризация людей в реальном времени. Классифицированные как неприемлемые риски, это системы, которые считают явной угрозой безопасности, средствам существования и правам людей, которые будут запрещены. Такие примеры варьируются от социальных оценок правительств до игрушек с использованием голосовой помощи, поощряющих опасное поведение.
Правовое регулирование: Запрещено.
Высокий риск. Системы ИИ , определенные как высокорисковые, должны будут отвечать строгим требованиям, включая системы снижения рисков, высококачественные наборы данных, журнал активности, подробную документацию, четкую информацию для пользователей, человеческий надзор и высокий уровень надежности, точности и кибербезопасности. Учитывая их целевое назначение, составляют высокий риск вреда здоровью и безопасности или основным правам людей, учитывая как тяжесть возможного вреда, так и вероятность его возникновения, и они используются в ряде специально определенных областей. Примеры систем ИИ с высоким риском включают критические инфраструктуры, такие как энергетика и транспорт; медицинские изделия; и системы, определяющие доступ к учебным заведениям или рабочим местам , инструмент сканирования резюме, который ранжирует претендентов на работу на основе автоматизированных алгоритмов или удаленные системы биометрической идентификации.
Правовое регулирование: Разрешено после оценки рисковости до и после выхода на рынок.
Ограниченный риск. Системы, представляющие ограниченный риск для отдельных лиц, и поэтому они обязаны выполнять только определенные обязательства по прозрачности. Поставщики должны убедиться, что системы ИИ, предназначенные для непосредственного взаимодействия с физическими лицами, разработаны и запрограммированы таким образом, чтобы люди были информированы о том, что они взаимодействуют с ИИ. Примеры включают в себя чат-ботов, что означает, что пользователь должен быть проинформирован о том, что он взаимодействует с машиной, а не с человеком. Как правило, разработчики систем ИИ, которые генерируют или манипулируют дипфейками (англ. Deepfake), должны раскрывать, что контент был искусственно создан или манипулирован.
Правовое регулирование: Разрешено с минимальными требованиями прозрачности.
Минимальный риск . Системы ИИ без рисков или с минимальными рисками – это системы, не имеющие дополнительных обязательств по этим системам ИИ , таких как видеоигры с поддержкой ИИ или фильтры спама. Комиссия ЕС заявила, что большинство систем ИИ подпадают под эту категорию. Например, генеративный ИИ (типа ChatGPT). Нет ограничений для систем ИИ с минимальным риском, таких как видеоигры с поддержкой ИИ или фильтры спама. По желанию организации могут принять собственные добровольные кодексы поведения.
Правовое регулирование: Разрешено без обязательств.
ОРГАН УПРАВЛЕНИЯ
В феврале 2024 года был создан Офис ИИ , контролирующий выполнение и внедрение Закона о ИИ вместе с государствами-членами. Офис направлен на создание среды, где технологии ИИ уважают права и достоинство человека. Также он способствует сотрудничеству, инновациям и исследованиям в сфере ИИ посреди заинтересованных сторон. Кроме того, он принимает участие в международном диалоге и сотрудничестве по вопросам ИИ , признавая необходимость глобального согласования управления этими технологиями.
Офис ИИ вроли смотрителя за исполнением Закона будет выступать в составе Комиссии для мониторинга эффективного внедрения и соблюдения требований.
Все жалобы, претензии и предложения относительно нарушений выполнения условий Закона или рекомендаций по внесению изменений и/ или усовершенствования регулятора подаются в Офис ИИ .
В компетенцию Офиса ИИ также относится проведение оценки системы ИИ , в частности :
- оценка соответствия требованиям, в случае если информация, собранная в соответствии с его полномочиями по запросу информации, недостаточна (таким образом офис проверяет или соответствует собранная информация требованиям, установленным для запроса информации);
- дополнительное исследование системных рисков (проводится после квалифицированного отчета научной группы независимых экспертов, Офис проводит анализ возможных опасностей для системы).
Судебные процессы могут делегироваться на национальном уровне каждого государства-члена ЕС, согласно которому потерпевший или нарушитель является гражданином.
ШТРАФЫ
За нарушение запрещенных приложений ИИ будут налагаться штрафы в размере от 35 миллионов евро или 7% мирового годового оборота (в соответствии с текстом указано примечание к пункту, - " в зависимости от того, что больше").
Предоставление неверной информации любым лицом о системахИИ может привести к штрафу в размере 7,5 миллионов евро или 1,5% мирового годового оборота (согласно тексту указано примечание к пункту, - “ в зависимости от того, что больше”).
Несоответствие систем ИИ могут привести к штрафам в размере 15 миллионов евро или 3% мирового годового оборота (в соответствии с текстом указано примечание к пункту, - " в зависимости от того, что больше") , среди которых:
несоответствие по обеспечению Поставщиком систем ИИ требованиям высокого риска;
неисполнение обязанностей, возложенных на Уповановаженного представителя относительно размещения систем ИИ на рынке;
неисполнение обязанностей , возложенных на Импортера по размещению систем ИИ на рынке ;
неисполнение обязанностей , возложенных на Дистрибьютора по размещению системИИ на рынке ;
невыполнение обязанностей, возложенных на Развертывателей ИИ о проведении оценки влияния на защиту данных в рамках Директивы (ЕС) 2016/680 для целей предотвращения, расследования, выявления или преследования за совершение уголовных преступлений;
невыполнение обязанностей и требований, возложенных на Уполномоченных органов (созданный на национальном уровне каждой страны государства-члена);
несоответствие условиям прозрачности для поставщиков, разработчиков и пользователей.
Также закон предусматривает штрафы для малых и средних предприятий и стартапов, нарушающих законодательство о ИИ. Штрафы будут определяться таким же образом в соответствии с тремя предыдущими абзацами но в противоположном порядке (в соответствии с текстом указано примечание к пункту, - " в зависимости от того, что меньше " ).
Кроме того, законом определяется возможность рассмотрения административного взыскания с изменением его размера по каждому частному случаю, учитывая существенные обстоятельства, которые могут сложиться, среди которых :
характер, серьезность и длительность нарушения и его последствий, учитывая назначение системы ИИ , а также, в соответствующих случаях, количество пострадавших и уровень причиненного им вреда;
были ли уже применены административные штрафы другими органами рыночного надзора одного или нескольких государств-членов к тому же оператору за то же нарушение;
были ли уже применены административные штрафы другими органами к тому же оператора за нарушение другого законодательства ЕС или национального законодательства, если такие нарушения являются результатом той же деятельности или бездействия, что является соответствующим нарушением настоящего Закона;
размер, годовой оборот и доля рынка оператора, совершившего нарушения;
любой другой отягчающий или смягчающий фактор, применимый к обстоятельствам дела, например, полученные финансовые выгоды или убытки, которых удалось избежать, прямо или косвенно, от возбуждения;
любые другие отягчающие или смягчающие обстоятельства, применяемые к обстоятельствам дела, такие как полученные финансовые выгоды или убытки, которых удалось избежать прямо или косвенно вследствие нарушения;
степень сотрудничества с национальными компетентными органами в целях устранения нарушения и смягчения возможных негативных последствий нарушения;
степень ответственности оператора с учетом принимаемых им технических и организационных мер;
способ, которым о нарушении стало известно национальным компетентным органам, в частности, сообщил ли оператор о нарушении, и если да, то в каком объеме;
преднамеренный или неосторожный характер нарушения;
любые действия, предпринятые оператором для уменьшения ущерба, причиненного пострадавшим лицам.
ПРЕДОСТЕРЕЖЕНИЯ И РИСКИ ПРИМЕНЕНИЯ
Прежде всего нужно понимать, что системы ИИ должны соответствовать определенным требованиям по прозрачности, включая соответствие законодательству Европейского Союза об авторском праве и публикацию подробной информации о содержании, используемом для обучения моделей. Например, закон требует, чтобы системы ИИ , предназначенные для непосредственного взаимодействия с людьми, были четко обозначены как таковые, если это не очевидно при обстоятельствах. Другие модели, которые могут создавать системные риски в соответствии со степенью риска, подлежат более строгим требованиям, включая выполнение оценки модели, оценку и смягчение системных рисков, а также отчеты об инцидентах. Например, мощные модели GPAI должны учитывать системные риски и производить оценку модели, оценку и смягчение рисков, а также отчитываться об инцидентах. Дополнительно, искусственные или поддельные контенты должны быть четко обозначены как " дипфейки ". Кроме того, искусственные или обработанные изображения, а также аудио- или видеоконтент должны быть четко обозначены как искусственные, созданные системой ИИ.
Также, закон предусматривает, что регуляторные, так называемые песочницы, для тестирования в реальном времени, должны быть созданы на национальном уровне для разработки и обучения новых инструментов ИИ перед их размещением на рынке.
Что касается субъектов, то Компании должны провести анализ пробелов в своих системах ИИ, для их оценки, чтобы определить возможные области, над которыми нужно работать, чтобы оставаться совместимыми с законом о ИИ.
Организациям также следует провести надлежащую проверку своих систем, чтобы убедиться, что у них есть качественные наборы данных, и, в частности, проверить, все ли необходимые гарантии, связанные с защитой и безопасностью данных, развернуты должным образом и отвечают основным требованиям законодательства ЕС по безопасности данных.
Организации также должны распределить обязанности, связанные с соблюдением Закона о ИИ, и определить отдельный департамент по деятельности, организации и ответственности за ИИ .
Что касается разработчиков, то в соответствии с их обязательствами, исходя из уровня рисковости системы ИИ , должны придерживаться и выполнять алгоритм действий, определенный в законе. В частности, разработчики должны зарегистрироваться в централизованной базе данных ЕС и получить статус разработчика ИИ ; вести соответствующую документацию и хранить журналы данных ИИ ; проходить оценку соответствия перед и после размещения на рынке, и/или в случае, если они будут сохранять за собой ИИ продукт и под собственным именем или торговой маркой; соблюдать ограничения по использованию ИИ высокого риска при их разработке и после наблюдения за ним; обеспечивать соответствие нормативным требованиям и быть готовым продемонстрировать такое соответствие по запросу.
ВЗАИМОДЕЙСТВИЕ НА ПРАКТИКЕ
Согласно Закону о ИИ , будет создан орган управления Офис ИИ для обеспечения соответствия, внедрения и выполнения этих положений. Граждане ЕС будут иметь возможность подавать жалобы на системы ИИ , если они сочтут, что пострадали от их действия, и получать объяснения по решениям, которые принимают эти системы.
Кроме того, законом определена возможность передать полномочия национальным судам государств-членов по ведению дел по нарушениям граждан ЕС.
же касается и административных дел относительно взысканий в случае нарушения субъектами возложенных на них по закону обязанностей . Такие дела также имеют полномочия вести национальные суды государств-членов, что поможет более эффективно работать в системе безопасности и охраны прав пользователей.
В остальном, компании обязуются в дальнейшем обозначить любой контент созданный на базе ИИ, в том числе дипфейки, чат-боты, и другого рода продукты, как контент, созданный с помощью ИИ, и сообщать людям-пользователям, которые взаимодействуют с чат-ботом или другой системой ИИ. Кроме того, компании должны при создании медиафайлов любого типа, значения, формата обозначать их таким образом, чтобы такой продукт можно было обнаруживать. Это поможет различать разного рода информацию среди дезинформирующей пользователей, исследуя углубленное содержание контента.
Также, выпрозрачная свои системы ИИ, компании имеют возможность освободиться от основных обязательств, определенных в законе, по безопасности, прозрачности, недискриминационности и т.д. К примеру, создание системы ИИ на базе протоколов с открытым исходным кодом.
СТАДИИ ВСТУПЛЕНИЯ В силу
Как отмечалось в пресс-службе Европарламента, данный закон с момента его вступления в силу, а именно через двадцать дней с момента его опубликования, будет окончательно введен в действие и начнет применяться через 24 месяца, за исключением:
исключение запрещенной практики ( через 6 месяцев после даты вступления в силу );
это означает, что производители ИИ должны подготовить свои оценки рисков и определить к этому сроку, создают ли их системы ИИ неприемлемый риск и существует ли исключение из запрета;
кодексы практики ( через 9 месяцев после вступления в силу );
эти документы предоставят рынку дополнительные указания по внедрению Закона о ИИ. Приглашению будут содействовать приглашенные представители заинтересованных сторон, научных кругов, гражданского общества и промышленности;
правила ИИ общего назначения, включая управление ( через 12 месяцев после вступления в силу );
поставщики общих систем ИИ должны выполнить несколько обязанностей, включая подготовку технической документации для системы ИИ, установление политики по авторским правам и сбор учебных данных, используемых для обучения ИИ . Также существуют обязанности с регуляторной стороны, действующие в годовщину принятия Закона о ИИ , поскольку это конечный срок для государств-членов для назначения компетентных органов в соответствии с Законом о ИИ , а также для применения правил санкций. Комиссия обязана ежегодно пересматривать список запрещенных систем ИИ и вносить в него изменения, если это необходимо;
обязательства для систем высокого риска, пострыночный мониторинг ( через 18 месяцев после вступления в силу);
Комиссия примет имплементационный акт относительно пострыночного мониторинга систем высокого риска ИИ. Постмониторинг будет осуществляться в основном поставщиками ИИ на основе плана пострыночного мониторинга, состоящего из систематического сбора, документирования и анализа информации из разных источников для обеспечения постоянного мониторинга систем ИИ.
Поскольку закон о ИИ имеет экстратерриториальную сферу действия, он касается не только 27 государств-членов Европейского Союза, но и любого поставщика ИИ во всем мире, чьи системы ИИ размещены на рынке или введены в эксплуатацию в ЕС.