<aside> ☝

Потенциальные штрафы за нарушение Закона - на сумму до:

❌ 35 миллионов евро или 7% мирового оборота за использование запрещенных систем ИИ.

❌ 15 миллионов евро или 3% мирового оборота за нарушения требований по высокорисковым системам ИИ.

❌ 7,5 миллионов евро или 1,5% мирового оборота за введение пользователей в заблуждение относительно прозрачности ИИ.

Конкретный режим санкций для систем с высоким риском будет установлен каждой страной ЕС. Штрафы

</aside>

Приоритетные шаги для организаций

• [ ] Определить, какие системы ИИ вы используете или разрабатываете в компании и для каких целей;

  <aside> 👉

  Подробнее смотри в разделе:

  Какие категории систем искусственного интеллекта подлежат регулированию (AI Act)?

  </aside>

• [ ] Определить, какие наборы данных используются, есть ли сбор персональных данных, оценить риски, связанные со сбором, использованием и раскрытием персональной информации технологией ИИ;

• [ ] Оценить потенциальное влияние законодательства на организацию (как поставщика, развертывателя или дистрибьютора/импортера) и содержание обязательств;

  • Определить применимость AI Act.

  <aside> 👉

  Подробнее смотри в разделе:

  К кому применим AI ACT ?

  </aside>

  • Каждая система должна быть индивидуально оценена, чтобы определить, под какую категорию она попадает.

• [ ] Создание реестра ИИ;

  • Включить сведения обо всех системах ИИ, которые организация в настоящее время разрабатывает, развертывает и распространяет.

• [ ] Разработка целенаправленной и эффективной стратегии соответствия с применимым законодательством.

• [ ] Компании, имеющие дело с системами искусственного интеллекта с неприемлемым риском, должны снизить уровень риска таких систем или, если меры по исправлению ситуации невозможны в установленные сроки, вывести свою продукцию с рынка ЕС.

• [ ] Требования для систем ИИ с высоким уровнем риска, техническая документация

  <aside> 👉

  Подробнее смотри в разделе:

  Обязательства операторов высокорисковых ИИ-систем

  <aside> ↘️

  • Назначение ответственного по надзору за системами ИИ с высоким уровнем риска;
  • Управление качеством входных данных, входные данные должны быть репрезентативными, качественными и соответствующими предполагаемому назначению системы ИИ.
  • Техническая документация, включающая:
  • Описание системы ИИ, например, ее предназначение, как она взаимодействует с аппаратным и программным обеспечением, а также инструкции по использованию для развертывающего лица;
  • Подробное объяснение элементов системы ИИ и процесса ее разработки, включая проектирование системы, меры тестирования и обеспечения кибербезопасности;
  • Подробное описание данных, используемых в системе ИИ, включая:
  • требования к данным, влияющие на их характер, ограничения или другие аспекты;
  • используемые обучающие наборы данных, их происхождение, охват и основные характеристики;
  • процедуры получения и отбора данных;
  • методы разметки (например, для обучения с учителем) и очистки данных, включая обнаружение выбросов.
  • Объяснение мониторинга, функционирования и управления системой.
  • Соответствующие показатели производительности.
  • Система управления рисками.
  • Изменения, вносимые поставщиком в систему в течение ее жизненного цикла.
  • Декларация о соответствии.
  • Список примененных гармонизированных стандартов.
  • Описание плана пострыночного мониторинга. </aside>

  </aside>

• [ ] Регистрация систем ИИ с высоким уровнем риска в базе данных ЕС + эквивалент маркировки CE;

  Перед тем, как быть размещенными на рынке или введенными в эксплуатацию, системы высокого риска должны быть зарегистрированы в базе данных ЕС для систем искусственного интеллекта высокого риска. Эта база данных будет содержать информацию, которая общедоступна. Информация для базы данных должна быть удобной для пользователя и машиночитаемой.

  Определите, развернута ли система ИИ на основе white-label (т. е. система ИИ предоставляется третьей стороной, но маркируется фирменным наименованием или брендом развертывателя) или была существенно изменена или используется для измененных высокорисковых целей. В этих обстоятельствах развертыватель может быть подвергнут значительным дополнительным обязательствам, применимым к поставщикам высокорисковых систем ИИ в соответствии с Законом об ИИ.

• [ ] Политики и процедуры для ответственной разработки и развертывания ИИ (техническая и клиентская (пользовательская) документация по системам ИИ, политики использования ИИ для сотрудников, уведомления об использовании системам ИИ на рабочем месте, политики, касающиеся правил безопасности продукции ЕС и т.п.);

  <aside> 👉

  Политика по ответственному использованию ИИ должна отражать список «запрещенных применений ИИ» в соответствии с Законом ЕС об ИИ и какие типы систем ИИ являются «высокорисковыми».

  • Политика использования для сотрудников

  Журналы операций для систем ИИ с высоким уровнем риска в течение как минимум шести месяцев.

  Определить основания для обработки персональных данных ИИ, документация по соответствию GDPR, включая DPIA, корректировка политик конфиденциальности, уведомление субъектов ПД.

  Автоматизированные процессы принятия решений разрешены только в определенных обстоятельствах при поддержке соответствующих мер безопасности.

  Подробно смотри разделы:

  Ethics and Responsible AI by Design

  Шаблоны документов

  Полезное Руководство от ICO о том, как внедрять ИИ

  <aside> 💡

  Подробнее про DPIA смотри раздел:

  DPIA - Data Protection Impact Assessments

  </aside>

  Подробно про персональные данные, выбор основания для обработки, читай раздел Искусственный интеллект и персональные данные

  <aside> ↘️

  Чтобы позволить лицам давать осмысленное согласие, рекомендуется предоставить достаточную информацию, включая:

  (a) функцию продукта, которая требует сбора и обработки персональных данных (например, рекомендации фильмов);

  (b) общее описание типов персональных данных, которые будут собираться и обрабатываться (например, история просмотра фильмов пользователями);

  (c) объяснение того, как обработка собранных персональных данных имеет отношение к функции продукта (например, история просмотра фильмов пользователями будет анализироваться для составления рекомендаций фильмов); и

  (d) определенные типы персональных данных, которые с большей вероятностью повлияют на функцию продукта (например, досмотрел ли пользователь фильм до конца или смотрел ли пользователь фильм несколько раз).

  </aside>

  Model Contractual Clauses for AI Procurement in the EU: Key Takeaways for AI Companies - cyber/data/privacy insights

  </aside>

• [ ] Меры человеческого надзора (обязательны для систем ИИ высокого уровня риска);

  Убедитесь, что в компании есть структура управления ИИ, периодически ее пересматривайте, чтобы убедиться, что правильно внедряется и контролируется, определите роль ответственного, роль верхнеуровнего руководства (например, директор) в этом процессе.

  <aside> ↘️

  Человеческая оценка результатов ИИ должна быть осмысленной.

  Например, сотрудник по защите данных , кто-то с необходимыми техническими навыками и соответствующим стажем для понимания работы системы ИИ в вашем бизнесе.

  Человеческий контроль должен:

  1. Помогать развертывающим лицам понимать возможности и ограничения высокорисковой системы ИИ.
  2. Обращать внимание на возможность избыточного доверия к результатам высокорисковых систем ИИ, особенно тех, которые предоставляют информацию или рекомендации по принятию решений.
  3. Обеспечивать правильную интерпретацию результатов системы.
  4. Давать возможность игнорировать, отменять или изменять результаты работы системы.
  5. Позволять людям вмешиваться в работу системы или останавливать ее работу. </aside>

• [ ] Провести оценку воздействия для высокорисковых систем.

  Тем, кто внедряет высокорисковые системы ИИ, необходимо будет проводить ежегодную оценку воздействия в соответствии с GDPR, так и в соответствии с законами штатов США (Калифорния, Колорадо, Коннектикут, Делавэр, Флорида, Индиана, Кентукки, Мэриленд, Миннесота, Монтана, Небраска, Нью-Гемпшир, Нью-Джерси, Орегон, Род-Айленд, Теннесси, Техас и Вирджиния), которые требуют оценки воздействия, когда бизнес занимается, среди прочего, профилированием с высоким риском.

  <aside> 👉

  </aside>

• [ ] Механизмы постоянного мониторинга системы ИИ (обязательны для высокорисковых систем ИИ);

• [ ] Предоставить необходимое обучение и поддержку тем, кто будет использовать соответствующую систему ИИ с высоким уровнем риска, чтобы убедиться, что у них есть необходимая компетентность и полномочия для выполнения этой роли.

• [ ] Механизмы для обнаружения и идентификации инцидентов, оперативного уведомления соответствующих органов и заинтересованных сторон о серьезных инцидентах и внедрения корректирующих действий для смягчения их воздействия и предотвращения повторения в будущем.

• [ ] Разрабатывать динамичные стратегии управления рисками, которые не только соответствуют текущим правовым стандартам, но и достаточно гибки для адаптации к новым правилам.

• [ ] Проверка договоров с контрагентами

• [ ] Права на использование интеллектуальной собственности;