Соблюдение требований AI Act

Glossary category

Соблюдение требований AI Act

Что такое соблюдение требований AI Act?

Соблюдение требований AI Act означает приведение проектирования, разработки, внедрения, продвижения и использования систем искусственного интеллекта в соответствие с требованиями Закона ЕС об искусственном интеллекте (EU AI Act). На практике это правовой и организационный процесс, который помогает компании определить, является ли ее AI-система запрещенной, относится ли она к системам высокого риска, подпадает ли под обязанности по обеспечению прозрачности либо находится вне основных регулируемых категорий, а затем внедрить меры, предусмотренные законом.

EU AI Act устанавливает риск-ориентированную модель регулирования AI-систем, размещаемых на рынке, вводимых в эксплуатацию или используемых в ЕС. Он предусматривает разные обязанности в зависимости от роли компании — например, поставщика, внедряющей организации, импортера, дистрибьютора или уполномоченного представителя, — а также от типа и предполагаемого назначения системы. Поэтому соответствие AI Act не ограничивается технической оценкой. Оно также охватывает управление, документацию, договорные механизмы, внутренние процедуры, человеческий надзор, обучение, а также взаимодействие с регуляторами и деловыми партнерами.

Для многих организаций соблюдение требований AI Act пересекается с защитой персональных данных, кибербезопасностью, защитой прав потребителей, безопасностью продукции, отраслевым регулированием и корпоративным управлением. Такой комплаенс следует рассматривать как постоянную функцию, а не как разовую юридическую проверку. Это особенно важно, когда AI-система влияет на трудовые отношения, доступ к услугам, кредитоспособность, правоохранительную деятельность, образование, здравоохранение, критическую инфраструктуру или другие сферы, где юридические риски и потенциальное воздействие на физических лиц выше.

Что включает соблюдение требований AI Act?

Соблюдение требований AI Act обычно начинается с картирования сценариев использования искусственного интеллекта в организации. Компании необходимо определить, какие инструменты являются AI-системами в смысле AI Act, какую роль организация играет в отношении каждой системы и подпадает ли система под запрещенную практику, относится ли к высокорисковому применению или к категории, влекущей специальные обязанности по прозрачности. Такая первоначальная квалификация имеет практические последствия для проектирования продукта, закупок, внутренних согласований и стратегии выхода на рынок.

Если система классифицируется как высокорисковая, соблюдение требований может включать внедрение системы управления рисками, контроль данных и управления данными, подготовку технической документации, ведение записей, логирование, меры прозрачности, человеческий надзор, обеспечение точности, устойчивости и кибербезопасности, оценку соответствия, регистрационные обязанности, если они применимы, а также постмаркетинговый мониторинг. Конкретный объем обязанностей зависит от фактических обстоятельств и от того, выступает ли компания поставщиком или иным регулируемым оператором в цепочке создания ценности.

Если компания использует модели искусственного интеллекта общего назначения или интегрирует сторонние AI-решения в свои продукты или услуги, анализ соответствия может быть более сложным. В таких случаях юридическая проверка часто включает договорное распределение ответственности, due diligence поставщиков, права на аудит, обмен документацией, планирование реагирования на инциденты и оценку того, делают ли изменения в системе компанию поставщиком по смыслу AI Act. На практике эта сфера может вызывать вопросы толкования, особенно когда в разработке, интеграции, брендинге и внедрении участвуют несколько организаций.

Соответствие AI Act также может охватывать внутренние меры управления: политики в области искусственного интеллекта, процедуры согласования, обучение сотрудников, проверку запрещенных сценариев использования, отчетность на уровне руководства, а также координацию между юридическим отделом, комплаенс-функцией, IT, службой безопасности, закупками, HR и продуктовыми командами. Такие меры помогают подтвердить, что компания способна выявлять и управлять регуляторными обязанностями до развертывания системы или ее предложения клиентам.

Когда стоит обратиться за юридической поддержкой по соблюдению требований AI Act?

Юридическая поддержка особенно полезна, когда компания разрабатывает AI-продукты для рынка ЕС, закупает AI-решения у внешних поставщиков, интегрирует искусственный интеллект в существующие услуги или использует автоматизированное принятие решений в чувствительных бизнес-сферах. Она также важна, если AI-функциональность встроена в программное обеспечение, платформы, устройства или внутренние инструменты принятия решений, а правовая квалификация системы неочевидна.

Частным компаниям может потребоваться помощь при проверке HR-инструментов, систем оценки клиентов, решений для выявления мошенничества, биометрических технологий или комплаенс-систем с использованием искусственного интеллекта. Стартапам и технологическим поставщикам часто нужна поддержка на раннем этапе, чтобы выстроить документацию, управление продуктом и выход на рынок таким образом, чтобы снизить будущие регуляторные сложности. Крупным и уже действующим компаниям может потребоваться gap-анализ существующих AI-систем, обновление договоров и внедрение рамок управления в нескольких подразделениях или юрисдикциях.

Быстрая консультация с юристом помогает избежать неправильной классификации AI-системы, неполной документации, незаконного внедрения, договорных рисков, риска применения санкций, репутационного ущерба или финансовых потерь. Ранняя юридическая оценка часто эффективнее, чем исправление архитектуры продукта, закупочных решений или внутренних процессов после того, как система уже запущена или интегрирована в бизнес-операции.

Юридическая проверка также может быть необходима, если AI Act взаимодействует с другими правовыми режимами, такими как GDPR, законодательство о защите прав потребителей, трудовое право, интеллектуальная собственность, требования кибербезопасности или отраслевые правила. В таких случаях комплаенс нельзя свести к одному чек-листу. Требуется согласованный юридический подход, позволяющий определить пересекающиеся обязанности и распределить ответственность внутри организации и по всей цепочке поставок.

Поддержка юридической фирмы в сфере соблюдения требований AI Act может, в частности, включать:

  • оценку того, является ли решение AI-системой в смысле EU AI Act,
  • классификацию систем по уровню риска и предполагаемому использованию,
  • анализ роли компании как поставщика, внедряющей организации, импортера, дистрибьютора или уполномоченного представителя,
  • проверку запрещенных практик и высокорисковых сценариев использования,
  • подготовку внутренних политик управления искусственным интеллектом и процедур согласования,
  • поддержку по требованиям к технической и юридической документации,
  • проверку договоров с поставщиками AI-решений, разработчиками, дистрибьюторами и клиентами,
  • консультации по обязанностям в области прозрачности и уведомлениям для пользователей,
  • поддержку в реагировании на инциденты, постмаркетинговом мониторинге и коммуникации с регуляторами,
  • координацию соблюдения требований AI Act с требованиями в области защиты данных, кибербезопасности, трудового права и защиты прав потребителей.

Нужна поддержка в соблюдении требований AI Act? Свяжитесь с нами.

Смотрите также

  • Коммерческое право
  • Права потребителей
  • Трудовой договор
  • Интеллектуальная собственность