О чем вы узнаете
Закон ЕС об искусственном интеллекте – это не только правовая база. Это вызов в области управления. Узнайте, кто и до какого срока должен соблюдать требования, а также ознакомьтесь с графиком и дальнейшими шагами.
В последние два года многие компании рассматривали вопросы управления искусственным интеллектом как сугубо административную проблему. Составить несколько правил, опубликовать внутреннее руководство по использованию, попросить юридический отдел проверить несколько примеров применения. А потом перейти к другим делам.
Такой подход в Европе уже исчерпал себя.
Закон ЕС об искусственном интеллекте меняет подход к обсуждению, поскольку он не задает вопрос о том, занимается ли ваша компания «искусственным интеллектом» в каком-то широком, абстрактном смысле. Он задает гораздо более практичный вопрос: какой именно искусственный интеллект вы разрабатываете, покупаете, интегрируете или используете, и какой уровень риска это создает?
Этот закон распространяется на государственные и частные организации как в рамках ЕС, так и за его пределами, если они:
- выпускают на рынок ЕС системы искусственного интеллекта или модели искусственного интеллекта общего назначения;
- вводят системы искусственного интеллекта в эксплуатацию;
- используют их на территории ЕС.
Тем, кто пережил это и, возможно, до сих пор страдает посттравматическое стрессовое расстройство, это напоминает требования по местонахождению данных, предусмотренные GDPR. Закон ЕС об искусственном интеллекте различает поставщиков, операторов и разработчиков моделей искусственного интеллекта общего назначения.
Нагрузка, связанная с обеспечением соответствия требованиям, распределена по всей цепочке создания стоимости, а не сосредоточена исключительно на разработчиках моделей
Это важно, поскольку многие компании по-прежнему считают, что регулирование ИИ в ЕС касается преимущественно передовых компаний, занимающихся разработкой моделей. Это не так. Если вы используете ИИ при найме персонала, взаимодействии с клиентами, принятии решений, выявлении мошенничества в финансовой сфере, при генерации контента или для внутренней автоматизации, вы уже находитесь в той сфере, где управление должно стать гораздо более строго организованным. Нормативно-правовая база ЕС по своему замыслу основывается на оценке рисков. Некоторые методы использования ИИ запрещены.
Сложная задача обеспечения соответствия требованиям по ИИ
Некоторые системы классифицируются как составляющие высокий риск. Некоторые виды использования предусматривают обязанности по обеспечению прозрачности. Модели ИИ общего назначения имеют свои требования. Воздействие на бизнес зависит от конкретного случая использования, роли вашей организации и доказательств, которые вы можете предоставить относительно того, как осуществляется управление системой.
Сейчас пора действовать.
Закон об искусственном интеллекте вступил в силу 1 августа 2024 года. Запреты, определения и положения о грамотности в сфере искусственного интеллекта применяются со 2 февраля 2025 года. Правила по управлению и обязательствам по моделям искусственного интеллекта общего назначения начали применяться 2 августа 2025 года.
Большая часть общих требований вступает в силу со 2 августа 2026 года, тогда как определенные системы искусственного интеллекта с высоким уровнем риска, встроенные в регулируемые продукты, — со 2 августа 2027 года.
Другими словами, это не вопрос соблюдения требований «когда-то в будущем». Это актуальный оперативный вопрос.
С точки зрения безопасности идентичности, которую отстаивает Delinea, это самое важное изменение, которое следует осознать. Закон об искусственном интеллекте – это не просто правовая база. Это вызов в области контроля.
Это может показаться очевидным, но многие организации до сих пор подходят к вопросу соблюдения требований искусственного интеллекта так, будто все сводится преимущественно к документации: политик, раскрытие информации, карт моделей, юридических экспертиз, анкет для закупок. Эти вещи имеют значение. Но одних их недостаточно.
По мере того, как искусственный интеллект все глубже интегрируется в бизнес-процессы, а особенно приобретает все большую самостоятельность, самым сложным вопросом уже не является: «Имеем ли мы соответствующую политику?» А «Можем ли мы действительно видеть, что делает этот ИИ, к чему он имеет доступ, под какой идентичностью он действует, какими политиками руководствуется, какие записи мы будем иметь впоследствии, и можем ли мы связать агента или модель ИИ с его человеческим владельцем?» Внутренняя плоскость контроля безопасности идентичностей Delinea построена именно вокруг этого прогресса: видимости, состояния и контроля над человеческими, бесчеловечными и ИИ-идентичностями.
Прозрачность – это первый шаг к обеспечению безопасности искусственного интеллекта.
Такое видение ситуации отвечает текущей ситуации в ЕС. Организации, которым придется труднее всего, — это не обязательно имеющие самые амбициозные программы в сфере искусственного интеллекта. Это те организации, которые не обеспечивают должной прозрачности.
Искусственный интеллект уже применяется во встроенных функциях SaaS, копилотах, внутренних помощниках, рабочих процессах разработчиков, контенте для клиентов и посторонних инструментах, которые кто-то включил полгода назад и почти не задокументировал. Если вы не можете составить список этих случаев использования, вы не сможете их должным образом классифицировать. Если вы не можете их классифицировать, вы не сможете определить, какие из них создают обязательства с высоким уровнем риска, какие – обусловливают применение правил прозрачности, а какие – порождают ответственность перед конечными пользователями, которую вы несете даже в том случае, если модель предоставлена поставщиком.
В Законе об искусственном интеллекте четко отмечено, что немаловажную роль играют не только поставщики, но и те, кто использует эти технологии.
Именно повседневная ИИ может вас подвести
Повседневная ИИ — это одна из причин, почему вопрос прозрачности заслуживает большего внимания руководства, чем получает сейчас. Согласно Закону о ИИ, поставщики и операторы определенных интерактивных или генеративных систем ИИ обязаны сообщать пользователям о том, что они взаимодействуют с ИИ, обеспечивать возможность выявления определенных генерируемых результатов, а также раскрывать информацию о контенте в стиле «дипфейк», созданного или измененного с помощью ИИ.
Для многих компаний это скажется быстрее и масштабнее, чем тех, кто попадает в категорию высокого риска, о которой так много пишут в СМИ. Боты для обслуживания клиентов, медиаконтент, созданный с помощью искусственного интеллекта, контент для широкой аудитории и автоматизированные коммуникации – все это гораздо более тесно связано с повседневной деятельностью компаний, чем представляют многие руководители.
Но обратите внимание на ИИ с высоким уровнем риска
Именно в случае ИИ с высоким уровнем риска требования по соблюдению нормативных требований становятся более строгими. ЕС определяет как имеющие высокий уровень риска, определенные сферы применения, в частности в сферах занятости, образования, правоохранительной деятельности, миграции и доступа к основным услугам, а также некоторые системы ИИ, встроенные в продукты, подлежащие регулированию.
Поставщики таких систем должны пройти процедуры оценки соответствия и подтвердить соблюдение требований управления рисками, качества данных, документации и прослеживаемости, прозрачности, человеческого надзора, точности, кибербезопасности и надежности. Организации, внедряющие эти системы, также имеют свои обязательства, в частности по использованию систем в соответствии с инструкциями, мониторингом их работы, обеспечением человеческого надзора и, в некоторых случаях, обеспечением права на объяснения для лиц, которых это касается.
Это становится еще более важным по мере того, как предприятия переходят от использования искусственного интеллекта в качестве вспомогательного средства к его активному применению. В модели Delinea MCP агенты искусственного интеллекта используют существующие механизмы аутентификации, работают на основе временных токенов доступа и генерируют журналы с данными об идентификации и контексте, благодаря чему действия остаются отслеживаемыми и подвергаются аудиту. Запросы можно проверять, применять соответствующие политики и контролировать ответы, чтобы снизить риск непреднамеренного раскрытия информации. Именно такой операционной дисциплины предприятиям понадобится больше, а не меньше, с усилением регуляторного контроля.
Настоящая проблема заключается не в том, можно ли теоретически регулировать искусственный интеллект. А в том, способны ли предприятия регулировать его на практике
Именно в этом подходе Delinea отличается от обычного контрольного списка по соблюдению требований.
- Могут ли они видеть все соответствующие идентичности, включая агентов ИИ и бесчеловечные объекты?
- Могут ли они понять, какой доступ существует сегодня и к чему может быть предоставлен доступ в будущем?
- Могут ли они ограничить чрезмерные привилегии доступа, прежде чем превратится в проблему с точки зрения соблюдения нормативных требований и безопасности?
- Могут ли они доказать, что именно происходило во время действия, выполненного с помощью ИИ или инициированной ИИ?
Внутри компании Delinea уже рассматривает это как готовность на уровне руководства: прозрачность по отношению к идентификационным данным людей, машин и искусственного интеллекта; заметное уменьшение количества аккаунтов с чрезмерными правами; а также достаточный уровень уверенности для ускорения реализации инициатив в сфере искусственного интеллекта без потери контроля рисков, связанных с доступом.
А теперь перейдем к самой страшной части – FUD
Именно с такой бизнес точки зрения руководителям следует рассматривать Закон ЕС об искусственном интеллекте. Речь идет не только об избежании штрафов, хотя размеры штрафных санкций и значительны. Регламент устанавливает границы до 35 млн. евро или 7% от мирового годового оборота за определенные нарушения, до 15 млн. евро или 3% за другие случаи несоблюдения требований и до 7,5 млн. евро или 1,5% за предоставление ложной или обманчивой информации.
Комиссия также может налагать штрафы на разработчиков универсальных моделей ИИ за невыполнение возложенных на них обязательств. Однако для большинства организаций главная проблема носит операционный характер: смогут ли они продолжать внедрять ИИ, не создавая при этом слепых зон, которые впоследствии не смогут объяснить.
Что же теперь делать предприятиям?
Иногда самым важным является первый шаг
Начните с обеспечения прозрачности. Создайте реальный список случаев использования ИИ в компании, включая посторонние инструменты и встроенные функции. Затем классифицируйте эти объекты по роли, географическому положению, воздействию на бизнес и вероятной категории регулирования. Далее сосредоточьтесь на оценке состояния: где находятся рискованные объекты ИИ и как оценить связанные с ними риски. После этого сосредоточьтесь на мерах контроля: кто имеет доступ к чему, какие политики применяются, какие данные используются, что регистрируется в журналах и как обрабатываются исключения.
Закон ЕС об искусственном интеллекте подталкивает предприятия к миру, где документация, конечно, остается важной, но еще большее значение приобретает подтверждение контролируемого функционирования.
В этом состоит главный урок. Регуляция ЕС в сфере искусственного интеллекта не просто повышает требования к соблюдению норм. Оно увеличивает требования к контролю.
А в условиях, когда искусственный интеллект все чаще не просто отвечает на запросы, но и действует самостоятельно, безопасность идентификации становится центральным элементом управления искусственным интеллектом. По мнению компании Delinea, именно в этом направлении рынок развивается быстрее всего: к модели, в которой инновации в сфере искусственного интеллекта, управление доступом и авторизация при выполнении должны действовать слаженно. Компании, которые вовремя это осознают, окажутся в гораздо более выгодном положении, чем те, что до сих пор рассматривают соблюдение требований по искусственному интеллекту как чисто бюрократическую процедуру.
Источник: EU and AI: What you need to know about AI regulations
