Dva robota drže vagu.

Potpuni vodič kroz Zakon EU o umjetnoj inteligenciji (AI Act)

Blog /

Zakon EU o vještačkoj inteligenciji – Uredba (EU) 2024/1689 – postavlja pravno obavezujuća pravila za svaki sistem vještačke inteligencije stavljen na evropsko tržište ili čiji rezultati dopiru do korisnika u EU, što ga čini prvim horizontalnim zakonom o vještačkoj inteligenciji zasnovanim na riziku bilo gdje. Bez obzira da li gradite modele, integrišete alate trećih strana ili jednostavno implementirate chatbotove za pružanje usluga korisnicima, Zakon stvara nove dužnosti i izlaže vas visokim kaznama do 7% globalnog prometa po kršenju. Stupanje na snagu bilo je 1. augusta 2024. godine; obaveze usklađivanja postepeno se primjenjuju od februara 2025. do augusta 2027. godine, što znači da je vrijeme pripreme ograničeno.

Ovaj praktični vodič probija se kroz pravni žargon i objašnjava tačno ono što trebate znati: opseg Zakona i ključne definicije, njegovu klasifikaciju rizika u četiri nivoa, vremenski okvir i mehanizme provođenja, konkretne obaveze za pružatelje usluga, korisnike, uvoznike i distributere, te kazne za neispunjavanje obaveza. Također, usklađujemo propise s GDPR-om, NIS2, pravilima o sigurnosti proizvoda i zahtjevima specifičnim za sektor, prije nego što vam damo detaljnu listu za provjeru usklađenosti na koju inženjerski, pravni i rukovodeći timovi mogu odmah djelovati. Hajde da vas pripremimo - mnogo prije nego što revizori pokucaju na vrata.

Na prvi pogled: Šta je zapravo Zakon EU o umjetnoj inteligenciji

Uredba (EU) 2024/1689 – poznatija kao Zakon EU o vještačkoj inteligenciji – direktno je primjenjiva uredba EU, a ne direktiva. To znači da njeni članovi automatski stupaju na snagu u svakoj državi članici bez potrebe za nacionalnom transpozicijom, slično kao i GDPR uradio 2018. godine. Cilj je dvostruk: zaštititi temeljna prava i sigurnost, a istovremeno pružiti kompanijama pravnu sigurnost za odgovorno inoviranje s umjetnom inteligencijom. Da bi se to postiglo, Zakon uvodi horizontalni, na riziku zasnovani set alata koji obuhvata svaki sektor, od finansija do zdravstva, ocjenjujući sisteme od „minimalnog“ do „neprihvatljivog“ rizika s odgovarajućim zakonskim obavezama.

Opseg i definicije koje trebate znati

Prije nego što sastavite plan usklađenosti, savladajte osnovni vokabular:

  • Sistem umjetne inteligencije: „sistem zasnovan na mašini dizajniran za rad s različitim nivoima autonomije i koji, za eksplicitne ili implicitne ciljeve, zaključuje iz ulaznih podataka kako generirati izlaze - kao što su predviđanja, sadržaj, preporuke ili odluke - koji mogu utjecati na fizička ili virtualna okruženja.“
  • Opšta umjetna inteligencija (GPAI): sistem umjetne inteligencije sposoban da opslužuje širok spektar različitih zadataka, bez obzira na to kako se naknadno podešava ili primjenjuje.
  • Pružalac usluga: svaka fizička ili pravna osoba koja razvija – ili je razvila – sistem umjetne inteligencije s ciljem njegovog stavljanja na tržište ili puštanja u upotrebu pod svojim imenom ili zaštitnim znakom.
  • Korisnik (često nazivan „instaler“): osoba ili entitet koji koristi sistem vještačke inteligencije pod svojim ovlaštenjem, isključujući privatnu, neprofesionalnu upotrebu.
  • Uvoznik: Strana sa sjedištem u Uniji koja na tržište EU stavlja sistem umjetne inteligencije koji nosi ime ili zaštitni znak subjekta koji se nalazi izvan Unije.
  • Distributer: učesnik u lancu snabdijevanja - osim dobavljača ili uvoznika - koji stavlja na raspolaganje sistem vještačke inteligencije bez njegovog mijenjanja.

Teritorijalni doseg je širok: svaki sistem koji se plasira na tržište EU ili čiji se proizvod koristi u EU potpada pod Zakon, bez obzira gdje se nalazi programer. Izuzeća postoje za isključivo vojne ili primjene u oblasti nacionalne sigurnosti, prototipove istraživanja i razvoja koji još nisu plasirani na tržište i lične hobi projekte.

Ključni principi ugrađeni u Zakon

Uredba spaja dugogodišnje etičke koncepte u provedivo pravo:

  • Ljudsko djelovanje i nadzor
  • Tehnička robusnost i sigurnost
  • Privatnost i upravljanje podacima
  • Transparentnost i objašnjivost
  • Raznolikost, nediskriminacija i pravednost
  • Društveno i ekološko blagostanje

Ovo odražava principe OECD-a za umjetnu inteligenciju i ranije „Etičke smjernice za“ EU Pouzdana AI", ali sada imaju regulatornu snagu.

Regulativa u odnosu na postojeće smjernice mekog prava

Do 2024. godine, upravljanje umjetnom inteligencijom u Evropi oslanjalo se na dobrovoljne okvire poput Pakta EU o umjetnoj inteligenciji ili korporativnih kodeksa etike. Zakon o umjetnoj inteligenciji mijenja pravila igre: usklađenost je obavezna, podložna reviziji i podržana od strane kazne do 35 miliona eura ili 7% globalnih prihoda. Drugim riječima, deklaracije o „etičkoj umjetnoj inteligenciji“ više nisu dovoljne – organizacije moraju dostaviti ocjene usklađenosti, CE oznake i provjerljive zapise ili riskiraju da im bude zabranjen pristup tržištu EU.

Vremenski okvir, pravni status i faze sprovođenja

Zakon EU o vještačkoj inteligenciji prešao je put od prijedloga do obavezujućeg zakona za nešto više od tri godine - brzinom svjetlosti prema briselskim standardima. Budući da se radi o Uredbi, većina članova se automatski primjenjuje u cijelom bloku bez nacionalne transpozicije. Ono što se mijenja tokom vremena jeste koje obaveze prve nastaju. Raspored u nastavku prikazuje političke prekretnice koje su nas dovele dovde i postavlja temelje za postepeno uvođenje obaveza usklađivanja koje vaša organizacija sada mora ispuniti.

Datum prekretnica značaj
21 April 2021 Komisija objavljuje nacrt Zakona o umjetnoj inteligenciji Formalni početak zakonodavnog procesa
9 Dec 2023 Parlament i Vijeće postigli politički dogovor Osnovni tekst je uglavnom zaključan
13 Mar 2024 Konačno glasanje u Evropskom parlamentu (523-46) Osigurano demokratsko odobrenje
21 Maj 2024 Usvajanje od strane Vijeća EU Posljednja zakonodavna prepreka uklonjena
10 Juli 2024 Tekst objavljen u Službenom listu Počinje pravno odbrojavanje
1 Avgust 2024 Uredba (EU) 2024/1689 stupa na snagu „Dan 0“ za sve buduće rokove

Datum stupanja na snagu pokreće niz postepenih datuma primjene raspoređenih tokom tri godine. Ovakav dizajn daje dobavljačima, korisnicima, uvoznicima i distributerima prostor za izgradnju procesa usklađenosti, unapređenje modela i obuku osoblja - ali to također znači da će revizori očekivati ​​vidljiv napredak mnogo prije 2027. godine.

Mapa puta za sprovođenje zakona: Šta se primjenjuje kada

  • 6 mjeseci | 1. februar 2025.
    • Zabranjene prakse umjetne inteligencije (član 5) moraju biti uklonjene s tržišta - bez izgovora.
  • 12 mjeseci | 1. august 2025.
    • Stupaju na snagu obaveze transparentnosti za deepfakeove, chatbotove i prepoznavanje emocija.
    • Očekuje se donošenje kodeksa prakse za opću umjetnu inteligenciju (GPAI); dobrovoljno, ali se toplo preporučuje.
  • 24 mjeseci | 1. august 2026.
    • Zahtjevi za sistem visokog rizika počinju: upravljanje rizicima, upravljanje podacima, tehnička dokumentacija, ljudski nadzor i pripreme za CE označavanje.
    • Pružaoci usluga moraju registrovati visokorizične sisteme u novoj bazi podataka EU.
  • 36 mjeseci | 1. august 2027.
    • Primjenjuje se puni režim, uključujući biometrijske identifikacijske sisteme, ocjene usklađenosti od strane prijavljenih tijela i obaveznu EU deklaraciju o usklađenosti za sve visokorizične umjetne inteligencije.
    • Organi za nadzor tržišta dobiti ovlaštenje da nalože opoziv ili povlačenje proizvoda koji nisu u skladu s propisima.

Prelazne klauzule omogućavaju visokorizičnim sistemima koji su već legalno u upotrebi prije augusta 2026. da ostanu na tržištu dok ne prođu kroz „značajnu modifikaciju“. Pažljivo planirajte nadogradnje kako biste izbjegli slučajno resetovanje sata za usklađenost.

Institucije i nadzorna tijela

Zakon EU o umjetnoj inteligenciji provodi se na tri nivoa:

  1. Ured EU za umjetnu inteligenciju (Evropska komisija) – Koordinira smjernice, održava registar GPAI i može izreći kazne sistemskim pružateljima modela.
  2. Nacionalna nadležna tijela – Jedan po državi članici; bavi se inspekcijama, pritužbama i svakodnevnim nadzorom tržišta.
  3. Notificirana tijela – Nezavisne organizacije za ocjenjivanje usklađenosti koje vrše reviziju visokorizičnih sistema prije CE označavanja.

Ovi akteri sarađuju putem Evropski odbor za vještačku inteligenciju (EAIB), koja izdaje usklađene interpretativne bilješke – zamislite je kao ekvivalent EDPB-a GDPR-a koji se zasniva na umjetnoj inteligenciji. Budite svjesni njihovih smjernica; one će oblikovati način na koji se vaše tehničke datoteke i procjene rizika ocjenjuju u praksi.

Okvir za klasifikaciju rizika u četiri nivoa

U srži Zakona EU o vještačkoj inteligenciji (AI Act) nalazi se model semafora koji određuje koliko će pravila biti stroža: što je veći rizik za prava i sigurnost ljudi, to je veći teret usklađenosti. Svaki AI sistem mora biti mapiran u jednu od četiri klase - neprihvatljivo, visoko, ograničeno ili minimalno. Klasifikacija određuje sve ostalo: dubinu dokumentacije, rigoroznost testiranja, nadzor i, u konačnici, pristup tržištu.

Nivo rizika Tipični primjeri Osnovna pravna posljedica Datum prve prijave*
Neprihvatljivo Društveno bodovanje, biometrijska identifikacija u stvarnom vremenu u javnim prostorima, manipulativni "nudge" mehanizmi Potpuna zabrana; povlačenje i kazne do 35 miliona eura / 7 % 1 februar 2025
visok Alati za provjeru životopisa, softver za medicinsku dijagnostiku, bodovanje kreditne sposobnosti, moduli za autonomnu vožnju Ocjena usklađenosti, CE označavanje, upis u registar, posttržišni monitoring 1. august 2026. (biometrijski podaci: 1. august 2027.)
ograničen Chatbotovi, generatori deepfake-a, widgeti za analizu emocija Obavještenje o transparentnosti i osnovne korisničke kontrole 1 Avgust 2025
minimalan Filteri za neželjenu poštu pokretani umjetnom inteligencijom, NPC-ovi iz videoigara Nema obaveznih pravila; samo dobrovoljni kodeksi Već je na snazi

* Izračunato od datuma stupanja na snagu 1. avgusta 2024. godine.

Okvir je dinamičan: ako dodate nove funkcije ili promijenite ciljne korisnike, vaš sistem može preći na viši nivo, što će pokrenuti nove zadatke.

Neprihvatljiv rizik: Zabranjene prakse umjetne inteligencije

Član 5. povlači crvenu liniju ispod upotreba koje EU smatra inherentno nekompatibilnim s temeljnim pravima. To uključuje:

  • Subliminalne tehnike koje materijalno iskrivljuju ponašanje
  • Iskorištavanje ranjivosti maloljetnika ili osoba s invaliditetom
  • Neselektivno u realnom vremenu biometrijska identifikacija u javno dostupnim prostorima (primjenjuju se uske izuzeća za provođenje zakona)
  • Socijalno bodovanje od strane javnih vlasti
  • Prediktivno policijsko djelovanje zasnovano isključivo na profiliranju ili podacima o lokaciji

Takvi sistemi nikada ne smiju stići na tržište EU. Nacionalne vlasti mogu narediti trenutno povlačenje, a kazne su na vrhu ljestvice novčanih kazni predviđenih Zakonom.

Visokorizični sistemi umjetne inteligencije: Kategorije iz Priloga III

Sistem spada u kategoriju visokog rizika ako je:

  1. Sigurnosna komponenta proizvoda koji je već reguliran (npr. prema Pravilniku o mašinama ili medicinskim uređajima), ili
  2. Navedeno u osam osjetljivih domena Aneksa III - biometrija, kritična infrastruktura, obrazovanje, zaposlenje, osnovne usluge, sprovođenje zakona, migracije i pravda.

Nakon što se klasifikuju kao visokorizični, pružaoci usluga moraju koristiti sistem upravljanja kvalitetom, provesti ciklus upravljanja rizikom i osigurati procjenu usklađenosti - ponekad putem eksternog prijavljenog tijela. Korisnici (implementatori) nasljeđuju dužnosti evidentiranja, nadzora i izvještavanja o incidentima.

Ograničeni rizik: Obaveze transparentnosti

Alati s ograničenim rizikom nisu bezopasni, ali EU vjeruje da svijest korisnika ublažava većinu opasnosti. Proizvođači chatbotova, generativnih AI mehanizama ili usluga sintetičkog glasa moraju:

  • Obavijestite korisnike da komuniciraju s umjetnom inteligencijom („Ova slika je generirana umjetnom inteligencijom“)
  • Otkrijte deepfake sadržaj u vodenom žigu koji mašinski može čitati
  • Suzdržite se od tajnog prikupljanja ličnih podataka izvan onoga što je strogo neophodno

Nedostavljanje obavještenja direktno degradira sistem na područje neusklađenosti i dovodi do administrativnih kazni.

Minimalni/Zanemarivi rizik: Nema obaveznih pravila

Filteri za neželjenu poštu, prediktivni tekst u e-porukama ili umjetna inteligencija koja optimizira potrošnju energije za grijanje, ventilaciju i klimatizaciju uglavnom spadaju ovdje. Zakon EU o umjetnoj inteligenciji (AI Act) ne nameće nikakve stroge obaveze, ali aktivno potiče dobrovoljne kodekse, regulatorne sandboxe i pridržavanje međunarodnih standarda poput ISO/IEC 42001. Vođenje jednostavne dokumentacije i osnovnih testova pristranosti i dalje je pametan potez - regulatori mogu reklasificirati granične slučajeve ako se pojave dokazi o šteti.

Osnovne obaveze za pružatelje usluga, implementatore i druge aktere

Zakon EU o vještačkoj inteligenciji raspoređuje dužnosti usklađenosti na cijeli lanac snabdijevanja. Budući da odgovornost prati funkciju, a ne veličinu kompanije, prvo morate odrediti koju ulogu imate - dobavljača, korisnika (implementatora), uvoznika ili distributera - a zatim dodati sve zahtjeve specifične za rizik. Nedostatak ispravne klasifikacije je čest nalaz revizije, stoga vježbu mapiranja tretirajte kao nulti korak vašeg programa.

Pružaoci visokorizičnih sistema

Pružaoci usluga snose najveći teret jer oni kontrolišu odluke o dizajnu. Ključni zadaci:

  • Uspostavite dokumentirani Sistem upravljanja kvalitetom (QMS) koji obuhvata upravljanje podacima, upravljanje rizicima, kontrolu promjena i sajber sigurnost.
  • Provedite ex-ante procjenu usklađenosti. Većina sistema iz Aneksa III može se samostalno procjenjivati, ali biometrijski identifikacijski dokumenti, medicinski uređaji i drugi slučajevi upotrebe kritični za sigurnost zahtijevaju prijavljeno tijelo.
  • Sastaviti tehničku dokumentaciju: arhitekturu modela, porijeklo podataka za obuku, metrike evaluacije, testove robusnosti, mehanizme ljudskog nadzora i plan praćenja nakon stavljanja na tržište.
  • Izraditi EU deklaraciju o usklađenosti, postaviti CE oznaku i registrovati sistem u javnoj bazi podataka o vještačkoj inteligenciji prije prvog postavljanja.
  • Uspostaviti kontinuirani posttržišni nadzor: evidentirati ozbiljne incidente, prekvalifikovati kada se pređu pragovi drifta i obavijestiti nadležne organe u roku od 15 dana.

Zanemarivanje bilo kojeg od ovih koraka može rezultirati kaznama do 15 miliona eura ili 3% globalnog prometa - čak i ako ne nastane šteta.

Korisnici / Implementatori visokorizičnih sistema

Implementatori pretvaraju kod u stvarni uticaj, tako da im Zakon daje vlastitu kontrolnu listu:

  • Koristite sistem strogo u skladu s uputama dobavljača i dokumentiranim slučajem upotrebe.
  • Provedite Procjenu utjecaja na temeljna prava (FRIA) kada je korisnik javni organ ili kada umjetna inteligencija utječe na pristup osnovnim uslugama kao što su stanovanje ili krediti.
  • Osigurati kvalificiran ljudski nadzor: osoblje mora biti obučeno, ovlašteno da poništi rezultate i sposobno objasniti odluke pogođenim pojedincima.
  • Čuvajte zapise najmanje šest godina, uključujući ulazne podatke, izlazne podatke, ljudske intervencije i anomalije u performansama.
  • Prijavite ozbiljne incidente i pružatelju usluga i nacionalnom tijelu bez „nepotrebnog odlaganja“, što se obično tumači kao 72 sata.

Uvoznici i distributeri

Akteri koji uvode ili prenose sisteme umjetne inteligencije u EU imaju dužnosti kontrolisanja pristupa:

  • Provjerite da li CE oznaka, EU izjava o usklađenosti i upute postoje i da li odgovaraju funkcionalnosti koja je navedena na tržištu.
  • Suzdržati se od isporuke proizvoda ako znaju - ili bi trebali znati - da nije usklađen; umjesto toga, obavijestiti dobavljača i nadležni organ.
  • Vodite registar pritužbi i opoziva, te ga na zahtjev stavite na raspolaganje nadležnim organima.
  • Surađujte u korektivnim mjerama, uključujući povlačenje proizvoda ili softverske zakrpe.

Obaveze u vezi s općom umjetnom inteligencijom (osnovni modeli)

Zakon dodaje posebna pravila za kreatore GPAI ili modela fondacija koji se mogu ugraditi bilo gdje:

  • Dostavite sveobuhvatnu tehničku dokumentaciju i sažetak korištenih skupova podataka, uključujući status licence i geografsko porijeklo.
  • Objavite izjavu o usklađenost s autorskim pravima i, gdje je to izvodljivo, implementirati mehanizme za isključivanje zaštićenih djela.
  • Provesti i dokumentirati testiranje sistemskog rizika ako model premaši računski prag u Aneksu XI (zamislite 10^25 FLOP-ova). Dodatne dužnosti stupaju na snagu za „sistemski GPAI“, kao što je ponuda referentnih implementacija i saradnja s Uredom EU za umjetnu inteligenciju.
  • Modeli otvorenog koda imaju manje obaveze u pogledu dodira, ali i dalje moraju označavati generirani sadržaj vodenim žigom i pružati upute za korištenje s detaljima o predvidljivim ograničenjima.

Usklađivanjem vaših internih kontrola sa gore navedenim kontrolnim listama specifičnim za svaku ulogu, možete zatvoriti najočiglednije nedostatke u usklađenosti mnogo prije nego što isteknu rokovi za sprovođenje propisa u augustu 2026. i 2027. godine.

Tehnički i organizacijski zahtjevi za postizanje usklađenosti

Zakon EU o vještačkoj inteligenciji ne propisuje univerzalne nacrte. Umjesto toga, definira "bitne zahtjeve" usmjerene na rezultate i ostavlja vam slobodu da odaberete kontrole koje ih potvrđuju. Trik je u spajanju dobre inženjerske prakse s regulatornom higijenom, tako da svako ažuriranje modela ili osvježavanje podataka automatski spada u ponovljivi cjevovod usklađenosti. Pet gradivnih blokova u nastavku prevode pravne članke Zakona u konkretne zadatke koje vaši timovi za proizvode, podatke i pravni timovi mogu obavljati.

Upravljanje i upravljanje podacima

Loši podaci jednaki su regulatornom kriptonitu. Član 10 prisiljava pružatelje visokorizične umjetne inteligencije da dokumentiraju i opravdaju svaki bajt koji uđe u cjevovod.

  • Uredite skupove podataka koji su relevantno, reprezentativno, bez grešaka i ažurno za namijenjenu populaciju.
  • Vodite „list podataka“ za svaki korpus: izvor, datum prikupljanja, uslovi licenciranja, koraci prethodne obrade, provjere pristranosti i period čuvanja.
  • Pratite porijeklo u repozitoriju s kontrolom verzija kako biste mogli vratiti se na prethodno stanje ako nadležni organ zahtijeva ispravke.
  • Izvršite testiranje pristranosti i neravnoteže koristeći statistički pouzdane metode (χ², KS-test, ili metrike pravednosti neovisne o modelu) i akcije ublažavanja evidentiranja.

Održavajte cijeli trag - sirove podatke, skripte, rezultate testova - dostupnim za 10 godina; period retrospektive Zakona je dug.

Okvir upravljanja rizicima

Član 9 zahtijeva kontinuiran i dokumentiran proces koji odražava ISO 31000 i nacrt ISO/IEC 23894.

  1. Identifikujte opasnosti: scenarije zloupotrebe, napade sa strane, pomjeranje podataka.
  2. Analizirajte utjecaj i vjerojatnost; ocijenite ih na zajedničkoj skali (npr. risk = probability × severity).
  3. Odlučite o kontrolama: tehničke zaštitne mjere, ljudski nadzor, ugovorna ograničenja.
  4. Provjeriti kontrole nakon svakog većeg ažuriranja; uvrstiti nalaze u sljedeći sprint.

Sve pohranite u registar živih rizika; regulatori očekuju da vide vremenske oznake, vlasnike i dokaze o zatvaranju.

Ljudski nadzor i transparentnost po dizajnu

Članovi 14 i 52 pretvaraju razgovor „čovjek u krugu“ u obavezne dizajnerske zadatke.

  • Definišite način nadzora: u toku (ručno odobrenje), u toku (obavijesti u stvarnom vremenu), ili preko petlje (post-hoc revizije).
  • Ugradite slojeve objašnjivosti: mape istaknutosti, kontrafaktualne primjere, pojednostavljena pravila odlučivanja.
  • Obezbijedite opcije za nadjačavanje i rezervne opcije koje su obje tehnički izvodljivo i organizacijski ovlašten.
  • Ponudite korisnicima obavještenja na jednostavnom jeziku („Interagujete sa sistemom umjetne inteligencije“) i gdje je to izvodljivo, objavite ocjene pouzdanosti.

Robusnost, tačnost i sajber sigurnost

Prema Članu 15, modeli moraju ostati unutar deklariranih stopa grešaka i odoljeti zlonamjernim intervencijama.

  • Utvrdite minimalne pragove performansi; pratite tačnost, preciznost, privremenu pouzdanost i odstupanje kalibracije u proizvodnji.
  • Prije svakog objavljivanja provedite testove otpornosti na suprotstavljene platforme (FGSM, PGD, trovanje podataka).
  • Ojačati infrastrukturu u skladu sa NIS2 i ETSI EN 303 645: sigurni API-ji, pristup zasnovan na ulogama, šifrirane kontrolne tačke modela.
  • Pripremite rezervne planove – podrazumijevane postavke sigurnog načina rada, eskalaciju ljudskog pregleda – kada performanse padnu ispod granica tolerancije.

Vođenje evidencije, evidentiranje i CE dokumentacija

Ako nije zapisano, nikada se nije ni dogodilo – mantra koja postaje zakon u članovima 11 i 19.

dokument Ključni sadržaji zadržavanje
Technical File arhitektura modela, sažetak podataka o obuci, metrike evaluacije, kontrole kibernetičke sigurnosti Životni ciklus + 10 godina
Trupci ulazi, izlazi, događaji nadjačavanja, statistika performansi, incidenti ≥ 6 godina
EU izjava o sukladnosti izjava o usklađenosti, primijenjeni standardi, podaci o dobavljaču Javno dostupno
Plan postmarketnog praćenja Ključni indikatori uspješnosti (KPI), kanali izvještavanja, pragovi aktiviranja Kontinuirano ažurirano

Automatizirajte prikupljanje zapisa gdje je to moguće; koristite nepromjenjivo pohranjivanje ili knjige koje se samo dodaju kako bi dokazi preživjeli forenzičku analizu. Nakon što je dosije kompletiran, pričvrstite CE oznaka i poslati sistem u bazu podataka EU - tek tada može stići na tržište.

Ugradnjom ovih tehničkih i organizacijskih kontrola u vaš razvojni ciklus, transformirate usklađenost iz žurbe u zadnji čas u stalno dostupnu mogućnost koju će revizori prepoznati – i nagraditi.

Kazne, pravni lijekovi i izloženost parnicama

Zakon EU o vještačkoj inteligenciji ne oslanja se na uljudne podbadanja; on koristi štap dovoljno jak da natjera rukovodioce da se stresu. Finansijske sankcije odražavaju razmjere GDPR-a, ali Zakon također ovlašćuje vlasti da povlačenje proizvoda s polica, brisanje podataka o narudžbi ili prisilno ponovno osposobljavanje modela ako rizici ostanu nesmanjeni. Kazne su ograničene većim iznosom - apsolutnim iznosom u eurima ili postotkom prometa u prethodnoj godini na svjetskoj razini - tako da čak i startupovi u ranoj fazi izbjegavaju samozadovoljstvo. Tabela u nastavku sažima sankcionirane nivoe:

Vrsta kršenja Maksimalna fiksna kazna Maks. % globalnog prometa Tipični okidači
Zabranjene prakse (član 5) 35 miliona eura 7% Socijalno bodovanje, ilegalni biometrijski masovni nadzor
Obaveze visokog rizika (članovi 8–15) 15 miliona eura 3% Nedostaje ocjenjivanje usklađenosti, nedovoljno upravljanje podacima
Greške u informacijama i registraciji 7.5 miliona eura 1% Netačna tehnička dokumentacija, kasno prijavljivanje incidenata
Rutinsko obavještenje o neusklađenosti € 500K N / A Manja kršenja nakon upozorenja

Nadzorni organi mogu nametnuti dnevne novčane kazne kako bi ubrzali sanaciju. Proizvodi koji i dalje predstavljaju „ozbiljan rizik“ suočavaju se s obaveznim opoziv ili povlačenje s tržišta—udar po reputaciju koji nijedan PR plan ne može prikriti.

Administrativne sankcije u odnosu na građansku odgovornost

Regulatorne kazne nisu kraj priče. Predstojeća Direktiva o odgovornosti za umjetnu inteligenciju (AILD) i revidirana Direktiva o odgovornosti za proizvod (PLD) otvaraju paralelne puteve za privatni zahtjevi za naknadu šteteŽrtve povrijeđene odlukom umjetne inteligencije imat će sljedeće:

  • A oboriva pretpostavka uzročnosti kada pružatelji usluga krše dužnosti iz Zakona o umjetnoj inteligenciji, olakšavajući teret dokazivanja.
  • Proširena prava na otkrivanje informacija, omogućavajući tužiteljima da zatraže zapisnike i procjene rizika koji bi inače ostali interni.
  • Usklađena pravila u državama članicama, ali nacionalno pravo o deliktima i dalje može pružati strože standarde (npr. holandska doktrina o nezakonitom djelu).

Kompanije bi se stoga mogle suočiti s dvostrukim udarcem: administrativnom kaznom od više miliona eura, nakon čega bi uslijedile kolektivne građanske tužbe, posebno u oblastima poput uskraćivanja kredita ili diskriminatorskog zapošljavanja.

Mehanizmi za pravnu zaštitu i zaštita uzbunjivača

Pojedinci i nevladine organizacije mogu podnijeti žalbe direktno svojim nacionalno nadležno tijelo ili Ured EU za umjetnu inteligenciju. Vlasti moraju provesti istragu u „razumnom roku“ i mogu odobriti privremene mjere, uključujući naloge za suspenziju. Pogođene osobe također zadržavaju sudska sredstva - sudske zabrane, tužbe za naknadu štete i žalbe na nadzorne odluke.

Zaposleni Oni koji uoče nepravilnosti zaštićeni su EU-om Direktiva o uzbunjivanju:

  • Povjerljivi kanali za prijavljivanje su obavezni za firme sa 50 i više zaposlenih.
  • Odmazda - otkaz, degradacija, zastrašivanje - je izričito zabranjena.
  • Uzbunjivači mogu eksterno eskalirati prema regulatorima ili medijima ako interni putevi ne uspiju.

Uspostavljanje dobro reklamirane, anonimne linije za prijavljivanje stoga je i zakonska obaveza i sistem ranog upozoravanja koji vas može spasiti od skupljeg sprovođenja zakona u budućnosti.

Mapiranje Zakona o umjetnoj inteligenciji na GDPR, NIS2, sigurnost proizvoda i sektorska pravila

Zakon EU o vještačkoj inteligenciji (AI Act) nije samostalno ostrvo. On se uključuje u prepuni okean usklađenosti koji već uključuje okvire zaštite podataka, sajber sigurnosti i vertikalne sigurnosti. Ignorisanje tih unakrsnih struja je rizično: sistem vještačke inteligencije koji ispunjava sve uslove Zakona o vještačkoj inteligenciji i dalje može kršiti GDPR ili NIS2, i obrnuto. U nastavku ističemo ključne dodirne tačke kako bi vaši pravni, sigurnosni i proizvodni timovi mogli izgraditi jedinstvenu, integriranu mapu kontrole umjesto da žongliraju sa četiri odvojene kontrolne liste.

Preklapanje s GDPR-om i e-privatnošću

  • Pravni osnov i ograničenje svrhe: obrada ličnih podataka unutar modela visokog rizika mora zadovoljiti barem jedan osnov GDPR-a (često legitimni interes ili saglasnost).
  • Ograničenja automatiziranog donošenja odluka: Član 22. GDPR-a ograničava potpuno automatizirane odluke s pravnim ili značajnim posljedicama; zahtjev za ljudskim nadzorom iz Zakona o umjetnoj inteligenciji često djeluje kao tehnička zaštita koja otključava izuzeća iz člana 22(2)(b) ili (c).
  • Scenariji zajedničkog kontrolera: kada implementator fino podešava GPAI koji pruža dobavljač, oboje mogu postati zajednički kontrolorprema GDPR-u—planirajte Ugovore o obradi podataka u skladu s tim.
  • Dvostruka obaveza transparentnosti: Zakon o umjetnoj inteligenciji nalaže otkrivanje podataka od strane korisnika („generirano od strane umjetne inteligencije“), dok članovi 12-14 GDPR-a zahtijevaju obavještenja o privatnosti koja detaljno opisuju tokove podataka, zadržavanje i prava. Sastavite jednoslojno obavještenje koje pokriva oboje.

Sinergije kibernetičke sigurnosti i NIS2

NIS2 zahtijeva procjene rizika, odgovor na incidente i sigurnost lanca snabdijevanja za „bitne“ i „važne“ subjekte. Zakon o umjetnoj inteligenciji to odražava zahtijevajući testiranje robusnosti, praćenje ranjivosti i prijavljivanje povreda u roku od 15 dana. Iskoristite jedan SOC tok rada:

  1. Provedite testove robusnosti na osnovu kontradiktornosti tokom procjene usklađenosti sa Zakonom o vještačkoj inteligenciji.
  2. Unesite rezultate u registar rizika NIS2.
  3. Koristite isti 72-satni priručnik za prijavljivanje incidenata za oba režima.

Integracija s postojećim zakonodavstvom o proizvodima

Ako je vaša umjetna inteligencija sigurnosna komponenta reguliranog proizvoda (medicinski uređaj, mašina, igračka, lift, automobilski sistem), morate izvršiti jedan ocjenjivanje usklađenosti koje obuhvata:

  • Opći sigurnosni ili izvedbeni zahtjevi prema sektorskom zakonu; i
  • Osnove Zakona o umjetnoj inteligenciji (upravljanje rizicima, upravljanje podacima, ljudski nadzor).

Harmonizovani standardi u okviru Novog zakonodavnog okvira uskoro će se pozivati ​​na oba seta zahtjeva, dozvoljavajući jedan tehnički dosije i jednu CE oznaku.

Primjeri specifični za sektor

  • Finansijske usluge: kombinujte evidentiranje prema Zakonu o veštačkoj inteligenciji sa smernicama EBA o sprečavanju pranja novca kako biste dokazali pravednost i objašnjivost modela.
  • Upravljanje energetskom mrežom: kontrole rizika prema Zakonu o umjetnoj inteligenciji u mrežama sa zahtjevima ENTSO-E za kibernetičku sigurnost za SCADA sisteme.
  • Automobilska industrija: UNECE WP.29 nalaže upravljanje ažuriranjima softvera; integrirajte te zapise ažuriranja u posttržišno praćenje prema Zakonu o umjetnoj inteligenciji.
  • Zdravstvo: uparite artefakte QMS standarda ISO 13485 s dokumentacijom skupa podataka Zakona o umjetnoj inteligenciji kako biste izbjegli suvišne revizije.

Međunarodna poređenja

Globalne kompanije moraju uskladiti Zakon EU o vještačkoj inteligenciji (AI Act) s novonastalim pravilima u drugim zemljama:

Nadležnost Ključni instrument Značajna divergencija
US Izvršna naredba i NIST AI RMF Dobrovoljno, ali može postati osnova za federalne nabavke
Kina Privremene mjere Gen-AI Obavezna registracija pod pravim imenom i filtriranje sadržaja
UK Okvir za inovacije Smjernice specifične za regulatora, još nema horizontalnog zakona

Ranim mapiranjem preklapanja, multinacionalni timovi mogu dizajnirati kontrolne okvire koji prvo zadovoljavaju najstroži skup pravila, a zatim ih smanjiti tamo gdje su lokalni zakoni blaži.

Praktična kontrolna lista usklađenosti i najbolje prakse

Primjena članova i odredbi Zakona EU o vještačkoj inteligenciji (AI Act) u svakodnevnu praksu može biti zastrašujuća. Trik je u tome da se putovanje podijeli na kratke akcije koje pravni, proizvodni i sigurnosni timovi mogu preuzeti. Koristite donju mapu puta od 12 koraka kao živi plan projekta - pregledajte je na svakoj demonstraciji sprinta i sastanku odbora do augusta 2027. godine.

  1. Popisati svaku komponentu umjetne inteligencije ili algoritma u proizvodnji i istraživanju i razvoju.
  2. Klasifikujte nivo rizika svakog sistema i vašu ulogu aktera (pružalac usluga, korisnik, uvoznik, distributer).
  3. Mapirajte primjenjive zakone (GDPR, NIS2, sektorska pravila) i identificirajte preklapanja.
  4. Izvršite analizu nedostataka u odnosu na bitne zahtjeve Zakona o umjetnoj inteligenciji.
  5. Dizajnirajte ili ažurirajte svoj Sistem upravljanja kvalitetom (QMS).
  6. Uspostaviti multidisciplinarnu strukturu upravljanja.
  7. Napravite predloške tehničke dokumentacije i počnite ih popunjavati.
  8. Izgradite kanale za upravljanje podacima i testiranje pristranosti.
  9. Provedite početne ocjene usklađenosti ili probne revizije.
  10. Obučite osoblje - inženjere, odgovorne za rizike i korisničku podršku.
  11. Pokrenite procese praćenja nakon stavljanja proizvoda na tržište i izvještavanja o incidentima.
  12. Zakažite periodične preglede i cikluse kontinuiranog poboljšanja.

Procjena spremnosti i analiza nedostataka

Započnite s tabelom ili listom zahtjeva: naziv sistema, svrha, izvori podataka za obuku, nivo rizika, postojeće kontrole i otvorene praznine. Dodijelite svakoj praznini vlasnika i rok. Ponovno ocijenite preostali rizik nakon svakog zatvaranja; regulatori vole vidjeti taj iterativni trag poboljšanja.

Izgradnja prave strukture upravljanja

Dajte ljudima, a ne samo politikama, kontrolu:

  • Službenik za usklađenost s umjetnom inteligencijom: jednim grlom za gušenje.
  • Međufunkcionalni etički odbor: proizvodi, pravni, sigurnosni, ljudski resursi.
  • Vanjski recenzent ili osoba za vezu s prijavljenim tijelom.
  • Uska veza sa vašim DPO-om i CISO-om kako bi se izbjeglo izolirano donošenje odluka.

Dokumentujte ritam sastanaka, prava donošenja odluka i putanje eskalacije.

Dokumentacija i alati

Standardizirajte artefakte kako inženjeri ne bi iznova izmišljali točak:

šablon svrha Preporučeni format
Model Card Mogućnosti, ograničenja, metrike Markdown + JSON
Data Sheet Testovi izvora, licenciranja i pristranosti tabelarni prikaz
Izvještaj o transparentnosti Objava usmjerena prema korisniku HTML / PDF
Analiza temeljnih prava Javni sektorski implementatori Alat zasnovan na obrascima

Pomoć otvorenog koda: EU AI Toolkit, nacrti kontrolnih lista ISO/IEC 42001 i GitHub repozitorij za metrike pristranosti.

Upravljanje dobavljačima i lancem snabdijevanja

Dužnosti Zakona o umjetnoj inteligenciji u toku nizvodno:

  • Dodajte garancije za ocjenjivanje usklađenosti i prava na reviziju ugovori.
  • Zahtijevajte od dobavljača da dijele kartice modela, rezultate testova robusnosti i zapise o incidentima.
  • Postavite zajednički Slack ili red čekanja za brzo otkrivanje ranjivosti.

Kontinuirano praćenje i ažuriranja životnog ciklusa modela

Praćenje prije implementacije, tokom upotrebe i nakon implementacije treba da se izvršava sa istog telemetrijskog steka. Pokrenite ponovnu procjenu kada:

  • Pomaci u distribuciji ulaznih podataka (KL divergence > unaprijed postavljeni prag).
  • Tačnost pada ispod deklarisanog minimuma.
  • Zabilježen je ozbiljan incident ili zamalo izbjegnuta nesreća.

Zatvorite krug kvartalnim pregledima upravljanja i godišnjom eksternom revizijom – dokaz da usklađenost nije jednokratni projekat već trajna sposobnost.

Često postavljana pitanja: Brzi odgovori na česta pitanja

Da li je Zakon EU o umjetnoj inteligenciji već na snazi?
Da. Uredba (EU) 2024/1689 stupila je na snagu 1. augusta 2024. Međutim, većina konkretnih obaveza postepeno se primjenjuje kasnije: zabranjene prakse nestaju do februara 2025., pravila o transparentnosti počinju u augustu 2025., a visokorizične dužnosti stupaju u augustu 2026. (biometrija u augustu 2027.). Dakle, vrijeme ističe iako je puna primjena još uvijek u fazi.

Koja su četiri nivoa rizika?
Zakon EU o vještačkoj inteligenciji grupiše sisteme u (1) Neprihvatljiv rizik - potpuno zabranjen; (2) Visok rizik - dozvoljen tek nakon procjene usklađenosti i CE oznake; (3) Ograničeni rizik - uglavnom dužnosti transparentnosti (npr. chatbotovi, deepfakeovi); i (4) Minimalni rizik - nema strogih pravila, ali se podstiču dobrovoljni kodeksi. Vaš prvi zadatak je da svaki model mapirate na jedan od ovih nivoa.

Da li je Zakon zamijenio nacionalne strategije za vještačku inteligenciju?
Ne. Države članice mogu zadržati ili kreirati nacionalne strategije, sandbox-ove i sheme finansiranja. Zakon jednostavno usklađuje regulatorni zahtjeve kako bi se preduzeća suočila s jednim pravilnikom širom EU. Lokalne inicijative ne smiju biti u suprotnosti s okvirom za upravljanje rizicima Uredbe niti potkopavati njene mehanizme za provođenje.

Da li startupovi imaju izuzeća?
Ne baš. Pravila se primjenjuju bez obzira na veličinu kompanije jer rizik, a ne prihod, određuje obaveze. Uprkos tome, sandbox-ovi, jednostavnija dokumentacija za neke GPAI modele i smjernice koje finansira Komisija imaju za cilj smanjenje administrativnih trenja za mala i srednja preduzeća. Ignorisanje usklađenosti zato što ste „mali“ je opasna zabluda.

Kako Zakon o umjetnoj inteligenciji tretira modele otvorenog koda?
Javno objavljivanje težina modela vas ne oslobađa odgovornosti. I dalje morate dostavljati sažetke podataka za obuku, generirati sadržaj vodenim žigom i objavljivati ​​upute za korištenje. Obaveze su lakše nego za zatvorene komercijalne modele, ali ako vaš sistem otvorenog koda postane "sistemski GPAI", stupaju na snagu dodatne dužnosti testiranja i izvještavanja.

Da li je Zakon direktiva?
Ne. To je Uredba – direktno primjenjiva u svakoj državi članici bez nacionalne transpozicije. Zamislite je kao GDPR: nakon što je stupila na snagu, pravne obaveze su postojale širom EU, a samo praktične smjernice za sprovođenje mogu se razlikovati lokalno.

Šta se dešava ako se moj pružatelj usluga nalazi izvan EU?
Slijedi teritorijalni doseg Izlaz, a ne sjedište. Ako se sistem stranog dobavljača prodaje u EU ili se njegovi rezultati koriste ovdje, dobavljač mora ispuniti zahtjeve Zakona EU o vještačkoj inteligenciji i imenovati pravnog zastupnika sa sjedištem u EU. Implementatori unutar Unije i dalje imaju obaveze korisnika, stoga pažljivo birajte dobavljače.

Key Takeaways

Još uvijek pregledavate? Evo varalice:

  • Zakon EU o vještačkoj inteligenciji (AI Act) više nije nacrt – on je na snazi ​​od 1. augusta 2024. i donosi prvi horizontalni zakon o umjetnoj inteligenciji zasnovan na riziku bilo gdje.
  • Slojevi rizika pokreću sve: neprihvatljivi sistemi su zabranjeni, Sistemi visokog rizika trebaju CE oznaku i upis u registar, dok se alati s ograničenim i minimalnim rizikom suočavaju s lakšim - ali ne i nultim - carinama.
  • Nepoštivanje propisa je skupo: do 35 miliona eura ili 7% globalnog prometa za zabranjene prakse, plus potencijalna građanska odgovornost prema predstojećim direktivama EU.
  • Obaveze se protežu kroz cijeli lanac snabdijevanja: dobavljači, korisnici, uvoznici i distributeri imaju posebne kontrolne liste, a modeli opće namjene sada imaju prilagođena pravila.
  • Zakon ne zamjenjuje GDPR, NIS2 ili zakone o sigurnosti proizvoda; morate povezati sve okvire u jedan integrirani program upravljanja.

Trebate li pomoć pri pretvaranju pravnog teksta u funkcionalni kodeks, politike i ugovore? Advokati za tehnologiju i privatnost u Law & More može izvršiti brzo skeniranje spremnosti za Zakon o umjetnoj inteligenciji, izraditi potrebnu dokumentaciju i voditi vas kroz procjenu usklađenosti - prije nego što revizori pokucaju na vrata.

Related Posts

Law & More