המשמעות של חוק הבינה המלאכותית של האיחוד האירופי עבור העסק שלך ISMS.online

המשמעות של חוק הבינה המלאכותית של האיחוד האירופי עבור העסק שלך

מאת ניקולס פירן • 16 אפריל 2024

בחודש שעבר חלה תקנת הבינה המלאכותית של האיחוד האירופי להיכנס לספרי החוקים. חוק הבינה המלאכותית של האיחוד האירופי, שעבר ברובו המכריע את הפרלמנט האירופי בהצבעה של 523-46, מתאר מגוון רמות סיכון, חובות ודרישות לחברות המפתחות, פורסות ומשתמשות בפתרונות או מודלים של בינה מלאכותית.

למרות שזהו חוק אירופאי, חברות טכנולוגיה בריטיות המעוניינות להציע את שירותי הבינה המלאכותית והדגמים שלהן בשוק האיחוד האירופי יצטרכו לציית או לעמוד בפני קנסות כבדים. זה ידרוש הבנה קונקרטית של אופן הפעולה של הגרסה הסופית של החוק ושינוי מלא של תוכניות הציות של החברות.

שינויים מרכזיים בחוק ה-AI של האיחוד האירופי

אחד השינויים המשמעותיים ביותר בגרסה הסופית של חוק הבינה המלאכותית של האיחוד האירופי הוא "גישה מבוססת סיכונים יותר" להסדרת הטכנולוגיה, לדברי ג'ייק מור, יועץ אבטחת סייבר עולמי של יצרנית האנטי-וירוס ESET.

מור אומר ל-ISMS.online שהכללים יהיו שונים עבור יישומי AI בסיכון נמוך ובסיכון גבוה, כשהמחמירים ביותר חלים על "אלה עם פוטנציאל גדול יותר לנזק". דוגמאות לאחרון יהיו מכשירים רפואיים המופעלים על ידי בינה מלאכותית וטכנולוגיות שיטור אוטומטיות.

הוא מוסיף כי החוק גם יחייב חברות להיות שקופות לגבי השימוש בבינה מלאכותית שלהן, לאסור יישומי בינה מלאכותית מסוכנים כמו שיטור חזוי ולבחון דגמי בינה מלאכותית גנרטיבית כמו ChatGPT 4 ו-Google Gemini.

"זהו הסימן הראשון להבנה שגודל AI אחד לא מתאים לכולם", ממשיך מור.

ליאוני פאוור, שותפה ומומחית בינה מלאכותית במשרד עורכי הדין Fieldfisher, אומרת שהשינויים העיקריים כוללים הגדרת AI דומה לזו שאומצה על ידי הארגון לשיתוף פעולה ופיתוח כלכלי (OECD), בנוסף להוראות ייעודיות לזיופים עמוקים ולמטרות כלליות. דגמי AI.

פאולו סבוטוני, שותף במשרד עורכי הדין Foot Anstey, מציין שרבים מהשינויים הללו פורטו בטיוטה חקיקה שהודלפה שעליה הסכימו מחוקקי האיחוד האירופי באופן זמני בדצמבר האחרון. זה כלל הגדרה סופית של מערכת בינה מלאכותית, דרישות להערכת השפעה על זכויות יסוד, מגבלות על זיהוי ביומטרי בזמן אמת וכללים למערכות בינה מלאכותית למטרות כלליות, הוא אומר.

"המחוקקים השותפים ביצעו כמה תיקונים טכניים לחוק בינואר 2024 כדי להתאים את הטקסט של הרסימונים עם המאמרים כפי שהוסכם במהלך המשא ומתן בדצמבר, אך לא חלו שינויים מהותיים בטיוטה של דצמבר 2023", הוא אומר ל-ISMS .באינטרנט.

ההשפעה על ארגונים בבריטניה

ייתכן שבריטניה עזבה את האיחוד האירופי ו פיתחה גישה משלה להסדרת טכנולוגיית AI, אבל זה לא אומר שחוק ה-AI של האיחוד האירופי לא ישפיע על עסקים בבריטניה. לפי Sbuttoni של Foot Anstey, כל חברה מבוססת בריטניה המעוניינת למכור או להתקין שירותי AI באיחוד האירופי חייבת לפעול לפי הכללים.

עם זאת, על פי סעיף 28, החובות הללו ישתנו בהתאם לשינויים שיבוצעו על ידי מפיצים, מפיצים או יבואנים מבוססי האיחוד האירופי של שירותי AI שפותחו או מוצעים על ידי חברות בריטיות, הוא מבהיר. קבוצות אלה ידועות יותר בשם "משתמשים במורד הזרם", בעוד שספקי שירותי בינה מלאכותית הם ישויות "במעלה הזרם".

בהתייחס לסעיף 3 נקודה 23, סבוטוני אומר שהרגולטורים של האיחוד האירופי יראו את הקבוצות הללו כספקי שירותים אם יבצעו שינויים מהותיים במערכות המסופקות על ידי חברות בריטיות. בתוכן זה, הוא אומר שהישות הבריטית תצטרך לתת למשתמש במורד הזרם של האיחוד האירופי - כעת ספק השירות - מסמכים טכניים, מידע על יכולות וגישה טכנית וסיוע כדי שהצד השני יוכל לציית לחוק.

עמידה בהתחייבויות אלו

כשמדובר בעמידה בדרישות החוק החדשות הללו, חברות בינה מלאכותית בריטיות שרוצות לפעול בשוק האיחוד האירופי יצטרכו לבצע מגוון שינויים בתוכניות הציות שלהן. Fieldfisher's Power ממליצה לארגונים להתחיל בתהליך זה על ידי סקירת כל מערכות AI שפותחו, פרוסות או מתוכננות וקביעת ההשפעה שתהיה לחוק ה-AI של האיחוד האירופי עליהן.

לאחר מכן היא מייעצת לארגונים לסווג מודלים ומערכות בינה מלאכותית על סמך רמת הסיכון שלהם, כגון סיכון גבוה או שיטתי, ולהבין את התפקיד שהם ממלאים בשרשרת האספקה של AI. השלב האחרון הוא הטמעת מסגרת ממשל בינה מלאכותית. Power אומר שארגונים יכולים למנף מסגרות סיכונים וממשל בדוקות, כמו אלה המשמשות לפרטיות נתונים, לשם כך.

"בפרט, שקול את החפיפה עם GDPR ציות והמידה שבה הארגון יכול להתבסס על אמצעי ציות אלה כדי לטפל בהתחייבויות של חוק AI של האיחוד האירופי", היא אומרת ל-ISMS.online. "בגישה שלעיל, ארגונים צריכים לזכור את תקופות המעבר לדרישות ספציפיות, הנעות בין שישה ל-36 חודשים."

Sbuttoni של Foot Anstey אומר שארגונים צריכים לתכנן תוכניות תאימות סביב הסיכונים הפוטנציאליים הנשקפים ממערכות הבינה המלאכותית שלהם. ארבע קטגוריות הסיכון שאומצו על ידי חוק הבינה המלאכותית של האיחוד האירופי הן: מינימלית, מוגבלת, גבוהה ולא מקובלת.

"מערכות סיכון נמוך/מינימליות יהיו כפופות לחובות מוגבלות בעוד שהחוק מטיל מספר דרישות משמעותיות על מפעילי מערכות בסיכון גבוה. אלה כוללים ניהול סיכונים, הערכות התאמה והשפעה, איכות נתונים, שקיפות או פיקוח אנושי", הוא אומר.

אי עמידה בתקנות אלו עשויה לעלות בעלות כספית גבוהה. האיחוד האירופי עלול לקנוס חברות בסכום של עד 35 מיליון אירו (30 מיליון ליש"ט) או 7% מהמחזור העולמי של השנה הקודמת אם הן יעסקו בפרקטיקות אסורות, 15 מיליון אירו (13 מיליון ליש"ט) או 3% על אי עמידה בדרישות רגולטוריות אחרות, ו-7.5 מיליון אירו (6.4 מיליון ליש"ט) או 1% עבור מסירת מידע כוזב.

כיצד ISO 42001 יכול לעזור

כאשר חברות בריטיות מתאימות את תוכניות הציות שלהן על סמך הדרישות שנקבעו בחוק ה-AI של האיחוד האירופי, זה יכול להיות גם רעיון טוב ליישם את תקן ISO 42001 עבור מערכות ניהול AI.

Fieldfisher's Power טוענת כי מינוף תקן זה בתעשייה יאפשר לחברות לציית לחוק הבינה המלאכותית של האיחוד האירופי על ידי "יצירת תרבות של שקיפות, אחריות ושימוש אתי בבינה מלאכותית".

Sbuttoni של Foot Anstey מוסיף כי ההדרכה הטכנית המוצעת על ידי ISO 42001 תסייע לחברות בניהול סיכונים והזדמנויות בינה מלאכותית.

"למרות שזה לא מבטיח עמידה בחוק, זה צעד טוב לעזור לחברות המשתמשות בבינה מלאכותית לעמוד בדרישות התעשייה או החוק", הוא טוען.

בהתחשב בגודלו של השוק האירופי, חברות בריטיות רבות שמקווות לנצל את כוח הבינה המלאכותית בהיצע המוצרים שלהן, ישמרו על התקן כדרך לייעל את ההתרחבות הבינלאומית שלהן.

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.