מה כלול בקוד הנוהג הכללי החדש של חוק הבינה המלאכותית של האיחוד האירופי לבינה מלאכותית?

מאת כריסטי ריי • 15 ספטמבר 2025

השמיים חוק AI של האיחוד האירופיההוראות הראשונות של חוק זה, כגון אלו הנוגעות לפרקטיקות אסורות של בינה מלאכותית, נכנסו לתוקף בפברואר 2025. פריסה הדרגתית של הדרישות נמשכת עד אוגוסט 2027, אז כל המערכות חייבות לעמוד בהתחייבויות החוק. החודש, פרסם משרד הבינה המלאכותית את קוד הנוהג לבינה מלאכותית למטרות כלליות (GPAI) עבור ספקי מודלים של בינה מלאכותית למטרות כלליות (GPAI) ומודלים של GPAI עם סיכון מערכתי.

הקוד, כלי התנדבותי שנוסח על ידי מומחים עצמאיים, נועד לסייע לספקי מודל GPAI לעמוד בחובותיהם במסגרת החוק. החותמים עליו יידרשו לפרסם סיכומי נתוני הדרכה, להימנע משימוש בלתי מורשה בתוכן המוגן בזכויות יוצרים, ולקבוע מסגרות פנימיות לניטור סיכונים. הקוד משמש כמסמך מנחה להדגמת עמידה בחובות המפורטות בסעיפים 53 ו-55 של חוק הבינה המלאכותית של האיחוד האירופי, אם כי עמידה בו אינה ראיה חד משמעית לעמידה בו.

הוא מורכב משלושה פרקים: שקיפות, זכויות יוצרים ובטיחות ואבטחה. בבלוג זה, נחקור את שלושת הפרקים שהוצגו בקוד הנוהג ומתווה את הצעדים הבאים עבור ארגונים.

מונחים מרכזיים המשמשים בקוד הנוהג

סיכון מערכתי: חוק הבינה המלאכותית של האיחוד האירופי מגדיר סיכון מערכתי כספציפי ליכולות בעלות השפעה גבוהה - מודלים שאומנו עם כמות מחשוב מצטברת של יותר מ-10^25 פעולות נקודה צפה הם בעלי יכולות השפעה גבוהה.

התחייבויות: ההתחייבויות שחתומים על קוד הנוהג מתחייבים אליהן, לדוגמה:

תיעוד
אימוץ מסגרת בטיחות ואבטחה מתקדמת.

אמצעים: הפעולות הספציפיות שחותמים נוקטים כדי להתאים את עצמם להתחייבויות ולעמוד בהתחייבויות קוד הנוהג, לדוגמה:

שמירה על תיעוד מודל מעודכן
יצירת מסגרת הבטיחות והאבטחה.

קוד נוהג של חוק הבינה המלאכותית של האיחוד האירופי - שקיפות

פרק השקיפות מכיל התחייבות אחת - תיעוד - ושלושה צעדים (1.1, 1.2 ו-1.3) להבטחת השקיפות, השלמות והרלוונטיות של המידע המסופק על ידי ספקי מודלים של GPAI ומודלים של GPAI עם סיכון מערכתי.

על החותמים לתעד את כל המידע המוזכר בטופס תיעוד המודל, כפי שתואר להלן, ועליהם לעדכן את תיעוד המודל כך שישקף שינויים רלוונטיים. חברות חייבות גם לשמור גרסאות קודמות של תיעוד המודל עד 10 שנים.

כדי להבטיח שקיפות, ארגונים חייבים גם לחשוף פרטי קשר של משרד הבינה המלאכותית כדי שיבקש גישה למידע נחוץ. עליהם לספק מידע נוסף עדכני בעת הצורך, בתוך פרק זמן סביר, ולא יאוחר מ-14 יום לאחר קבלת הבקשה.

ארגונים חייבים להבטיח שהמידע שהם מספקים מבוקר לאיכותו ולשלמותו ונשמר כראיה לעמידה בדרישות.

מהו טופס תיעוד לדוגמה?

פרק השקיפות כולל טופס תיעוד לדוגמה, המאפשר לספקים לתעד את המידע הדרוש כדי לעמוד בחובת חוק הבינה המלאכותית של האיחוד האירופי להבטיח שקיפות מספקת. הטופס מציין עבור כל סעיף האם המידע מיועד לספקים בהמשך, למשרד הבינה המלאכותית או לרשויות המוסמכות הלאומיות.

מקבלי המידע המסופק בטופס התיעוד לדוגמה חייבים לכבד את סודיות המידע בהתאם לסעיף 78 לחוק הבינה המלאכותית של האיחוד האירופי ולהבטיח כי קיימים אמצעי אבטחת סייבר להגנה על אבטחת המידע וסודיותו.

EU AI Act GPAI קוד נוהג - זכויות יוצרים

פרק שני של קוד הנוהג עוסק בזכויות יוצרים, וכולל התחייבות אחת - מדיניות זכויות יוצרים - וחמישה צעדים שעל המדינות החותמות ליישם כדי להבטיח עמידה בחוק האיחוד האירופי בנושא זכויות יוצרים וזכויות קשורות, בהתאם לסעיף 53 לחוק הבינה המלאכותית של האיחוד האירופי.

באופן כללי, פרק זה כולל:

קביעת מדיניות זכויות יוצרים
נקיטת צעדים לעמידה במדיניות זכויות היוצרים של האיחוד האירופי ובשמירת זכויות
הפחתת הסיכון להפרת זכויות יוצרים בתפוקות מודל בינה מלאכותית
קביעת נקודת קשר לתקשורת עם בעלי זכויות והגשת תלונות.

כדי לעמוד בדרישות פרק זה, על החותמים ליישם ולעדכן באופן עקבי מדיניות זכויות יוצרים עבור מודלים של GPAI שהם מוציאים לשוק האיחוד האירופי, ולתחזק מדיניות זו במסמך יחיד. עליהם גם לוודא שהם מקצים אחריות בתוך הארגון שלהם ליישום ולתחזוקה של מדיניות זכויות היוצרים.

ארגונים המבקשים להתאים את עצמם לקוד הנוהג חייבים גם להבטיח שהם משכפלים ומחלצים רק תוכן המוגן בזכויות יוצרים הנגיש כדין בעת סריקת האינטרנט. זה כרוך בהדרת אתרים המוכרים כמפרי זכויות יוצרים על ידי בתי משפט או רשויות באיחוד האירופי. רשימה של אתרים אלה תפורסם לציבור כדי לתמוך בכך.

בהתאם לכך, ארגונים חייבים לעמוד בסייגים לזכויות בעת סריקת האינטרנט, למשל, על ידי שימוש בסורקי אינטרנט שקוראים ועוקבים אחר הוראות המובעות בקובץ robots.txt של אתר אינטרנט, אשר מעביר אזורים באתר אליהם סורקי אינטרנט מורשים לגשת. בנוסף, ארגונים צריכים לזהות ולעמוד בפרוטוקולים מתאימים אחרים הניתנים לקריאה על ידי מכונה כדי לבטא סייגים לזכויות.

קוד נוהג של חוק הבינה המלאכותית של האיחוד האירופי - בטיחות ואבטחה

הפרק השלישי והאחרון של קוד הנוהג הוא האינטנסיבי ביותר, והוא מתאר נהלים לניהול סיכונים מערכתיים ותמיכה בספקים בעמידה בהתחייבויות חוק הבינה המלאכותית של האיחוד האירופי עבור מודלים של GPAI המהווים סיכון מערכתי. פרק זה כולל עשר התחייבויות המורכבות ממספר צעדים:

אימוץ, יישום ועדכון של מסגרת בטיחות ואבטחה מתאימה לתאר תהליכים ואמצעים לניהול סיכונים מערכתיים שארגונים יישמו כדי להבטיח שסיכונים מערכתיים הנובעים מהמודלים שלהם יהיו מקובלים.

זיהוי סיכונים מערכתיים: ארגונים חייבים ליישם תהליך מובנה לזיהוי סיכונים מערכתיים הנובעים ממודלים של בינה מלאכותית שלהם ולפתח תרחישי סיכון מערכתיים עבור כל סיכון מערכתי שזוהה.

ניתוח סיכונים מערכתיים, כולל איסוף מידע שאינו תלוי במודל, ביצוע הערכות, מידול הסיכון המערכתי, הערכת הסיכון המערכתי וביצוע ניטור לאחר שיווק.

קביעת קבלת סיכונים מערכתיים, כולל ציון קריטריונים לקבלה, קביעת האם סיכונים מערכתיים הנובעים ממודל בינה מלאכותית מקובלים, והחלטה האם להמשיך בפיתוח ובשימוש על סמך קביעת קבלת הסיכון המערכתי.

יישום אמצעי הפחתת בטיחות לאורך מחזור החיים המלא של המודל על מנת להבטיח שסיכונים מערכתיים הנובעים מהמודל מקובלים, לדוגמה, שינוי התנהגות המודל לטובת הבטיחות.

יישום אמצעי אבטחה כגון רמה נאותה של הגנה בסייבר. ארגונים צריכים גם להבטיח שסיכונים מערכתיים הנובעים מגישה, שימוש או גניבה בלתי מורשים למודלים יהיו מקובלים.

יצירת דוח מודל בטיחות ואבטחה לפני הצבת מודל בשוק וודאו שהוא מעודכן. ארגונים יכולים ליצור דוח מודל יחיד עבור מספר מודלים אם לא ניתן להבין את תהליכי הערכת הסיכונים המערכתיים והפחתתם עבור מודל אחד ללא התייחסות למודל/ים האחר/ים. עסקים קטנים ובינוניים יכולים להפחית את רמת הפירוט בדוחות המודל שלהם כדי לשקף את מגבלות הגודל והקיבולת.

הקצאת אחריות לסיכון מערכתי על ידי הגדרת אחריות לניהול הסיכונים המערכתיים של המודלים בכל הרמות בארגון והקצאת משאבים מתאימים לאלו שהוקצו להם אחריות לניהול סיכונים מערכתיים.

דיווח על אירועים חמורים, על ידי יישום תהליכים ואמצעים למעקב, תיעוד ודיווח על אירועים חמורים למשרד הבינה המלאכותית (ולרשויות הלאומיות המוסמכות במידת הצורך) ללא עיכוב בלתי סביר. על החותמים גם לספק את המשאבים הדרושים לתהליכים ואמצעים כאלה.

תיעוד נוסף ושקיפות – כולל תיעוד יישום פרק זה ופרסום גרסאות מקוצרות של דוחות המסגרת והמודל שלהם לפי הצורך. תיעוד נוסף כולל תיאור מפורט של ארכיטקטורת המודל, שילובו במערכות בינה מלאכותית, הערכות מודל שבוצעו בהתאם לפרק זה, והפחתות הבטיחות שיושמו.

עמידה בקוד העיסוק של ISO 42001

קוד הנוהג הוא וולונטרי. עם זאת, הוא מציע דרך לספקי מודלים של GPAI ומודלים של GPAI עם סיכון מערכתי להדגים את עמידתם בחובות החוקיות של חוק הבינה המלאכותית של האיחוד האירופי.

אם העסק שלך מתכנן לדבוק בקוד הנוהג, ה- ISO 42001 התקן מספק מסגרת של שיטות עבודה מומלצות לבנייה, תחזוקה ושיפור מתמיד של מערכת ניהול בינה מלאכותית (AIMS), ויכול גם לתמוך בעמידה רחבה יותר בחוק הבינה המלאכותית של האיחוד האירופי. תקן ISO 42001 נועד להבטיח שארגונים יתחשבו בסוגיות ספציפיות הקשורות לבינה מלאכותית, כולל אבטחה, בטיחות, הוגנות, שקיפות, איכות נתונים ואיכות מערכות בינה מלאכותית לאורך מחזור חייהן.

בעוד שקוד הנוהג של GPAI מכוון לספקי מודלים של בינה מלאכותית, ולא למערכות, תקן ISO 42001 מספק בסיס לארגונים ליישום מערכת בינה מלאכותית אתית ושקופה (AIMS) המכסה הן מודלים והן מערכות של בינה מלאכותית כאחד.

ישנה רמה גבוהה של חפיפה בין דרישות התקן לבין האמצעים וההתחייבויות המפורטים בקוד הנוהג. לדוגמה, תקן ISO 42001 דורש מארגונים לזהות ולטפל בסיכוני בינה מלאכותית (סעיף 6.1.2. הערכת סיכוני בינה מלאכותית, סעיף 6.1.3. טיפול בסיכוני בינה מלאכותית, וסעיף 8.3. טיפול בסיכוני בינה מלאכותית).

יישום תקן ISO 42001 כרוך גם ביצירת תהליכי תיעוד וניהול רישומים המכסים את כל היבטי ה-AIMS, כולל מדיניות, נהלים, נתוני ביצועים ורישומי תאימות. דבר זה תואם ישירות את דרישת התיעוד של פרק ראשון בקוד הנוהג.

מערכת AIMS חזקה ותואמת לתקן ISO 42001 יכולה לאפשר לארגונים לתחזק ולהדגים בקלות ראיות לעמידה בקוד הנוהג ובחוק הבינה המלאכותית של האיחוד האירופי.

השלבים הבא

יישום האמצעים הנדרשים כדי לעמוד בקוד הנוהג יכול להיות אתגר. עכשיו זה הזמן לבחון מחדש את מאמצי התיעוד הקיימים שלכם בתחום הבינה המלאכותית, את יישור זכויות היוצרים ואת ניהול הסיכונים המערכתיים, ולזהות פערים בין הניהול הנוכחי שלכם לבין האמצעים הנדרשים על פי קוד הנוהג.

אם הארגון שלכם שוקל עמידה בתקן ISO 42001, להושיט יד כדי לראות כיצד ISMS.online יכול לעזור. קחו את הצעד הבא לקראת ניהול אחראי ושיטתי של בינה מלאכותית, תוך הבטחת פריסת מודלים ומערכות של בינה מלאכותית בצורה אתית, מאובטחת ובהתאם לחובות החוקיות שלכם במסגרת חוק הבינה המלאכותית של האיחוד האירופי.

כריסטי ריי

כריסטי היא מומחית לשיווק תוכן ב-ISMS.online. עם ניסיון של למעלה משבע שנים, היא שואפת לכתוב תוכן אינפורמטיבי ומרתק ועבדה במגוון תעשיות כולל אבטחת סייבר, תוכנה כשירות, טכנולוגיה ותרופות.