युरोपियन युनियन आर्टिफिशियल इंटेलिजेंस अॅक्ट—रेग्युलेशन (EU) २०२४/१६८९—युरोपियन बाजारपेठेत ठेवलेल्या कोणत्याही एआय सिस्टीमसाठी किंवा ज्याचे आउटपुट EU वापरकर्त्यांपर्यंत पोहोचतात त्यांच्यासाठी कायदेशीर बंधनकारक नियम निश्चित करते, ज्यामुळे तो कुठेही पहिला क्षैतिज, जोखीम-आधारित एआय कायदा बनतो. तुम्ही मॉडेल्स तयार करा, थर्ड-पार्टी टूलिंग एकत्रित करा किंवा ग्राहकांना सेवा देण्यासाठी फक्त चॅटबॉट्स तैनात करा, हा कायदा नवीन कर्तव्ये तयार करतो आणि प्रत्येक उल्लंघनासाठी जागतिक उलाढालीच्या ७% पर्यंत तुम्हाला डोळ्यात पाणी आणणारा दंड आकारतो. १ ऑगस्ट २०२४ रोजी अंमलात आला; अनुपालन दायित्वे फेब्रुवारी २०२५ ते ऑगस्ट २०२७ पर्यंत सुरू होतात, म्हणजेच तयारीचा वेळ मर्यादित आहे.
हे व्यावहारिक मार्गदर्शक कायदेशीर शब्दसंग्रहातून बाहेर पडते आणि तुम्हाला काय माहित असणे आवश्यक आहे ते स्पष्ट करते: कायद्याची व्याप्ती आणि प्रमुख व्याख्या, त्याची चार-स्तरीय जोखीम वर्गीकरण, वेळ आणि अंमलबजावणी यंत्रणा, प्रदाते, वापरकर्ते, आयातदार आणि वितरकांसाठी ठोस जबाबदाऱ्या आणि कमतरता भासल्यास दंड. अभियांत्रिकी, कायदेशीर आणि नेतृत्व संघ त्वरित कार्य करू शकतील अशा चरण-दर-चरण अनुपालन चेकलिस्ट देण्यापूर्वी आम्ही नियमन GDPR, NIS2, उत्पादन सुरक्षा नियम आणि क्षेत्र-विशिष्ट आवश्यकतांनुसार देखील मॅप करतो. चला तुम्हाला तयार करूया - ऑडिटर्स येण्याआधीच.
एका दृष्टिक्षेपात: EU AI कायदा प्रत्यक्षात काय आहे
नियमन (EU) २०२४/१६८९—ज्याला EU आर्टिफिशियल इंटेलिजेंस अॅक्ट म्हणून ओळखले जाते—हे थेट लागू होणारे EU नियमन आहे, निर्देश नाही. याचा अर्थ त्याचे लेख राष्ट्रीय स्थानांतरणाची आवश्यकता न घेता प्रत्येक सदस्य राज्यात आपोआप लागू होतात, जसे की GDPR २०१८ मध्ये केले. ध्येय दोन बाजूंनी आहे: मूलभूत हक्कांचे रक्षण करणे आणि सुरक्षितता, त्याच वेळी कंपन्यांना एआय सह जबाबदारीने नवोन्मेष करण्यासाठी कायदेशीर खात्री देणे. हे साध्य करण्यासाठी, कायदा एक क्षैतिज, जोखीम-आधारित टूलकिट सादर करतो जो वित्त ते आरोग्यसेवेपर्यंत प्रत्येक क्षेत्राचा समावेश करतो, "किमान" ते "अस्वीकार्य" जोखीम श्रेणीकरण प्रणालींना कायदेशीर कर्तव्यांशी जुळवून घेतो.
तुम्हाला माहित असणे आवश्यक असलेली व्याप्ती आणि व्याख्या
अनुपालन योजना तयार करण्यापूर्वी, मुख्य शब्दसंग्रहावर प्रभुत्व मिळवा:
- एआय सिस्टम: "स्वायत्ततेच्या वेगवेगळ्या स्तरांसह कार्य करण्यासाठी डिझाइन केलेली एक मशीन-आधारित सिस्टम आणि ती, स्पष्ट किंवा अंतर्निहित उद्दिष्टांसाठी, इनपुट डेटावरून निष्कर्ष काढते की आउटपुट कसे निर्माण करायचे - जसे की भाकिते, सामग्री, शिफारसी किंवा निर्णय - जे भौतिक किंवा आभासी वातावरणावर प्रभाव टाकू शकतात."
- जनरल-पर्पज एआय (GPAI): एक एआय सिस्टीम जी विविध प्रकारची कार्ये करण्यास सक्षम आहे, ती नंतर कशीही सुधारली किंवा तैनात केली तरीही.
- प्रदाता: कोणतीही नैसर्गिक किंवा कायदेशीर व्यक्ती जी एआय प्रणाली बाजारात आणण्यासाठी किंवा त्यांच्या नावाने किंवा ट्रेडमार्कखाली सेवेत आणण्यासाठी विकसित करते - किंवा विकसित केली आहे.
- वापरकर्ता (ज्याला अनेकदा "डिप्लॉयर" म्हणतात): खाजगी, गैर-व्यावसायिक वापर वगळता, त्यांच्या अधिकाराखाली एआय सिस्टम वापरणारी व्यक्ती किंवा संस्था.
- आयातदार: संघ-स्थापित पक्ष जो EU बाजारात संघाबाहेरील एखाद्या घटकाचे नाव किंवा ट्रेडमार्क असलेली AI प्रणाली ठेवतो.
- वितरक: पुरवठा साखळीतील एक घटक - पुरवठादार किंवा आयातदाराव्यतिरिक्त - जो एआय सिस्टममध्ये बदल न करता उपलब्ध करून देतो.
प्रादेशिक पोहोच व्यापक आहे: EU बाजारपेठेत ठेवलेली कोणतीही प्रणाली किंवा ज्याचे उत्पादन EU मध्ये वापरले जाते ती कायद्याच्या अंतर्गत येते, विकसक कुठेही असला तरीही. कार्व्ह-आउट्स पूर्णपणे लष्करी किंवा राष्ट्रीय-सुरक्षा अनुप्रयोगांसाठी, अद्याप बाजारात न आलेले संशोधन आणि विकास प्रोटोटाइप आणि वैयक्तिक छंद प्रकल्पांसाठी अस्तित्वात आहेत.
कायद्यात अंतर्भूत असलेली प्रमुख तत्त्वे
हे नियमन दीर्घकालीन नैतिक संकल्पनांना लागू करण्यायोग्य कायद्यात समाविष्ट करते:
- मानवी एजन्सी आणि देखरेख
- तांत्रिक मजबूती आणि सुरक्षितता
- गोपनीयता आणि डेटा प्रशासन
- पारदर्शकता आणि स्पष्टीकरण
- विविधता, भेदभाव न करणे आणि निष्पक्षता
- सामाजिक आणि पर्यावरणीय कल्याण
हे OECD AI तत्त्वे आणि EU च्या पूर्वीच्या "नीतिशास्त्र मार्गदर्शक तत्त्वांचे प्रतिबिंब आहेत विश्वसनीय AI”पण आता नियामक दात धारण करा.
नियमन विरुद्ध विद्यमान सॉफ्ट-लॉ मार्गदर्शक तत्त्वे
२०२४ पर्यंत, युरोपमधील एआय प्रशासन ईयू एआय करार किंवा कॉर्पोरेट आचारसंहिता यासारख्या स्वयंसेवी चौकटींवर अवलंबून होते. एआय कायदा गेम बदलतो: अनुपालन अनिवार्य, ऑडिट करण्यायोग्य आणि समर्थित आहे €35 दशलक्ष पर्यंत दंड किंवा जागतिक महसुलाच्या ७%. दुसऱ्या शब्दांत सांगायचे तर, "नैतिक एआय" च्या घोषणा आता पुरेशा नाहीत - संस्थांनी अनुरूपता मूल्यांकन, सीई मार्किंग आणि पडताळणीयोग्य नोंदी तयार केल्या पाहिजेत अन्यथा ईयू बाजारातून प्रतिबंधित होण्याचा धोका आहे.
कालमर्यादा, कायदेशीर स्थिती आणि अंमलबजावणीचे टप्पे
युरोपियन युनियन आर्टिफिशियल इंटेलिजेंस अॅक्टने प्रस्तावापासून बंधनकारक कायद्यापर्यंत प्रवास केला - ब्रुसेल्स मानकांनुसार हलक्या गतीने. कारण ते एक नियमन आहे, बहुतेक लेख राष्ट्रीय स्थानांतरणाशिवाय संपूर्ण ब्लॉकमध्ये आपोआप लागू होतात. कालांतराने काय बदलते ते म्हणजे कोणती जबाबदारी प्रथम पूर्ण करावी. खालील वेळापत्रक आपल्याला येथे आणणारे राजकीय टप्पे दर्शविते आणि तुमच्या संस्थेने आता कॅलेंडर केलेल्या टप्प्याटप्प्याने अनुपालन कर्तव्यांसाठी पाया निश्चित करते.
| तारीख | मैलाचा दगड | महत्त्व |
|---|---|---|
| 21 एप्रिल 2021 | आयोगाने एआय कायद्याचा मसुदा प्रकाशित केला | कायदेशीर प्रक्रियेची औपचारिक सुरुवात |
| २५ डिसेंबर २०२१ | संसद आणि परिषदेत राजकीय करार झाला | मुख्य मजकूर मोठ्या प्रमाणात लॉक झाला आहे |
| 13 मार्च 2024 | युरोपियन संसदेचे अंतिम मतदान (५२३-४६) | लोकशाही मान्यता सुरक्षित |
| 21 मे 2024 | युरोपियन युनियन कौन्सिल ऑफ द अॅडॉप्शन | शेवटचा कायदेशीर अडथळा दूर झाला |
| 10 जुलै 2024 | अधिकृत जर्नलमध्ये प्रकाशित झालेला मजकूर | कायदेशीर उलटी गिनती सुरू होते |
| 1 ऑगस्ट 2024 | नियमन (EU) २०२४/१६८९ अंमलात आले | भविष्यातील सर्व अंतिम मुदतींसाठी "दिवस ०" |
अंमलबजावणीच्या तारखेमुळे तीन वर्षांच्या कालावधीत वेगवेगळ्या अर्ज तारखांची मालिका सुरू होते. या डिझाइनमुळे प्रदाते, वापरकर्ते, आयातदार आणि वितरकांना अनुरूपता प्रक्रिया तयार करण्यासाठी, मॉडेल्स अपग्रेड करण्यासाठी आणि कर्मचाऱ्यांना प्रशिक्षित करण्यासाठी मोकळीक मिळते - तरीही याचा अर्थ असा की ऑडिटर्स २०२७ पूर्वी स्पष्ट प्रगतीची अपेक्षा करतील.
अंमलबजावणी रोडमॅप: काय लागू होते जेव्हा
- ६ महिने | १ फेब्रुवारी २०२५
- प्रतिबंधित एआय पद्धती (कलम ५) बाजारातून काढून टाकल्या पाहिजेत - कोणतेही निमित्त नाही.
- १२ महिने | १ ऑगस्ट २०२५
- डीपफेक, चॅटबॉट्स आणि भावना ओळखण्यासाठी पारदर्शकता कर्तव्ये सुरू होतात.
- सामान्य-उद्देशीय एआय (GPAI) साठीच्या पद्धतींचे आचारसंहिता अपेक्षित; ऐच्छिक परंतु अत्यंत शिफारसीय.
- १२ महिने | १ ऑगस्ट २०२५
- उच्च-जोखीम प्रणाली आवश्यकता सुरू होतात: जोखीम व्यवस्थापन, डेटा प्रशासन, तांत्रिक दस्तऐवजीकरण, मानवी देखरेख आणि सीई मार्किंग तयारी.
- प्रदात्यांनी नवीन EU डेटाबेसमध्ये उच्च-जोखीम प्रणालींची नोंदणी करणे आवश्यक आहे.
- १२ महिने | १ ऑगस्ट २०२५
- सर्व उच्च-जोखीम असलेल्या एआयसाठी बायोमेट्रिक ओळख प्रणाली, अधिसूचित-शरीर अनुरूपता मूल्यांकन आणि अनिवार्य ईयू अनुरूपता घोषणा यासह संपूर्ण व्यवस्था लागू होते.
- बाजार देखरेख अधिकारी अनुपालन न करणाऱ्या उत्पादनांसाठी परत मागवण्याचा किंवा मागे घेण्याचा आदेश देण्याचा अधिकार मिळवणे.
संक्रमणकालीन कलमे ऑगस्ट २०२६ पूर्वी कायदेशीररित्या वापरात असलेल्या उच्च-जोखीम प्रणालींना "मोठ्या प्रमाणात बदल" होईपर्यंत बाजारात राहण्यास अनुमती देतात. अनुपालन घड्याळ चुकून रीसेट होऊ नये म्हणून अपग्रेडची काळजीपूर्वक योजना करा.
संस्था आणि पर्यवेक्षी संस्था
युरोपियन युनियन आर्टिफिशियल इंटेलिजेंस अॅक्टची अंमलबजावणी तीन स्तरांवर होते:
- EU AI कार्यालय (युरोपियन कमिशन) - मार्गदर्शनाचे समन्वय साधते, GPAI रजिस्टर राखते आणि सिस्टिमिक मॉडेल प्रदात्यांवर दंड आकारू शकते.
- राष्ट्रीय सक्षम अधिकारी - प्रत्येक सदस्य राज्यासाठी एक; तपासणी, तक्रारी आणि दैनंदिन बाजार देखरेख हाताळणे.
- अधिसूचित संस्था - सीई मार्किंग करण्यापूर्वी उच्च-जोखीम प्रणालींचे ऑडिट करणाऱ्या स्वतंत्र अनुरूपता मूल्यांकन संस्था.
हे कलाकार याद्वारे सहयोग करतात युरोपियन आर्टिफिशियल इंटेलिजेंस बोर्ड (EAIB), जे सुसंगत व्याख्यात्मक नोट्स जारी करते - ते GDPR च्या EDPB च्या AI समतुल्य म्हणून विचारात घ्या. त्यांच्या मार्गदर्शनाकडे सतर्क रहा; ते तुमच्या तांत्रिक फायली आणि जोखीम मूल्यांकनांचे व्यवहारात कसे मूल्यांकन केले जाते हे आकार देईल.
चार-स्तरीय जोखीम वर्गीकरण फ्रेमवर्क
EU आर्टिफिशियल इंटेलिजेंस अॅक्ट (AI अॅक्ट) च्या केंद्रस्थानी एक ट्रॅफिक-लाइट मॉडेल आहे जे नियम किती कठीण आहेत हे ठरवते: लोकांच्या हक्कांना आणि सुरक्षिततेला जितका धोका जास्त असेल तितका अनुपालनाचा भार जास्त असेल. प्रत्येक AI सिस्टीम चार वर्गांपैकी एका वर्गात मॅप केली पाहिजे - अस्वीकार्य, उच्च, मर्यादित किंवा किमान. वर्गीकरण इतर सर्व गोष्टींना चालना देते: दस्तऐवजीकरण खोली, चाचणी कठोरता, देखरेख आणि शेवटी, बाजारपेठ प्रवेश.
| जोखीम स्तर | नमुनेदार उदाहरणे | मुख्य कायदेशीर परिणाम | पहिल्या अर्जाची तारीख* |
|---|---|---|---|
| न स्वीकारलेले | सोशल स्कोअरिंग, सार्वजनिक जागांमध्ये रिअल-टाइम बायोमेट्रिक आयडी, हाताळणी करणारे "नज" इंजिन | संपूर्ण बंदी; पैसे काढणे आणि €३५ दशलक्ष / ७% पर्यंत दंड | 1 फेब्रुवारी 2025 |
| उच्च | सीव्ही-स्क्रीनिंग साधने, वैद्यकीय-निदान सॉफ्टवेअर, क्रेडिट-योग्यता स्कोअरिंग, स्वायत्त ड्रायव्हिंग मॉड्यूल | अनुरूपता मूल्यांकन, सीई मार्किंग, नोंदणी नोंद, बाजारानंतरचे निरीक्षण | १ ऑगस्ट २०२६ (बायोमेट्रिक्स: १ ऑगस्ट २०२७) |
| मर्यादित | चॅटबॉट्स, डीपफेक जनरेटर, भावना-विश्लेषण विजेट्स | पारदर्शकता सूचना आणि मूलभूत वापरकर्ता नियंत्रणे | 1 ऑगस्ट 2025 |
| किमान | एआय-चालित स्पॅम फिल्टर्स, व्हिडिओ-गेम एनपीसी | कोणतेही अनिवार्य नियम नाहीत; फक्त ऐच्छिक कोड | आधीच प्रभावी आहे |
* १ ऑगस्ट २०२४ रोजी लागू होण्याच्या तारखेपासून गणना केली.
फ्रेमवर्क गतिमान आहे: जर तुम्ही नवीन वैशिष्ट्ये जोडली किंवा लक्ष्य वापरकर्ते बदलले, तर तुमची प्रणाली एक स्तर उडी मारू शकते, ज्यामुळे नवीन कर्तव्ये सुरू होऊ शकतात.
अस्वीकार्य धोका: प्रतिबंधित एआय पद्धती
कलम ५ मध्ये युरोपियन युनियन मूलभूत अधिकारांशी विसंगत मानल्या जाणाऱ्या वापरांखाली एक लाल रेषा रेखाटली आहे. यामध्ये हे समाविष्ट आहे:
- वर्तनाला भौतिकदृष्ट्या विकृत करणाऱ्या अचेतन तंत्रे
- अल्पवयीन किंवा अपंग व्यक्तींच्या असुरक्षिततेचा गैरफायदा घेणे
- अविवेकी रिअल-टाइम बायोमेट्रिक ओळख सार्वजनिकरित्या प्रवेशयोग्य जागांमध्ये (कायद्याची अंमलबजावणी करण्याचे अरुंद नियम लागू)
- सार्वजनिक प्राधिकरणांद्वारे सामाजिक स्कोअरिंग
- केवळ प्रोफाइलिंग किंवा स्थान डेटावर आधारित भाकित पोलिसिंग
अशा प्रणाली कधीही EU बाजारपेठेत येऊ नयेत. राष्ट्रीय अधिकारी तात्काळ परत मागवण्याचा आदेश देऊ शकतात आणि दंड कायद्याच्या दंड शिडीच्या वर असतो.
उच्च-जोखीम एआय सिस्टम्स: परिशिष्ट III श्रेणी
जर खालीलपैकी एक असेल तर सिस्टम उच्च-जोखीम बकेटमध्ये येते:
- आधीच नियंत्रित केलेल्या उत्पादनाचा सुरक्षितता घटक (उदा., यंत्रसामग्री किंवा वैद्यकीय उपकरण नियमांनुसार), किंवा
- परिशिष्ट III च्या आठ संवेदनशील क्षेत्रांमध्ये सूचीबद्ध - बायोमेट्रिक्स, गंभीर पायाभूत सुविधा, शिक्षण, रोजगार, अत्यावश्यक सेवा, कायद्याची अंमलबजावणी, स्थलांतर आणि न्याय.
एकदा उच्च जोखीम म्हणून वर्गीकृत झाल्यानंतर, प्रदात्यांनी गुणवत्ता व्यवस्थापन प्रणाली चालवावी, जोखीम-व्यवस्थापन चक्र करावे आणि अनुरूपता मूल्यांकन सुरक्षित करावे - कधीकधी बाह्य अधिसूचित संस्थेद्वारे. वापरकर्ते (डिप्लॉयर्स) लॉगिंग, देखरेख आणि घटना-अहवाल देण्याचे कर्तव्य वारशाने घेतात.
मर्यादित जोखीम: पारदर्शकता दायित्वे
मर्यादित-जोखीम साधने निरुपद्रवी नाहीत, परंतु EU चा असा विश्वास आहे की वापरकर्त्यांची जागरूकता बहुतेक धोके कमी करते. चॅटबॉट्स, जनरेटिव्ह-एआय आर्ट इंजिन किंवा सिंथेटिक-व्हॉइस सेवांच्या निर्मात्यांनी हे करणे आवश्यक आहे:
- वापरकर्त्यांना ते एआयशी संवाद साधत आहेत हे कळवा ("ही प्रतिमा एआय-जनरेटेड आहे")
- मशीन-रीडेबल वॉटरमार्कमध्ये डीपफेक कंटेंट उघड करा
- अत्यंत आवश्यक असलेल्यापेक्षा जास्त वैयक्तिक डेटा गुप्तपणे गोळा करण्यापासून दूर रहा.
सूचना न दिल्यास सिस्टम थेट नियमांचे पालन न करणाऱ्या क्षेत्रात डाउनग्रेड होते आणि प्रशासकीय दंड आकारला जातो.
किमान/नकारात्मक जोखीम: कोणतेही अनिवार्य नियम नाहीत
स्पॅम फिल्टर्स, ईमेलमधील प्रेडिक्टिव टेक्स्ट किंवा एचव्हीएसी ऊर्जेच्या वापराला अनुकूल करणारे एआय हे सहसा येथे येतात. ईयू आर्टिफिशियल इंटेलिजेंस अॅक्ट (एआय अॅक्ट) कोणतेही कठोर बंधन लादत नाही, परंतु ते स्वयंसेवी कोड, नियामक सँडबॉक्स आणि आयएसओ/आयईसी ४२००१ सारख्या आंतरराष्ट्रीय मानकांचे पालन करण्यास सक्रियपणे प्रोत्साहन देते. हलके दस्तऐवजीकरण आणि मूलभूत पूर्वाग्रह चाचण्या ठेवणे अजूनही एक स्मार्ट चाल आहे - जर हानीचे पुरावे समोर आले तर नियामक सीमारेषेवरील प्रकरणांचे पुनर्वर्गीकरण करू शकतात.
पुरवठादार, तैनात करणारे आणि इतर घटकांसाठी मुख्य जबाबदाऱ्या
EU आर्टिफिशियल इंटेलिजेंस अॅक्ट संपूर्ण पुरवठा साखळीत अनुपालन कर्तव्ये पसरवतो. कारण दायित्व कंपनीच्या आकारावर नाही तर कार्यावर अवलंबून असते, म्हणून तुम्हाला प्रथम तुम्ही कोणती टोपी घालत आहात हे ठरवावे लागेल—प्रदाता, वापरकर्ता (डिप्लॉयर), आयातदार किंवा वितरक—आणि नंतर कोणत्याही जोखीम-विशिष्ट आवश्यकतांवर थर लावावा लागेल. योग्य वर्गीकरण चुकवणे ही एक सामान्य ऑडिट शोध आहे, म्हणून मॅपिंग व्यायामाला तुमच्या प्रोग्रामचा पायरी शून्य मानून घ्या.
उच्च-जोखीम प्रणालींचे प्रदाते
डिझाइन निर्णयांवर नियंत्रण ठेवल्यामुळे पुरवठादारांवर सर्वात जास्त भार असतो. प्रमुख कार्ये:
- डेटा प्रशासन, जोखीम व्यवस्थापन, बदल नियंत्रण आणि सायबर सुरक्षा यांचा समावेश असलेली एक दस्तऐवजीकृत गुणवत्ता व्यवस्थापन प्रणाली (QMS) स्थापित करा.
- पूर्व-पूर्व अनुरूपता मूल्यांकन चालवा. बहुतेक अनुलग्नक III प्रणाली स्वयं-मूल्यांकन करू शकतात, परंतु बायोमेट्रिक आयडी, वैद्यकीय उपकरणे आणि इतर सुरक्षितता-गंभीर वापराच्या प्रकरणांमध्ये अधिसूचित संस्थेची आवश्यकता असते.
- तांत्रिक दस्तऐवजीकरण संकलित करा: मॉडेल आर्किटेक्चर, प्रशिक्षण डेटा वंश, मूल्यांकन मेट्रिक्स, मजबूती चाचण्या, मानवी-निरीक्षण यंत्रणा आणि बाजारपेठेनंतरचे निरीक्षण योजना.
- पहिल्या तैनातीपूर्वी EU अनुरूपतेचा जाहीरनामा तयार करा, त्यावर CE मार्किंग लावा आणि सार्वजनिक AI डेटाबेसमध्ये सिस्टमची नोंदणी करा.
- बाजारपेठेनंतर सतत देखरेख ठेवा: गंभीर घटनांची नोंद करा, जेव्हा वाहून जाण्याची मर्यादा ओलांडली जाते तेव्हा पुन्हा प्रशिक्षण द्या आणि १५ दिवसांच्या आत सक्षम अधिकाऱ्यांना सूचित करा.
यापैकी कोणत्याही पायरीकडे दुर्लक्ष केल्यास €15 दशलक्ष किंवा जागतिक उलाढालीच्या 3% पर्यंत दंड होऊ शकतो - जरी कोणतेही नुकसान झाले नसले तरीही.
उच्च-जोखीम प्रणालींचे वापरकर्ते / तैनात करणारे
डिप्लॉयर्स कोडला वास्तविक जगाच्या प्रभावात रूपांतरित करतात, म्हणून कायदा त्यांना त्यांची स्वतःची चेकलिस्ट देतो:
- प्रदात्याच्या सूचना आणि दस्तऐवजीकरण केलेल्या वापराच्या प्रकरणांनुसार सिस्टम काटेकोरपणे चालवा.
- जेव्हा वापरकर्ता सार्वजनिक प्राधिकरण असेल किंवा जेव्हा गृहनिर्माण किंवा कर्ज यासारख्या आवश्यक सेवांच्या प्रवेशावर एआय प्रभाव पाडतो तेव्हा मूलभूत हक्क परिणाम मूल्यांकन (FRIA) करा.
- पात्र मानवी देखरेखीची खात्री करा: कर्मचाऱ्यांना प्रशिक्षित केले पाहिजे, आउटपुट ओव्हरराइड करण्यासाठी सक्षम केले पाहिजे आणि प्रभावित व्यक्तींना निर्णय समजावून सांगण्यास सक्षम असले पाहिजे.
- इनपुट डेटा, आउटपुट, मानवी हस्तक्षेप आणि कामगिरीतील विसंगतींसह किमान सहा वर्षे नोंदी ठेवा.
- गंभीर घटनांची तक्रार प्रदात्याला आणि राष्ट्रीय प्राधिकरणाला "अनावश्यक विलंब" न करता करा, ज्याचा अर्थ सामान्यतः ७२ तास असा होतो.
आयातदार आणि वितरक
EU मध्ये AI प्रणाली सादर करणाऱ्या किंवा पास करणाऱ्या कलाकारांना गेट-कीपिंग कर्तव्ये आहेत:
- सीई मार्किंग, ईयू अनुरूपतेची घोषणा आणि सूचना अस्तित्वात आहेत आणि मार्केट केलेल्या कार्यक्षमतेशी जुळतात याची पडताळणी करा.
- जर त्यांना माहित असेल - किंवा त्यांना माहित असले पाहिजे - की ते अनुपालन करत नाही तर उत्पादन पुरवण्यापासून दूर रहा; त्याऐवजी, प्रदात्याला आणि सक्षम अधिकाऱ्यांना कळवा.
- तक्रारी आणि परत मागवण्याचे एक रजिस्टर ठेवा, जेणेकरून विनंतीनुसार अधिकाऱ्यांना ते उपलब्ध होईल.
- उत्पादन काढून घेणे किंवा सॉफ्टवेअर पॅचेससह सुधारात्मक कृतींमध्ये सहकार्य करा.
सामान्य-उद्देशीय एआय (फाउंडेशन मॉडेल्स) जबाबदाऱ्या
या कायद्यात GPAI किंवा फाउंडेशन मॉडेल्सच्या निर्मात्यांसाठी खास नियम जोडले आहेत जे कुठेही एम्बेड केले जाऊ शकतात:
- परवाना स्थिती आणि भौगोलिक मूळ यासह वापरलेल्या डेटासेटचा सारांश आणि व्यापक तांत्रिक दस्तऐवजीकरण प्रदान करा.
- चे विधान प्रकाशित करा कॉपीराइट अनुपालन आणि, शक्य असेल तेथे, संरक्षित कामांसाठी निवड रद्द करण्याची यंत्रणा लागू करा.
- जर मॉडेलने अनुलग्नक XI मधील गणना मर्यादा ओलांडली असेल तर सिस्टमिक-जोखीम चाचणी करा आणि दस्तऐवजीकरण करा (१०^२५ FLOP विचारात घ्या). "सिस्टमिक GPAI" साठी अतिरिक्त कर्तव्ये सुरू होतात जसे की संदर्भ अंमलबजावणी ऑफर करणे आणि EU AI कार्यालयाशी सहकार्य करणे.
- ओपन-सोर्स मॉडेल्सना हलक्या स्पर्शाच्या जबाबदाऱ्यांचा आनंद मिळतो, तरीही त्यांना वॉटरमार्क जनरेटेड कंटेंट आणि अपेक्षित मर्यादांचे तपशीलवार वापर सूचना पुरवल्या पाहिजेत.
वरील भूमिका-विशिष्ट चेकलिस्टसह तुमचे अंतर्गत नियंत्रणे संरेखित करून, तुम्ही ऑगस्ट २०२६ आणि २०२७ च्या अंमलबजावणीच्या अंतिम मुदती येण्यापूर्वीच सर्वात स्पष्ट अनुपालन अंतर भरून काढू शकता.
अनुपालन साध्य करण्यासाठी तांत्रिक आणि संस्थात्मक आवश्यकता
EU आर्टिफिशियल इंटेलिजेंस अॅक्ट सर्व ब्लूप्रिंट्ससाठी एकच ब्लूप्रिंट लिहून देत नाही. त्याऐवजी, ते परिणाम-केंद्रित "आवश्यक आवश्यकता" परिभाषित करते आणि त्यांना सिद्ध करणारी नियंत्रणे निवडण्याची तुम्हाला मोकळीक देते. युक्ती म्हणजे अभियांत्रिकी चांगल्या पद्धतींना नियामक स्वच्छतेसह मिसळणे, जेणेकरून प्रत्येक मॉडेल अपडेट किंवा डेटा रिफ्रेश आपोआप पुनरावृत्ती करण्यायोग्य अनुपालन पाइपलाइनमध्ये जाईल. खाली दिलेले पाच बिल्डिंग ब्लॉक्स कायद्याच्या कायदेशीर लेखांना तुमचे उत्पादन, डेटा आणि कायदेशीर संघ मालकीच्या असलेल्या ठोस कार्यांमध्ये रूपांतरित करतात.
डेटा प्रशासन आणि व्यवस्थापन
खराब डेटा नियामक क्रिप्टोनाइटच्या बरोबरीचा आहे. कलम १० उच्च-जोखीम असलेल्या AI च्या प्रदात्यांना पाइपलाइनमध्ये प्रवेश करणाऱ्या प्रत्येक बाइटचे दस्तऐवजीकरण आणि समर्थन करण्यास भाग पाडते.
- डेटासेट क्युरेट करा जे संबंधित, प्रातिनिधिक, त्रुटीमुक्त आणि अद्ययावत अपेक्षित लोकसंख्येसाठी.
- प्रत्येक निधीसाठी एक "डेटा शीट" ठेवा: स्रोत, संकलन तारीख, परवाना अटी, पूर्वप्रक्रिया चरण, पूर्वाग्रह तपासणी आणि धारणा कालावधी.
- आवृत्ती-नियंत्रित रिपॉझिटरीमध्ये वंशाचा मागोवा घ्या जेणेकरून जर एखाद्या अधिकाऱ्यांनी सुधारणांची मागणी केली तर तुम्ही परत येऊ शकता.
- सांख्यिकीयदृष्ट्या योग्य पद्धती वापरून पूर्वाग्रह आणि असंतुलन चाचणी करा (
χ²,KS-test, किंवा मॉडेल-अज्ञेयवादी निष्पक्षता मेट्रिक्स) आणि लॉग शमन कृती.
संपूर्ण ट्रेल—कच्चा डेटा, स्क्रिप्ट्स, चाचणी निकाल—यासाठी उपलब्ध ठेवा 10 वर्षे; कायद्याचा दृष्टीक्षेप लांब आहे.
जोखीम व्यवस्थापन फ्रेमवर्क
कलम ९ मध्ये आवश्यक आहे की सतत आणि दस्तऐवजीकरण प्रक्रिया जे ISO 31000 आणि मसुदा ISO/IEC 23894 प्रतिबिंबित करते.
- धोके ओळखा: गैरवापर परिस्थिती, विरोधी हल्ले, डेटा ड्रिफ्ट.
- परिणाम आणि शक्यता यांचे विश्लेषण करा; त्यांना सामान्य प्रमाणात स्कोअर करा (उदा.,
risk = probability × severity). - नियंत्रणे ठरवा: तांत्रिक सुरक्षा उपाय, मानवी देखरेख, कराराच्या मर्यादा.
- प्रत्येक मोठ्या अपडेटनंतर नियंत्रणे सत्यापित करा; पुढील स्प्रिंटमध्ये निष्कर्ष फीड करा.
सर्व काही एका जिवंत जोखीम रजिस्टरमध्ये साठवा; नियामकांना टाइमस्टॅम्प, मालक आणि बंद करण्याचे पुरावे दिसण्याची अपेक्षा असते.
डिझाइनद्वारे मानवी देखरेख आणि पारदर्शकता
कलम १४ आणि ५२ "मानव-इन-द-लूप" चर्चेला अनिवार्य डिझाइन कार्यांमध्ये रूपांतरित करतात.
- निरीक्षण मोड परिभाषित करा: इन-द-लूप (मॅन्युअल मान्यता), चालू-जुळणारे (रिअल-टाइम अलर्ट), किंवा ओव्हर-द-लूप (पोस्ट-हॉक ऑडिट).
- स्पष्टीकरणात्मकता स्तर एम्बेड करा: स्पष्टीकरणात्मक नकाशे, प्रति-तथ्यात्मक उदाहरणे, सरलीकृत निर्णय नियम.
- ओव्हरराइड आणि फॉलबॅक पर्याय प्रदान करा जे दोन्ही आहेत तांत्रिकदृष्ट्या व्यवहार्य आणि संघटनात्मकदृष्ट्या अधिकृत.
- सोप्या भाषेत वापरकर्त्यांना सूचना द्या ("तुम्ही एआय सिस्टमशी संवाद साधत आहात") आणि शक्य असेल तेथे आत्मविश्वासाचे गुण दाखवा.
दृढता, अचूकता आणि सायबर सुरक्षा
कलम १५ अंतर्गत, मॉडेल्सनी घोषित त्रुटी दरांमध्ये राहणे आवश्यक आहे आणि दुर्भावनापूर्ण हस्तक्षेपाचा प्रतिकार करणे आवश्यक आहे.
- किमान कामगिरी मर्यादा स्थापित करा; उत्पादनातील अचूकता, अचूकता, रिकॉल आणि कॅलिब्रेशन ड्रिफ्टचे निरीक्षण करा.
- प्रत्येक रिलीझपूर्वी अॅडव्हर्सरियल-रेझिलियन्स चाचण्या (FGSM, PGD, डेटा पॉयझनिंग) करा.
- NIS2 आणि ETSI EN 303 645 नुसार पायाभूत सुविधा मजबूत करा: सुरक्षित API, भूमिका-आधारित प्रवेश, एन्क्रिप्टेड मॉडेल चेकपॉइंट्स.
- जेव्हा कामगिरी सहनशीलता बँडपेक्षा कमी होते तेव्हा फॉलबॅक योजना तयार करा—सेफ-मोड डीफॉल्ट, मानवी पुनरावलोकन वाढ—.
रेकॉर्ड-कीपिंग, लॉगिंग आणि सीई दस्तऐवजीकरण
जर ते लिहून ठेवले नाही तर ते कधीच घडले नाही - कलम ११ आणि १९ मध्ये कायदा बनणारा मंत्र.
| दस्तऐवज | मुख्य माहिती | धारणा |
|---|---|---|
| तांत्रिक फाइल | मॉडेल आर्किटेक्चर, प्रशिक्षण डेटा सारांश, मूल्यांकन मेट्रिक्स, सायबर सुरक्षा नियंत्रणे | जीवनचक्र + १० वर्षे |
| नोंदी | इनपुट, आउटपुट, ओव्हरराइड इव्हेंट्स, कामगिरी आकडेवारी, घटना | ≥ ६ वर्षे |
| अनुरूपतेची ईयू घोषणा | अनुरूपता विधान, लागू केलेले मानके, प्रदात्याचे तपशील | सार्वजनिकरित्या उपलब्ध |
| बाजारानंतरची देखरेख योजना | केपीआय, रिपोर्टिंग चॅनेल, ट्रिगर थ्रेशोल्ड | सतत अपडेट केले जाते |
शक्य असेल तिथे स्वयंचलित लॉग कॅप्चर करा; अपरिवर्तनीय स्टोरेज किंवा अॅपेंड-ओन्ली लेजर वापरा जेणेकरून पुरावा फॉरेन्सिक तपासणीत टिकून राहील. एकदा डॉसियर पूर्ण झाल्यावर, जोडा सीई मार्किंग आणि सिस्टम EU डेटाबेसमध्ये सबमिट करा - तरच ती बाजारात येऊ शकेल.
तुमच्या विकास जीवनचक्रात या तांत्रिक आणि संघटनात्मक नियंत्रणांना हार्ड-वायरिंग करून, तुम्ही शेवटच्या क्षणी होणाऱ्या संघर्षातून अनुपालनाला नेहमी चालू असलेल्या क्षमतेत रूपांतरित करता जे ऑडिटर्स ओळखतील - आणि बक्षीस देतील.
दंड, उपाय आणि खटल्याचा खुलासा
युरोपियन युनियन आर्टिफिशियल इंटेलिजेंस कायदा विनम्र इशारांवर अवलंबून नाही; तो अधिकाऱ्यांना त्रास देण्यासाठी पुरेशी मोठी काठी वापरतो. आर्थिक निर्बंध हे GDPR च्या प्रमाणात प्रतिबिंबित करतात, तरीही हा कायदा अधिकाऱ्यांना उत्पादने शेल्फवरून काढून टाका, डेटा हटवण्याचा आदेश द्या किंवा मॉडेलला पुन्हा प्रशिक्षण देण्यास भाग पाडा. जर जोखीम कमी होत नसतील तर. दंडाची मर्यादा यापैकी जे जास्त असेल त्यावर मर्यादित केली जाते - संपूर्ण युरो रक्कम किंवा मागील वर्षाच्या जागतिक उलाढालीच्या टक्केवारीनुसार - जेणेकरून सुरुवातीच्या टप्प्यातील स्टार्ट-अप्स देखील आत्मसंतुष्टता टाळतील. खालील तक्त्यामध्ये मंजूर स्तरांचा सारांश दिला आहे:
| उल्लंघनाचा प्रकार | कमाल निश्चित दंड | जागतिक उलाढालीचा कमाल % | ठराविक ट्रिगर्स |
|---|---|---|---|
| निषिद्ध पद्धती (कलम ५) | €३५ दशलक्ष | 7% | सोशल स्कोअरिंग, बेकायदेशीर बायोमेट्रिक मास पाळत ठेवणे |
| उच्च-जोखीम दायित्वे (कलम ८-१५) | €३५ दशलक्ष | 3% | अनुरूपता मूल्यांकनाचा अभाव, डेटा प्रशासनात त्रुटी |
| माहिती आणि नोंदणी अयशस्वी | €३५ दशलक्ष | 1% | तांत्रिक कागदपत्रांचा अभाव, घटनेची उशिरा तक्रार |
| नियमित गैर-अनुपालन सूचना | €500K | N / A | चेतावणी दिल्यानंतर किरकोळ उल्लंघने |
पर्यवेक्षी अधिकारी दुरुस्तीला गती देण्यासाठी दररोज दंड आकारू शकतात. तरीही "गंभीर धोका" निर्माण करणारी उत्पादने अनिवार्य आहेत. परत मागवणे किंवा बाजारातून पैसे काढणे—प्रतिष्ठेला झालेला धक्का जो कोणताही जनसंपर्क योजना लपवू शकत नाही.
प्रशासकीय मंजुरी विरुद्ध नागरी दायित्व
नियामक दंड हा कथेचा शेवट नाही. आगामी एआय लायबिलिटी डायरेक्टिव्ह (AILD) आणि सुधारित उत्पादन लायबिलिटी डायरेक्टिव्ह (PLD) यासाठी समांतर मार्ग उघडतात खाजगी नुकसानीचे दावे. एआय निर्णयामुळे जखमी झालेल्यांना खालील गोष्टींचा आनंद घेता येईल:
- A कारणात्मकतेचा खंडन करण्यायोग्य गृहीतक जेव्हा प्रदाते एआय कायद्याच्या कर्तव्यांचे उल्लंघन करतात, तेव्हा पुराव्याचे ओझे कमी होते.
- विस्तारित प्रकटीकरण अधिकार, वादींना नोंदी आणि जोखीम मूल्यांकनांची विनंती करू देणे जे सामान्यतः घरातच राहतील.
- सदस्य राष्ट्रांमध्ये सुसंगत नियम असले तरी, राष्ट्रीय अत्याचार कायदा अजूनही कठोर मानके प्रदान करू शकतो (उदा., डच चुकीच्या कृतीचा सिद्धांत).
त्यामुळे कंपन्यांना एक-दोन मुक्का लागू शकतात: कोट्यवधी युरोचा प्रशासकीय दंड आणि त्यानंतर नागरी वर्गाच्या कारवाई, विशेषतः क्रेडिट नाकारणे किंवा भेदभावपूर्ण नियुक्तीसारख्या क्षेत्रात.
निवारण यंत्रणा आणि गुप्तहेर संरक्षण
व्यक्ती आणि स्वयंसेवी संस्था त्यांच्याकडे थेट तक्रारी दाखल करू शकतात राष्ट्रीय सक्षम प्राधिकरण किंवा EU AI कार्यालय. अधिकाऱ्यांनी "वाजवी कालावधीत" चौकशी करावी आणि निलंबन आदेशांसह अंतरिम उपाययोजना मंजूर करू शकतात. प्रभावित व्यक्ती न्यायालयीन उपाय देखील राखून ठेवतात - मनाई आदेश, भरपाई दावे आणि पर्यवेक्षी निर्णयांविरुद्ध अपील.
कर्मचारी जे चुकीचे काम शोधतात त्यांना EU अंतर्गत संरक्षण दिले जाते व्हिसलब्लोइंग निर्देश:
- ५०+ कर्मचारी असलेल्या कंपन्यांसाठी गोपनीय अहवाल चॅनेल अनिवार्य आहेत.
- सूड घेणे—बंद करणे, पदावनती करणे, धमकी देणे—स्पष्टपणे निषिद्ध आहे.
- जर अंतर्गत मार्ग अयशस्वी झाले तर व्हिसलब्लोअर्स बाहेरून नियामकांकडे किंवा प्रेसकडे जाऊ शकतात.
म्हणूनच, चांगली जाहिरात केलेली, अनामिक रिपोर्टिंग लाइन स्थापित करणे ही एक कायदेशीर आवश्यकता आहे आणि एक पूर्व-चेतावणी प्रणाली देखील आहे जी तुम्हाला भविष्यात महागड्या अंमलबजावणीपासून वाचवू शकते.
एआय कायद्याचे GDPR, NIS2, उत्पादन सुरक्षा आणि क्षेत्र नियमांशी मॅपिंग करणे
EU आर्टिफिशियल इंटेलिजेंस अॅक्ट (AI अॅक्ट) हा एक स्वतंत्र बेट नाही. तो एका गर्दीच्या अनुपालन महासागरात प्लग इन करतो ज्यामध्ये आधीच डेटा-संरक्षण, सायबरसुरक्षा आणि उभ्या सुरक्षा फ्रेमवर्कचा समावेश आहे. त्या क्रॉस-करंट्सकडे दुर्लक्ष करणे धोकादायक आहे: प्रत्येक AI अॅक्ट बॉक्सला टिक करणारी AI प्रणाली अजूनही GDPR किंवा NIS2 चे उल्लंघन करू शकते आणि उलट. खाली आम्ही प्रमुख टचपॉइंट्स हायलाइट करतो जेणेकरून तुमचे कायदेशीर, सुरक्षा आणि उत्पादन संघ चार वेगवेगळ्या चेकलिस्टमध्ये जाण्याऐवजी एकच, एकात्मिक नियंत्रण नकाशा तयार करू शकतील.
GDPR आणि ई-प्रायव्हसीसह ओव्हरलॅप करा
- कायदेशीर आधार आणि उद्देश मर्यादा: उच्च-जोखीम मॉडेलमध्ये वैयक्तिक-डेटा प्रक्रिया करताना किमान एक GDPR आधार (बहुतेकदा कायदेशीर स्वारस्य किंवा संमती) पूर्ण करणे आवश्यक आहे.
- स्वयंचलित निर्णय घेण्याच्या मर्यादा: कलम २२ जीडीपीआर कायदेशीर किंवा महत्त्वपूर्ण परिणामांसह पूर्णपणे स्वयंचलित निर्णयांवर मर्यादा घालते; एआय कायद्याची मानवी-देखरेखीची आवश्यकता अनेकदा तांत्रिक सुरक्षा म्हणून काम करते जी कलम २२(२)(ब) किंवा (क) सूट अनलॉक करते.
- संयुक्त-नियंत्रक परिस्थिती: जेव्हा एखादा डिप्लॉयर विक्रेत्याने प्रदान केलेल्या GPAI ला फाइन-ट्यून करतो, तेव्हा दोन्ही होऊ शकतात संयुक्त नियंत्रकGDPR अंतर्गत - त्यानुसार डेटा प्रोसेसिंग करारांची योजना करा.
- पारदर्शकता शुल्क डबल-टॅप: एआय कायदा वापरकर्त्याचे प्रकटीकरण ("एआय-जनरेटेड") अनिवार्य करतो, तर जीडीपीआर कलम १२-१४ मध्ये डेटा प्रवाह, धारणा आणि अधिकारांचे तपशीलवार गोपनीयता सूचनांची मागणी केली जाते. दोन्ही कव्हर करणारी एक स्तरित सूचना तयार करा.
सायबर सुरक्षा आणि NIS2 सिनर्जी
NIS2 मध्ये "आवश्यक" आणि "महत्त्वाच्या" घटकांसाठी जोखीम मूल्यांकन, घटना प्रतिसाद आणि पुरवठा-साखळी सुरक्षेची आवश्यकता आहे. AI कायदा १५ दिवसांच्या आत मजबूती चाचणी, भेद्यता देखरेख आणि उल्लंघन अहवाल आवश्यक करून त्याचे प्रतिबिंबित करतो. एका SOC वर्कफ्लोचा फायदा घ्या:
- एआय कायद्याच्या अनुरूपतेच्या मूल्यांकनादरम्यान विरोधी-मजबूती चाचण्या चालवा.
- निकाल NIS2 जोखीम रजिस्टरमध्ये भरा.
- दोन्ही राजवटींसाठी समान ७२-तासांच्या घटना-अहवाल प्लेबुकचा वापर करा.
विद्यमान उत्पादन कायद्यासह एकत्रीकरण
जर तुमचा एआय एखाद्या नियंत्रित उत्पादनाचा (वैद्यकीय उपकरण, यंत्रसामग्री, खेळणी, लिफ्ट, ऑटोमोटिव्ह सिस्टम) सुरक्षा घटक असेल, तर तुम्ही हे करणे आवश्यक आहे एकच अनुरूपता मूल्यांकन ज्यामध्ये हे समाविष्ट आहे:
- क्षेत्र कायद्याअंतर्गत सामान्य-सुरक्षा किंवा कामगिरी आवश्यकता; आणि
- एआय कायद्याच्या मूलभूत गोष्टी (जोखीम व्यवस्थापन, डेटा प्रशासन, मानवी देखरेख).
नवीन कायदेविषयक चौकटीअंतर्गत सुसंगत मानके लवकरच दोन्ही आवश्यकतांचा संदर्भ देतील, ज्यामुळे एक तांत्रिक फाइल आणि एक सीई मार्किंग शक्य होईल.
क्षेत्र-विशिष्ट उदाहरणे
- वित्तीय सेवा: पुराव्याच्या मॉडेल निष्पक्षता आणि स्पष्टीकरणासाठी एआय कायदा लॉगिंग आणि मनी-लाँडरिंग विरोधी ईबीए मार्गदर्शक तत्त्वे एकत्रित करा.
- एनर्जी ग्रिड व्यवस्थापन: SCADA सिस्टीमसाठी ENTSO-E सायबरसुरक्षा आवश्यकतांसह मेष AI कायदा जोखीम नियंत्रणे.
- ऑटोमोटिव्ह: UNECE WP.29 सॉफ्टवेअर-अपडेट गव्हर्नन्सला अनिवार्य करते; ते अपडेट लॉग तुमच्या AI कायद्यानंतरच्या बाजार निरीक्षणात एकत्रित करा.
- आरोग्यसेवा: अनावश्यक ऑडिट टाळण्यासाठी AI कायद्याच्या डेटासेट दस्तऐवजीकरणासह ISO 13485 QMS कलाकृती जोडा.
आंतरराष्ट्रीय तुलना
जागतिक कंपन्यांनी ईयू आर्टिफिशियल इंटेलिजेंस अॅक्ट (एआय अॅक्ट) आणि इतरत्र उदयोन्मुख नियमांमध्ये समेट केला पाहिजे:
| अधिकार क्षेत्र | की वाद्य | लक्षणीय भिन्नता |
|---|---|---|
| US | कार्यकारी आदेश आणि एनआयएसटी एआय आरएमएफ | ऐच्छिक परंतु संघीय खरेदी आधाररेखा बनू शकते |
| चीन | अंतरिम जनरेशन-एआय उपाय | खरे नाव नोंदणी आणि सामग्री फिल्टरिंग बंधनकारक आहे |
| UK | नवोपक्रम समर्थक चौकट | नियामक-विशिष्ट मार्गदर्शन, अद्याप कोणताही क्षैतिज कायदा नाही |
ओव्हरलॅप्सचे लवकर मॅपिंग करून, बहुराष्ट्रीय संघ प्रथम सर्वात कठोर नियमांची पूर्तता करणारे नियंत्रण फ्रेमवर्क डिझाइन करू शकतात, नंतर स्थानिक कायदे हलके असलेल्या ठिकाणी डायल करू शकतात.
व्यावहारिक अनुपालन तपासणी यादी आणि सर्वोत्तम पद्धती
EU आर्टिफिशियल इंटेलिजेंस अॅक्ट (AI अॅक्ट) मधील लेख आणि वाचनांना दैनंदिन व्यवहारात रूपांतरित करणे कठीण वाटू शकते. कायदेशीर, उत्पादन आणि सुरक्षा संघांना मिळू शकतील अशा छोट्या-मोठ्या कृतींमध्ये प्रवास मोडणे ही युक्ती आहे. खालील १२-चरणांचा रोडमॅप एक जिवंत प्रकल्प योजना म्हणून वापरा—ऑगस्ट २०२७ पर्यंत प्रत्येक स्प्रिंट डेमो आणि बोर्ड मीटिंगमध्ये त्याचा आढावा घ्या.
- उत्पादन आणि संशोधन आणि विकासातील प्रत्येक एआय किंवा अल्गोरिथमिक घटकाची यादी करा.
- प्रत्येक प्रणालीचा जोखीम स्तर आणि तुमची भूमिका (प्रदाता, वापरकर्ता, आयातकर्ता, वितरक) यांचे वर्गीकरण करा.
- लागू कायदे (GDPR, NIS2, क्षेत्र नियम) मॅप करा आणि ओव्हरलॅप ओळखा.
- एआय कायद्याच्या आवश्यक आवश्यकतांनुसार अंतर विश्लेषण करा.
- तुमची गुणवत्ता व्यवस्थापन प्रणाली (QMS) डिझाइन किंवा अपडेट करा.
- बहुविद्याशाखीय प्रशासन रचना उभी करा.
- तांत्रिक कागदपत्रांचे टेम्पलेट्स तयार करा आणि ते भरण्यास सुरुवात करा.
- डेटा-गव्हर्नन्स आणि बायस-टेस्टिंग पाइपलाइन तयार करा.
- प्रारंभिक अनुरूपता मूल्यांकन किंवा ड्राय-रन ऑडिट करा.
- अभियंते, जोखीम मालक आणि ग्राहक समर्थन - कर्मचाऱ्यांना प्रशिक्षित करा.
- बाजारपेठेनंतरचे निरीक्षण आणि घटना-अहवाल देणारे कार्यप्रवाह सुरू करा.
- नियतकालिक पुनरावलोकने आणि सतत सुधारणांचे वेळापत्रक तयार करा.
तयारी मूल्यांकन आणि अंतर विश्लेषण
स्प्रेडशीट किंवा तिकीट बोर्ड लिस्टिंगसह सुरुवात करा: सिस्टमचे नाव, उद्देश, प्रशिक्षण डेटा स्रोत, जोखीम पातळी, विद्यमान नियंत्रणे आणि खुले अंतर. प्रत्येक अंतरासाठी मालक आणि अंतिम मुदत नियुक्त करा. प्रत्येक बंद झाल्यानंतर अवशिष्ट जोखीम पुन्हा स्कोअर करा; नियामकांना पुनरावृत्ती सुधारणा मार्ग पाहणे आवडते.
योग्य प्रशासन रचना तयार करणे
केवळ धोरणेच नव्हे तर लोकांनाही प्रभारी करा:
- एआय अनुपालन अधिकारी: एकच घसा दाबून गुदमरणे.
- क्रॉस-फंक्शनल एथिक्स कमिटी: उत्पादन, कायदेशीर, सुरक्षा, एचआर.
- बाह्य पुनरावलोकनकर्ता किंवा अधिसूचित-संस्था संपर्क.
- निर्णय घेण्याच्या प्रक्रियेत अडथळा येऊ नये म्हणून तुमच्या डीपीओ आणि सीआयएसओशी घट्ट संबंध ठेवा.
बैठकीची गती, निर्णय घेण्याचे अधिकार आणि वाढीचे मार्ग यांचे दस्तऐवजीकरण करा.
दस्तऐवजीकरण आणि साधने
अभियंते चाक पुन्हा शोधू नयेत म्हणून कलाकृतींचे मानकीकरण करा:
| साचा | उद्देश | शिफारस केलेले स्वरूप |
|---|---|---|
| मॉडेल कार्ड | क्षमता, मर्यादा, मेट्रिक्स | मार्कडाउन + जेएसओएन |
| माहिती पत्रक | स्रोत, परवाना, पूर्वाग्रह चाचण्या | स्प्रेडशीट |
| पारदर्शकता अहवाल | वापरकर्त्यांशी संपर्क साधण्याचे प्रकटीकरण | HTML / PDF |
| मूलभूत हक्क IA | सार्वजनिक क्षेत्रातील तैनात करणारे | फॉर्म-आधारित साधन |
ओपन-सोर्स मदत: EU AI टूलकिट, ISO/IEC 42001 ड्राफ्ट चेकलिस्ट आणि बायस मेट्रिक्ससाठी GitHub रेपो.
विक्रेता आणि पुरवठा-साखळी व्यवस्थापन
फ्लो एआय अॅक्ट ड्युटीज डाउनस्ट्रीम:
- अनुरूपता-मूल्यांकन हमी आणि ऑडिट अधिकार जोडा करार.
- पुरवठादारांना मॉडेल कार्ड, मजबूती चाचणी निकाल आणि घटना नोंदी सामायिक करणे आवश्यक आहे.
- जलद भेद्यता प्रकटीकरणासाठी शेअर्ड स्लॅक किंवा तिकीट रांग सेट करा.
सतत देखरेख आणि मॉडेल लाइफसायकल अपडेट्स
पूर्व-तैनाती, वापरात असलेले आणि उपयोजनानंतरचे निरीक्षण एकाच टेलीमेट्री स्टॅकवरून चालले पाहिजे. पुनर्मूल्यांकन सुरू करा जेव्हा:
- इनपुट डेटा वितरण शिफ्ट (
KL divergence> प्रीसेट थ्रेशोल्ड). - अचूकता घोषित किमानपेक्षा कमी होते.
- एखादी गंभीर घटना किंवा जवळपास चुकल्याची नोंद केली जाते.
तिमाही प्रशासन आढावा आणि वार्षिक बाह्य लेखापरीक्षणासह ही लूप बंद करा - अनुपालन हा एक-वेळचा प्रकल्प नसून एक स्थायी क्षमता आहे याचा पुरावा.
वारंवार विचारले जाणारे प्रश्न: सामान्य प्रश्नांची जलद उत्तरे
EU AI कायदा आधीच लागू आहे का?
हो. १ ऑगस्ट २०२४ रोजी नियमन (EU) २०२४/१६८९ लागू झाले. तथापि, बहुतेक ठोस बंधने नंतरच्या टप्प्यात येतात: फेब्रुवारी २०२५ पर्यंत प्रतिबंधित पद्धती नाहीशा होतात, पारदर्शकता नियम ऑगस्ट २०२५ पासून सुरू होतात, उच्च-जोखीम कर्तव्ये ऑगस्ट २०२६ मध्ये येतात (बायोमेट्रिक्स ऑगस्ट २०२७). त्यामुळे पूर्ण अर्ज अद्याप टप्प्याटप्प्याने लागू केला जात असला तरी घड्याळ टिक टिक करत आहे.
चार जोखीम पातळी काय आहेत?
EU आर्टिफिशियल इंटेलिजेंस अॅक्ट सिस्टम्सना (१) अस्वीकार्य जोखीम—पूर्णपणे प्रतिबंधित; (२) उच्च जोखीम—केवळ अनुरूपता मूल्यांकन आणि CE मार्किंगनंतर परवानगी; (३) मर्यादित जोखीम—मुख्यतः पारदर्शकता कर्तव्ये (उदा., चॅटबॉट्स, डीपफेक); आणि (४) किमान जोखीम—कोणतेही कठोर नियम नाहीत परंतु ऐच्छिक कोडना प्रोत्साहन दिले जाते. तुमचे पहिले काम म्हणजे प्रत्येक मॉडेलला यापैकी एका स्तराशी मॅप करणे.
या कायद्याने राष्ट्रीय एआय धोरणांची जागा घेतली आहे का?
नाही. सदस्य राष्ट्रे राष्ट्रीय धोरणे, सँडबॉक्स आणि निधी योजना ठेवू शकतात किंवा तयार करू शकतात. हा कायदा फक्त सुसंगत आहे नियामक संपूर्ण EU मध्ये व्यवसायांना एकाच नियमावलीचा सामना करावा लागेल यासाठी आवश्यकता. स्थानिक उपक्रमांनी नियमनाच्या जोखीम चौकटीचा विरोध करू नये किंवा त्याच्या अंमलबजावणी यंत्रणेला कमकुवत करू नये.
स्टार्टअप्सना सूट आहे का?
खरंच नाही. नियम कंपनीच्या आकाराकडे दुर्लक्ष करून लागू होतात कारण महसूल नाही तर जोखीम जबाबदार्या वाढवते. असं असलं तरी, सँडबॉक्स, काही GPAI मॉडेल्ससाठी हलके दस्तऐवजीकरण आणि कमिशन-फंडेड मार्गदर्शन हे SMEs साठी प्रशासकीय संघर्ष कमी करण्यासाठी आहे. तुम्ही "लहान" आहात म्हणून अनुपालनाकडे दुर्लक्ष करणे ही एक धोकादायक गैरसमज आहे.
एआय कायदा ओपन-सोर्स मॉडेल्सना कसे वागवतो?
मॉडेल वेट सार्वजनिकरित्या जारी केल्याने तुम्हाला सूट मिळत नाही. तुम्हाला अजूनही प्रशिक्षण-डेटा सारांश, वॉटरमार्क जनरेटेड कंटेंट आणि वापर सूचना प्रकाशित कराव्या लागतील. बंद व्यावसायिक मॉडेल्सपेक्षा जबाबदाऱ्या हलक्या असतात, परंतु जर तुमची ओपन-सोर्स सिस्टम "सिस्टमिक GPAI" झाली, तर अतिरिक्त चाचणी आणि रिपोर्टिंग कर्तव्ये सुरू होतात.
हा कायदा निर्देश आहे का?
नाही. हे एक नियमन आहे—राष्ट्रीय हस्तांतरणाशिवाय प्रत्येक सदस्य राज्यात थेट लागू होते. GDPR सारखे विचार करा: एकदा ते अंमलात आले की, कायदेशीर जबाबदाऱ्या EU-व्यापी अस्तित्वात होत्या आणि केवळ व्यावहारिक अंमलबजावणी मार्गदर्शन स्थानिक पातळीवर बदलू शकते.
जर माझा प्रदाता EU बाहेर असेल तर काय होईल?
प्रादेशिक पोहोच खालीलप्रमाणे आहे आउटपुट, मुख्यालय नाही. जर एखाद्या परदेशी विक्रेत्याची प्रणाली EU मध्ये विकली जात असेल किंवा त्याचे परिणाम येथे वापरले जात असतील, तर प्रदात्याने EU AI कायद्याच्या आवश्यकता पूर्ण केल्या पाहिजेत आणि EU-आधारित कायदेशीर प्रतिनिधी नियुक्त केला पाहिजे. युनियनमधील डिप्लॉयर्सना अजूनही वापरकर्त्याच्या जबाबदाऱ्या पार पाडाव्या लागतात, म्हणून पुरवठादार काळजीपूर्वक निवडा.
महत्वाचे मुद्दे
अजूनही स्किमिंग करताय? ही फसवणूक पत्रक आहे:
- ईयू आर्टिफिशियल इंटेलिजेंस अॅक्ट (एआय अॅक्ट) आता मसुदा राहिलेला नाही - तो आता १ ऑगस्ट २०२४ पासून लागू आणि कुठेही पहिला क्षैतिज, जोखीम-आधारित एआय कायदा आणतो.
- जोखीम श्रेणीबद्धता सर्वकाही चालवते: अस्वीकार्य प्रणालींवर बंदी आहे., उच्च-जोखीम प्रणालींना सीई मार्किंग आणि नोंदणी नोंद आवश्यक आहे, तर मर्यादित आणि कमीत कमी जोखमीच्या साधनांना हलक्या - पण शून्य - कर्तव्यांचा सामना करावा लागतो.
- पालन न करणे महाग आहे: पर्यंत €३५ दशलक्ष किंवा जागतिक उलाढालीच्या ७% प्रतिबंधित पद्धतींसाठी, तसेच आगामी EU निर्देशांनुसार संभाव्य नागरी दायित्वासाठी.
- पुरवठा साखळीत जबाबदाऱ्या असतात: प्रदाते, वापरकर्ते, आयातदार आणि वितरक प्रत्येकाकडे विशिष्ट चेकलिस्ट असतात आणि सामान्य-उद्देशीय मॉडेल्समध्ये आता विशिष्ट नियम असतात.
- हा कायदा GDPR, NIS2 किंवा उत्पादन-सुरक्षा कायद्यांची जागा घेत नाही; तुम्ही सर्व चौकटी एकाच एकात्मिक प्रशासन कार्यक्रमात एकत्रित केल्या पाहिजेत.
कायदेशीर मजकुराचे कार्यरत कोड, धोरणे आणि करारांमध्ये रूपांतर करण्यासाठी मदत हवी आहे का? येथील तंत्रज्ञान आणि गोपनीयता वकील Law & More ऑडिटर्स येण्यापूर्वी - जलद एआय अॅक्ट रेडिनेस स्कॅन करू शकतात, आवश्यक कागदपत्रे तयार करू शकतात आणि अनुरूपता मूल्यांकनासाठी मार्गदर्शन करू शकतात.