Статья 73 Регламента ЕС по ИИ требует от поставщиков систем ИИ повышенного риска сообщать о любых серьёзных инцидентах органам надзора за рынком государств-членов, на территории которых произошёл данный инцидент.
Интересное из документа
Термины инцидент (incident) и неисправность (malfunctioning) не стоит строго разделять. Инцидент является родовым термином, а неисправность скорее указывает на технический характер инцидента.
Между инцидентом и серьёзными последствиями должны быть установлены прямые или косвенные причинно-следственные связи. Их следует определять в случаях, когда система ИИ используется в соответствии с предназначением или при разумно предсказуемых способах ненадлежащего использования. Однако они не применимы, если инцидент связан с непредсказуемыми сценариями использования или непредвиденными ошибками со стороны конечных пользователей.
Также статья 3 Регламента определяет такие термины, как серьёзный инцидент (serious incident) и широкомасштабное нарушение (widespread infringement). Благодаря руководству мы теперь располагаем более подробной информацией о каждом их подвиде, что поможет корректно их квалифицировать.
Статья 73 Регламента обязывает поставщиков после уведомления о серьёзном инциденте незамедлительно начать расследование, включая оценку рисков и принятие корректирующих мер. При этом такие действия не должны сопровождаться внесением изменений в систему ИИ. Теперь уточнено, что изменения не допускаются, если они связаны с компонентами, имеющими отношение к инциденту (включая обновление версий ПО), а также с доступом к данным и информации о функционировании системы (записи, логи).
Если о серьёзном инциденте узнаёт эксплуатант (deployer), он должен незамедлительно (в течение 24 часов) сообщить информацию поставщику. А если уведомить поставщика невозможно, то эксплуатант обязан самостоятельно исполнить обязанность поставщика и передать информацию компетентным органам (подробнее условия будут раскрыты в финальном тексте).
Также важно, что статья 73 и данное руководство не распространяются на поставщиков моделей ИИ, представляющих системные риски, поскольку для них предусмотрена отдельная процедура в соответствии со статьёй 55 и GPAI Code of Practice.
Помимо этого, документ содержит информацию о том, каким образом режим уведомления, установленный Регламентом, соотносится со схожими режимами в других актах Союза.
Бонусом опубликована примерная форма шаблона, по которой необходимо будет отчитываться о серьёзных инцидентах перед компетентными органами.
Курс по ИИ для юристов
Приглашаем пройти курс "ИИ для юристов", где вы сможете за короткий срок прокачать свои знания в области ИИ, правовых аспектах регулирования данной технологии в Казахстане и в мире.
Курс подходит практикующим юристам, студентам и преподавателям юридических факультетов, работниками IT компаний.
Подробности:
⚡️ https://cyberlaw.kz/ai
➡️ https://cyberlaw.kz/
☎️ +7 747 653 1397 (WhatsApp)
Интересное из документа
Термины инцидент (incident) и неисправность (malfunctioning) не стоит строго разделять. Инцидент является родовым термином, а неисправность скорее указывает на технический характер инцидента.
Между инцидентом и серьёзными последствиями должны быть установлены прямые или косвенные причинно-следственные связи. Их следует определять в случаях, когда система ИИ используется в соответствии с предназначением или при разумно предсказуемых способах ненадлежащего использования. Однако они не применимы, если инцидент связан с непредсказуемыми сценариями использования или непредвиденными ошибками со стороны конечных пользователей.
Также статья 3 Регламента определяет такие термины, как серьёзный инцидент (serious incident) и широкомасштабное нарушение (widespread infringement). Благодаря руководству мы теперь располагаем более подробной информацией о каждом их подвиде, что поможет корректно их квалифицировать.
Статья 73 Регламента обязывает поставщиков после уведомления о серьёзном инциденте незамедлительно начать расследование, включая оценку рисков и принятие корректирующих мер. При этом такие действия не должны сопровождаться внесением изменений в систему ИИ. Теперь уточнено, что изменения не допускаются, если они связаны с компонентами, имеющими отношение к инциденту (включая обновление версий ПО), а также с доступом к данным и информации о функционировании системы (записи, логи).
Если о серьёзном инциденте узнаёт эксплуатант (deployer), он должен незамедлительно (в течение 24 часов) сообщить информацию поставщику. А если уведомить поставщика невозможно, то эксплуатант обязан самостоятельно исполнить обязанность поставщика и передать информацию компетентным органам (подробнее условия будут раскрыты в финальном тексте).
Также важно, что статья 73 и данное руководство не распространяются на поставщиков моделей ИИ, представляющих системные риски, поскольку для них предусмотрена отдельная процедура в соответствии со статьёй 55 и GPAI Code of Practice.
Помимо этого, документ содержит информацию о том, каким образом режим уведомления, установленный Регламентом, соотносится со схожими режимами в других актах Союза.
Бонусом опубликована примерная форма шаблона, по которой необходимо будет отчитываться о серьёзных инцидентах перед компетентными органами.
Курс по ИИ для юристов
Приглашаем пройти курс "ИИ для юристов", где вы сможете за короткий срок прокачать свои знания в области ИИ, правовых аспектах регулирования данной технологии в Казахстане и в мире.
Курс подходит практикующим юристам, студентам и преподавателям юридических факультетов, работниками IT компаний.
Подробности:
⚡️ https://cyberlaw.kz/ai
➡️ https://cyberlaw.kz/
☎️ +7 747 653 1397 (WhatsApp)