AI Act — uus regulatiivne reaalsus
Euroopa Liit lõi esimesena maailmas tehisintellekti käsitleva tervikliku regulatsiooni. AI Act määrus (Regulation (EU) 2024/1689) jõustus 1. augustil 2024 ja seda kohaldatakse etapiviisiliselt: esimesed kohustused kehtivad alates 2. veebruarist 2025, põhiosa alates 2. augustist 2026, täielik kohaldamine alates 2. augustist 2027. Iga ettevõte, kes juurutab AI-süsteeme ELis oma tegevuses, peab nendega tutvuma.
AI Act ei keela tehisintellekti — see reguleerib seda riskipõhisel lähenemisel. Mida kõrgem on risk, seda rangemad on nõuded. Enamik äriotstarbelisi AI kasutusjuhtumeid kuulub madala või piiratud riski kategooriasse, mis tähendab suhteliselt kergeid kohustusi. Kuid on valdkondi, kus nõuded on väga ranged.
Jõustumise ajakava (Art. 113)
- 1. august 2024 — määruse jõustumine
- 2. veebruar 2025 — kehtivad ohtlike praktikate keelud (II peatükk, Art. 5) ja AI-kirjaoskuse kohustus (Art. 4)
- 2. august 2025 — kohustused üldotstarbeliste AI-mudelite pakkujatele (V peatükk) ning järelevalveasutusi ja trahve käsitlevad sätted
- 2. august 2026 — kohaldatakse kõrge riskiga süsteemide kohustusi (III peatükk), vestlusrobotite ja deepfake'ide läbipaistvus (Art. 50), regulatiivsed liivakastid
- 2. august 2027 — täielik kohaldamine, sealhulgas kohustused kõrge riskiga süsteemidele, mis on integreeritud toodetesse, mis kuuluvad juba olemasolevate ELi ühtlustamisõigusaktide kohaldamisalasse (Lisa I)
AI-süsteemide riskiklassifikatsioon
AI Act jagab AI-süsteemid nelja riskikategooriasse:
- Vastuvõetamatu risk (keelatud, Art. 5) — süsteemid, mis manipuleerivad inimeste käitumist alateadvuse tasemel, avaliku võimu teostav sotsiaalne hindamine, reaalajas biomeetriline jälgimine (eranditega), emotsioonide tuvastamine töökohal ja hariduses, prognoositav kriminaalne profileerimine. Need süsteemid on keelatud.
- Kõrge risk (III peatükk, Art. 6-27) — AI, mida kasutatakse värbamisel, krediidis, tervishoius, hariduses, õigusemõistmises, kriitilises infrastruktuuris. Kõige rangemad nõuded: dokumentatsioon, testimine, läbipaistvus, inimjärelevalve, registreerimine ELi andmebaasis.
- Piiratud risk (Art. 50) — vestlusrobotid, deepfake'id, sisu genereerivad süsteemid. Läbipaistvuskohustus: kasutaja peab teadma, et ta vestleb AI-ga, ja AI-genereeritud sisu peab olema masinloetavalt märgistatud.
- Minimaalne risk — enamik AI äriotstarbelisi rakendusi: rämpspostifiltrid, tootesoovitused, siseprotsesside automatiseerimine. Minimaalsed või puuduvad kohustused.
Kes on pakkuja ja kes juurutaja AI-süsteemi puhul?
AI Act eristab kahte võtmerolli. Pakkuja (provider) on üksus, kes loob ja laseb AI-süsteemi turule. Juurutaja (deployer) on üksus, kes kasutab AI-süsteemi majandustegevuses. Kohustused on iga rolli puhul erinevad — pakkujatel on rangemad nõuded tehnilise dokumentatsiooni ja sertifitseerimise osas.
Ettevõte, kes ostab pakkujalt valmislahenduse ja kasutab seda oma protsessides, on juurutaja. Ettevõte, kes kohandab või peenhäälestab mudelit oma rakendustele, võib saada pakkujaks koos kõigi tagajärgedega.
Kõrge riskiga süsteemide juurutajate kohustused (Art. 26)
Kui teie ettevõte kasutab kõrge riskiga AI-süsteemi (nt skoorimissüsteem krediidiprotsessis, CV-eelvaliku tööriist, meditsiinilise diagnostika tugisüsteem), peate:
- Tagama inimjärelevalve AI-süsteemi otsuste üle
- Pidama tegevuslogisid vähemalt 6 kuu jooksul
- Viima läbi põhiõiguste mõjuhindamise (FRIA, Art. 27)
- Teavitama töötajaid neid mõjutavatest AI-süsteemidest
- Teatama tõsistest intsidentidest ja riketest vastavale järelevalveasutusele
Regulatiivsed liivakastid (Art. 57-63)
AI Act näeb ette regulatiivsed liivakastid — mehhanism, mis võimaldab ettevõtetel testida uuenduslikke AI-süsteeme järelevalveasutuse järelevalve all kontrollitud keskkonnas. Iga liikmesriik on kohustatud käivitama vähemalt ühe liivakasti 2. augustiks 2026. Ettevõtetele, kes arendavad AI-lahendusi kõrge riskiga valdkondades, on see praktiline tee, et saada regulaatoritelt tagasisidet juba enne täielikku sertifitseerimist.
Sanktsioonid (Art. 99)
Trahvid AI Acti rikkumise eest on astmelised sõltuvalt rikkumise liigist:
- kuni 35 miljonit eurot või 7% globaalsest aastakäibest (kumb on suurem) keelatud praktikate kasutamise eest (Art. 5)
- kuni 15 miljonit eurot või 3% globaalsest aastakäibest määruse muude kohustuste rikkumise eest
- kuni 7,5 miljonit eurot või 1% globaalsest aastakäibest vale, mittetäieliku või eksitava teabe esitamise eest järelevalveasutustele
VKE-dele ja idufirmadele kohaldatakse kahest summast väiksemat, et vältida ebaproportsionaalset koormust.
Kuidas ESKOM.AI toetab AI Acti nõuete täitmist
ESKOM.AI aitab organisatsioonidel valmistuda AI Acti nõueteks. Pakume olemasolevate AI-süsteemide auditit riskiklassifikatsiooni osas, tehnilise dokumentatsiooni koostamist, inimjärelevalve ja logimise mehhanismide juurutamist ning koolitusi compliance'i eest vastutavatele meeskondadele. Iga uus AI juurutus meie teostuses on kujundatud AI Acti nõuetele vastavaks alates esimesest päevast.