eu ai act blog

Waarom dit tyd is om te begin beplan vir die EU KI-wet

Min tegnologieë het die potensiaal om reguleerders te bekommer en besighede te verlustig soos kunsmatige intelligensie (KI). Dit bestaan ​​al jare in verskillende vorme. Maar Europese wetgewers het verplig gevoel om in te tree namate intelligente algoritmes toenemend ingebed raak in sakeprosesse en tegnologieë wat die burgers in die gesig staar.

Die uitdaging vir besighede wat sulke stelsels ontwikkel, sal wees om te bepaal of hulle voldoen aan die streng kriteria wat nodig is om dit binne die blok te bemark. Vir Britse firmas, in die besonder, sal 'n besluit geneem moet word oor hoe om die uiteenlopende regulatoriese regimes te bestuur.

Wat is in die KI-wet?

Regerings regoor die wêreld kyk nader na KI in 'n poging om misbruik of toevallige misbruik te verminder. Die G7 bespreek dit. Die Wit Huis poog om grondreëls daar te stel individuele regte te beskerm en verseker verantwoordelike ontwikkeling en ontplooiing. Maar dit is die EU wat die verste na volledig gevormde wetgewing is. Sy voorstelle vir 'n nuwe "KI-wet" is onlangs deur die Europese Parlement goedgekeur.

Die KI-wet sal poog om 'n risiko-gebaseerde benadering te volg, en KI-modelle te klassifiseer volgens "onaanvaarbare", "hoë", "beperkte" en "minimale" risiko. 

Onaanvaarbare risiko beteken stelsels wat mense se “veiligheid, lewensbestaan ​​en regte bedreig”. Dit sluit in gesigsherkenningstegnologie, die regering se sosiale telling en voorspellende polisiëring, en sal heeltemal verbied word.

Hoë risiko stelsels kan KI insluit wat in kritieke infrastruktuur gebruik word, wat burgers se gesondheid in gevaar kan stel, of in opvoedkundige opleidingsinstellings, waar dit gebruik kan word om eksamens te behaal. Ander voorbeelde is:

  • Gebruik van KI in werkplekinstellings, soos om CV's te sorteer.
  • Krediettelling.
  • Verifiëring van dokumente by grensbeheer.
  • Polisie evalueer bewyse.

 

MEP's het ook sosiale media-aanbevelingstelsels geplaas, en KI het kiesers tydens verkiesings in die hoërisikokategorie beïnvloed.

Beperkte risiko verwys na KI-stelsels waar gebruikers ingelig moet word dat hulle interaksie het met 'n masjien, soos 'n kletsbot.

Minimaal/geen risiko stelsels soos KI-spamfilters of videospeletjies kan vryelik sonder beperkings gebruik word. Die EU beweer hierdie kategorie bestaan ​​uit die meerderheid van KI-produkte wat tans gebruik word.

Wat is die verpligtinge vir maatskappye wat voldoen?

Daardie ontwikkelaars (verskaffers) van potensieel hoërisiko-KI moet deur verskeie hoepels spring voordat hul produkte op die mark toegelaat word. Dit sluit in:

  • Risikobepalings en versagtingstelsels
  • Die handhawing van datastelle van hoë gehalte om risiko en diskriminasie te verminder
  • Aantekening van aktiwiteit om deursigtigheid by resultate te voeg
  • Gedetailleerde dokumentasie van die stelsel en die doel daarvan om met owerhede te deel
  • Duidelike en "voldoende" inligting vir gebruikers
  • "Gepaste" menslike toesig om risiko te verminder 
  • Hoë vlakke van "robuustheid, sekuriteit en akkuraatheid."

 

Sodra 'n stelsel ontwikkel is en 'n ooreenstemmingsbeoordeling geslaag het, sal dit in 'n EU-databasis geregistreer word en 'n CE-merk kry. Korporatiewe gebruikers van KI-modelle moet egter voortdurende menslike toesig en monitering verseker, terwyl verskaffers 'n verpligting het om stelsels te monitor sodra dit op die mark is. Beide belanghebbendes moet ernstige voorvalle en enige wanfunksionering van KI-modelle rapporteer.

Hoe sal die wet Britse firmas beïnvloed?

Die verskil tussen hierdie voornemende regime en die VK s'n is skerp. Volgens aan Edward Machin, 'n senior prokureur in die data-, privaatheid- en kubersekuriteitspan by Ropes & Gray, word beweer dat laasgenoemde meer innovasiegedrewe en pro-besigheid is.

“Anders as die EU, beplan die Britse regering nie om KI-wetgewing in te stel nie, en sal ook nie 'n nuwe KI-reguleerder skep nie. In plaas daarvan sal bestaande agentskappe (bv. ICO, FCA) die raamwerk ondersteun en sektorspesifieke leiding uitreik,” sê hy aan ISMS.online.

"Hoewel die Verenigde Koninkryk ietwat van 'n uitskieter is in sy ligte-aanraking-benadering, is die raamwerk gebaseer op beginsels - sekuriteit, deursigtigheid, regverdigheid, aanspreeklikheid en regstelling - wat gemeen is aan hoe die meeste wetgewers tans oor KI-regulering dink."

Dit is egter onwaarskynlik dat Britse firmas met EU-bedrywighede voordeel sal kan trek uit hierdie ligter benadering, tensy hulle kies om die uiteenlopende nakomingstelsels te ondersteun, wat bykomende bokoste sal meebring.

"As die VK voortgaan om 'n ligter benadering tot regulering as die EU te volg, sal Britse organisasies wat aan die KI-wet onderworpe is, moet besluit of hulle 'n enkele, Europawye benadering tot nakoming moet aanvaar of nie," gaan Machin voort.

“Die alternatief is om afsonderlike prosesse vir die VK en die EU te hê, wat vir baie maatskappye duur, moeilik sal wees om te bedryf en waarskynlik van beperkte kommersiële voordeel sal wees. As ondernemings sekere nakomingsverpligtinge duidelik en maklik volgens geografie kan skei, moet hulle dit natuurlik oorweeg terwyl hulle erken dat hulle in die praktyk ook in ander gevalle aan die hoër EU-standaarde sal moet voldoen.”

Waarvoor om op te let

Natuurlik is die reëls steeds in 'n toestand totdat dit gefinaliseer is. Die Europese Kommissie, lidlande en parlementslede sal in 'n reeks "triloog"-vergaderings vergader om die besonderhede uit te lig. Dit moet byvoorbeeld gesien word hoe generatiewe KI-modelle behandel sal word. Al wat die kommissie tot dusver gesê het is dat hulle deursigtigheidsvereistes sal moet volg en verhinder sal word om "onwettige inhoud" te genereer en kopiereg te skend. Stanford-navorsers het reeds beweer dat baie KI-modelle, insluitend GPT-4, tans nie aan die KI-wet voldoen nie.

Machin voeg by dat ondernemings wat hoërisiko-modelle ontwikkel of gebruik, ook fyn moet dophou oor wat volgende gebeur.

"Daar sal waarskynlik meningsverskille wees oor hoe 'hoërisiko' KI-stelsels gedefinieer word, en besighede sal fyn dophou hoe dit uitskud, gegewe dat grondliggende modelle en tegnologieë wat mense se lewens toenemend beïnvloed (soos in indiensneming en finansiële dienste) sal deur hierdie definisie gevang word,” voer hy aan.

Jonathan Armstrong, 'n vennoot by Cordery, reken dit sal minstens vier maande duur voordat maatskappye die duidelikheid kry waarna hulle soek.

“Die raad wat ons tans aan ons kliënte gee, is om 'n formele assessering te doen, maar dit hoef nie te moeilik te wees nie. Ons het kliënte gehelp om byvoorbeeld hul databeskermingsimpakbeoordelingsproses aan te pas. Dit is 'n goeie basis aangesien dit kyk na sommige van die dinge wat die KI-wet sal aanspreek, soos regverdigheid, deursigtigheid, sekuriteit en reaksie op versoeke,” sê hy aan ISMS.online.  

“Dit sal hulle ook help om die vyf KI-beginsels in die VK [beleidsdokument] te hanteer. Ek dink dit is nie te veel ekstra las vir die meeste organisasies as hulle dit doen nie BBP reg – maar vir sommige is dit ’n groot as.”

 

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!