В опубликованном для публичного обсуждения проекте Закона «Об основах государственного регулирования сфер применения технологий искусственного интеллекта в Российской Федерации» устанавливается для субъектов сферы ИИ ряд прямых и косвенных требований к созданию и ведению документации. Эти требования создают новую административную нагрузку на организации.
Так, статья 10 «Обязанности разработчика модели искусственного интеллекта, оператора системы искусственного интеллекта, владельца сервиса искусственного интеллект, пользователя сервиса искусственного интеллекта» фактически обязывает всех тщательно документировать свою работу с ИИ:
Разработчик модели
1. Разработчик модели искусственного интеллекта обязан обеспечить безопасность созданной модели, включая:
а) исключение функциональных особенностей, способных привести к дискриминации на основе их поведения или личностных характеристик;
б) информировать разработчика системы искусственного интеллекта о невозможности ее использования в запрещенных целях;
в) документировать архитектуру, логику функционирования и ограничения применяемых моделей искусственного интеллекта в объеме, необходимом для ее проверки на соответствие нормативному правовому регулированию, установленному в соответствии с настоящим Федеральным законом;
Мой комментарий: Надеюсь, что «необходимый для проверки» объём будет установлен в подзаконных нормативно-правовых актах, поскольку сама по себе такая формулировка создаёт неопределенность.
Данная норма потребует от разработчика модели создания внутренней технической документации (включающей спецификации, описания алгоритмов, данные о тестировании и т.д.) и обеспечения её сохранности в период использования модели – и, вероятно, в точение определенных сроков после завершения такого использования.
От разработчиков фактически требуется создание доказательной базы для проверки соответствия требованиям закона. Без этих документов сложно будет доказать отсутствие вины. Требование «документировать архитектуру и логику» может вступить в противоречие с необходимостью защиты коммерческой тайны. Если для получения статуса «доверенной модели» необходимо будет раскрывать регулятору ноу-хау, то это может снизить стимулы для частных компаний разрабатывать прорывные решения в сотрудничестве с государством.
г) проводить моделирование потенциальных рисков, связанных с функционированием разрабатываемых технологий искусственного интеллекта, с учетом их предполагаемого применения;
Мой комментарий: Проведение моделирования подразумевает документирование результатов этого моделирования по определенным правилам. Разработчикам придется утвердить регламенты оценки рисков и хранения отчетов по моделированию для каждой разрабатываемой модели.
д) определить порядок обслуживания и контроля параметров функционирования объектов с использованием искусственного интеллекта.
Мой комментарий: Регламентировать этот аспект придётся в локальных нормативных актах. Скорее всего, потребуется создание значительных объемов эксплуатационной документации и регламентов технического обслуживания.
Оператор системы искусственного интеллекта
2. Оператор системы искусственного интеллекта обязан:
а) включить в документацию руководство по безопасной эксплуатации, содержащее указание на недопустимость использования системы для манипуляции поведением и эксплуатации уязвимостей человека;
Мой комментарий: Это означает расширение стандартной эксплуатационной документации посредством включения требований и рекомендаций этического и поведенческого характера.
б) проводить тестирование системы для выявления потенциальных возможностей ее использования в целях, противоречащих законодательству Российской Федерации;
Мой комментарий: Акты и материалы тестирования (включая логи, тестовые наборы, записи результатов) должны будут хранится оператором в течение всего срока эксплуатации системы и определенное время после прекращения её эксплуатации. Отсутствие актов тестирования или наличие в них недостоверных сведений могут рассматриваться как обстоятельство, свидетельствующее о непринятии оператором исчерпывающих мер к предотвращению получения неправомерного результата.
в) предоставление пользователям информации о ее функциональном назначении и ограничениях;
Мой комментарий: Это потребует создание публичной документации, пользовательских соглашений, описаний сервиса и т.д., в т.ч. установления прямого запрета на использование системы для манипуляции поведением и эксплуатации уязвимостей человека, описания порядка действий пользователя при получении недостоверных результатов, признаках взлома, при выявлении дискриминационных решений. Нужно будет сообщить контактные данные, сроки реагирования, определить форму сообщения об инциденте.
г) обеспечивать техническое обслуживание и контроль параметров функционирования объектов с использованием искусственного интеллекта в соответствии с требованиями, установленными владельцем и разработчиком;
д) незамедлительно приостанавливать эксплуатацию объектов с использованием искусственного интеллекта при выявлении угрозы причинения вреда жизни, здоровью граждан, безопасности государства, имуществу физических или юридических лиц, окружающей среде;
е) обеспечивать учет инцидентов, связанных с функционированием объектов с использованием искусственного интеллекта;
Мой комментарий: Это означает ведение журналов регистрации событий (логов), подготовку регламентов действий в случае инцидентов, формирование отчетов по инцидентам и т.д.
ж) назначать ответственных лиц за обеспечение безопасного функционирования объектов с использованием искусственного интеллекта.
Владелец сервиса искусственного интеллекта
3. Владелец сервиса искусственного интеллекта обязан:
а) определить правила доступа к сервису искусственного интеллекта и предусмотреть в них прямой запрет на использование такого сервиса в целях, противоречащих законодательству;
б) принимать меры по недопущению использования сервиса в противоправных целях;
в) информировать пользователей сервиса искусственного интеллекта о том, что они взаимодействуют с системой искусственного интеллекта, за исключением случаев, когда такое обстоятельство очевидно для пользователя исходя из назначения сервиса, характера его функций или условий использования;
д) определить порядок обслуживания и контроля параметров функционирования объектов с использованием искусственного интеллекта;
е) внедрение механизмов, ограничивающих возможность создания с использованием сервиса искусственного интеллекта информационного материала, противоречащего законодательству Российской Федерации.
Мой комментарий: Законопроект требует от участников рынка документировать управление жизненным циклом ИИ. Документы нужны не только для работы, но и для демонстрации регуляторам (ФСТЭК, ФСБ, Минцифры) соответствия требованиям закона («презумпция добросовестности» при доказывании отсутствия вины, ст. 11). Наибольшая нагрузка ляжет на разработчиков и операторов, которым придется создавать «досье» на каждую значимую модель.
Требования к документированию неразрывно связаны со статьей 11 об ответственности. С правовой точки зрения, документация выступает в качестве средства защиты (доказательственной базы), позволяющего заблаговременно подтвердить соблюдение требований и снизить риски привлечения к ответственности
Для того, доказать невозможность использования модели в запрещенных целях разработчику/оператору потребуется целый комплект документов:
- Документирование архитектуры и логики (пп. «в» п. 1 ст. 10) - чтобы доказать, что модель не могла теоретически дать такой результат;
- Документирование тестирования (пп. «б» п. 2 ст. 10) - чтобы доказать, что система проверялась на возможность использования в противоправных целях.
Часть 3 статьи 11 освобождает от ответственности, если субъект «предпринял исчерпывающие меры». На практике это означает наличие комплекта документов, включающего:
- Политики безопасности;
- Акты тестирования;
- Журналы инцидентов;
- Протоколы моделирования рисков (пп. «г» п. 1 ст. 10).
Законопроект трансформирует техническую документацию из в юридический актив. Отсутствие правильно оформленных документов автоматически лишает разработчика права на освобождение от ответственности.
Малый и средний бизнес (кроме гигантов вроде «Сбера» или «Яндекса») может не выдержать тройного согласования документации (Минцифра + ФСТЭК + ФСБ) и ведения сложного документооборота.
Для соблюдения требований закона некоторые компании начнут создавать объемную документацию «для галочки», которая не будет отражать реальные риски модели, но позволит отчитаться перед регулятором.
Источник: Сайт regulation.gov.ru
https://regulation.gov.ru/projects/166424/
Комментариев нет:
Отправить комментарий