พระราชบัญญัติปัญญาประดิษฐ์แห่งสหภาพยุโรป (EU) ฉบับที่ 2024/1689 กำหนดกฎเกณฑ์ที่มีผลผูกพันทางกฎหมายสำหรับระบบ AI ใดๆ ที่วางจำหน่ายในตลาดยุโรป หรือระบบที่ผลลัพธ์เข้าถึงผู้ใช้ในสหภาพยุโรป ทำให้เป็นกฎหมาย AI ฉบับแรกที่อิงความเสี่ยงในแนวนอน ไม่ว่าคุณจะสร้างแบบจำลอง ผสานรวมเครื่องมือจากภายนอก หรือเพียงแค่ใช้งานแชทบอทเพื่อให้บริการลูกค้า พระราชบัญญัติฉบับนี้ก็กำหนดหน้าที่ใหม่และทำให้คุณต้องเสียค่าปรับมหาศาลสูงสุดถึง 7% ของยอดขายทั่วโลกต่อการละเมิดหนึ่งครั้ง มีผลบังคับใช้ตั้งแต่วันที่ 1 สิงหาคม 2024 โดยภาระผูกพันด้านการปฏิบัติตามกฎระเบียบจะเริ่มตั้งแต่เดือนกุมภาพันธ์ 2025 ถึงเดือนสิงหาคม 2027 ซึ่งหมายความว่าเวลาในการเตรียมการมีจำกัด
คู่มือปฏิบัติฉบับนี้จะเจาะลึกศัพท์เฉพาะทางกฎหมายและอธิบายสิ่งที่คุณจำเป็นต้องรู้อย่างชัดเจน ได้แก่ ขอบเขตและคำจำกัดความสำคัญของพระราชบัญญัติ การจำแนกความเสี่ยงสี่ระดับ ระยะเวลาและกลไกการบังคับใช้ ภาระผูกพันที่ชัดเจนสำหรับผู้ให้บริการ ผู้ใช้ ผู้นำเข้า และผู้จัดจำหน่าย และบทลงโทษสำหรับการฝ่าฝืนข้อกำหนด นอกจากนี้ เรายังเชื่อมโยงกฎระเบียบเข้ากับ GDPR, NIS2, กฎความปลอดภัยของผลิตภัณฑ์ และข้อกำหนดเฉพาะภาคส่วน ก่อนที่จะมอบรายการตรวจสอบการปฏิบัติตามข้อกำหนดแบบทีละขั้นตอนที่ทีมวิศวกรรม กฎหมาย และผู้นำสามารถดำเนินการได้ทันที มาเตรียมตัวให้พร้อมก่อนที่ผู้ตรวจสอบจะมาเคาะประตู
ภาพรวม: กฎหมาย AI ของสหภาพยุโรปคืออะไรกันแน่
ข้อบังคับ (EU) 2024/1689 หรือที่รู้จักกันดีในชื่อพระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรป เป็นข้อบังคับของสหภาพยุโรปที่บังคับใช้โดยตรง ไม่ใช่คำสั่ง ซึ่งหมายความว่าบทความในข้อบังคับนี้มีผลโดยอัตโนมัติในทุกประเทศสมาชิกโดยไม่จำเป็นต้องมีการเปลี่ยนแปลงภายในประเทศ เช่นเดียวกับ GDPR ได้ทำในปี 2018 โดยมีเป้าหมายสองประการ คือ การปกป้องสิทธิขั้นพื้นฐานและความปลอดภัย ขณะเดียวกันก็มอบความแน่นอนทางกฎหมายให้กับบริษัทต่างๆ ในการสร้างสรรค์นวัตกรรมด้วย AI อย่างมีความรับผิดชอบ เพื่อให้บรรลุเป้าหมายนี้ พระราชบัญญัติฯ จึงได้นำเสนอชุดเครื่องมือที่ครอบคลุมทุกภาคส่วน ตั้งแต่ภาคการเงินไปจนถึงภาคสาธารณสุข โดยจัดระดับความเสี่ยงของระบบตั้งแต่ระดับ "ต่ำ" ไปจนถึง "ยอมรับไม่ได้" พร้อมกำหนดหน้าที่ตามกฎหมายให้สอดคล้องกัน
ขอบเขตและคำจำกัดความที่คุณจำเป็นต้องรู้
ก่อนที่จะจัดทำแผนปฏิบัติตามข้อกำหนด ควรเรียนรู้คำศัพท์หลักๆ ดังต่อไปนี้:
- ระบบ AI: “ระบบที่ใช้เครื่องจักรซึ่งออกแบบมาให้ทำงานโดยมีระดับความเป็นอิสระที่แตกต่างกัน และสำหรับวัตถุประสงค์ที่ชัดเจนหรือโดยนัย ระบบจะอนุมานจากข้อมูลอินพุตว่าจะสร้างผลลัพธ์ได้อย่างไร เช่น การคาดการณ์ เนื้อหา คำแนะนำ หรือการตัดสินใจ ซึ่งสามารถส่งผลต่อสภาพแวดล้อมทางกายภาพหรือเสมือนจริงได้”
- AI วัตถุประสงค์ทั่วไป (GPAI): ระบบ AI ที่สามารถให้บริการงานที่แตกต่างกันได้หลากหลาย โดยไม่คำนึงว่าจะปรับแต่งหรือปรับใช้ในภายหลังอย่างไร
- ผู้ให้บริการ: บุคคลธรรมดาหรือบุคคลนิติบุคคลที่พัฒนาหรือได้พัฒนาระบบ AI ขึ้นมาโดยมุ่งหวังที่จะนำไปวางตลาดหรือให้บริการภายใต้ชื่อหรือเครื่องหมายการค้าของตนเอง
- ผู้ใช้ (มักเรียกว่า "ผู้ปรับใช้"): บุคคลหรือหน่วยงานที่ใช้ระบบ AI ภายใต้สิทธิอำนาจของตนเอง โดยไม่รวมถึงการใช้งานส่วนตัวที่ไม่ใช่ระดับมืออาชีพ
- ผู้นำเข้า: ภาคีที่ก่อตั้งโดยสหภาพซึ่งวางระบบ AI ที่มีชื่อหรือเครื่องหมายการค้าของนิติบุคคลที่ตั้งอยู่นอกสหภาพลงในตลาดสหภาพยุโรป
- ผู้จัดจำหน่าย: ผู้มีบทบาทในห่วงโซ่อุปทาน—นอกเหนือจากผู้ให้บริการหรือผู้นำเข้า—ที่ทำให้ระบบ AI พร้อมใช้งานโดยไม่ต้องปรับเปลี่ยนระบบ
ขอบเขตอาณาเขตกว้างขวาง: ระบบใดๆ ที่วางจำหน่ายในตลาดสหภาพยุโรป หรือระบบที่มีผลผลิตถูกนำมาใช้ในสหภาพยุโรป ล้วนอยู่ภายใต้พระราชบัญญัตินี้ ไม่ว่าผู้พัฒนาจะอยู่ที่ใด ข้อยกเว้นมีไว้สำหรับการใช้งานทางทหารหรือความมั่นคงแห่งชาติล้วนๆ ต้นแบบวิจัยและพัฒนาที่ยังไม่ได้วางจำหน่าย และโครงการงานอดิเรกส่วนตัว
หลักการสำคัญที่ฝังอยู่ในพระราชบัญญัตินี้
กฎระเบียบดังกล่าวได้นำแนวคิดทางจริยธรรมที่มีมายาวนานมาบังคับใช้เป็นกฎหมาย:
- หน่วยงานและการกำกับดูแลของมนุษย์
- ความแข็งแกร่งทางเทคนิคและความปลอดภัย
- ความเป็นส่วนตัวและการกำกับดูแลข้อมูล
- ความโปร่งใสและอธิบายได้
- ความหลากหลาย การไม่เลือกปฏิบัติ และความเป็นธรรม
- ความเป็นอยู่ที่ดีของสังคมและสิ่งแวดล้อม
สิ่งเหล่านี้สะท้อนหลักการ AI ของ OECD และ “แนวทางจริยธรรมสำหรับสหภาพยุโรปก่อนหน้านี้” AI ที่น่าเชื่อถือ” แต่ตอนนี้มีฟันควบคุมอยู่
กฎระเบียบเทียบกับแนวปฏิบัติกฎหมายอ่อนที่มีอยู่
จนถึงปี 2024 การกำกับดูแล AI ในยุโรปอาศัยกรอบการทำงานแบบสมัครใจ เช่น สนธิสัญญา AI ของสหภาพยุโรป หรือจรรยาบรรณขององค์กร พระราชบัญญัติ AI เปลี่ยนแปลงสถานการณ์: การปฏิบัติตามเป็นข้อบังคับ ตรวจสอบได้ และได้รับการสนับสนุนจาก ค่าปรับสูงถึง 35 ล้านยูโร หรือ 7% ของรายได้ทั่วโลก กล่าวอีกนัยหนึ่ง การประกาศ “AI ที่มีจริยธรรม” ไม่เพียงพออีกต่อไป องค์กรต่างๆ จำเป็นต้องจัดทำการประเมินความสอดคล้อง เครื่องหมาย CE และบันทึกที่ตรวจสอบได้ มิฉะนั้นอาจเสี่ยงต่อการถูกห้ามจากตลาดสหภาพยุโรป
ไทม์ไลน์ สถานะทางกฎหมาย และขั้นตอนการบังคับใช้
พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรป (EU AI Act) เปลี่ยนจากการเสนอเป็นกฎหมายไปสู่กฎหมายที่มีผลผูกพันภายในเวลาเพียงสามปีเศษ ซึ่งรวดเร็วราวแสงเมื่อเทียบกับมาตรฐานของบรัสเซลส์ เนื่องจากเป็นข้อบังคับ บทบัญญัติส่วนใหญ่จึงมีผลบังคับใช้โดยอัตโนมัติทั่วทั้งสหภาพยุโรปโดยไม่มีการเปลี่ยนแปลงระดับชาติ สิ่งที่เปลี่ยนแปลงไปตามกาลเวลาคือพันธะใดที่มีผลบังคับก่อน ตารางเวลาด้านล่างนี้แสดงให้เห็นถึงเหตุการณ์สำคัญทางการเมืองที่นำพาเรามาถึงจุดนี้ได้ และกำหนดขั้นตอนสำหรับการปฏิบัติตามกฎระเบียบที่องค์กรของคุณต้องปฏิบัติตาม
| วันที่ | ขั้น | อย่างมีนัยสำคัญ |
|---|---|---|
| 21 เมษายน 2021 | คณะกรรมาธิการฯ เผยแพร่ร่าง พ.ร.บ. ปัญญาประดิษฐ์ | การเริ่มต้นกระบวนการนิติบัญญัติอย่างเป็นทางการ |
| 9 ธ.ค. 2023 | รัฐสภาและสภาบรรลุข้อตกลงทางการเมือง | ข้อความหลักถูกล็อคเป็นส่วนใหญ่ |
| 13 2024 Mar | การลงคะแนนขั้นสุดท้ายของรัฐสภายุโรป (523-46) | ได้รับการรับรองจากพรรคเดโมแครต |
| 21 พฤษภาคม 2024 | สภาแห่งสหภาพยุโรปรับรอง | อุปสรรคทางกฎหมายสุดท้ายผ่านพ้นไปแล้ว |
| 10 2024 กรกฎาคม | ข้อความที่ตีพิมพ์ในวารสารราชกิจจานุเบกษา | เริ่มนับถอยหลังทางกฎหมาย |
| 1 2024 สิงหาคม | ข้อบังคับ (EU) 2024/1689 มีผลบังคับใช้ | “วัน 0” สำหรับกำหนดส่งในอนาคตทั้งหมด |
วันที่มีผลบังคับใช้จะกระตุ้นให้มีการกำหนดวันยื่นคำขอแบบสลับกัน กระจายไปตลอดสามปี การออกแบบนี้ช่วยให้ผู้ให้บริการ ผู้ใช้ ผู้นำเข้า และผู้จัดจำหน่ายมีเวลาในการพัฒนากระบวนการรับรองมาตรฐาน ปรับปรุงรูปแบบ และฝึกอบรมพนักงาน อย่างไรก็ตาม นั่นหมายความว่าผู้ตรวจสอบจะคาดหวังความคืบหน้าที่ชัดเจนก่อนปี 2027 อีกด้วย
แผนงานการบังคับใช้: อะไรใช้เมื่อใด
- 6 เดือน | 1 กุมภาพันธ์ 2025
- แนวทางปฏิบัติด้าน AI ต้องห้าม (มาตรา 5) จะต้องถูกปิดตลาดโดยไม่มีข้อแก้ตัว
- 12 เดือน | 1 ส.ค. 2025
- หน้าที่ด้านความโปร่งใสสำหรับดีปเฟก แชทบอท และการจดจำอารมณ์เริ่มมีผลบังคับใช้
- หลักปฏิบัติสำหรับ AI วัตถุประสงค์ทั่วไป (GPAI) คาดว่าจะมี แต่เป็นแบบสมัครใจแต่ขอแนะนำอย่างยิ่ง
- 24 เดือน | 1 ส.ค. 2026
- ข้อกำหนดของระบบที่มีความเสี่ยงสูงเริ่มต้น: การจัดการความเสี่ยง การกำกับดูแลข้อมูล เอกสารทางเทคนิค การดูแลโดยบุคลากร และการเตรียมการเครื่องหมาย CE
- ผู้ให้บริการจะต้องลงทะเบียนระบบที่มีความเสี่ยงสูงในฐานข้อมูล EU ใหม่
- 36 เดือน | 1 ส.ค. 2027
- มีการใช้ระบบเต็มรูปแบบ รวมถึงระบบระบุข้อมูลทางชีวภาพ การประเมินความสอดคล้องของหน่วยงานที่ได้รับแจ้ง และการประกาศความสอดคล้องของสหภาพยุโรปที่บังคับใช้สำหรับ AI ที่มีความเสี่ยงสูงทั้งหมด
- เจ้าหน้าที่เฝ้าระวังตลาด ได้รับอำนาจในการสั่งเรียกคืนหรือถอนสินค้าที่ไม่เป็นไปตามข้อกำหนด
ข้อกำหนดการเปลี่ยนผ่านอนุญาตให้ระบบที่มีความเสี่ยงสูงซึ่งใช้งานอย่างถูกกฎหมายอยู่แล้วก่อนเดือนสิงหาคม พ.ศ. 2026 สามารถคงอยู่ในตลาดได้จนกว่าจะมี "การปรับเปลี่ยนที่สำคัญ" วางแผนการอัปเกรดอย่างรอบคอบเพื่อหลีกเลี่ยงการรีเซ็ตนาฬิกาการปฏิบัติตามข้อกำหนดโดยไม่ได้ตั้งใจ
สถาบันและหน่วยงานกำกับดูแล
การกำกับดูแลสามชั้นบังคับใช้พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรป:
- สำนักงาน AI ของสหภาพยุโรป (คณะกรรมาธิการยุโรป) – ประสานงานคำแนะนำ บำรุงรักษาทะเบียน GPAI และสามารถปรับผู้ให้บริการโมเดลระบบได้
- เจ้าหน้าที่ผู้มีอำนาจแห่งชาติ – หนึ่งแห่งต่อรัฐสมาชิกหนึ่งแห่ง รับผิดชอบการตรวจสอบ การร้องเรียน และการเฝ้าระวังตลาดในแต่ละวัน
- หน่วยงานที่ได้รับแจ้ง – องค์กรประเมินความสอดคล้องอิสระที่ตรวจสอบระบบที่มีความเสี่ยงสูงก่อนการติดเครื่องหมาย CE
นักแสดงเหล่านี้ทำงานร่วมกันผ่าน คณะกรรมการปัญญาประดิษฐ์แห่งยุโรป (EAIB)ซึ่งออกบันทึกการตีความที่สอดคล้อง เปรียบเสมือน AI ที่เทียบเท่ากับ EDPB ของ GDPR หมั่นติดตามคำแนะนำของ AI เพราะจะเป็นตัวกำหนดวิธีการประเมินไฟล์ทางเทคนิคและการประเมินความเสี่ยงของคุณในทางปฏิบัติ
กรอบการจำแนกความเสี่ยงสี่ระดับ
หัวใจสำคัญของพระราชบัญญัติปัญญาประดิษฐ์แห่งสหภาพยุโรป (AI Act) คือแบบจำลองสัญญาณไฟจราจรที่กำหนดว่ากฎระเบียบมีความเข้มงวดเพียงใด ยิ่งความเสี่ยงต่อสิทธิและความปลอดภัยของประชาชนสูงเท่าใด ภาระการปฏิบัติตามกฎระเบียบก็ยิ่งมากขึ้นเท่านั้น ระบบ AI ทุกระบบต้องถูกจัดอยู่ในหนึ่งในสี่ระดับ ได้แก่ ระดับที่ยอมรับไม่ได้ ระดับที่สูง ระดับที่จำกัด และระดับที่น้อยที่สุด การจัดประเภทนี้เป็นตัวกำหนดทุกสิ่งทุกอย่าง ได้แก่ ความลึกของเอกสาร ความเข้มงวดในการทดสอบ การกำกับดูแล และท้ายที่สุดคือการเข้าถึงตลาด
| ระดับความเสี่ยง | ตัวอย่างทั่วไป | ผลทางกฎหมายที่สำคัญ | วันที่สมัครครั้งแรก* |
|---|---|---|---|
| รับไม่ได้ | การให้คะแนนทางสังคม การระบุข้อมูลทางชีวมาตรแบบเรียลไทม์ในพื้นที่สาธารณะ เครื่องมือ "กระตุ้น" ที่หลอกลวง | ห้ามทั้งหมด ถอนและปรับสูงสุด 35 ล้านยูโร / 7% | 1 2025 กุมภาพันธ์ |
| จุดสูง | เครื่องมือคัดกรอง CV, ซอฟต์แวร์วินิจฉัยทางการแพทย์, การให้คะแนนความน่าเชื่อถือทางเครดิต, โมดูลการขับขี่อัตโนมัติ | การประเมินความสอดคล้อง การติดเครื่องหมาย CE การขึ้นทะเบียน การติดตามหลังการตลาด | 1 ส.ค. 2026 (ไบโอเมตริกซ์: 1 ส.ค. 2027) |
| ถูก จำกัด | แชทบอท เครื่องสร้างดีปเฟก วิดเจ็ตวิเคราะห์อารมณ์ | ประกาศความโปร่งใสและการควบคุมผู้ใช้ขั้นพื้นฐาน | 1 2025 สิงหาคม |
| ต่ำสุด | ตัวกรองสแปมที่ขับเคลื่อนด้วย AI, NPC ในวิดีโอเกม | ไม่มีกฎบังคับ มีเพียงกฎสมัครใจเท่านั้น | มีผลบังคับใช้แล้ว |
* คำนวณจากวันที่เริ่มใช้บังคับ 1 ส.ค. 2024
กรอบงานเป็นแบบไดนามิก: หากคุณเพิ่มคุณลักษณะใหม่หรือเปลี่ยนผู้ใช้เป้าหมาย ระบบของคุณอาจข้ามระดับ ส่งผลให้เกิดหน้าที่ใหม่ๆ
ความเสี่ยงที่ยอมรับไม่ได้: การปฏิบัติด้าน AI ที่ถูกห้าม
มาตรา 5 กำหนดเส้นแบ่งภายใต้การใช้งานที่สหภาพยุโรปพิจารณาว่าขัดต่อสิทธิขั้นพื้นฐานโดยเนื้อแท้ ซึ่งรวมถึง:
- เทคนิคทางจิตใต้สำนึกที่บิดเบือนพฤติกรรมในทางวัตถุ
- การใช้ประโยชน์จากจุดอ่อนของผู้เยาว์หรือผู้พิการ
- เรียลไทม์แบบไม่เลือกปฏิบัติ การระบุไบโอเมตริกซ์ ในพื้นที่สาธารณะที่สามารถเข้าถึงได้ (ใช้การยกเว้นการบังคับใช้กฎหมายที่เข้มงวด)
- การให้คะแนนทางสังคมโดยหน่วยงานของรัฐ
- การคาดการณ์การบังคับใช้กฎหมายโดยอาศัยข้อมูลโปรไฟล์หรือตำแหน่งที่ตั้งเท่านั้น
ระบบดังกล่าวจะต้องไม่เข้าสู่ตลาดสหภาพยุโรป หน่วยงานระดับชาติสามารถสั่งเรียกคืนได้ทันที และบทลงโทษจะรุนแรงกว่ากฎหมายกำหนด
ระบบ AI ที่มีความเสี่ยงสูง: หมวดหมู่ภาคผนวก III
ระบบจะเข้าสู่กลุ่มความเสี่ยงสูงหากเป็นอย่างใดอย่างหนึ่งต่อไปนี้:
- ส่วนประกอบด้านความปลอดภัยของผลิตภัณฑ์ที่ได้รับการควบคุมแล้ว (เช่น ภายใต้กฎระเบียบเครื่องจักรหรืออุปกรณ์ทางการแพทย์) หรือ
- ระบุไว้ในโดเมนที่ละเอียดอ่อน 8 ประการของภาคผนวก III ได้แก่ ข้อมูลชีวภาพ โครงสร้างพื้นฐานที่สำคัญ การศึกษา การจ้าง, บริการที่จำเป็น, การบังคับใช้กฎหมายการอพยพ และความยุติธรรม
เมื่อถูกจัดประเภทว่ามีความเสี่ยงสูง ผู้ให้บริการจะต้องดำเนินการระบบการจัดการคุณภาพ ดำเนินวงจรการจัดการความเสี่ยง และดำเนินการประเมินความสอดคล้อง ซึ่งบางครั้งอาจดำเนินการผ่านหน่วยงานภายนอกที่ได้รับแจ้ง ผู้ใช้ (ผู้ปรับใช้) จะได้รับหน้าที่ในการบันทึกข้อมูล การกำกับดูแล และการรายงานเหตุการณ์
ความเสี่ยงจำกัด: ภาระผูกพันด้านความโปร่งใส
เครื่องมือที่มีความเสี่ยงจำกัดนั้นไม่เป็นอันตราย แต่สหภาพยุโรปเชื่อว่าการรับรู้ของผู้ใช้จะช่วยลดอันตรายส่วนใหญ่ได้ ผู้สร้างแชทบอท เอ็นจิ้นศิลปะ AI เชิงสร้างสรรค์ หรือบริการเสียงสังเคราะห์ต้อง:
- แจ้งให้ผู้ใช้ทราบว่าพวกเขากำลังโต้ตอบกับ AI (“ภาพนี้สร้างโดย AI”)
- เปิดเผยเนื้อหา Deepfake ในลายน้ำที่อ่านได้ด้วยเครื่อง
- งดเว้นการเก็บข้อมูลส่วนบุคคลอย่างลับๆ เกินกว่าที่จำเป็นอย่างเคร่งครัด
หากไม่แจ้งให้ทราบ ระบบจะลดระดับลงไปสู่ระดับที่ไม่เป็นไปตามข้อกำหนดและอาจได้รับค่าปรับทางปกครอง
ความเสี่ยงน้อยที่สุด/เล็กน้อย: ไม่มีกฎบังคับ
โดยทั่วไปแล้ว ตัวกรองสแปม ข้อความคาดการณ์ในอีเมล หรือ AI ที่ปรับการใช้พลังงานในระบบ HVAC ให้เหมาะสมที่สุด พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรป (AI Act) ไม่ได้กำหนดข้อผูกมัดที่เข้มงวด แต่ส่งเสริมให้มีการปฏิบัติตามกฎเกณฑ์โดยสมัครใจ แซนด์บ็อกซ์ของหน่วยงานกำกับดูแล และการปฏิบัติตามมาตรฐานสากล เช่น ISO/IEC 42001 อย่างจริงจัง การเก็บเอกสารประกอบแบบเบาๆ และการทดสอบอคติขั้นพื้นฐานยังคงเป็นแนวทางที่ชาญฉลาด หน่วยงานกำกับดูแลสามารถจัดประเภทกรณีที่อยู่ในข่ายเสี่ยงใหม่ได้ หากมีหลักฐานบ่งชี้ถึงอันตราย
ภาระผูกพันหลักสำหรับผู้ให้บริการ ผู้ปรับใช้ และผู้ดำเนินการอื่น ๆ
พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรป (EU Artificial Intelligence Act) กระจายหน้าที่ในการปฏิบัติตามกฎระเบียบให้ครอบคลุมห่วงโซ่อุปทานทั้งหมด เนื่องจากความรับผิดชอบขึ้นอยู่กับหน้าที่ ไม่ใช่ขนาดของบริษัท คุณจึงต้องพิจารณาบทบาทหน้าที่ของตนเองก่อน ไม่ว่าจะเป็นผู้ให้บริการ ผู้ใช้ (ผู้วางระบบ) ผู้นำเข้า หรือผู้จัดจำหน่าย จากนั้นจึงค่อยกำหนดข้อกำหนดเฉพาะความเสี่ยงเพิ่มเติม การจำแนกประเภทที่ไม่ถูกต้องเป็นข้อค้นพบที่พบได้บ่อยในการตรวจสอบ ดังนั้น ให้ถือว่าแบบฝึกหัดการทำแผนที่เป็นขั้นตอนที่ศูนย์ของโปรแกรมของคุณ
ผู้ให้บริการระบบความเสี่ยงสูง
ผู้ให้บริการต้องแบกรับภาระหนักที่สุด เพราะพวกเขาควบคุมการตัดสินใจด้านการออกแบบ งานสำคัญ:
- จัดทำระบบการจัดการคุณภาพ (QMS) ที่มีเอกสารครอบคลุมถึงการกำกับดูแลข้อมูล การจัดการความเสี่ยง การควบคุมการเปลี่ยนแปลง และความปลอดภัยทางไซเบอร์
- ดำเนินการประเมินความสอดคล้องก่อนกำหนด ระบบ Annex III ส่วนใหญ่สามารถประเมินตนเองได้ แต่การระบุตัวตนด้วยชีวมาตร อุปกรณ์การแพทย์ และกรณีการใช้งานที่สำคัญด้านความปลอดภัยอื่นๆ จำเป็นต้องมีหน่วยงานที่ได้รับแจ้ง
- รวบรวมเอกสารทางเทคนิค: สถาปัตยกรรมแบบจำลอง ลำดับข้อมูลการฝึกอบรม เมตริกการประเมิน การทดสอบความทนทาน กลไกการกำกับดูแลโดยมนุษย์ และแผนการตรวจสอบหลังการตลาด
- ร่างคำประกาศความสอดคล้องของสหภาพยุโรป ติดเครื่องหมาย CE และลงทะเบียนระบบในฐานข้อมูล AI สาธารณะก่อนการปรับใช้ครั้งแรก
- จัดทำการตรวจสอบหลังการตลาดอย่างต่อเนื่อง: บันทึกเหตุการณ์ร้ายแรง ฝึกอบรมใหม่เมื่อเกินขีดจำกัด และแจ้งหน่วยงานที่มีอำนาจภายใน 15 วัน
การละเลยขั้นตอนใดๆ เหล่านี้อาจทำให้ต้องเสียค่าปรับสูงถึง 15 ล้านยูโรหรือ 3% ของยอดขายทั่วโลก แม้ว่าจะไม่มีอันตรายเกิดขึ้นก็ตาม
ผู้ใช้/ผู้ติดตั้งระบบที่มีความเสี่ยงสูง
ผู้ปรับใช้จะแปลงโค้ดให้มีผลกระทบต่อโลกแห่งความเป็นจริง ดังนั้น พระราชบัญญัติจึงได้จัดให้มีรายการตรวจสอบของตนเอง:
- ใช้งานระบบอย่างเคร่งครัดตามคำแนะนำของผู้ให้บริการและกรณีการใช้งานที่บันทึกไว้
- ดำเนินการประเมินผลกระทบต่อสิทธิขั้นพื้นฐาน (FRIA) เมื่อผู้ใช้เป็นหน่วยงานของรัฐหรือเมื่อ AI มีอิทธิพลต่อการเข้าถึงบริการที่จำเป็น เช่น ที่อยู่อาศัยหรือสินเชื่อ
- รับประกันการกำกับดูแลบุคลากรที่มีคุณสมบัติ: เจ้าหน้าที่จะต้องได้รับการฝึกอบรม มีอำนาจในการควบคุมผลลัพธ์ และสามารถอธิบายการตัดสินใจให้บุคคลที่ได้รับผลกระทบทราบได้
- รักษาบันทึกไว้อย่างน้อยหกปี รวมถึงข้อมูลอินพุต เอาท์พุต การแทรกแซงของมนุษย์ และความผิดปกติของประสิทธิภาพ
- รายงานเหตุการณ์ร้ายแรงให้ผู้ให้บริการและหน่วยงานระดับชาติทราบโดยไม่ “ล่าช้าเกินควร” โดยทั่วไปจะตีความว่าเป็นเวลา 72 ชั่วโมง
ผู้นำเข้าและผู้จัดจำหน่าย
ผู้ที่แสดงหรือส่งต่อระบบ AI ในสหภาพยุโรปมีหน้าที่ดูแลประตู:
- ตรวจสอบว่าเครื่องหมาย CE คำประกาศความสอดคล้องของสหภาพยุโรป และคำแนะนำมีอยู่และตรงกับฟังก์ชันการทำงานที่วางตลาด
- หลีกเลี่ยงการจัดหาผลิตภัณฑ์หากพวกเขารู้หรือควรจะรู้ว่าผลิตภัณฑ์นั้นไม่เป็นไปตามข้อกำหนด แต่ให้แจ้งให้ผู้ให้บริการและหน่วยงานที่มีอำนาจทราบแทน
- จัดทำทะเบียนการร้องเรียนและการเรียกคืนสินค้า และส่งให้หน่วยงานที่เกี่ยวข้องเข้าถึงได้เมื่อมีการร้องขอ
- ร่วมมือกันในการดำเนินการแก้ไข รวมถึงการถอนผลิตภัณฑ์หรือแพตช์ซอฟต์แวร์
ภาระผูกพันของ AI วัตถุประสงค์ทั่วไป (โมเดลพื้นฐาน)
พระราชบัญญัติดังกล่าวเพิ่มกฎเกณฑ์เฉพาะสำหรับผู้สร้าง GPAI หรือโมเดลมูลนิธิที่สามารถฝังไว้ที่ใดก็ได้:
- จัดทำเอกสารทางเทคนิคที่ครอบคลุมและสรุปชุดข้อมูลที่ใช้ รวมถึงสถานะใบอนุญาตและแหล่งที่มาทางภูมิศาสตร์
- เผยแพร่แถลงการณ์ของ การปฏิบัติตามลิขสิทธิ์ และหากเป็นไปได้ ให้ใช้กลไกการยกเลิกการสมัครสำหรับงานที่ได้รับการคุ้มครอง
- ดำเนินการและบันทึกการทดสอบความเสี่ยงเชิงระบบ หากแบบจำลองมีค่าเกินเกณฑ์การคำนวณในภาคผนวก XI (คิดเป็น 10^25 FLOPs) มีหน้าที่เพิ่มเติมสำหรับ "GPAI เชิงระบบ" เช่น การนำเสนอการใช้งานอ้างอิง และการร่วมมือกับสำนักงาน AI ของสหภาพยุโรป
- โมเดลโอเพนซอร์สมีภาระผูกพันในการสัมผัสที่เบากว่า แต่ยังคงต้องใส่ลายน้ำในเนื้อหาที่สร้างขึ้นและให้คำแนะนำการใช้งานโดยละเอียดเกี่ยวกับข้อจำกัดที่คาดการณ์ได้
การจัดแนวการควบคุมภายในของคุณให้สอดคล้องกับรายการตรวจสอบเฉพาะบทบาทข้างต้น จะทำให้คุณสามารถปิดช่องว่างการปฏิบัติตามกฎระเบียบที่เห็นได้ชัดเจนที่สุดได้นานก่อนถึงกำหนดเส้นตายการบังคับใช้ในเดือนสิงหาคม 2026 และ 2027
ข้อกำหนดทางเทคนิคและองค์กรเพื่อให้บรรลุการปฏิบัติตาม
พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรปไม่ได้กำหนดพิมพ์เขียวแบบเดียวที่ใช้ได้กับทุกกรณี แต่กลับกำหนด “ข้อกำหนดสำคัญ” ที่มุ่งเน้นผลลัพธ์ และให้อิสระในการเลือกมาตรการควบคุมที่พิสูจน์ข้อกำหนดเหล่านั้น เคล็ดลับคือการผสมผสานแนวปฏิบัติทางวิศวกรรมที่ดีเข้ากับกฎระเบียบด้านสุขอนามัย เพื่อให้การอัปเดตแบบจำลองหรือการรีเฟรชข้อมูลทุกครั้งจะเข้าสู่ระบบการปฏิบัติตามกฎระเบียบที่ทำซ้ำได้โดยอัตโนมัติ องค์ประกอบทั้งห้าประการด้านล่างนี้จะแปลงบทความทางกฎหมายของพระราชบัญญัติให้เป็นงานที่เป็นรูปธรรมที่ทีมผลิตภัณฑ์ ข้อมูล และกฎหมายของคุณสามารถเป็นเจ้าของได้
การกำกับดูแลและการจัดการข้อมูล
ข้อมูลที่ไม่ดีเท่ากับคริปโตไนต์ของกฎระเบียบ มาตรา 10 บังคับให้ผู้ให้บริการ AI ที่มีความเสี่ยงสูงต้องบันทึกและพิสูจน์ความถูกต้องของทุกไบต์ที่เข้าสู่ระบบ
- คัดสรรชุดข้อมูลที่ เกี่ยวข้อง เป็นตัวแทน ปราศจากข้อผิดพลาด และทันสมัย สำหรับประชากรเป้าหมาย
- จัดทำ "แผ่นข้อมูล" สำหรับแต่ละคอร์ปัส ได้แก่ แหล่งที่มา วันที่รวบรวม เงื่อนไขการอนุญาต ขั้นตอนก่อนการประมวลผล การตรวจสอบอคติ และระยะเวลาการเก็บรักษา
- ติดตามลำดับวงศ์ตระกูลในที่เก็บข้อมูลที่มีการควบคุมเวอร์ชันเพื่อให้คุณสามารถย้อนกลับได้หากผู้มีอำนาจต้องการการแก้ไข
- ดำเนินการทดสอบอคติและความไม่สมดุลโดยใช้วิธีการทางสถิติที่ถูกต้อง (
χ²,KS-testหรือเมตริกความยุติธรรมที่ไม่ขึ้นอยู่กับโมเดล) และการดำเนินการบรรเทาผลกระทบบันทึก
รักษาเส้นทางทั้งหมด—ข้อมูลดิบ สคริปต์ ผลการทดสอบ—ให้เข้าถึงได้ 10 ปี; หน้าต่างมองย้อนหลังของพระราชบัญญัตินั้นยาวนาน
กรอบการบริหารความเสี่ยง
มาตรา 9 กำหนดให้ต้องมี กระบวนการต่อเนื่องและมีเอกสารประกอบ ที่สะท้อนถึง ISO 31000 และร่าง ISO/IEC 23894
- ระบุอันตราย: สถานการณ์การใช้งานในทางที่ผิด การโจมตีเชิงต่อต้าน การดริฟท์ของข้อมูล
- วิเคราะห์ผลกระทบและความน่าจะเป็น ให้คะแนนตามมาตราส่วนทั่วไป (เช่น
risk = probability × severity). - ตัดสินใจควบคุม: การป้องกันทางเทคนิค การกำกับดูแลโดยมนุษย์ ข้อจำกัดตามสัญญา
- ตรวจสอบการควบคุมหลังจากการอัปเดตหลักแต่ละครั้ง และส่งข้อมูลไปยังสปรินต์ถัดไป
จัดเก็บทุกอย่างไว้ในทะเบียนความเสี่ยงที่มีชีวิต หน่วยงานกำกับดูแลคาดหวังว่าจะเห็นข้อมูลประทับเวลา เจ้าของ และหลักฐานการปิดบัญชี
การกำกับดูแลโดยมนุษย์และความโปร่งใสโดยการออกแบบ
บทความที่ 14 และ 52 แปลงการพูดคุยแบบ “มนุษย์ร่วมวง” ให้เป็นงานออกแบบที่บังคับ
- กำหนดโหมดการกำกับดูแล: ในวงจร (การอนุมัติด้วยตนเอง) อยู่ในวงจร (การแจ้งเตือนแบบเรียลไทม์) หรือ โอเวอร์เดอะลูป (การตรวจสอบภายหลัง)
- ฝังเลเยอร์ความสามารถในการอธิบาย: แผนผังความโดดเด่น ตัวอย่างข้อเท็จจริงที่เป็นไปไม่ได้ กฎการตัดสินใจที่เรียบง่าย
- ให้ตัวเลือกการแทนที่และสำรองที่ทั้งสอง ใช้งานได้ทางเทคนิค และ ได้รับอนุญาตจากองค์กร.
- เสนอคำเตือนแก่ผู้ใช้ด้วยภาษาธรรมดา (“คุณกำลังโต้ตอบกับระบบ AI”) และเปิดเผยคะแนนความเชื่อมั่นหากเป็นไปได้
ความแข็งแกร่ง ความแม่นยำ และความปลอดภัยทางไซเบอร์
ภายใต้มาตรา 15 โมเดลจะต้องอยู่ในอัตราข้อผิดพลาดตามที่ประกาศไว้และต้านทานการแทรกแซงที่เป็นอันตราย
- กำหนดเกณฑ์ประสิทธิภาพขั้นต่ำ ตรวจสอบความถูกต้อง ความแม่นยำ การเรียกคืน และการดริฟต์ของการสอบเทียบในการผลิต
- ดำเนินการทดสอบความยืดหยุ่นในการต่อต้าน (FGSM, PGD, การวางยาพิษข้อมูล) ก่อนการเผยแพร่แต่ละครั้ง
- เสริมสร้างโครงสร้างพื้นฐานให้สอดคล้องกับ NIS2 และ ETSI EN 303 645: API ที่ปลอดภัย การเข้าถึงตามบทบาท จุดตรวจสอบโมเดลที่เข้ารหัส
- เตรียมแผนสำรอง—ค่าเริ่มต้นโหมดปลอดภัย การเพิ่มการตรวจสอบโดยมนุษย์—เมื่อประสิทธิภาพลดลงต่ำกว่าแถบความคลาดเคลื่อน
การบันทึกข้อมูล การบันทึกข้อมูล และเอกสาร CE
หากไม่ได้เขียนบันทึกไว้ ก็แสดงว่าสิ่งนั้นไม่เคยเกิดขึ้น ซึ่งเป็นหลักการที่กลายเป็นกฎหมายในมาตรา 11 และ 19
| เอกสาร | เนื้อหาสำคัญ | การเก็บรักษา |
|---|---|---|
| ไฟล์ทางเทคนิค | สถาปัตยกรรมแบบจำลอง สรุปข้อมูลการฝึกอบรม เมตริกการประเมิน การควบคุมความปลอดภัยทางไซเบอร์ | วงจรชีวิต + 10 ปี |
| ท่อน | อินพุต เอาท์พุต เหตุการณ์การแทนที่ สถิติประสิทธิภาพ เหตุการณ์ | ≥ 6 ปี |
| คำประกาศความสอดคล้องของสหภาพยุโรป | คำชี้แจงความสอดคล้อง มาตรฐานที่ใช้ รายละเอียดผู้ให้บริการ | เปิดเผยต่อสาธารณะ |
| แผนการตรวจสอบหลังการตลาด | KPI, ช่องทางการรายงาน, เกณฑ์การกระตุ้น | อัพเดทอย่างต่อเนื่อง |
จัดเก็บบันทึกอัตโนมัติหากเป็นไปได้ ใช้ระบบจัดเก็บข้อมูลที่ไม่เปลี่ยนแปลงหรือบัญชีแยกประเภทแบบผนวกเท่านั้น เพื่อให้หลักฐานผ่านการตรวจสอบทางนิติวิทยาศาสตร์ เมื่อเอกสารเสร็จสมบูรณ์แล้ว ให้แนบ เครื่องหมาย CE และส่งระบบไปยังฐานข้อมูลของสหภาพยุโรป—เมื่อนั้นระบบจึงจะเข้าสู่ตลาดได้
การเชื่อมโยงการควบคุมทางเทคนิคและองค์กรเหล่านี้เข้ากับวงจรชีวิตการพัฒนาของคุณ จะช่วยเปลี่ยนการปฏิบัติตามข้อกำหนดจากการดำเนินการแบบเร่งรีบในนาทีสุดท้ายให้กลายเป็นความสามารถที่พร้อมทำงานตลอดเวลา ซึ่งผู้ตรวจสอบจะรับรู้และให้รางวัล
บทลงโทษ การเยียวยา และการเปิดเผยการดำเนินคดี
พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรปไม่ได้อาศัยการกระตุ้นเตือนอย่างสุภาพ แต่กลับใช้อำนาจที่ใหญ่พอที่จะทำให้ผู้บริหารสะดุ้ง มาตรการคว่ำบาตรทางการเงินสะท้อนถึงขอบเขตของ GDPR แต่พระราชบัญญัตินี้ยังให้อำนาจแก่หน่วยงานที่เกี่ยวข้องในการดำเนินการ ดึงผลิตภัณฑ์ออกจากชั้นวาง การลบข้อมูลคำสั่งซื้อ หรือการฝึกอบรมแบบจำลองใหม่ หากความเสี่ยงยังคงไม่บรรเทา ค่าปรับจะถูกจำกัดตามจำนวนที่สูงกว่า ไม่ว่าจะเป็นจำนวนเงินยูโรที่แน่นอน หรือคิดเป็นเปอร์เซ็นต์ของยอดขายทั่วโลกในปีก่อนหน้า ดังนั้นแม้แต่สตาร์ทอัพที่เพิ่งเริ่มต้นก็ยังสามารถหลีกเลี่ยงความประมาทได้ ตารางด้านล่างนี้สรุประดับชั้นที่ได้รับอนุญาต:
| ประเภทการละเมิด | ค่าปรับคงที่สูงสุด | % สูงสุดของยอดขายทั่วโลก | ทริกเกอร์ทั่วไป |
|---|---|---|---|
| การปฏิบัติที่ต้องห้าม (มาตรา 5) | €35 ล้าน | 7% | การให้คะแนนทางสังคม การเฝ้าระวังข้อมูลชีวภาพที่ผิดกฎหมาย |
| ภาระผูกพันที่มีความเสี่ยงสูง (มาตรา 8–15) | €15 ล้าน | 3% | การประเมินความสอดคล้องที่ขาดหายไป การกำกับดูแลข้อมูลที่มีข้อบกพร่อง |
| ความล้มเหลวของข้อมูลและการลงทะเบียน | €7.5 ล้าน | 1% | เอกสารทางเทคนิคที่ไม่ถูกต้อง การรายงานเหตุการณ์ล่าช้า |
| ประกาศการไม่ปฏิบัติตามข้อกำหนดเป็นประจำ | € 500K | N / A | การละเมิดเล็กน้อยหลังจากได้รับคำเตือน |
หน่วยงานกำกับดูแลสามารถกำหนดค่าปรับรายวันเพื่อเร่งรัดการแก้ไขได้ ผลิตภัณฑ์ที่ยังคงก่อให้เกิด “ความเสี่ยงร้ายแรง” จะต้องถูกบังคับ การเรียกคืนหรือการถอนตัวออกจากตลาด— ความเสียหายต่อชื่อเสียงที่แผนประชาสัมพันธ์ไม่สามารถปกปิดได้
การลงโทษทางปกครองเทียบกับความรับผิดทางแพ่ง
ค่าปรับตามกฎระเบียบไม่ใช่จุดจบของเรื่อง คำสั่ง AI Liability Directive (AILD) และคำสั่ง Product Liability Directive (PLD) ฉบับปรับปรุงใหม่ จะเปิดทางคู่ขนานสำหรับ การเรียกร้องค่าเสียหายส่วนบุคคลเหยื่อที่ได้รับบาดเจ็บจากการตัดสินใจของ AI จะได้รับ:
- A สมมติฐานเชิงเหตุและผลที่หักล้างได้ เมื่อผู้ให้บริการละเมิดหน้าที่ตามกฎหมาย AI ทำให้ภาระในการพิสูจน์ลดลง
- สิทธิในการเปิดเผยข้อมูลที่ขยายออกไป โดยให้โจทก์ร้องขอบันทึกและการประเมินความเสี่ยง ซึ่งปกติแล้วจะอยู่ในองค์กร
- มีกฎเกณฑ์ที่สอดคล้องกันทั่วทั้งประเทศสมาชิก แต่กฎหมายละเมิดของชาติอาจยังกำหนดมาตรฐานที่เข้มงวดยิ่งขึ้น (เช่น หลักคำสอนการกระทำผิดกฎหมายของเนเธอร์แลนด์)
ด้วยเหตุนี้ บริษัทต่างๆ อาจต้องเผชิญกับการถูกปรับเป็นเงินหลายล้านยูโรตามมาด้วยการดำเนินคดีทางแพ่งแบบกลุ่ม โดยเฉพาะในด้านต่างๆ เช่น การปฏิเสธสินเชื่อหรือการจ้างงานที่เลือกปฏิบัติ
กลไกการเยียวยาและการคุ้มครองผู้แจ้งเบาะแส
บุคคลและองค์กรพัฒนาเอกชนสามารถยื่นเรื่องร้องเรียนโดยตรงกับ หน่วยงานที่มีอำนาจหน้าที่ระดับชาติ หรือสำนักงาน AI ของสหภาพยุโรป หน่วยงานที่เกี่ยวข้องต้องดำเนินการสอบสวนภายใน “ระยะเวลาอันสมควร” และสามารถออกมาตรการชั่วคราว รวมถึงคำสั่งระงับการดำเนินการได้ ผู้ที่ได้รับผลกระทบยังคงมีสิทธิในการเยียวยาทางกฎหมาย เช่น คำสั่งคุ้มครองชั่วคราว คดีความเกี่ยวกับค่าชดเชย และการอุทธรณ์คำตัดสินของหน่วยงานกำกับดูแล
พนักงาน ผู้ที่พบเห็นการกระทำผิดจะได้รับการคุ้มครองภายใต้สหภาพยุโรป คำสั่งแจ้งเบาะแส:
- ช่องทางการรายงานที่เป็นความลับเป็นสิ่งจำเป็นสำหรับบริษัทที่มีพนักงาน 50 คนขึ้นไป
- การตอบโต้ ไม่ว่าจะเป็นการไล่ออก การลดตำแหน่ง การข่มขู่ เป็นสิ่งที่ห้ามโดยเด็ดขาด
- ผู้แจ้งเบาะแสอาจส่งเรื่องไปยังหน่วยงานกำกับดูแลหรือสื่อมวลชนภายนอกหากการดำเนินการภายในล้มเหลว
การจัดตั้งสายการรายงานที่ไม่เปิดเผยตัวตนและมีการโฆษณาอย่างดี ถือเป็นทั้งข้อกำหนดทางกฎหมายและระบบเตือนภัยล่วงหน้าที่จะช่วยให้คุณประหยัดค่าใช้จ่ายในการบังคับใช้กฎหมายที่สูงกว่าในอนาคตได้
การจัดทำแผนที่พระราชบัญญัติ AI เข้ากับ GDPR, NIS2, ความปลอดภัยของผลิตภัณฑ์ และกฎเกณฑ์ภาคส่วน
พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรป (AI Act) ไม่ใช่เกาะเดี่ยวๆ แต่เชื่อมต่อกับมหาสมุทรแห่งการปฏิบัติตามกฎระเบียบที่แออัด ซึ่งรวมถึงการปกป้องข้อมูล ความมั่นคงปลอดภัยไซเบอร์ และกรอบความปลอดภัยเฉพาะทางอยู่แล้ว การเพิกเฉยต่อปัจจัยที่ขัดแย้งเหล่านี้มีความเสี่ยง: ระบบ AI ที่ตรงตามทุกข้อของพระราชบัญญัติ AI Act ก็ยังอาจละเมิด GDPR หรือ NIS2 และในทางกลับกัน ด้านล่างนี้ เราจะเน้นจุดสำคัญเพื่อให้ทีมกฎหมาย ความปลอดภัย และผลิตภัณฑ์ของคุณสามารถสร้างแผนการควบคุมแบบบูรณาการเดียว แทนที่จะต้องจัดการรายการตรวจสอบแยกกันสี่รายการ
ทับซ้อนกับ GDPR และ ePrivacy
- พื้นฐานทางกฎหมายและข้อจำกัดวัตถุประสงค์: การประมวลผลข้อมูลส่วนบุคคลภายในโมเดลที่มีความเสี่ยงสูงจะต้องเป็นไปตามพื้นฐาน GDPR อย่างน้อยหนึ่งข้อ (มักเป็นผลประโยชน์หรือความยินยอมที่ถูกต้องตามกฎหมาย)
- ข้อจำกัดการตัดสินใจอัตโนมัติ: GDPR มาตรา 22 จำกัดการตัดสินใจอัตโนมัติเต็มรูปแบบที่มีผลทางกฎหมายหรือผลสำคัญ ข้อกำหนดการกำกับดูแลโดยมนุษย์ของ AI Act มักทำหน้าที่เป็นการป้องกันทางเทคนิคที่ปลดล็อกข้อยกเว้นตามมาตรา 22(2)(b) หรือ (c)
- สถานการณ์ควบคุมร่วม: เมื่อผู้ปรับใช้ปรับแต่ง GPAI ที่จัดทำโดยผู้ขาย ทั้งสองอาจกลายเป็น ตัวควบคุมร่วมภายใต้ GDPR—วางแผนข้อตกลงการประมวลผลข้อมูลให้สอดคล้องกัน
- การปฏิบัติตามหน้าที่ด้านความโปร่งใสอย่างเคร่งครัด: พระราชบัญญัติ AI กำหนดให้มีการเปิดเผยข้อมูลของผู้ใช้ (“AI-generated”) ขณะที่ GDPR ข้อ 12-14 กำหนดให้มีประกาศความเป็นส่วนตัวที่ให้รายละเอียดเกี่ยวกับการไหลของข้อมูล การเก็บรักษาข้อมูล และสิทธิ์ต่างๆ ร่างประกาศแบบชั้นเดียวที่ครอบคลุมทั้งสองส่วน
ความปลอดภัยทางไซเบอร์และการทำงานร่วมกันของ NIS2
NIS2 เรียกร้องให้มีการประเมินความเสี่ยง การตอบสนองต่อเหตุการณ์ และความปลอดภัยของห่วงโซ่อุปทานสำหรับหน่วยงานที่ “จำเป็น” และ “สำคัญ” พระราชบัญญัติ AI สะท้อนถึงสิ่งนี้ด้วยการกำหนดให้มีการทดสอบความทนทาน การตรวจสอบช่องโหว่ และการรายงานการละเมิดภายใน 15 วัน ใช้ประโยชน์จากเวิร์กโฟลว์ SOC หนึ่งเดียว:
- ดำเนินการทดสอบความทนทานต่อการโต้แย้งระหว่างการประเมินความสอดคล้องของ AI Act
- ป้อนผลลัพธ์ลงในทะเบียนความเสี่ยง NIS2
- ใช้คู่มือการรายงานเหตุการณ์ 72 ชั่วโมงเดียวกันสำหรับทั้งสองระบอบ
การบูรณาการกับกฎหมายผลิตภัณฑ์ที่มีอยู่
หาก AI ของคุณเป็นส่วนประกอบด้านความปลอดภัยของผลิตภัณฑ์ที่ได้รับการควบคุม (อุปกรณ์ทางการแพทย์ เครื่องจักร ของเล่น ลิฟต์ ระบบยานยนต์) คุณต้องดำเนินการ เดียว การประเมินความสอดคล้องที่ครอบคลุม:
- ข้อกำหนดด้านความปลอดภัยทั่วไปหรือประสิทธิภาพภายใต้กฎหมายภาคส่วน และ
- สิ่งสำคัญของ AI Act (การจัดการความเสี่ยง การกำกับดูแลข้อมูล การกำกับดูแลโดยมนุษย์)
มาตรฐานที่สอดประสานกันภายใต้กรอบกฎหมายใหม่จะอ้างอิงถึงข้อกำหนดทั้งสองชุดในเร็วๆ นี้ โดยอนุญาตให้มีไฟล์ทางเทคนิคหนึ่งไฟล์และเครื่องหมาย CE หนึ่งรายการ
ตัวอย่างเฉพาะภาคส่วน
- บริการทางการเงิน: ผสมผสานการบันทึกข้อมูลตามพระราชบัญญัติ AI เข้ากับแนวทางของ EBA เกี่ยวกับการต่อต้านการฟอกเงินเพื่อพิสูจน์ความยุติธรรมและสามารถอธิบายแบบจำลองได้
- การจัดการกริดพลังงาน: การควบคุมความเสี่ยงภายใต้กฎหมาย AI แบบตาข่ายพร้อมข้อกำหนดด้านความปลอดภัยทางไซเบอร์ ENTSO-E สำหรับระบบ SCADA
- ยานยนต์: UNECE WP.29 กำหนดให้มีการกำกับดูแลการอัปเดตซอฟต์แวร์ รวมบันทึกการอัปเดตเหล่านั้นไว้ในการติดตามหลังการตลาดตาม AI Act
- การดูแลสุขภาพ: จับคู่สิ่งประดิษฐ์ ISO 13485 QMS กับเอกสารชุดข้อมูลของ AI Act เพื่อหลีกเลี่ยงการตรวจสอบซ้ำซ้อน
การเปรียบเทียบระหว่างประเทศ
บริษัทระดับโลกจะต้องประสานกฎหมายปัญญาประดิษฐ์ (AI Act) ของสหภาพยุโรปเข้ากับกฎเกณฑ์ที่เกิดขึ้นใหม่ในที่อื่นๆ:
| อำนาจศาล | เครื่องมือสำคัญ | ความแตกต่างที่เห็นได้ชัด |
|---|---|---|
| US | คำสั่งผู้บริหารและ NIST AI RMF | สมัครใจแต่สามารถกลายเป็นเกณฑ์จัดซื้อจัดจ้างของรัฐบาลกลางได้ |
| สาธารณรัฐประชาชนจีน | มาตรการ Gen-AI ชั่วคราว | จำเป็นต้องลงทะเบียนชื่อจริงและกรองเนื้อหา |
| UK | กรอบแนวคิดด้านนวัตกรรม | คำแนะนำเฉพาะหน่วยงานกำกับดูแล ยังไม่มีกฎหมายแนวนอน |
ด้วยการทำแผนที่ส่วนที่ทับซ้อนกันตั้งแต่เนิ่นๆ ทีมงานจากหลายประเทศจะสามารถออกแบบกรอบการควบคุมที่เป็นไปตามกฎเกณฑ์ที่เข้มงวดที่สุดก่อน จากนั้นจึงค่อยลดขอบเขตของกฎหมายในท้องถิ่นที่ผ่อนปรนลง
รายการตรวจสอบการปฏิบัติตามข้อกำหนดและแนวทางปฏิบัติที่ดีที่สุด
การนำบทความและบทบรรยายของพระราชบัญญัติปัญญาประดิษฐ์แห่งสหภาพยุโรป (AI Act) มาปฏิบัติจริงในชีวิตประจำวันอาจดูน่ากังวล เคล็ดลับคือการแบ่งกระบวนการออกเป็นขั้นตอนย่อยๆ ที่ทีมกฎหมาย ผลิตภัณฑ์ และความปลอดภัยสามารถนำไปใช้ได้ ใช้แผนงาน 12 ขั้นตอนด้านล่างนี้เป็นแผนโครงการที่ใช้งานได้จริง ทบทวนแผนงานดังกล่าวในการสาธิตสปรินต์และการประชุมคณะกรรมการทุกครั้งจนถึงเดือนสิงหาคม 2027
- จัดทำบัญชีสินค้าคงคลังของ AI หรืออัลกอริทึมทุกชิ้นในการผลิตและการวิจัยและพัฒนา
- จำแนกระดับความเสี่ยงของแต่ละระบบและบทบาทผู้ดำเนินการของคุณ (ผู้ให้บริการ ผู้ใช้ ผู้นำเข้า ผู้จัดจำหน่าย)
- จัดทำแผนที่กฎหมายที่บังคับใช้ (GDPR, NIS2, กฎภาคส่วน) และระบุส่วนที่ทับซ้อนกัน
- ดำเนินการวิเคราะห์ช่องว่างตามข้อกำหนดที่จำเป็นของพระราชบัญญัติ AI
- ออกแบบหรืออัปเดตระบบการจัดการคุณภาพ (QMS) ของคุณ
- จัดตั้งโครงสร้างการกำกับดูแลแบบสหสาขาวิชา
- ร่างเทมเพลตเอกสารทางเทคนิคและเริ่มกรอกข้อมูลลงไป
- สร้างกระบวนการกำกับดูแลข้อมูลและการทดสอบอคติ
- ดำเนินการประเมินความสอดคล้องเบื้องต้นหรือการตรวจสอบแบบทดลอง
- ฝึกอบรมเจ้าหน้าที่—วิศวกร เจ้าของความเสี่ยง และฝ่ายสนับสนุนลูกค้า
- เปิดตัวเวิร์กโฟลว์การตรวจสอบหลังการตลาดและการรายงานเหตุการณ์
- กำหนดตารางการตรวจสอบตามระยะเวลาและวงจรการปรับปรุงอย่างต่อเนื่อง
การประเมินความพร้อมและการวิเคราะห์ช่องว่าง
เริ่มต้นด้วยสเปรดชีตหรือรายการบนกระดานตั๋ว: ชื่อระบบ วัตถุประสงค์ แหล่งข้อมูลการฝึกอบรม ระดับความเสี่ยง การควบคุมที่มีอยู่ และช่องว่างที่เปิดอยู่ กำหนดเจ้าของและกำหนดเส้นตายให้กับช่องว่างแต่ละช่อง ให้คะแนนความเสี่ยงคงเหลือใหม่อีกครั้งหลังจากปิดระบบทุกครั้ง หน่วยงานกำกับดูแลต่างชื่นชอบที่จะเห็นแนวทางการปรับปรุงแบบวนซ้ำเช่นนี้
การสร้างโครงสร้างการกำกับดูแลที่ถูกต้อง
ให้ผู้คนเป็นผู้รับผิดชอบ ไม่ใช่แค่เพียงนโยบาย:
- เจ้าหน้าที่ปฏิบัติตาม AI: คอเดียวที่ต้องสำลัก
- คณะกรรมการจริยธรรมข้ามสายงาน: ผลิตภัณฑ์ กฎหมาย ความปลอดภัย ทรัพยากรบุคคล
- ผู้ตรวจสอบภายนอกหรือผู้ประสานงานหน่วยงานที่ได้รับแจ้ง
- เชื่อมโยงอย่างแน่นแฟ้นกับ DPO และ CISO ของคุณเพื่อหลีกเลี่ยงการตัดสินใจแบบแยกส่วน
บันทึกจังหวะการประชุม สิทธิในการตัดสินใจ และเส้นทางการยกระดับ
เอกสารและเครื่องมือ
กำหนดมาตรฐานสิ่งประดิษฐ์เพื่อที่วิศวกรจะได้ไม่ต้องมานั่งประดิษฐ์สิ่งเดิมๆ ขึ้นมาใหม่:
| แบบ | จุดมุ่งหมาย | รูปแบบที่แนะนำ |
|---|---|---|
| โมเดลการ์ด | ความสามารถ ข้อจำกัด ตัวชี้วัด | มาร์กดาวน์ + JSON |
| เอกสารข้อมูล | แหล่งที่มา การออกใบอนุญาต การทดสอบอคติ | สเปรดชีต |
| รายงานความโปร่งใส | การเปิดเผยข้อมูลต่อผู้ใช้ | HTML / PDF |
| สิทธิขั้นพื้นฐาน IA | ผู้วางระบบภาครัฐ | เครื่องมือตามแบบฟอร์ม |
ความช่วยเหลือโอเพ่นซอร์ส: ชุดเครื่องมือ EU AI, รายการตรวจสอบร่าง ISO/IEC 42001 และที่เก็บข้อมูล GitHub สำหรับเมตริกอคติ
การจัดการผู้ขายและห่วงโซ่อุปทาน
หน้าที่ของ Flow AI Act มีดังนี้:
- เพิ่มการรับประกันการประเมินความสอดคล้องและสิทธิในการตรวจสอบ สัญญา.
- กำหนดให้ซัพพลายเออร์แบ่งปันการ์ดโมเดล ผลการทดสอบความทนทาน และบันทึกเหตุการณ์
- ตั้งค่า Slack ที่ใช้ร่วมกันหรือคิวตั๋วเพื่อการเปิดเผยช่องโหว่ที่รวดเร็ว
การตรวจสอบอย่างต่อเนื่องและการอัปเดตวงจรชีวิตของโมเดล
การตรวจสอบก่อนการใช้งาน ระหว่างการใช้งาน และหลังการใช้งานควรดำเนินการจากชุดข้อมูลโทรมาตรชุดเดียวกัน เรียกใช้การประเมินซ้ำเมื่อ:
- การเปลี่ยนแปลงการกระจายข้อมูลอินพุต (
KL divergence> เกณฑ์ที่ตั้งไว้ล่วงหน้า) - ความแม่นยำลดลงต่ำกว่าขั้นต่ำที่ประกาศไว้
- บันทึกเหตุการณ์ร้ายแรงหรือเหตุการณ์เกือบเกิดขึ้น
ปิดวงจรด้วยการตรวจสอบการกำกับดูแลรายไตรมาสและการตรวจสอบภายนอกประจำปี ซึ่งเป็นหลักฐานว่าการปฏิบัติตามข้อกำหนดไม่ใช่โครงการครั้งเดียว แต่เป็นความสามารถที่ยั่งยืน
คำถามที่พบบ่อย: คำตอบด่วนสำหรับคำถามทั่วไป
พระราชบัญญัติ AI ของสหภาพยุโรปมีผลบังคับใช้แล้วหรือยัง?
ใช่ กฎระเบียบ (EU) 2024/1689 มีผลบังคับใช้เมื่อวันที่ 1 สิงหาคม 2024 อย่างไรก็ตาม พันธกรณีส่วนใหญ่ที่เป็นรูปธรรมจะค่อยๆ เปลี่ยนแปลงไปในภายหลัง: แนวปฏิบัติที่ถูกห้ามจะถูกยกเลิกภายในเดือนกุมภาพันธ์ 2025 กฎเกณฑ์ความโปร่งใสจะเริ่มต้นในเดือนสิงหาคม 2025 และภาษีที่มีความเสี่ยงสูงจะมาถึงในเดือนสิงหาคม 2026 (ข้อมูลชีวภาพในเดือนสิงหาคม 2027) ดังนั้น เวลาจึงยังเดินต่อไป แม้ว่าการบังคับใช้เต็มรูปแบบจะยังคงอยู่ในช่วงเริ่มต้นก็ตาม
ระดับความเสี่ยงมี 4 ระดับอะไรบ้าง?
พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรปแบ่งระบบออกเป็น (1) ความเสี่ยงที่ยอมรับไม่ได้ ซึ่งห้ามใช้โดยเด็ดขาด; (2) ความเสี่ยงสูง ซึ่งอนุญาตได้หลังจากการประเมินความสอดคล้องและเครื่องหมาย CE แล้วเท่านั้น; (3) ความเสี่ยงจำกัด ซึ่งส่วนใหญ่เป็นหน้าที่เกี่ยวกับความโปร่งใส (เช่น แชทบอท ดีปเฟก) และ (4) ความเสี่ยงน้อยที่สุด ซึ่งไม่มีกฎเกณฑ์ตายตัว แต่สนับสนุนให้ใช้กฎเกณฑ์โดยสมัครใจ งานแรกของคุณคือการแมปแต่ละโมเดลเข้ากับระดับใดระดับหนึ่งเหล่านี้
พระราชบัญญัตินี้ได้เข้ามาแทนที่กลยุทธ์ AI ระดับชาติแล้วหรือยัง?
ไม่ รัฐสมาชิกอาจคงไว้หรือสร้างยุทธศาสตร์ระดับชาติ แซนด์บ็อกซ์ และโครงการระดมทุนได้ พระราชบัญญัตินี้เพียงแต่ประสาน หน่วยงานกำกับดูแล เพื่อให้ธุรกิจต่างๆ ทั่วทั้งสหภาพยุโรปต้องเผชิญกับกฎเกณฑ์เดียวกัน โครงการริเริ่มระดับท้องถิ่นต้องไม่ขัดแย้งกับกรอบความเสี่ยงของกฎระเบียบ หรือบ่อนทำลายกลไกการบังคับใช้
สตาร์ทอัพมีข้อยกเว้นหรือไม่?
ไม่เชิง กฎเกณฑ์นี้มีผลบังคับใช้ไม่ว่าบริษัทจะมีขนาดเท่าใด เพราะความเสี่ยงไม่ใช่รายได้ เป็นตัวกำหนดภาระผูกพัน อย่างไรก็ตาม แซนด์บ็อกซ์ เอกสารประกอบที่เบากว่าสำหรับบางโมเดล GPAI และแนวทางที่ได้รับทุนสนับสนุนจากคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) มีเป้าหมายเพื่อลดความยุ่งยากในการบริหารจัดการสำหรับ SMEs การเพิกเฉยต่อการปฏิบัติตามกฎระเบียบเพียงเพราะคุณ "เล็ก" ถือเป็นความเข้าใจผิดที่อันตราย
AI Act จัดการกับโมเดลโอเพนซอร์สอย่างไร
การเปิดเผยน้ำหนักโมเดลต่อสาธารณะไม่ได้เป็นข้อยกเว้น คุณยังคงต้องจัดทำสรุปข้อมูลการฝึกอบรม เนื้อหาที่สร้างด้วยลายน้ำ และเผยแพร่คำแนะนำการใช้งาน ภาระผูกพันจะเบากว่าโมเดลเชิงพาณิชย์แบบปิด แต่หากระบบโอเพนซอร์สของคุณกลายเป็น "GPAI เชิงระบบ" ภาระผูกพันในการทดสอบและการรายงานเพิ่มเติมจะเริ่มต้นขึ้น
พระราชบัญญัตินี้เป็นคำสั่งหรือไม่?
ไม่ มันเป็นข้อบังคับที่บังคับใช้โดยตรงในทุกประเทศสมาชิกโดยไม่ต้องมีการปรับเปลี่ยนภายในประเทศ ลองคิดเหมือนกับ GDPR: เมื่อมีผลบังคับใช้แล้ว ภาระผูกพันทางกฎหมายจะครอบคลุมทั่วทั้งสหภาพยุโรป และมีเพียงแนวทางการบังคับใช้ในทางปฏิบัติเท่านั้นที่จะแตกต่างกันไปในแต่ละท้องถิ่น
จะเกิดอะไรขึ้นหากผู้ให้บริการของฉันอยู่นอกสหภาพยุโรป?
การเข้าถึงอาณาเขตดังต่อไปนี้ เอาท์พุตไม่ใช่สำนักงานใหญ่ หากระบบของผู้จำหน่ายในต่างประเทศวางจำหน่ายในสหภาพยุโรป หรือใช้ผลลัพธ์ของระบบในสหภาพยุโรป ผู้ให้บริการจะต้องปฏิบัติตามข้อกำหนดของพระราชบัญญัติ AI ของสหภาพยุโรป และแต่งตั้งตัวแทนทางกฎหมายประจำสหภาพยุโรป ผู้ติดตั้งภายในสหภาพยุโรปยังคงมีภาระผูกพันต่อผู้ใช้ ดังนั้นควรเลือกผู้จำหน่ายอย่างรอบคอบ
ประเด็นที่สำคัญ
ยังอ่านแบบผ่านๆ อยู่ไหม? นี่คือสูตรโกง:
- พระราชบัญญัติปัญญาประดิษฐ์ของสหภาพยุโรป (AI Act) ไม่ใช่ร่างอีกต่อไปแล้ว แต่ได้ถูก... มีผลบังคับใช้ตั้งแต่วันที่ 1 สิงหาคม 2024 และนำกฎหมาย AI ตามความเสี่ยงในแนวนอนฉบับแรกไปสู่ทุกที่
- การแบ่งระดับความเสี่ยงขับเคลื่อนทุกสิ่ง: ระบบที่ยอมรับไม่ได้ถูกห้าม, ระบบที่มีความเสี่ยงสูงต้องมีเครื่องหมาย CE และการลงทะเบียนในขณะที่เครื่องมือที่มีความเสี่ยงจำกัดและน้อยที่สุดต้องเผชิญกับภาระหน้าที่ที่เบากว่า—แต่ไม่ใช่เลย—
- การไม่ปฏิบัติตามจะมีค่าใช้จ่ายสูง: สูงถึง 35 ล้านยูโรหรือ 7% ของยอดขายทั่วโลก สำหรับการปฏิบัติที่ต้องห้าม รวมถึงความรับผิดทางแพ่งที่อาจเกิดขึ้นภายใต้คำสั่งของสหภาพยุโรปที่จะมีผลบังคับใช้เร็วๆ นี้
- มีภาระผูกพันทั่วทั้งห่วงโซ่อุปทาน ผู้ให้บริการ ผู้ใช้ ผู้นำเข้า และผู้จัดจำหน่าย ต่างก็มีรายการตรวจสอบเฉพาะ และปัจจุบันโมเดลเอนกประสงค์ก็มีกฎเกณฑ์เฉพาะด้วย
- พระราชบัญญัตินี้จะไม่แทนที่ GDPR, NIS2 หรือกฎหมายความปลอดภัยของผลิตภัณฑ์ คุณจะต้องผสานกรอบงานทั้งหมดเข้าไว้ในโปรแกรมการกำกับดูแลแบบบูรณาการหนึ่งเดียว
ต้องการความช่วยเหลือในการเปลี่ยนข้อความทางกฎหมายให้เป็นรหัส นโยบาย และสัญญาที่ใช้งานได้ใช่ไหม? ทนายความด้านเทคโนโลยีและความเป็นส่วนตัวที่ Law & More สามารถดำเนินการสแกนความพร้อมสำหรับ AI Act อย่างรวดเร็ว ร่างเอกสารที่จำเป็น และให้คำแนะนำคุณตลอดการประเมินความสอดคล้อง ก่อนที่ผู้ตรวจสอบจะมาเคาะประตู
