Майкрософт ужесточает требования для поставщиков, применяющих ИИ

Теперь все поставщики (субподрядчики), применяющие ИИ-системы, должны проходить оценку соответствия требованиям Microsoft DPR, раздел K, в рамках программы SSPA (Supplier Security and Privacy Assurance) с привлечением независимого органа по сертификации.

При этом для «чувствительных» применений ИИ обязательно получение сертификата на соответствие системы менеджмента ИИ-систем требованиям ИСО/МЭК 42001:2023.

Критерии компании для «чувствительных» применений шире, чем подход ЕС в Регламенте об ИИ:

- любое влияние на правовой статус или жизненные возможности (например, оценка кредитоспособности или приём в вуз),

- любой риск физического/психологического вреда (например, медицинская диагностика, управление оборудованием),

- любые угрозы правам человека (например, применение генеративного ИИ для дезинформации на выборах, системы социального скоринга).

Для поставщиков изменения означают необходимость инвестировать в независимые аудиты и сертификацию.

Однако это создаёт конкурентное преимущество для компаний, способных подтвердить соответствие международным стандартам.

Для рынка в целом — это шаг к системному управлению рисками ИИ на всех этапах цепочки поставок.

А для регуляторов такой подход ставит важный вопрос: стоит ли законодательно фиксировать закрытый перечень «высокорисковых» ИИ-систем, как в Регламенте ЕС, или применять гибкие критерии, где оценка риска привязана к любому потенциальному негативному воздействию на здоровье, безопасность или права человека.

Еврокомиссия предложит сквозные поправки в цифровое регулирование

Для этого чиновники до конца 2025 года проводят анализ.

По итогам анализа будут предложены изменения — одним или несколькими тематическими пакетами (omnibus packages) — для улучшения связности различных актов ЕС по цифровому рынку.

В числе проверяемых оказался и Регламент ЕС по ИИ.

Руководитель ИИ-Офиса Еврокомиссии Л. Сиоли уточнила, что фундаментальных изменений в нём ожидать не стоит, скорее возможно, например, упрощение некоторых процедур и требований для предприятий малого и среднего бизнеса.

Вишер публикует обзор по будущему швейцарскому регулированию ИИ

Текущий статус исходя из отчёта этой юрфирмы вкратце:
- Швейцария планирует ратифицировать Конвенцию Совета Европы по ИИ,
- Регламент ЕС по ИИ за основу браться не будет,
- к концу 2026 года будет разработан и представлен для комментариев проект поправок в федеральное законодательство, в основном по отраслям,
- поправки в горизонтальное регулирование затронут только направления, значимые для прав человека, например, обработку персональных данных,
- при этом регулироваться будет и принятие "полуавтоматизированных" решений, то есть индивидуально значимых решений на основе автоматизированной обработки данных, а не только полностью автоматическая обработка,
- будет создан реестр ИИ-операторов в публичном секторе,
- будет введена маркировка некоторых видов ИИ-сгенерированного контента,
- будет внедрена оценка негативного воздействия ИИ на права человека,
- будут введены требования по технической документации,
- специальной процедуры подтверждения соответствия для вывода на рынок для ИИ-систем не планируется (сохранится существующая в тех секторах, где она уже есть, например, для медицинских изделий).

Как соотносятся правовые режимы автоматизации решений в отношении граждан по GDPR и Регламенту ЕС по ИИ?

Наглядный ответ — на схеме. Схема — из материалов моего курса по Регламенту ЕС по ИИ, третий поток которого начнётся в апреле.

Посмотреть детали и зарегистрироваться с оплатой в евро можно здесь.

Для тех, кто ранее был подписан на мой AI Governance курс в телеграме — специальные сверхвыгодные условия — пишите через бот (оплата в рублях — также через бот).

Три правовых режима обработки ПДн взамен одного?

Депутат Европарламента Аксель Восс предложил трехуровневую реформу Общего регламента по защите данных (ОРЗД, GDPR).

Идея заключается в дифференциации требований для компаний в зависимости от их масштаба:
1) упрощенные требования для малого бизнеса,
2) текущие стандартные требования для средних компаний, и
3) дополнительные повышенные требования и обязательный независимый аудит для крупнейших игроков рынка.

Концептуально идею поддерживает и известный прайваси-активист Макс Шремс. Несмотря на это, между ним и евродепутатом сохраняются серьезные разногласия по деталям возможной реформы.

Шремс категорически не согласен с предложением Восса изменить базовые принципы ОРЗД, включая "право на забвение" и принцип минимизации обработки данных.

Также Шремс выступает против ослабления роли Европейского совета по защите данных (EDPB), который обеспечивает соблюдение регламента.

По мнению Шремса, главная проблема не в законе, а в недостаточно усердном правоприменении.

Другие критики предлагаемой реформы также предупреждают о рисках открытия «ящика Пандоры»: пересмотр ОРЗД может дать стае лоббистов (на фото) возможность по ходу реформы замылить все уже имеющиеся строгие требования к операторам персональных данных и тем самым снизить ранее достигнутый в ЕС высокий уровень защиты данных граждан.

Кроме того, ОРЗД стал мировым стандартом в области регулирования персональных данных, и радикальные изменения в нём могут подорвать правовую определенность для бизнеса на глобальном уровне.

ОРЗД вместе с Регламентом ЕС по ИИ вошел в перечень нормативных актов о цифровом рынке, в отношении которых Еврокомиссия планирует до конца года рассмотреть возможность пакета точечных поправок в рамках инициативы по упрощению регулирования — об этом писал ранее.

Кому полезен мой курс по Регламенту ЕС по ИИ?

Наиболее очевидные кейсы:

1) Ваша компания или ваши клиенты планируют поставлять решение или продукт с ИИ на рынок ЕС и вам необходимо понять, как подготовиться к этому с наименьшей потерей денег и нервов;

2) Ваша компания или ваши клиенты планируют использовать на территории ЕС результаты автоматизированной обработки данных ИИ-системами, развёрнутыми вне ЕС (Регламент распространяется и на эти случаи);

3) Вы хотите разобраться в требованиях Регламента и в том, как он вписан в европейскую инфраструктуру качества (стандартизация, подтверждение соответствия, рыночный надзор).

Курс проходит на английском в течение четырёх недель и включает 4 зум-сессии и самоподготовку на образовательной платформе на основе материалов курса, а также тесты и письменные задания с упором на критическое мышление.

В подарок вы также получаете постатейный комментарий к Регламенту ЕС по ИИ.

Очередной, третий, поток курса — в апреле.

Узнать точные даты и время и записаться на специальных условиях можно до конца этой недели здесь.

Если вы хотите оплатить в рублях — пишите через бот.

Дело Латомба (пока) живёт, передача персональных данных из ЕС в США — снова под вопросом

Суд ЕС наконец-то назначил к рассмотрению, на 1 апреля (кроме шуток), дело Латомба.

Напомню, французский депутат — конкурент Шремса — обратился в суд в 2023 году с жалобой на неадекватность свежеодобренного тогда механизма трансатлантической передачи персональных данных из ЕС в США (DPF). Об этом деле я писал ранее.

Пикантность ситуации придаёт тот факт, что нынешняя американская администрация обезглавила Privacy and Civil Liberties Oversight Board — орган по надзору за соблюдением этого механизма со своей стороны. Все, кроме одного, члены данного органа были демократами и в связи с этим были отправлены в отставку, ввиду чего PCLOB утратил кворум (минимум 3 голоса) для разрешения вопросов в его компетенции. Будет ли кворум восстановлен в ближайшее время благодаря новым назначениям — что вполне возможно — посмотрим.

Выступаю на Lawdroid AI Conference 2025

В среду 19 марта, в 9:00 PT / 17:00 CET / 19:00 МСК, в панели ИИ и этика.

Конференция идёт два дня, тем много — найдётся интересное каждому.

Программа и бесплатная регистрация здесь.

Еврокомиссия обновила ЧаВо по ИИ-моделям общего назначения

Напомню, что Регламент ЕС по ИИ устанавливает отдельно (1) требования для разработчиков ИИ-моделей общего назначения и (2) требования для разработчиков и эксплуатантов ИИ-систем (в которых ИИ-модели могут использоваться в качестве компонентов). В данном посте речь о первой категории.

Ответы на часто задаваемые вопросы по ИИ-моделям общего назначения доступны здесь.

Одновременно опубликован третий проект Свода практик для разработчиков таких моделей. Свод конкретизирует порядок выполнения требований, которые устанавливает Регламент.

Завершить разработку Свода планируется в мае, после чего не позднее августа Еврокомиссия проверит его на адекватность и, возможно, придаст ему общеобязательную силу в ЕС, как это предусмотрено Регламентом.

Встреча с комиссаром ЕС: цифровое регулирование и отношения с США

Такова тема завтрашней беседы между Лаурой Кароли, исследователем Wadhwani AI Center, ранее работавшей в комитете IMCO Европарламента, и Майклом МакГрафом, комиссаром ЕС по вопросам демократии, юстиции, верховенства права и защиты потребителей.

Начало 13 марта 2025 г., в 13:15 EDT / 18:15 CET / 20:15 МСК.

Записаться на стрим и задать вопросы гостю можно здесь.

Со своей стороны оставил вопрос про то, что делает Еврокомиссия, если вообще что-то делает, в связи с утратой кворума PCLOB (американский орган, в числе прочего осуществляющий надзор за доступом спецслужб США к персональным данным при их передаче из ЕС в рамках механизма DPF).

Право на посмертную безботность

Опечатки в заголовке нет. Примерно так можно обобщить новый концепт, предложенный британскими учёными для защиты посмертной приватности. Речь о цифровых аватарах, репликах, чатботах и иных подобных решениях, которые направлены на создание посмертных имитаций личности умершего ("ghostbots"). Всё это, конечно, интересно, но что делать, если конкретный человек не хочет реинкарнироваться в цифрового зомби после смерти?

Исследователи поднимают важные вопросы о приватности, репутации и достоинстве умерших. Сегодня лишь редкие нормативные акты прямо регулируют эту сферу. Например, в Нью-Йорке уже защищают интересы знаменитостей от несанкционированного использования их образов после смерти. Однако для большинства людей в других юрисдикциях возможность подобной правовой защиты пока под большим вопросом.

В связи с этим авторы статьи рассматривают концепцию института прижизненных волеизъявлений о запрете на создание посмертных реплик, которую коллега Марк Лейзер в шутку называет "the right not to be botten" (по аналогии с "the right to be forgotten", правом на забвение), а немецкие юристы, по моему мнению, могли бы в своём духе ёмко обозначить как Botungsverbotrecht.

Не LLM'ом единым

Этот тред от Колина Фрейзера идеально адресует две частые ошибки в публичном дискурсе:

1) большие языковые модели — это следующее и наиболее продвинутое звено в эволюции искусственного интеллекта;

2) генеративный ИИ — единственный ИИ, который заслуживает внимания.

На самом деле нет, эволюция в ИИ нелинейна и генеративный ИИ всего лишь небольшое подмножество ИИ-технологий, которое может быть для чего-то и пригодно, но далеко не для всех задач, которые можно решить при помощи ИИ.

Источник

Немного о происходящем на конференции, которую анонсировал ранее

Если после кейса Авианки 2023 года и штрафов в 5 тысяч долларов юристы всё ещё почему-то продолжают нести в суды документы с ИИ-галлюцинациями, то видимо стоит повысить штрафы, тысяч до 150, чтобы уже точно все услышали и осознали? — задаётся вопросом судья Шлегель.

А я поделился с американскими коллегами своими соображениями о том, как обеспечить этичность и транспарентность со стороны ИИ-разработчиков.

А также рассказал о второй редакции рекомендаций Федерации адвокатских палат Европы (FBE) по использованию генеративного ИИ в юридической практике.

Отзывы о курсе по регламенту ЕС по ИИ

Осталось ещё немного времени до окончания записи на апрельский поток моего курса по Регламенту ЕС по ИИ.

В деталях рассказывал о его целевой аудитории и содержании ранее.

Для тех, кто всё ещё сомневается в уровне и полезности курса, приведу отзыв от Александры Орехович, к.ю.н., директора по правовым инициативам ФРИИ, прошедшей второй поток в феврале:

Курс очень чётко организован и — что ещё важнее — практически ориентирован. Раскрываются все «подводные камни» применения Регламента ЕС об искусственном интеллекте. Особенно хочется отметить интересные домашние задания, которые помогают глубже погрузиться в материал с практической точки зрения.

Ещё больше отзывов — на странице курса. Там же можно записаться, если оплачиваете в евро.

Если вы хотите оплатить в рублях — пишите через бот.

Как отменить доплату за Copilot в подписке Microsoft 365?

Если вы пользуетесь этой подпиской, следующий платёж за неё может вас неприятно удивить. Например, для европейского региона она составит 129 евро в год вместо 99.

Всё потому, что компания включила в неё Copilot (ИИ-ассистента) по умолчанию.

Для возврата к прежнему тарифному плану, который теперь называется Classic:
1) Зайдите в свой аккаунт на сайте microsoft.com
2) Перейдите в раздел "Учётная запись" - "Подписки"
3) Нажмите "Отменить подписку"
4) На следующем экране выберите "Microsoft 365 Classic" (без ИИ).

Изменение произойдёт начиная со следующего цикла оплаты.

Кто такой Александр Тюльканов и почему он читает этот Регламент?

Если вы застали времена MS-DOS, вы можете вспомнить такой анекдотический вопрос анонимного пользователя — новичка в компьютерах — "Кто такой генерал Фейлор и почему он читает мой диск? — после прочтения на экране системной ошибки "General Failure reading drive C:".

Примерно в том же духе мы пообщались с замечательными Розалией Анной Д'Агостино и Джакомо Ди Грегорио, которые ведут подкаст Legal4Tech: Кто такой Александр Тюльканов и почему он консультирует и преподает курс по Регламенту ЕС об искусственном интеллекте?

Результатом стал небольшой рассказ о моем пути из бизнес-юриспруденции (с 2003 года) в регулирование ИИ и данных (академически с 2015 года и в практической части с 2017).

Запись прилагается - приятного прослушивания!

Если вам понравился подкаст Legal4Tech, подписаться можно здесь:
- Spotify
- Apple Music
- Amazon Music

ОРЗД и Регламент ЕС по ИИ конфликтуют... или нет?

В своей новой статье я рассматриваю, как два ключевых регламента ЕС — по ИИ и персональным данным — вопреки мнению некоторых комментаторов, не конфликтуют, а дополняют друг друга. Основной фокус на двух важных аспектах:

1️⃣ Гарантии при автоматизированном принятии решений
2️⃣ Обработка специальных категорий персональных данных для снижения предвзятости ИИ-систем

Анализируя конкретные требования обоих документов, я показываю, как они вместе обеспечивают комплексную защиту прав человека в цифровом контексте.

Читать

Индустрия стандартизирует подходы по подтверждению подлинности фото

Помните, я писал о том, как ключевые игроки рынка цифровых фотоаппаратов стали внедрять в них электронную цифровую подпись (ЭЦП)? Она может быть применена к фотографии и её метаданным автоматически самим фотоаппаратом в момент съёмки. Благодаря этому впоследствии можно доказать, что конкретное фото было сделано конкретным фотоаппаратом, в конкретной геолокации, в конкретное время, и так далее.

С момента анонса стали понятны технические детали. Для стандартизации метаданных и ЭЦП индустрия разработала и развивает техническую спецификацию C2PA. Её детали доступны здесь.

Хочется надеяться, что её вскоре поддержат и внедрят все без исключения производители фотоаппаратов и мобильных телефонов, чтобы не ограничивать сферу применения только дорогостоящей профессиональной техникой.

То, что уже сейчас новостные агентства и СМИ могут таким образом верифицировать происхождение материалов от своих источников — хорошо. Но с учётом "демократизации" создания дипфейков (нынче, например, можно наложить на фото вашей машины имитацию повреждений от ДТП прямо в ChatGPT), доказательства "нефейковости" фото — актуальный вопрос для всех, а не только для СМИ.

Самостоятельно проверить происхождение фотографии, при наличии в файле метаданных, можно через сервис Content Credentials.

⚡️⚡️OpenAI анонсировала выпуск новой open-source модели "в ближайшие месяцы"

Это произойдёт впервые за последние шесть лет — последней большой языковой моделью, выпущенной компанией с открытыми "весами" — в 2019 году — была GPT-2.

Анонс опубликовал Сэм Альтман несколько часов назад в X/Twitter.

Одновременно компания опубликовала форму обратной связи, где желающие могут сообщить о своих ожиданиях и пожеланиях по поводу возможностей и планируемых сценариях использования новой модели.

Для разработчиков будет проведена серия мероприятий: сначала в Сан-Франциско, а затем в Европе и Азиатско-Тихоокеанском регионе.

Ранее требование о том, чтобы OpenAI возобновила практику открытой публикации своих разработок, было предъявлено в иске к компании со стороны Илона Маска, одного из её основателей.

Так в чём проблема с "демократизацией" дипфейков?

Записал видео для моего Линкдина с небольшим пояснением о последствиях.

Выкладываю и тут. Все упомянутые в видео ссылки — в комментарии к посту здесь.