В утвержденном законе системы ИИ разделяются на категории по степени рисков, связанных с их разработкой и применением. К категории «минимального риска» отнесено «подавляющее большинство систем ИИ» (например, спам-фильтры и рекомендательные системы), к ним не будет предъявляться никаких требований.
К системам из категории «высокого риска» относятся, в частности, применяемые в критически важных инфраструктурах, медицинском оборудовании, системе образования, в сфере правоохранительной деятельности и так далее. Такие системы должны будут соответствовать строгим требованиям — от обязательного надзора со стороны операторов-людей и оснащения системами кибербезопасности до наличия подробной технической документации.
В категорию «неприемлемого риска» выделены системы ИИ, «угрожающие фундаментальным правам людей», их использование будет запрещено за особыми исключениями.
«Новые правила запрещают определенные приложения искусственного интеллекта, которые угрожают правам граждан, в том числе системы биометрической категоризации, основанные на чувствительных характеристиках, а также нецелевое извлечение изображений лиц из интернета или записей с камер видеонаблюдения для создания баз данных распознавания лиц», — говорится в сообщении.
Закон также запрещает применение систем биометрической идентификации правоохранительными органами, за исключением случаев, когда ИИ-технологии используются для поиска пропавших людей или предотвращения террористических атак. Такие системы в режиме реального времени могут быть развернуты только при соблюдении строгих мер предосторожности, с ограничением по времени и географическому охвату. Кроме того, для их применения потребуется специальное предварительное судебное или административное разрешение.
Под запрет попали распознавание эмоций на рабочем месте и в школах, социальный скоринг и прогнозирующая полицейская деятельность, если она основана исключительно на «профилировании» человека. Запрещен также ИИ, который манипулирует человеческим поведением или использует уязвимости людей.
В отдельную категорию систем с «особыми рисками прозрачности» выделены большие генеративные системы — такие, как ChatGPT и Dall-E. Любой производимый ими контент должен будет маркироваться как сгенерированный ИИ. Кроме того, разработчики таких систем должны соблюдать законодательство ЕС об авторском праве и подробно описывать контент, применяемый в обучении генеративных моделей.
За нарушение положений закона предусмотрены штрафы для разработчиков размером до €35 млн или 7% годового оборота в зависимости от нарушения и размера компании.
Одобренный Европарламентом закон теперь должен пройти через утверждение Совета Евросоюза. Документ вступит в силу через 20 дней после официального опубликования, однако его положения начнут применяться поэтапно, в течение 36 месяцев после вступления в силу.
Принять этот закон Еврокомиссия предложила в апреле 2021 г., однако его обсуждения затянулись на два года. Документ был предварительно согласован лишь 9 декабря 2023 г. после длительных и напряженных дебатов Еврокомиссии, Европарламента и правительств 27 стран-членов Евросоюза. Финальные переговоры стартовали в Брюсселе 6 декабря и заняли 38 часов. Одна из сессий длилась почти сутки без перерыва и завершилась лишь после того, как некоторые официальные стороны уснули за своими столами.