قوانین داده‌ای EU AI Act از می 2026 اجرایی شدند — شرکت‌هایی که از سیستم‌های AI استفاده می‌کنند چه باید بکنند

چه چیزی در ۲ می ۲۰۲۶ تغییر کرد

برنامه اجرایی مرحله‌ای EU AI Act در ۲ می ۲۰۲۶ به مهم‌ترین نقطه عطف خود رسید: الزامات سیستم‌های AI پرخطر از نظر قانونی قابل اجرا شدند. مقررات مربوط به کاربردهای ممنوعه (امتیازدهی اجتماعی، نظارت بیومتریک بلادرنگ در فضاهای عمومی) از آگوست ۲۰۲۴ اجرایی شده بودند. الزامات مدل‌های AI همه‌منظوره در آگوست ۲۰۲۵ به اجرا درآمد. اما دسته پرخطر — AI مورد استفاده در استخدام، تحصیلات، اعتبار، اجرای قانون، کنترل مرزها و زیرساخت‌های حیاتی — جایی است که بخش عمده‌ای از استقرار AI سازمانی در آن قرار دارد و اکنون مشمول جریمه‌های تا ۳٪ از گردش مالی سالانه جهانی است.

این مقررات استفاده از AI در این دسته‌ها را ممنوع نمی‌کند، بلکه مجموعه مشخصی از اقدامات حاکمیت داده، شفافیت و نظارت انسانی را الزامی می‌کند. درک دقیق الزامات ضروری است زیرا متن قانون در برخی جاها مشخص است که اکثر چارچوب‌های انطباق تاکنون مبهم بودند و در برخی جاها آنقدر دقیق نیست که فعالان نیاز دارند.

شش تعهد اصلی داده برای AI پرخطر

۱. مستندسازی داده‌های آموزشی

ماده ۱۰ قانون AI ایجاب می‌کند که مجموعه داده‌های آموزشی، اعتبارسنجی و آزمایش برای سیستم‌های AI پرخطر تحت رویه‌های مستند حاکمیت داده قرار گیرند. به طور خاص، اپراتورها باید روش جمع‌آوری داده، معیارهای انتخاب برای شامل یا حذف داده، محدوده جغرافیایی و زمانی داده، عملیات پیش‌پردازش و پاک‌سازی انجام شده، و به‌طور حیاتی — محدودیت‌ها و سوگیری‌های بالقوه داده و نحوه ارزیابی آن‌ها را مستند کنند.

این از آنچه به نظر می‌رسد سخت‌تر است. بیشتر تیم‌های Machine Learning می‌توانند خط لوله پیش‌پردازش خود را توصیف کنند. تعداد بسیار کمتری مستندات رسمی از چرایی حذف منابع داده خاص یا ارزیابی کتبی از سوگیری‌های جمعیتی یا زمینه‌ای داده‌های آموزشی خود دارند. رهنمود آوریل ۲۰۲۶ هیئت حفاظت از داده اروپا (European Data Protection Board) روشن می‌کند که این مستندات باید هنگام بازآموزی مدل به‌روز شوند، نه فقط در استقرار اولیه.

۲. ارزیابی تأثیر حقوق اساسی (Fundamental Rights Impact Assessment - FRIA)

استقراردهندگان (سازمان‌هایی که از سیستم AI پرخطر استفاده می‌کنند، جدا از ارائه‌دهندگانی که آن را می‌سازند) باید قبل از استقرار، یک ارزیابی تأثیر حقوق اساسی (FRIA) کامل کنند. این ارزیابی مشابه ارزیابی تأثیر حفاظت از داده (DPIA) تحت GDPR است اما فراتر از حفاظت از داده به تأثیر بالقوه سیستم AI بر برابری، عدم تبعیض، دسترسی به خدمات و حقوق آیین دادرسی نیز گسترش می‌یابد.

این ارزیابی باید مشخص کند کدام گروه‌های مردم با سیستم تعامل دارند، چه تصمیمات یا توصیه‌هایی را اطلاع‌رسانی می‌کند، عواقب خطاهای سیستماتیک برای جمعیت‌های خاص چه خواهد بود، و چه مکانیزم نظارت انسانی وجود دارد. ارزیابی باید مستند باشد، هنگامی که سیستم به‌طور قابل توجهی به‌روزرسانی می‌شود بازبینی شود، و در صورت درخواست در اختیار مقامات نظارت بازار ملی قرار گیرد.

۳. مکانیزم‌های نظارت انسانی

ماده ۱۴ ایجاب می‌کند که سیستم‌های AI پرخطر با اقدامات نظارت انسانی طراحی و مستقر شوند که به شخص مسئول امکان درک قابلیت‌ها و محدودیت‌های سیستم، نظارت بر عملیات و امکان لغو، قطع یا نادیده گرفتن خروجی سیستم را بدهد. این با وجود یک انسان در چرخه که تصمیمات AI را تأیید می‌کند برآورده نمی‌شود — قانون نیاز دارد که انسان واقعاً بتواند خروجی را درک کرده و به‌طور معناداری بازبینی کند.

در عمل، این یک نیاز مستندسازی و آموزشی ایجاد می‌کند. سازمان‌ها باید بتوانند نشان دهند که افرادی که توصیه‌های تولید شده توسط AI را بازبینی می‌کنند، اطلاعاتی درباره نرخ خطا، محدودیت‌های شناخته شده و مواردی که سیستم کمتر قابل اعتماد است دریافت کرده‌اند. یک مدیر استخدام که فهرست کوتاه نامزدهای تولید شده توسط AI را بدون دانستن نرخ مثبت کاذب جمعیتی بر اساس جنسیت یا قومیت تأیید می‌کند، ماده ۱۴ را برآورده نمی‌کند.

۴. دقت، استحکام و امنیت سایبری

سیستم‌های AI پرخطر باید سطوح ثابتی از دقت متناسب با هدف مورد نظر خود داشته باشند و ارائه‌دهندگان باید معیارهای دقت مورد انتظار را در دستورالعمل‌های استفاده افشا کنند. این یک تعهد ایجاد می‌کند که بیشتر استقرارهای AI سازمانی در حال حاضر برای برآورده کردن آن ساختاربندی نشده‌اند: نظارت مستمر بر عملکرد با آستانه‌های تعریف شده که باعث بازبینی یا تعلیق سیستم می‌شود. سیستم‌هایی که در زمان استقرار دقیق بودند، می‌توانند با تغییر توزیع داده‌های زمینه‌ای دچار رانش شوند — قانون نیاز دارد که این رانش شناسایی و اقدام شود.

۵. مستندات فنی و لاگ‌ها

ارائه‌دهندگان باید مستندات فنی را حفظ کنند که انطباق سیستم با قانون را نشان دهد، و سیستم باید به‌طور خودکار لاگ‌های عملیات خود را برای مدت مناسب با هدف نگه دارد. برای AI استخدامی، رهنمودها نشان می‌دهد که لاگ‌ها باید حداقل ورودی‌های در نظر گرفته شده، خروجی تولید شده و زمان‌نمای هر تصمیم مهم را پوشش دهند و برای طول دوره هر چالش قانونی نگه داشته شوند — معمولاً ۳ تا ۵ سال بسته به قانون استخدام کشور عضو.

۶. شفافیت برای افراد متأثر

افرادی که تحت تأثیر تصمیمات اتخاذ شده یا به‌طور قابل توجهی تحت تأثیر AI پرخطر قرار می‌گیرند، حق توضیح دارند. این حق فقط با تصمیم‌گیری خودکار (که تحت ماده ۲۲ GDPR پوشش داده می‌شود) فعال نمی‌شود، بلکه با هر تأثیر قابل توجهی از یک سیستم AI پرخطر بر یک تصمیم انسانی فعال می‌شود. توضیح باید پارامترهای اصلی در نظر گرفته شده توسط سیستم و نحوه تأثیر آن‌ها بر نتیجه را پوشش دهد — نه یک توصیف کلی از نحوه کار مدل، بلکه یک توضیح خاص برای تصمیم.

جایی که اکثر سازمان‌ها در حال حاضر شکست می‌خورند

اداره AI اروپا (European AI Office) ممیزی‌های آزمایشی استقرارهای AI پرخطر در بخش خدمات مالی و فناوری منابع انسانی را آغاز کرده است و نشانه‌های اولیه از وکلای صنعت که پرسشنامه‌ها را دیده‌اند، سه شکاف ثابت را نشان می‌دهد:

شکاف ۱: FRIA انجام نمی‌شود یا به‌طور کامل به فروشنده AI واگذار می‌شود. استقراردهنده مسئول ارزیابی است، نه ارائه‌دهنده. فروشندگان می‌توانند مستندات کمکی ارائه دهند، اما FRIA باید زمینه استقرار خاص را منعکس کند، نه فقط مدل به‌طور انتزاعی. یک مدل امتیازدهی اعتباری که توسط بانک A در آلمان برای وام‌دهی مصرفی در سال ۲۰۲۶ مستقر شده است باید FRIA متفاوتی از مدل مشابهی که توسط بانک B برای وام‌دهی SME در فرانسه مستقر شده است داشته باشد.

شکاف ۲: مکانیزم‌های نظارت انسانی روی کاغذ وجود دارند اما در عمل نه. بسیاری از سازمان‌ها مستند کرده‌اند که یک انسان توصیه‌های AI را بازبینی می‌کند، اما اطمینان حاصل نکرده‌اند که انسان‌ها اطلاعات لازم برای لغو معنادار AI را دریافت می‌کنند. مطالعه‌ای توسط AlgorithmWatch در آوریل ۲۰۲۶ نشان داد که در ۷۸٪ از استقرارهای AI استخدامی مورد بررسی، بازبین انسانی در زمان بازبینی به نمره اطمینان مدل یا نرخ خطای شناخته شده دسترسی نداشت.

شکاف ۳: مستندات داده‌های آموزشی قبل از قانون وجود دارد و ماده ۱۰ را برآورده نمی‌کند. سیستم‌های ساخته شده قبل از ۲۰۲۴ اغلب سوابق ناکافی از تصمیمات انتخاب منبع داده و ارزیابی سوگیری دارند. بازسازی گذشته‌نگر این مستندات دشوار است و در بسیاری موارد برای سیستم‌هایی که داده اصلی دیگر وجود ندارد، غیرممکن است. پاسخ عملی این است که بازآموزی یا به‌روزرسانی عمده مدل را به عنوان محرک انطباق برای تولید مستندات منطبق در آینده در نظر بگیرید.

مراحل عملی برای انطباق در حال حاضر

1. فهرست AI خود را به دسته‌های پرخطر نگاشت کنید. ماده ۶ و ضمیمه III دسته‌ها را دقیقاً فهرست می‌کنند. اگر از AI در غربالگری استخدام، ارزیابی اعتبار، واجد شرایط بودن مزایا یا کمک به اجرای قانون استفاده می‌کنید، در محدوده هستید. فرض نکنید که استفاده از فروشنده خارجی به این معنی است که شما استقراردهنده برای اهداف قانون نیستید.
2. تکمیل FRIA را برای سیستم‌های مستقر اولویت دهید. قانون دوره مهلتی برای سیستم‌های در حال استفاده ارائه نمی‌دهد. اگر سیستم شما قبل از ۲ می ۲۰۲۶ مستقر شده است، اگر FRIA منطبق نداشته باشید، در تخلف هستید. بلافاصله آن را با یک تاریخ استقرار دقیق کامل کنید و هر اقدام اصلاحی را مستند کنید.
3. مستندات نظارت انسانی خود را حسابرسی کنید. آیا می‌توانید نشان دهید که بازبینان انسانی خروجی‌های AI در مورد محدودیت‌های سیستم آموزش دیده‌اند؟ آیا جریان‌های کاری شما ثبت می‌کنند که یک انسان واقعاً تصمیم را بازبینی کرده است یا فقط اینکه سیستم یک توصیه تولید کرده است؟
4. نظارت بر رانش عملکرد مدل را پیاده‌سازی کنید. آستانه‌های دقت خود را تعریف کنید، دفعات نظارت را تعیین کنید و مستند کنید که چه چیزی باعث بازبینی یا تعلیق سیستم می‌شود. این نیاز به ابزارهای پیچیده ندارد — یک حسابرسی دقت سه ماهه بر اساس یک مجموعه ارزیابی کنار گذاشته شده بهتر از هیچ است.
5. با فروشندگان AI خود در مورد تعهدات مستندسازی مشترک درگیر شوید. ارائه‌دهندگان سیستم‌های AI پرخطر تعهدات خود را طبق قانون دارند. مستندات فنی و ارزیابی‌های انطباق آن‌ها را درخواست کنید و تأیید کنید که در صورت امکان علامت CE دارند. استفاده از یک سیستم AI از ارائه‌دهنده‌ای که نمی‌تواند این مستندات را ارائه دهد، خود یک خطر انطباق است.

نظام اجرایی EU AI Act نسبت به GDPR در زمان راه‌اندازی ابزارهای بیشتری دارد. اداره AI اروپا یک نهاد اختصاصی با کارکنان فنی است و جریمه‌ها با گردش مالی مقیاس می‌شوند نه اینکه به مبلغ ثابت محدود شوند. سازمان‌هایی که ۲ می ۲۰۲۶ را به عنوان یک جعبه علامت‌گذاری ساده به جای یک تغییر عملیاتی واقعی در نظر گرفتند، خطر قانونی قابل اندازه‌گیری‌ای را متحمل می‌شوند.