Закон ЕС об искусственном интеллекте

Искусственный интеллект (ИИ) — это стремительно развивающаяся группа технологий, которая способна и уже фактически приносит широкий спектр экономических, экологических и социальных выгод во множестве отраслей и сфер общественной жизни. Вместе с тем в отдельных случаях искусственный интеллект может создавать риски и причинять физический, психологический, общественный или экономический вред публичным или частным интересам, а также основным правам, защищаемым правом Союза. Поэтому основная цель регламента — «способствовать внедрению ориентированного на человека и заслуживающего доверия ИИ и обеспечить высокий уровень защиты здоровья, безопасности, основных прав, демократии, верховенства права и окружающей среды от вредного воздействия систем ИИ в Союзе, поддерживая при этом инновации и улучшая функционирование внутреннего рынка». Для этого регламент устанавливает правовую базу, в частности в отношении разработки, размещения на рынке, ввода в эксплуатацию и использования искусственного интеллекта в соответствии с ценностями ЕС, и обеспечивает свободное трансграничное перемещение товаров и услуг на основе ИИ.

Важно отметить, что системы ИИ в Союзе также подпадают под действие соответствующего законодательства о безопасности продукции, обеспечивающего общую защиту потребителей от опасных продуктов. Кроме того, регламент не направлен на изменение применения действующего права ЕС, регулирующего обработку персональных данных и защиту основных прав на частную жизнь и защиту персональных данных. Эта правовая база применяется главным образом к:

• поставщикам, размещающим системы ИИ на рынке ЕС или вводящим их в эксплуатацию в ЕС, независимо от места их нахождения;
• пользователям (деплоерам) систем ИИ, находящимся в ЕС;
• поставщикам и пользователям систем ИИ, находящимся за пределами ЕС, в случаях, когда применяется право страны-члена в силу международного публичного права или когда результат, генерируемый системой, используется в ЕС;
• поставщикам, размещающим системы ИИ на рынке или вводящим их в эксплуатацию за пределами ЕС, при условии что поставщик или дистрибьютор таких систем находится в ЕС;
• импортёрам и дистрибьюторам систем ИИ, а также уполномоченным представителям поставщиков, находящимся в ЕС;
• затронутым лицам, находящимся в ЕС, чьи здоровье, безопасность или основные права были затронуты системой ИИ.

Таким образом, правовая база применяется, если вы разрабатываете, развёртываете или используете систему ИИ в ЕС. При этом не имеет значения, находитесь ли вы внутри или за пределами ЕС. Регламент не применяется в случаях, когда ИИ используется в личных или непрофессиональных целях.

На стадии разработки конкретной системы ИИ поставщик обязан оценить потенциальные риски, которые могут привести к непредвиденным проблемам — в первую очередь для общества, а не для самого поставщика. Закон об ИИ упрощает процедуру такой независимой оценки рисков, предусматривая ряд конкретных классификаций. Закон об ИИ построен на риск-ориентированном подходе и устанавливает обязанности для поставщиков, а также для пользователей (деплоеров) и иных сторон в зависимости от уровня риска, который может создавать система ИИ. Предусмотрено 4 категории рисков: запрещённые практики (неприемлемый риск), высокий риск, ограниченный риск и минимальный риск систем ИИ.

Ограниченный риск означает, что отдельные системы ИИ могут создавать специфические риски манипулирования. В этом случае такие системы ИИ должны соответствовать особым требованиям прозрачности, которые распространяются на системы ИИ, которые:

• взаимодействуют с физическими лицами;
• распознают эмоции либо формируют ассоциации на основе биометрических данных;
• генерируют изображения, аудио- или видеоконтент либо манипулируют им («дипфейки»).

Ключевая обязанность, возлагаемая на поставщиков систем ИИ ограниченного риска по регламенту, заключается в том, что физические лица должны быть уведомлены о факте взаимодействия с системой ИИ — например, посредством соответствующего дисклеймера. Это позволяет физическим лицам осознанно решать, готовы ли они использовать систему ИИ в подобных обстоятельствах. Важно учитывать, что генерация контента или манипулирование им допускают исключения для законных целей (правоохранительная деятельность или свобода выражения). Иных требований к поставщикам систем ИИ ограниченного риска для выхода на рынок ЕС не предусмотрено. К системам ИИ ограниченного риска относятся чат-боты на базе ИИ, системы инвентаризации и управления, системы сегментации клиентов и менеджмента, системы распознавания эмоций и биометрической категоризации, а также системы, генерирующие дипфейки или синтетический контент.

Системы ИИ минимального риска представляют минимальный риск или вовсе не несут риска для основных прав физических лиц. Многие такие системы уже эксплуатируются по всему миру, и большинство существующих систем относятся именно к этой категории. Каких-либо обязанностей или ограничений для систем ИИ минимального риска не установлено, поэтому поставщики могут свободно разрабатывать такие системы и выводить их на рынок. К системам ИИ минимального риска относятся, например, видео- и компьютерные игры с поддержкой ИИ и спам-фильтры.

Правила классификации

Высокорисковые системы ИИ могут размещаться на рынке Союза, вводиться в эксплуатацию или использоваться только при соблюдении ряда обязательных требований. Отнесение системы ИИ к категории высокорисковых основывается на её предполагаемом назначении, области применения и действующем гармонизирующем законодательстве. Согласно ст. 6 Закона об ИИ высокорисковые системы ИИ делятся на две категории:

• компонент безопасности продукта, на который распространяется гармонизирующее законодательство ЕС, перечисленное в Приложении II и предусматривающее оценку соответствия третьей стороной;
• продукт, на который распространяется гармонизирующее законодательство ЕС, перечисленное в Приложении II и предусматривающее оценку соответствия третьей стороной.

Приложение II Закона об ИИ охватывает широкий перечень продуктов: игрушки, лифты, оборудование и системы защиты, предназначенные для применения в потенциально взрывоопасных средах, радиооборудование, оборудование, работающее под давлением, оборудование для прогулочных судов, канатные дороги, газосжигающие приборы, медицинские изделия и медицинские изделия для in vitro диагностики.

Кроме того, системы ИИ, предназначенные для определённой цели, то есть подпадающие как минимум под одну критическую область или сценарий использования, перечисленные в Приложении III, также относятся к высокорисковым — но только в том случае, если они создают вредоносный риск для здоровья, безопасности, основных прав или окружающей среды. Все критические области и предполагаемые цели высокорисковых систем ИИ согласно Приложению III приведены в таблице ниже.

Этот перечень высокорисковых областей и сценариев применения не является исчерпывающим: Европейская комиссия вправе вносить изменения в Приложение III, дополнять или модифицировать его, если конкретная система ИИ создаёт значительный риск причинения вреда здоровью и безопасности, неблагоприятного воздействия на основные права, окружающую среду, демократию и верховенство права. Вероятный или фактический риск должен быть сопоставим или превышать риски и влияние, создаваемые высокорисковыми системами ИИ, уже упомянутыми в Приложении III. Значительный риск причинения вреда определяется сочетанием двух ключевых элементов: (a) серьёзности, интенсивности, вероятности возникновения и продолжительности риска и (b) сферы влияния.

Поставщики высокорисковых систем ИИ, которые считают, что их система не создаёт значительного риска причинения вреда, обязаны проинформировать национальные надзорные органы, направив мотивированное уведомление. Процедура классификации системы ИИ для получения права на свободное размещение системы на рынке должна включать следующие шаги:

• подготовка одностраничного пояснения с указанием предполагаемого назначения системы ИИ и обоснованием отсутствия вреда для всех потенциальных результатов её работы¹;
• уведомление желательно подавать как можно раньше — уже на стадии разработки;
• в случае некорректной классификации мотивированное возражение должно быть подано в течение трёх месяцев.

Требования к высокорисковым системам ИИ

Системы ИИ, отнесённые к категории «высокорисковых», должны соответствовать обязательным требованиям, изложенным в главе 2 Закона об ИИ, как до, так и после их размещения на рынке. Это необходимо для проведения обязательной оценки соответствия и последующей регистрации. Следует учитывать, что отдельные требования встречаются на протяжении всего регламента. Высокорисковая система ИИ должна соответствовать следующим ключевым требованиям:

• Система управления рисками. Высокорисковые системы ИИ должны иметь надлежащую систему управления рисками, действующую на протяжении всего жизненного цикла. Такие системы должны обеспечивать выявление, анализ и оценку потенциальных рисков на основе принятых мер риск-менеджмента и данных, собираемых системой постпродажного мониторинга. Меры должны быть направлены на устранение, снижение или смягчение выявленных рисков. Остаточные риски подлежат разумной оценке, принятию и доведению до сведения пользователей (деплоеров).
• Данные и управление данными. Высокорисковые системы ИИ, использующие методы, предполагающие обучение моделей на данных, должны разрабатываться на основе обучающих, валидационных и тестовых наборов данных, отвечающих стандартам качества — насколько это технически возможно. Особое внимание должно уделяться предвзятости (bias) в данных.
• Техническая документация. Документация по высокорисковым системам ИИ должна подтверждать соответствие требованиям и содержать общее описание (назначение, разработчик, дата, версия системы и программного обеспечения, аппаратное обеспечение, функции и инструкции) и подробное описание разработки (применённые методы, логика проектных решений, архитектура, требования к данным, оценка человеческого надзора, заранее определённые изменения и процедуры тестирования).
• Ведение журналов. Высокорисковые системы ИИ должны обеспечивать автоматическое ведение журналов (логирование) для прослеживаемости работы системы и упрощения мониторинга операций.
• Прозрачность и информирование пользователей (деплоеров). Высокорисковые системы ИИ должны позволять пользователям интерпретировать результат работы системы и использовать его надлежащим образом, для чего предоставляются соответствующие инструкции по использованию.
• Человеческий надзор. Высокорисковые системы ИИ должны разрабатываться со специальными средствами человеко-машинного интерфейса, позволяющими физическим лицам понимать обстоятельства корректной работы или сбоев системы, интерпретировать её результаты и принимать решения о порядке использования.
• Точность, устойчивость и кибербезопасность. Уровень точности должен быть указан в инструкциях по использованию. Устойчивость и кибербезопасность должны обеспечиваться за счёт технических решений с резервированием и соответствующих измерений.

Обработка данных может создавать существенные риски для основных прав. В компромиссном тексте подчёркивается важность мер защиты данных в соответствии с правом ЕС о защите данных. Также следует учитывать методы и стандарты, направленные на снижение потребления ресурсов и энергии посредством мониторинга и отчётности о воздействии на окружающую среду.

Таким образом, до размещения на рынке или ввода в эксплуатацию высокорисковой системы ИИ поставщик должен убедиться, что вся документация, инструкции и системы являются эффективными, надлежащими и соответствуют изложенным выше требованиям.

Запрет отдельных неприемлемых практик ИИ обусловлен тем, что они противоречат ценностям ЕС или нарушают основные права физических лиц.

Системы ИИ, использующие подсознательные или намеренно манипулятивные техники, эксплуатирующие уязвимости людей или применяемые для социального скоринга, рассматриваются как создающие неприемлемый риск. Перечень таких практик, которые также являются дискриминационными и навязчивыми, был расширен в ходе последних поправок. Согласно новому компромиссному тексту регламента, к запрещённым практикам также предлагается отнести следующие:

• системы дистанционной биометрической идентификации в режиме реального времени в общественно доступных местах;
• системы дистанционной биометрической идентификации «постфактум» — за единственным исключением: возможностью для правоохранительных органов использовать такую систему для уголовного преследования по тяжким преступлениям только при наличии судебного разрешения;
• системы биометрической категоризации, использующие чувствительные характеристики (например, пол, расу, этническую принадлежность, гражданство, религию, политические взгляды);
• системы предиктивной полицейской аналитики (на основе профилирования, геолокации или прошлого преступного поведения);
• системы распознавания эмоций в правоохранительной деятельности, управлении границами, на рабочих местах и в образовательных учреждениях;
• массовый неизбирательный сбор биометрических данных из социальных сетей или записей видеонаблюдения для формирования баз распознавания лиц, что нарушает права человека и право на неприкосновенность частной жизни.

Поставщики высокорисковых систем ИИ должны обеспечивать и подтверждать, что их высокорисковые системы ИИ в полной мере соответствуют всем положениям и стандартам, посредством документально оформленной процедуры верификации соответствия. Согласно праву ЕС, цель процесса оценки соответствия — продемонстрировать соблюдение требований к защите потребителей и соответствие требованиям к системам ИИ. В случае выявления несоответствия в ходе процедуры необходимо внедрение корректирующих мер. Оценка соответствия сосредоточена на процедурных аспектах: проверке соответствия гармонизированным стандартам, требованиях к технической документации, системе управления качеством и системе постпродажного мониторинга. Порядок проведения оценки соответствия также зависит от типа продукта и уровня риска для общества.

До проведения оценки соответствия поставщики уже должны располагать всей упомянутой выше технической документацией и системой управления качеством, оформленной в виде письменных политик, процедур или инструкций. Система управления качеством должна включать:

• методы, процедуры и действия по проектированию, разработке и контролю качества;
• процедуры экспертизы, тестирования и валидации — до, во время и после разработки;
• технические спецификации;
• системы и процедуры работы с данными;
• систему управления рисками;
• создание, внедрение и поддержание системы постпродажного мониторинга;
• порядок отчётности о серьёзных инцидентах и сбоях;
• организацию коммуникации с соответствующими компетентными органами;
• системы и процедуры ведения учёта всех значимых данных;
• управление ресурсами;
• систему распределения ответственности.

Гармонизированный стандарт — это европейский стандарт, разработанный признанной европейской организацией по стандартизации по запросу Европейской комиссии². Гармонизированные стандарты облегчают и упрощают техническую сторону оценки соответствия для поставщиков и позволяют им обеспечить безопасность, конфиденциальность, прозрачность, защиту данных и доступность высокорисковых систем ИИ. При отсутствии ссылок на гармонизированные стандарты, уже опубликованные в Официальном журнале ЕС в отношении применимых требований, Европейская комиссия может принять общие технические спецификации, основанные на требованиях к высокорисковым системам ИИ. Однако поставщики вправе обосновать соответствие через применение эквивалентных технических решений только в тех случаях, когда соблюдение общих спецификаций оказывается недостижимым. Высокорисковые системы ИИ также считаются соответствующими требованиям после тестирования на данных, отражающих конкретную географическую, поведенческую, контекстуальную и функциональную среду эксплуатации.

Существует два варианта проведения оценки соответствия: самооценка (оценка самим поставщиком) или оценка рисков квалифицированной независимой третьей стороной — «нотифицированным органом». Иными словами, регламент позволяет поставщику выбрать одну из следующих процедур:

• процедура оценки соответствия на основе внутреннего контроля;
• процедура оценки соответствия с участием нотифицированного органа (внешний контроль).

Внутренний контроль предполагает, что поставщик удостоверяется в том, что установленная система управления качеством соответствует требованиям, изучает информацию, содержащуюся в технической документации, и убеждается, что процесс проектирования, разработки системы ИИ и её постпродажный мониторинг соответствуют технической документации.

Внешний контроль также основан на оценке системы управления качеством и анализе технической документации. Внешний контроль должен предусматриваться для систем ИИ, предназначенных для дистанционной биометрической идентификации или для формирования выводов о личных характеристиках физических лиц на основе биометрических или биометрически связанных данных, включая системы распознавания эмоций, в той мере, в какой такие системы ИИ не запрещены. Однако в соответствии с компромиссными поправками, в связи со сложностью высокорисковых систем ИИ, сфера применения оценки соответствия третьей стороной должна быть расширена. При проведении оценки соответствия в указанных областях поставщик обязан подать заявку в нотифицированный орган для экспертизы системы управления качеством, а также технической документации.

Заявка должна быть рассмотрена и проанализирована нотифицированным органом. По итогам экспертизы и проверки заявки нотифицированный орган уведомляет поставщика о принятом решении, которое должно содержать все выводы и мотивированную оценку. Нотифицированный орган выдаёт сертификат оценки технической документации ЕС, тогда как одобренная система управления качеством подлежит периодическому надзору (аудиты и отчёты). Срок действия сертификата указывается в нём самом и не может превышать четырёх лет.

Если высокорисковая система ИИ соответствует требованиям, поставщик оформляет письменную декларацию соответствия ЕС и наносит маркировку CE независимо от типа проведённой оценки соответствия. При этом в случае нанесения маркировки CE после внешнего контроля идентификационный номер ответственного нотифицированного органа наносится самим этим органом или, по его указанию, уполномоченным представителем поставщика. Декларация соответствия ЕС отражает ответственность поставщика за соблюдение требований к высокорисковым системам ИИ и должна содержать следующие элементы:

• наименование и тип системы ИИ, а также любую дополнительную однозначную ссылку, позволяющую идентифицировать систему ИИ и обеспечить её прослеживаемость;
• наименование и адрес поставщика или, при необходимости, его уполномоченного представителя;
• заявление о том, что декларация соответствия ЕС выдаётся под исключительную ответственность поставщика;
• заявление о том, что соответствующая система ИИ соответствует настоящему регламенту и, при применимости, любому иному соответствующему законодательству Союза, предусматривающему выдачу декларации соответствия ЕС;
• в случаях, когда система ИИ предполагает обработку персональных данных, — заявление о том, что данная система ИИ соответствует регламентам (ЕС) 2016/679 и (ЕС) 2018/1725, а также Директиве (ЕС) 2016/680;
• ссылки на применимые гармонизированные стандарты или иные общие спецификации, в отношении которых заявлено соответствие;
• при необходимости — наименование и идентификационный номер нотифицированного органа, описание проведённой процедуры оценки соответствия и реквизиты выданного сертификата;
• место и дата выдачи декларации, подпись, имя и должность подписавшего лица, а также указание, за кого и от чьего имени это лицо подписало.

Маркировка CE подчиняется общим принципам, изложенным в ст. 30 Регламента (ЕС) № 765/2008 и состоит из официальных инициалов «CE». В целом маркировка CE должна наноситься видимым, разборчивым и нестираемым способом исключительно поставщиком или его уполномоченным представителем (за исключением нотифицированного органа) на продукты, подпадающие под действие конкретного гармонизирующего законодательства или иного законодательства ЕС, также предусматривающего нанесение маркировки CE до размещения системы ИИ на рынке. Маркировка CE должна быть единственной маркировкой, отражающей ответственность поставщика за соответствие; при этом допускается нанесение дополнительной маркировки, указывающей на особые риски использования. Цифровая маркировка CE может применяться, если к ней обеспечен лёгкий доступ через интерфейс системы ИИ, программный код или иные электронные средства.

Высокорисковые системы ИИ подлежат регистрации в базе данных ЕС до их ввода в эксплуатацию в целях обеспечения прозрачности для общества и содействия развитию сферы искусственного интеллекта. Публичная база данных ЕС будет создана Комиссией, которая обеспечит её контроль и поддержку. Рекомендуется заранее ознакомиться со сведениями, которые поставщикам необходимо вносить в базу данных ЕС, ещё до того как сама база данных ЕС и Закон об ИИ с компромиссными поправками вступят в силу. Следует учитывать, что поставщик вправе приступить к регистрации только после проведения оценки соответствия с подготовкой всей необходимой документации. Если разработчик и впоследствии поставщик принимает решение вывести высокорисковую систему ИИ на рынок ЕС, для регистрации должны предоставляться и поддерживаться в актуальном состоянии следующие сведения:

• наименование, адрес и контактные данные поставщика;
• в случае подачи сведений иным лицом от имени поставщика — наименование, адрес и контактные данные этого лица;
• наименование, адрес и контактные данные уполномоченного представителя, если применимо;
• торговое наименование системы ИИ и любая дополнительная однозначная ссылка, позволяющая идентифицировать систему ИИ и обеспечить её прослеживаемость;
• простое и понятное описание предполагаемого назначения, компонентов и функций, реализуемых посредством ИИ, а также базовое описание логики работы системы ИИ;
• при применимости — категории и характер данных, которые предположительно или фактически будут обрабатываться системой ИИ;
• статус системы ИИ (размещена на рынке/находится в эксплуатации; больше не размещается на рынке/не эксплуатируется, отозвана);
• тип, номер и срок действия сертификата, выданного нотифицированным органом, а также наименование или идентификационный номер этого нотифицированного органа, если применимо;
• отсканированная копия сертификата, если применимо;
• страны-члены, в которых система ИИ размещена на рынке, введена в эксплуатацию или доступна на территории Союза;
• копия декларации соответствия ЕС;
• URL для дополнительной информации (опционально).

Responsible AI Licenses (RAIL) позволяют разработчикам контролировать и ограничивать использование своих ИИ-технологий, чтобы предотвратить злоупотребления и вредоносные сценарии применения. Такие лицензии включают конкретные оговорки об ограничении поведенческого использования, предоставляющие разрешение для отдельных сценариев и ограничивающие иные. Если лицензия допускает создание производных работ, лицензии RAIL обязывают, чтобы все последующие производные (включая использование, модификацию, перераспространение и переупаковку) соответствовали первоначальным ограничениям поведенческого использования.

Политика по этическим аспектам

Обеспечьте этичное и ответственное использование ИИ во всех сценариях с экспертизой Juscutum. Мы помогаем разрабатывать политики, соответствующие этическим стандартам и способствующие ответственному внедрению ИИ, с учётом требований Закона ЕС об ИИ.

Политика конфиденциальности данных

Обеспечьте конфиденциальность всех данных, используемых и генерируемых системами ИИ. Наши услуги гарантируют полное соответствие ваших ИИ-операций требованиям законодательства о защите данных, защиту персональной информации и сохранение доверия пользователей.

Снижение предвзятости

Внедряйте эффективные меры по выявлению и снижению предвзятости в процессах принятия решений ИИ. Juscutum предоставляет стратегии и инструменты, обеспечивающие справедливость, объективность и соблюдение этических норм в ваших системах ИИ, сводя к минимуму дискриминационные результаты.

Прозрачность

Обеспечьте прозрачность работы ИИ и процессов принятия решений. Мы помогаем формировать чёткие, понятные и доступные политики, обеспечивающие доверие заинтересованных сторон к действиям систем ИИ и возможность их верификации, что способствует подотчётности.

Оценки в рамках саморегулирования

Принимайте проактивные меры для обеспечения ответственного использования технологий ИИ и машинного обучения (ML). Juscutum проводит тщательную оценку в рамках саморегулирования, помогая организациям следовать лучшим практикам и выполнять правовые требования Закона ЕС об ИИ, способствуя ответственным инновациям в сфере ИИ.

Эта информация предназначена для юридических лиц или организаций, которые планируют проводить оценку соответствия в качестве нотифицированного органа в рамках Закона об ИИ. Нотифицированный орган — это орган оценки соответствия, осуществляющий деятельность по оценке соответствия третьей стороной, включая тестирование, сертификацию и инспекцию. Чтобы стать нотифицированным органом, организация должна быть назначена национальным уведомляющим органом страны-члена, в которой она учреждена, после подачи соответствующей заявки на нотификацию. Заявка должна содержать описание деятельности по оценке соответствия, модуля или модулей оценки соответствия и технологий искусственного интеллекта, в отношении которых орган оценки соответствия заявляет о своей компетенции, а также сертификат аккредитации. В Эстонии такой сертификат может быть выдан Эстонским центром стандартизации и аккредитации.

Помимо этого, нотифицированные органы должны соответствовать ряду требований. Очевидно, что главная обязанность нотифицированного органа — верификация соответствия высокорисковой системы ИИ, однако он также должен соответствовать организационным, управленческим, ресурсным и процессным требованиям, а также минимальным требованиям в сфере кибербезопасности, необходимым для выполнения своих функций. Эти функции должны выполняться независимо от поставщика сотрудниками с достаточным уровнем знаний, которые не были связаны с поставщиком в течение 12 месяцев до и после оказания соответствующих услуг. Нотифицированные органы должны располагать применимыми процедурами и внутренней компетенцией (наличие достаточного административного, технического и научного персонала) для осуществления деятельности по оценке соответствия и участвовать в координационных мероприятиях.

В Эстонии существуют два уведомляющих органа:

• Управление защиты прав потребителей и технического регулирования, в чью компетенцию входит нотификация по большинству областей в рамках применимого законодательства;
• Совет здравоохранения, действующий в рамках законодательства, связанного с медицинскими изделиями.

С точки зрения процедуры нотификации организация должна учитывать следующие шаги:

• подать заявку на нотификацию в уведомляющий орган;
• уведомление о нотифицированном органе направляется уведомляющим органом в Комиссию и в иные страны-члены через NANDO³ (New Approach Notified and Designated Organisations);
• нотификация вступает в силу после направления уведомительного письма через NANDO в Комиссию и иные страны-члены и публикации на сайте NANDO.⁴

По завершении процедуры нотификации Комиссия присваивает новому нотифицированному органу единый идентификационный номер вне зависимости от количества актов Союза, в рамках которых он нотифицирован. Если нотифицированный орган перестаёт выполнять обязанности и требования по оценке соответствия, Комиссия может инициировать расследование на основании информации, предоставленной национальным органом, и применить корректирующие меры — приостановку или отзыв нотификации.

Закон об ИИ устанавливает свод правил о санкциях и административных штрафах за нарушения, связанные с несоблюдением требований, обязанностей или запретов. Следует отметить, что компромиссный текст предусматривает иные размеры штрафов по сравнению с первоначальной редакцией Закона. С учётом одобренного компромисса ниже приведены случаи несоблюдения и предполагаемые санкции согласно последнему компромиссному тексту:

• несоблюдение запретов — до 40 миллионов евро или 7 % годового оборота;
• несоблюдение требований к данным и управлению данными — до 20 миллионов евро или 4 % годового оборота;
• нарушение обязанностей или иных требований — до 10 миллионов евро или 2 % годового оборота;
• предоставление недостоверной, неполной или вводящей в заблуждение информации — до 5 миллионов евро или 1 % годового оборота.

Санкции назначаются в соответствии с общим принципом эффективности, сдерживания и соразмерности совершённому правонарушению или действиям. На размер санкции могут влиять обстоятельства, характер и продолжительность правонарушения.

¹ Стандартизированный шаблон будет разработан Комиссией в ближайшем будущем.

² Ссылки на гармонизированные стандарты и иные европейские стандарты, опубликованные в OJEU, доступны на официальном сайте Европейского союза: https://single-market-economy.ec.europa.eu/single-market/european-standards/harmonised-standards_en

³ Электронный реестр нотифицированных органов: https://ec.europa.eu/growth/tools-databases/nando/

⁴ Blue Guide — руководство по применению всех аспектов единого рынка продукции, в том числе по роли и организации работы нотифицированных органов.