यूरोपीय संघ कृत्रिम बुद्धिमत्ता अधिनियम—विनियमन (ईयू) 2024/1689—यूरोपीय बाज़ार में उपलब्ध किसी भी एआई सिस्टम या यूरोपीय संघ के उपयोगकर्ताओं तक पहुँचने वाले किसी भी एआई सिस्टम के लिए कानूनी रूप से बाध्यकारी नियम निर्धारित करता है, जिससे यह दुनिया का पहला क्षैतिज, जोखिम-आधारित एआई कानून बन जाता है। चाहे आप मॉडल बनाएँ, तृतीय-पक्ष टूलकिट एकीकृत करें, या ग्राहकों की सेवा के लिए केवल चैटबॉट तैनात करें, यह अधिनियम नए कर्तव्य निर्धारित करता है और प्रत्येक उल्लंघन पर वैश्विक कारोबार के 7% तक के भारी जुर्माने का प्रावधान करता है। यह अधिनियम 1 अगस्त 2024 से प्रभावी होगा; अनुपालन दायित्व फरवरी 2025 से अगस्त 2027 तक लागू रहेंगे, जिसका अर्थ है कि तैयारी का समय सीमित है।
यह व्यावहारिक मार्गदर्शिका कानूनी शब्दावली को थोड़ा कम करती है और आपको जो जानना ज़रूरी है, उसे ठीक-ठीक समझाती है: अधिनियम का दायरा और प्रमुख परिभाषाएँ, इसका चार-स्तरीय जोखिम वर्गीकरण, समय-सीमा और प्रवर्तन प्रक्रिया, प्रदाताओं, उपयोगकर्ताओं, आयातकों और वितरकों के लिए ठोस दायित्व, और नियमों का पालन न करने पर दंड। हम आपको एक चरण-दर-चरण अनुपालन चेकलिस्ट देने से पहले, इस नियम को GDPR, NIS2, उत्पाद सुरक्षा नियमों और क्षेत्र-विशिष्ट आवश्यकताओं के साथ जोड़ते हैं, जिस पर इंजीनियरिंग, कानूनी और नेतृत्व दल तुरंत कार्रवाई कर सकते हैं। आइए, आपको तैयार कर दें—ऑडिटरों के आने से पहले।
एक नज़र में: यूरोपीय संघ का कृत्रिम बुद्धि अधिनियम वास्तव में क्या है?
विनियमन (ईयू) 2024/1689—जिसे ईयू आर्टिफिशियल इंटेलिजेंस एक्ट के नाम से जाना जाता है—एक सीधे लागू होने वाला ईयू विनियमन है, न कि कोई निर्देश। इसका मतलब है कि इसके अनुच्छेद हर सदस्य राज्य में बिना किसी राष्ट्रीय परिवर्तन की आवश्यकता के स्वतः ही लागू हो जाते हैं, ठीक उसी तरह जैसे GDPR 2018 में किया गया। इसका लक्ष्य दोहरा है: मौलिक अधिकारों और सुरक्षा की रक्षा करना और साथ ही कंपनियों को एआई के साथ ज़िम्मेदारी से नवाचार करने के लिए कानूनी निश्चितता प्रदान करना। इसे प्राप्त करने के लिए, अधिनियम एक क्षैतिज, जोखिम-आधारित टूलकिट प्रस्तुत करता है जो वित्त से लेकर स्वास्थ्य सेवा तक हर क्षेत्र में फैला है, और "न्यूनतम" से "अस्वीकार्य" जोखिम तक की प्रणालियों को संबंधित कानूनी कर्तव्यों के साथ वर्गीकृत करता है।
दायरा और परिभाषाएँ जिन्हें आपको जानना आवश्यक है
अनुपालन योजना तैयार करने से पहले, मूल शब्दावली में निपुणता हासिल करें:
- एआई प्रणाली: "एक मशीन-आधारित प्रणाली जिसे स्वायत्तता के विभिन्न स्तरों के साथ संचालित करने के लिए डिज़ाइन किया गया है और जो स्पष्ट या अंतर्निहित उद्देश्यों के लिए, इनपुट डेटा से अनुमान लगाती है कि आउटपुट कैसे उत्पन्न किया जाए - जैसे कि पूर्वानुमान, सामग्री, सिफारिशें या निर्णय - जो भौतिक या आभासी वातावरण को प्रभावित कर सकते हैं।"
- सामान्य प्रयोजन एआई (जीपीएआई): एक एआई प्रणाली जो विभिन्न प्रकार के कार्यों को करने में सक्षम है, चाहे इसे बाद में कैसे भी परिष्कृत या तैनात किया जाए।
- प्रदाता: कोई भी प्राकृतिक या कानूनी व्यक्ति जो किसी AI प्रणाली को विकसित करता है - या विकसित कर चुका है - जिसका उद्देश्य उसे बाजार में लाना या अपने नाम या ट्रेडमार्क के तहत सेवा में लाना है।
- उपयोगकर्ता (जिसे अक्सर "डिप्लॉयर" कहा जाता है): एक व्यक्ति या संस्था जो अपने अधिकार के तहत एआई सिस्टम का उपयोग करती है, निजी, गैर-पेशेवर उपयोग को छोड़कर।
- आयातक: संघ द्वारा स्थापित पक्ष जो यूरोपीय संघ के बाजार में संघ के बाहर स्थित किसी इकाई के नाम या ट्रेडमार्क वाली एआई प्रणाली को रखता है।
- वितरक: आपूर्ति श्रृंखला में वह कर्ता - प्रदाता या आयातक के अलावा - जो AI प्रणाली को बिना संशोधित किये उपलब्ध कराता है।
क्षेत्रीय पहुँच व्यापक है: यूरोपीय संघ के बाज़ार में उपलब्ध कोई भी प्रणाली या जिसका उत्पादन यूरोपीय संघ में उपयोग किया जाता है, अधिनियम के अंतर्गत आता है, चाहे डेवलपर कहीं भी स्थित हो। विशुद्ध रूप से सैन्य या राष्ट्रीय सुरक्षा अनुप्रयोगों, अभी तक बाज़ार में उपलब्ध नहीं हुए अनुसंधान एवं विकास प्रोटोटाइप, और व्यक्तिगत शौक़ीन परियोजनाओं के लिए भी विशेष प्रावधान मौजूद हैं।
अधिनियम में निहित प्रमुख सिद्धांत
यह विनियमन दीर्घकालिक नैतिक अवधारणाओं को लागू करने योग्य कानून में परिवर्तित करता है:
- मानव एजेंसी और निरीक्षण
- तकनीकी मजबूती और सुरक्षा
- गोपनीयता और डेटा शासन
- पारदर्शिता और व्याख्यात्मकता
- विविधता, गैर-भेदभाव और निष्पक्षता
- सामाजिक और पर्यावरणीय कल्याण
ये ओईसीडी एआई सिद्धांतों और यूरोपीय संघ के पहले के "नैतिकता दिशानिर्देशों" को प्रतिबिंबित करते हैं भरोसेमंद एआई, " लेकिन अब इसमें नियामकीय प्रावधान हैं।
विनियमन बनाम मौजूदा सॉफ्ट-लॉ दिशानिर्देश
2024 तक, यूरोप में एआई शासन यूरोपीय संघ एआई संधि या कॉर्पोरेट आचार संहिता जैसे स्वैच्छिक ढाँचों पर निर्भर था। एआई अधिनियम ने खेल को बदल दिया है: अनुपालन अनिवार्य, लेखापरीक्षित और समर्थित है। 35 मिलियन यूरो तक का जुर्माना या वैश्विक राजस्व का 7%। दूसरे शब्दों में, "नैतिक एआई" की घोषणाएँ अब पर्याप्त नहीं हैं—संगठनों को अनुरूपता मूल्यांकन, सीई मार्किंग और सत्यापन योग्य लॉग प्रस्तुत करने होंगे, अन्यथा यूरोपीय संघ के बाज़ार से प्रतिबंधित होने का जोखिम उठाना होगा।
समयरेखा, कानूनी स्थिति और प्रवर्तन चरण
यूरोपीय संघ का कृत्रिम बुद्धिमत्ता अधिनियम, ब्रुसेल्स के मानकों के हिसाब से, मात्र तीन वर्षों में, प्रस्ताव से बाध्यकारी कानून बन गया। चूँकि यह एक विनियमन है, इसलिए अधिकांश अनुच्छेद बिना किसी राष्ट्रीय परिवर्तन के पूरे यूरोपीय संघ में स्वतः लागू हो जाते हैं। समय के साथ जो बदलता है वह यह है कि कौन से दायित्व पहले लागू होते हैं। नीचे दी गई समय-सारिणी उन राजनीतिक मील के पत्थरों को दर्शाती है जो हमें यहाँ तक लाए हैं और उन चरणबद्ध अनुपालन कर्तव्यों के लिए आधार तैयार करती है जिन्हें अब आपके संगठन को निर्धारित करना होगा।
| तारीख | मील का पत्थर | महत्व |
|---|---|---|
| 21 अप्रैल 2021 | आयोग ने एआई अधिनियम का मसौदा प्रकाशित किया | विधायी प्रक्रिया की औपचारिक शुरुआत |
| 9 दिसंबर 2023 | संसद और परिषद राजनीतिक समझौते पर पहुँचे | मुख्य पाठ काफी हद तक लॉक है |
| 13 मार्च 2024 | यूरोपीय संसद का अंतिम मतदान (523-46) | लोकतांत्रिक अनुमोदन प्राप्त |
| 21 मई 2024 | यूरोपीय संघ की परिषद द्वारा अपनाया गया | अंतिम विधायी बाधा दूर |
| 10 जुलाई 2024 | आधिकारिक जर्नल में प्रकाशित पाठ | कानूनी उल्टी गिनती शुरू |
| अगस्त 1 2024 | विनियमन (ईयू) 2024/1689 लागू हो गया है | सभी भावी समय-सीमाओं के लिए “दिन 0” |
लागू होने की तिथि तीन वर्षों में फैली क्रमिक आवेदन तिथियों की एक श्रृंखला को जन्म देती है। यह डिज़ाइन प्रदाताओं, उपयोगकर्ताओं, आयातकों और वितरकों को अनुरूपता प्रक्रियाएँ बनाने, मॉडलों को उन्नत करने और कर्मचारियों को प्रशिक्षित करने के लिए समय देता है—लेकिन इसका यह भी अर्थ है कि लेखा परीक्षक 2027 से पहले ही स्पष्ट प्रगति की उम्मीद करेंगे।
प्रवर्तन रोडमैप: क्या कब लागू होता है
- 6 महीने | 1 फ़रवरी 2025
- प्रतिबंधित एआई प्रथाओं (अनुच्छेद 5) को बाजार से बाहर रखा जाना चाहिए - कोई बहाना नहीं।
- 12 महीने | 1 अगस्त 2025
- डीपफेक, चैटबॉट्स और भावना पहचान के लिए पारदर्शिता की जिम्मेदारी शुरू हो गई है।
- सामान्य प्रयोजन एआई (जीपीएआई) के लिए अभ्यास संहिता अपेक्षित; स्वैच्छिक लेकिन अत्यधिक अनुशंसित।
- 24 महीने | 1 अगस्त 2026
- उच्च जोखिम प्रणाली आवश्यकताएँ शुरू होती हैं: जोखिम प्रबंधन, डेटा प्रशासन, तकनीकी दस्तावेज़ीकरण, मानव निरीक्षण और सीई अंकन तैयारी।
- प्रदाताओं को नए यूरोपीय संघ डेटाबेस में उच्च जोखिम वाली प्रणालियों को पंजीकृत करना होगा।
- 36 महीने | 1 अगस्त 2027
- पूर्ण व्यवस्था लागू होती है, जिसमें बायोमेट्रिक पहचान प्रणाली, अधिसूचित-शरीर अनुरूपता आकलन, तथा सभी उच्च जोखिम वाले एआई के लिए अनुरूपता की अनिवार्य यूरोपीय संघ घोषणा शामिल है।
- बाजार निगरानी प्राधिकरण गैर-अनुपालन उत्पादों को वापस लेने या वापस लेने का आदेश देने की शक्ति प्राप्त होगी।
संक्रमणकालीन धाराएँ, अगस्त 2026 से पहले से ही वैध रूप से उपयोग में आने वाली उच्च-जोखिम प्रणालियों को तब तक बाज़ार में बने रहने की अनुमति देती हैं जब तक कि उनमें "काफी बदलाव" न हो जाएँ। अनुपालन समय को गलती से रीसेट होने से बचाने के लिए अपग्रेड की सावधानीपूर्वक योजना बनाएँ।
संस्थान और पर्यवेक्षी निकाय
यूरोपीय संघ के कृत्रिम बुद्धिमत्ता अधिनियम को लागू करने के लिए तीन स्तरों पर निगरानी रखी जाती है:
- यूरोपीय संघ एआई कार्यालय (यूरोपीय आयोग) - मार्गदर्शन का समन्वय करता है, GPAI रजिस्टर का रखरखाव करता है, तथा प्रणालीगत मॉडल प्रदाताओं पर जुर्माना लगा सकता है।
- राष्ट्रीय सक्षम प्राधिकारी - प्रत्येक सदस्य राज्य में एक; निरीक्षण, शिकायत और दिन-प्रतिदिन बाजार निगरानी का कार्य संभालना।
- अधिसूचित निकाय - स्वतंत्र अनुरूपता मूल्यांकन संगठन जो सीई मार्किंग से पहले उच्च जोखिम वाली प्रणालियों का ऑडिट करते हैं।
ये अभिनेता सहयोग करते हैं यूरोपीय कृत्रिम बुद्धिमत्ता बोर्ड (EAIB), जो सुसंगत व्याख्यात्मक नोट्स जारी करता है—इसे GDPR के EDPB के AI समकक्ष के रूप में देखें। उनके मार्गदर्शन के प्रति सचेत रहें; यह इस बात को आकार देगा कि व्यवहार में आपकी तकनीकी फ़ाइलों और जोखिम आकलनों का मूल्यांकन कैसे किया जाएगा।
चार-स्तरीय जोखिम वर्गीकरण ढांचा
यूरोपीय संघ के कृत्रिम बुद्धिमत्ता अधिनियम (एआई अधिनियम) के मूल में एक ट्रैफ़िक-लाइट मॉडल है जो यह निर्धारित करता है कि नियम कितने कठोर होंगे: लोगों के अधिकारों और सुरक्षा के लिए जोखिम जितना अधिक होगा, अनुपालन का भार उतना ही अधिक होगा। प्रत्येक एआई प्रणाली को चार श्रेणियों में से एक में मैप किया जाना चाहिए—अस्वीकार्य, उच्च, सीमित, या न्यूनतम। यह वर्गीकरण बाकी सभी चीज़ों को निर्धारित करता है: दस्तावेज़ीकरण की गहराई, परीक्षण की कठोरता, निगरानी, और अंततः, बाज़ार तक पहुँच।
| जोखिम स्तर | विशिष्ट उदाहरण | मुख्य कानूनी परिणाम | प्रथम आवेदन तिथि* |
|---|---|---|---|
| गवारा नहीं | सामाजिक स्कोरिंग, सार्वजनिक स्थानों पर वास्तविक समय बायोमेट्रिक आईडी, हेरफेर करने वाले "नज" इंजन | पूर्ण प्रतिबंध; वापसी और 35 मिलियन यूरो / 7% तक का जुर्माना | 1 फ़रवरी 2025 |
| हाई | सीवी-स्क्रीनिंग उपकरण, चिकित्सा-निदान सॉफ्टवेयर, क्रेडिट-योग्यता स्कोरिंग, स्वायत्त ड्राइविंग मॉड्यूल | अनुरूपता मूल्यांकन, CE अंकन, रजिस्ट्री प्रविष्टि, बाजार-पश्चात निगरानी | 1 अगस्त 2026 (बायोमेट्रिक्स: 1 अगस्त 2027) |
| सीमित | चैटबॉट, डीपफेक जनरेटर, भावना-विश्लेषण विजेट | पारदर्शिता सूचना और बुनियादी उपयोगकर्ता नियंत्रण | अगस्त 1 2025 |
| न्यूनतम | AI-संचालित स्पैम फ़िल्टर, वीडियो-गेम NPCs | कोई अनिवार्य नियम नहीं; केवल स्वैच्छिक कोड | पहले से ही प्रभावी |
* 1 अगस्त 2024 से लागू होने की तिथि से गणना की गई।
यह ढांचा गतिशील है: यदि आप नई सुविधाएं जोड़ते हैं या लक्षित उपयोगकर्ता बदलते हैं, तो आपका सिस्टम एक स्तर ऊपर जा सकता है, जिससे नए कर्तव्य शुरू हो सकते हैं।
अस्वीकार्य जोखिम: निषिद्ध AI प्रथाएँ
अनुच्छेद 5 उन उपयोगों के लिए एक सीमा रेखा खींचता है जिन्हें यूरोपीय संघ मौलिक अधिकारों के साथ स्वाभाविक रूप से असंगत मानता है। इनमें शामिल हैं:
- अचेतन तकनीकें जो व्यवहार को भौतिक रूप से विकृत करती हैं
- नाबालिगों या विकलांग व्यक्तियों की कमजोरियों का फायदा उठाना
- अंधाधुंध वास्तविक समय बायोमेट्रिक पहचान सार्वजनिक रूप से सुलभ स्थानों में (संकीर्ण कानून-प्रवर्तन कटौती लागू होती है)
- सार्वजनिक प्राधिकारियों द्वारा सामाजिक स्कोरिंग
- केवल प्रोफाइलिंग या स्थान डेटा पर आधारित पूर्वानुमानित पुलिसिंग
ऐसी प्रणालियों को यूरोपीय संघ के बाज़ार में कभी नहीं आना चाहिए। राष्ट्रीय प्राधिकारी तुरंत इन्हें वापस बुलाने का आदेश दे सकते हैं, और अधिनियम के तहत जुर्माने की सीमा सबसे ऊपर है।
उच्च-जोखिम वाली AI प्रणालियाँ: अनुलग्नक III श्रेणियाँ
कोई भी प्रणाली उच्च जोखिम वाली श्रेणी में तब आती है जब वह निम्न में से कोई एक हो:
- किसी उत्पाद का सुरक्षा घटक जो पहले से ही विनियमित है (उदाहरण के लिए, मशीनरी या चिकित्सा उपकरण विनियमों के अंतर्गत), या
- अनुलग्नक III के आठ संवेदनशील डोमेन में सूचीबद्ध हैं - बायोमेट्रिक्स, महत्वपूर्ण बुनियादी ढांचा, शिक्षा, रोजगार, अत्यावश्यक सेवाएं, कानून प्रवर्तन, प्रवासन और न्याय।
एक बार उच्च जोखिम के रूप में वर्गीकृत होने के बाद, प्रदाताओं को एक गुणवत्ता प्रबंधन प्रणाली संचालित करनी होगी, एक जोखिम-प्रबंधन चक्र चलाना होगा, और एक अनुरूपता मूल्यांकन सुनिश्चित करना होगा—कभी-कभी किसी बाहरी अधिसूचित निकाय के माध्यम से। उपयोगकर्ताओं (नियोक्ता) को लॉगिंग, निरीक्षण और घटना-रिपोर्टिंग के कर्तव्य विरासत में मिलते हैं।
सीमित जोखिम: पारदर्शिता दायित्व
सीमित जोखिम वाले उपकरण हानिरहित नहीं होते, लेकिन यूरोपीय संघ का मानना है कि उपयोगकर्ता जागरूकता ज़्यादातर खतरों को कम कर देती है। चैटबॉट, जनरेटिव-एआई आर्ट इंजन या सिंथेटिक-वॉइस सेवाओं के निर्माताओं को:
- उपयोगकर्ताओं को सूचित करें कि वे AI के साथ इंटरैक्ट कर रहे हैं ("यह छवि AI द्वारा उत्पन्न की गई है")
- मशीन-पठनीय वॉटरमार्क में डीपफेक सामग्री का खुलासा करें
- अत्यंत आवश्यक से अधिक व्यक्तिगत डेटा को गुप्त रूप से एकत्रित करने से बचें
नोटिस प्रदान न करने पर सिस्टम को सीधे गैर-अनुपालन क्षेत्र में डाउनग्रेड कर दिया जाता है और प्रशासनिक जुर्माना लगाया जाता है।
न्यूनतम/नगण्य जोखिम: कोई अनिवार्य नियम नहीं
स्पैम फ़िल्टर, ईमेल में पूर्वानुमानित टेक्स्ट, या एचवीएसी ऊर्जा उपयोग को अनुकूलित करने वाला एआई आमतौर पर इसमें शामिल होता है। यूरोपीय संघ का कृत्रिम बुद्धिमत्ता अधिनियम (एआई अधिनियम) कोई कठोर दायित्व नहीं लगाता, लेकिन यह स्वैच्छिक कोड, नियामक सैंडबॉक्स और आईएसओ/आईईसी 42001 जैसे अंतर्राष्ट्रीय मानकों के पालन को सक्रिय रूप से प्रोत्साहित करता है। हल्के दस्तावेज़ और बुनियादी पूर्वाग्रह परीक्षण रखना अभी भी एक समझदारी भरा कदम है—अगर नुकसान के सबूत सामने आते हैं, तो नियामक सीमावर्ती मामलों को पुनर्वर्गीकृत कर सकते हैं।
प्रदाताओं, नियोक्ताओं और अन्य कर्ताओं के लिए मुख्य दायित्व
यूरोपीय संघ का कृत्रिम बुद्धिमत्ता अधिनियम अनुपालन कर्तव्यों को पूरी आपूर्ति श्रृंखला में फैलाता है। चूँकि दायित्व कंपनी के आकार पर नहीं, बल्कि उसके कार्य पर निर्भर करता है, इसलिए आपको पहले यह तय करना होगा कि आप किसकी भूमिका निभा रहे हैं—प्रदाता, उपयोगकर्ता (नियोक्ता), आयातक, या वितरक—और फिर जोखिम-विशिष्ट आवश्यकताओं को शामिल करें। सही वर्गीकरण का न होना एक आम ऑडिट निष्कर्ष है, इसलिए मानचित्रण अभ्यास को अपने कार्यक्रम के शून्य चरण के रूप में देखें।
उच्च-जोखिम प्रणालियों के प्रदाता
प्रदाता सबसे भारी बोझ उठाते हैं क्योंकि वे डिज़ाइन संबंधी निर्णयों को नियंत्रित करते हैं। मुख्य कार्य:
- एक प्रलेखित गुणवत्ता प्रबंधन प्रणाली (क्यूएमएस) स्थापित करें जो डेटा प्रशासन, जोखिम प्रबंधन, परिवर्तन नियंत्रण और साइबर सुरक्षा को कवर करती है।
- पूर्व-अनुरूपता मूल्यांकन चलाएँ। अधिकांश अनुलग्नक III प्रणालियाँ स्व-मूल्यांकन कर सकती हैं, लेकिन बायोमेट्रिक आईडी, चिकित्सा उपकरण और अन्य सुरक्षा-महत्वपूर्ण उपयोग मामलों के लिए एक अधिसूचित निकाय की आवश्यकता होती है।
- तकनीकी दस्तावेज संकलित करें: मॉडल आर्किटेक्चर, प्रशिक्षण डेटा वंशावली, मूल्यांकन मेट्रिक्स, मजबूती परीक्षण, मानव-निगरानी तंत्र और पोस्ट-मार्केट निगरानी योजना।
- यूरोपीय संघ के अनुरूपता की घोषणा का मसौदा तैयार करें, सीई मार्किंग लगाएं, और पहली तैनाती से पहले सार्वजनिक एआई डेटाबेस में सिस्टम को पंजीकृत करें।
- बाजार के बाद सतत निगरानी स्थापित करें: गंभीर घटनाओं को दर्ज करें, जब बहाव सीमा पार हो जाए तो पुनः प्रशिक्षण दें, तथा 15 दिनों के भीतर सक्षम प्राधिकारियों को सूचित करें।
इनमें से किसी भी कदम की उपेक्षा करने पर 15 मिलियन यूरो या वैश्विक कारोबार के 3% तक का जुर्माना लगाया जा सकता है - भले ही कोई नुकसान न हो।
उच्च-जोखिम प्रणालियों के उपयोगकर्ता / परिनियोजनकर्ता
परिनियोजनकर्ता कोड को वास्तविक दुनिया के प्रभाव में परिवर्तित करते हैं, इसलिए अधिनियम उन्हें अपनी स्वयं की चेकलिस्ट देता है:
- प्रदाता के निर्देशों और प्रलेखित उपयोग मामले के अनुसार ही सिस्टम का संचालन करें।
- जब उपयोगकर्ता कोई सार्वजनिक प्राधिकरण हो या जब AI आवास या ऋण जैसी आवश्यक सेवाओं तक पहुंच को प्रभावित करता हो, तो मौलिक अधिकार प्रभाव आकलन (FRIA) करें।
- योग्य मानवीय निरीक्षण सुनिश्चित करें: कर्मचारियों को प्रशिक्षित किया जाना चाहिए, आउटपुट को ओवरराइड करने के लिए सशक्त बनाया जाना चाहिए, तथा प्रभावित व्यक्तियों को निर्णय समझाने में सक्षम होना चाहिए।
- इनपुट डेटा, आउटपुट, मानवीय हस्तक्षेप और प्रदर्शन विसंगतियों सहित कम से कम छह वर्षों के लिए लॉग बनाए रखें।
- गंभीर घटनाओं की सूचना प्रदाता और राष्ट्रीय प्राधिकरण दोनों को बिना किसी “अनुचित देरी” के दें, जिसे आमतौर पर 72 घंटे के रूप में समझा जाता है।
आयातकों और वितरकों
यूरोपीय संघ में एआई प्रणालियों को लागू करने या आगे बढ़ाने वाले अभिनेताओं के पास गेट-कीपिंग कर्तव्य हैं:
- सत्यापित करें कि CE मार्किंग, EU अनुरूपता घोषणा, और निर्देश मौजूद हैं और विपणन की गई कार्यक्षमता से मेल खाते हैं।
- यदि उन्हें पता हो - या पता होना चाहिए - कि उत्पाद गैर-अनुपालन योग्य है, तो उत्पाद की आपूर्ति करने से बचें; इसके बजाय, प्रदाता और सक्षम प्राधिकारी को सूचित करें।
- शिकायतों और रिकॉल का एक रजिस्टर रखें, तथा अनुरोध करने पर इसे प्राधिकारियों को उपलब्ध कराएं।
- उत्पाद वापसी या सॉफ्टवेयर पैच सहित सुधारात्मक कार्रवाइयों में सहयोग करें।
सामान्य प्रयोजन एआई (आधारभूत मॉडल) दायित्व
अधिनियम में GPAI या आधार मॉडल के रचनाकारों के लिए विशिष्ट नियम जोड़े गए हैं, जिन्हें कहीं भी लागू किया जा सकता है:
- लाइसेंस स्थिति और भौगोलिक उत्पत्ति सहित व्यापक तकनीकी दस्तावेज और प्रयुक्त डेटासेट का सारांश प्रदान करें।
- एक बयान प्रकाशित करें कॉपीराइट अनुपालन और, जहां संभव हो, संरक्षित कार्यों के लिए ऑप्ट-आउट तंत्र को लागू करें।
- यदि मॉडल अनुलग्नक XI में दी गई गणना सीमा (लगभग 10^25 FLOPs) से अधिक हो जाता है, तो प्रणालीगत-जोखिम परीक्षण करें और उसका दस्तावेज़ीकरण करें। "प्रणालीगत GPAI" के लिए अतिरिक्त ज़िम्मेदारियाँ शुरू होती हैं, जैसे संदर्भ कार्यान्वयन प्रस्तुत करना और EU AI कार्यालय के साथ सहयोग करना।
- ओपन-सोर्स मॉडलों में हल्के स्पर्श दायित्व होते हैं, फिर भी उन्हें उत्पन्न सामग्री पर वॉटरमार्क लगाना पड़ता है तथा संभावित सीमाओं का विवरण देते हुए उपयोग निर्देश प्रदान करने पड़ते हैं।
अपने आंतरिक नियंत्रणों को उपरोक्त भूमिका-विशिष्ट चेकलिस्टों के साथ संरेखित करके, आप अगस्त 2026 और 2027 की प्रवर्तन समय-सीमा समाप्त होने से बहुत पहले ही सबसे स्पष्ट अनुपालन अंतरालों को बंद कर सकते हैं।
अनुपालन प्राप्त करने के लिए तकनीकी और संगठनात्मक आवश्यकताएँ
यूरोपीय संघ का कृत्रिम बुद्धिमत्ता अधिनियम सभी के लिए एक ही तरह के ब्लूप्रिंट निर्धारित नहीं करता। इसके बजाय, यह परिणाम-उन्मुख "आवश्यक आवश्यकताओं" को परिभाषित करता है और आपको उन्हें सिद्ध करने वाले नियंत्रणों को चुनने की स्वतंत्रता देता है। इसका मूलमंत्र है अच्छे व्यवहार को नियामक स्वच्छता के साथ जोड़ना, ताकि प्रत्येक मॉडल अपडेट या डेटा रिफ्रेश स्वचालित रूप से एक दोहराए जाने योग्य अनुपालन पाइपलाइन में चला जाए। नीचे दिए गए पाँच आधारशिलाएँ अधिनियम के कानूनी प्रावधानों को ठोस कार्यों में रूपांतरित करती हैं जिन्हें आपकी उत्पाद, डेटा और कानूनी टीमें अपना सकती हैं।
डेटा शासन और प्रबंधन
खराब डेटा नियामक क्रिप्टोनाइट के बराबर है। अनुच्छेद 10 उच्च-जोखिम वाले AI प्रदाताओं को पाइपलाइन में आने वाले प्रत्येक बाइट का दस्तावेज़ीकरण और औचित्य सिद्ध करने के लिए बाध्य करता है।
- ऐसे डेटासेट तैयार करें जो प्रासंगिक, प्रतिनिधि, त्रुटि-रहित और अद्यतन इच्छित जनसंख्या के लिए।
- प्रत्येक कॉर्पस के लिए एक "डेटा शीट" बनाए रखें: स्रोत, संग्रह तिथि, लाइसेंसिंग शर्तें, प्रीप्रोसेसिंग चरण, पूर्वाग्रह जांच और अवधारण अवधि।
- संस्करण-नियंत्रित रिपोजिटरी में वंशावली को ट्रैक करें ताकि यदि कोई प्राधिकारी सुधार की मांग करता है तो आप वापस रोल कर सकें।
- सांख्यिकीय रूप से सुदृढ़ विधियों का उपयोग करके पूर्वाग्रह और असंतुलन परीक्षण करें (
χ²,KS-test, या मॉडल-अज्ञेय निष्पक्षता मेट्रिक्स) और लॉग शमन क्रियाएं।
संपूर्ण जानकारी - कच्चा डेटा, स्क्रिप्ट, परीक्षण परिणाम - सभी के लिए सुलभ रखें 10 साल; अधिनियम की अवलोकन अवधि काफी लम्बी है।
जोखिम प्रबंधन ढांचा
अनुच्छेद 9 के अनुसार सतत और प्रलेखित प्रक्रिया जो ISO 31000 और ISO/IEC 23894 के मसौदे को प्रतिबिंबित करता है।
- खतरों की पहचान करें: दुरुपयोग परिदृश्य, प्रतिकूल हमले, डेटा बहाव।
- प्रभाव और संभावना का विश्लेषण करें; उन्हें एक सामान्य पैमाने पर स्कोर करें (उदाहरण के लिए,
risk = probability × severity). - नियंत्रण तय करें: तकनीकी सुरक्षा उपाय, मानवीय निरीक्षण, संविदागत सीमाएं।
- प्रत्येक प्रमुख अद्यतन के बाद नियंत्रणों को सत्यापित करें; निष्कर्षों को अगले स्प्रिंट में फीड करें।
सभी चीजों को जीवित जोखिम रजिस्टर में संग्रहित करें; नियामकों को टाइमस्टैम्प, मालिकों और समापन साक्ष्य देखने की उम्मीद होती है।
मानव निरीक्षण और डिजाइन द्वारा पारदर्शिता
अनुच्छेद 14 और 52 "मानव-इन-द-लूप" बातचीत को अनिवार्य डिजाइन कार्यों में परिवर्तित करते हैं।
- निरीक्षण मोड को परिभाषित करें: पाश में (मैन्युअल अनुमोदन), पाश पर (वास्तविक समय अलर्ट), या ओवर-द-लूप (पोस्ट-हॉक ऑडिट)।
- व्याख्यात्मकता परतें एम्बेड करें: प्रमुखता मानचित्र, प्रतितथ्यात्मक उदाहरण, सरलीकृत निर्णय नियम।
- ओवरराइड और फ़ॉलबैक विकल्प प्रदान करें जो दोनों हों तकनीकी रूप से व्यावहारिक और संगठनात्मक रूप से अधिकृत.
- सरल भाषा में उपयोगकर्ता को सूचना प्रदान करें ("आप एक AI प्रणाली के साथ बातचीत कर रहे हैं") और जहां संभव हो, वहां विश्वास स्कोर प्रदर्शित करें।
मजबूती, सटीकता और साइबर सुरक्षा
अनुच्छेद 15 के तहत, मॉडलों को घोषित त्रुटि दरों के भीतर रहना चाहिए और दुर्भावनापूर्ण हस्तक्षेप का विरोध करना चाहिए।
- न्यूनतम निष्पादन सीमा निर्धारित करना; उत्पादन में सटीकता, परिशुद्धता, स्मरण और अंशांकन विचलन की निगरानी करना।
- प्रत्येक रिलीज से पहले प्रतिकूल-लचीलापन परीक्षण (एफजीएसएम, पीजीडी, डेटा विषाक्तता) चलाएं।
- एनआईएस2 और ईटीएसआई ईएन 303 645 के अनुरूप बुनियादी ढांचे को मजबूत करना: सुरक्षित एपीआई, भूमिका-आधारित पहुंच, एन्क्रिप्टेड मॉडल चेकपॉइंट।
- जब प्रदर्शन सहनशीलता बैंड से नीचे चला जाए तो फ़ॉलबैक योजनाएँ तैयार करें - सुरक्षित-मोड डिफ़ॉल्ट, मानव समीक्षा वृद्धि।
रिकॉर्ड-कीपिंग, लॉगिंग और CE दस्तावेज़ीकरण
यदि इसे लिखित रूप में नहीं रखा गया है, तो इसका अर्थ है कि यह कभी हुआ ही नहीं - यह मंत्र अनुच्छेद 11 और 19 में कानून बन जाता है।
| दस्तावेज़ | मुख्य सामग्री | प्रतिधारण |
|---|---|---|
| तकनीकी फाइल | मॉडल आर्किटेक्चर, प्रशिक्षण डेटा सारांश, मूल्यांकन मेट्रिक्स, साइबर सुरक्षा नियंत्रण | जीवन-चक्र + 10 वर्ष |
| Logs | इनपुट, आउटपुट, ओवरराइड इवेंट, प्रदर्शन आँकड़े, घटनाएँ | ≥ 6 वर्ष |
| यूरोपीय संघ की घोषणा अनुरूपता | अनुरूपता विवरण, लागू मानक, प्रदाता विवरण | सार्वजनिक रूप से उपलब्ध |
| बाजार-पश्चात निगरानी योजना | KPI, रिपोर्टिंग चैनल, ट्रिगर सीमाएँ | लगातार अद्यतन |
जहाँ संभव हो, लॉग कैप्चर को स्वचालित करें; अपरिवर्तनीय संग्रहण या केवल-जोड़ने वाले लेज़र का उपयोग करें ताकि साक्ष्य फ़ोरेंसिक जाँच से बच सकें। एक बार फ़ाइल पूरी हो जाने पर, सीई चिह्नांकन और सिस्टम को यूरोपीय संघ के डेटाबेस में प्रस्तुत करना होगा - तभी यह बाजार में आ सकेगा।
इन तकनीकी और संगठनात्मक नियंत्रणों को अपने विकास जीवन-चक्र में शामिल करके, आप अनुपालन को अंतिम क्षण की भागदौड़ से एक सदैव चालू रहने वाली क्षमता में परिवर्तित कर देते हैं, जिसे लेखा परीक्षक पहचानेंगे और पुरस्कृत करेंगे।
दंड, उपचार और मुकदमेबाजी जोखिम
यूरोपीय संघ का कृत्रिम बुद्धिमत्ता अधिनियम विनम्र संकेतों पर निर्भर नहीं करता; यह अधिकारियों को सिहरन पैदा करने के लिए पर्याप्त कठोर दंड का प्रयोग करता है। वित्तीय प्रतिबंध जीडीपीआर के पैमाने के समान हैं, फिर भी यह अधिनियम अधिकारियों को यह अधिकार भी देता है कि वे उत्पादों को अलमारियों से हटाना, डेटा हटाने का आदेश देना, या मॉडल को पुनःप्रशिक्षण के लिए बाध्य करना अगर जोखिम कम नहीं होते हैं। जुर्माने की सीमा, जो भी अधिक हो—एक निश्चित यूरो राशि या पिछले वर्ष के विश्वव्यापी कारोबार का एक प्रतिशत—तक सीमित होती है, ताकि शुरुआती स्तर के स्टार्टअप भी आत्मसंतुष्टि से बच सकें। नीचे दी गई तालिका में स्वीकृत स्तरों का सारांश दिया गया है:
| उल्लंघन का प्रकार | अधिकतम निश्चित जुर्माना | वैश्विक कारोबार का अधिकतम % | विशिष्ट ट्रिगर |
|---|---|---|---|
| निषिद्ध प्रथाएँ (अनुच्छेद 5) | €35 मिलियन | 7% | सामाजिक स्कोरिंग, अवैध बायोमेट्रिक सामूहिक निगरानी |
| उच्च जोखिम वाले दायित्व (अनुच्छेद 8-15) | €15 मिलियन | 3% | अनुरूपता मूल्यांकन का अभाव, त्रुटिपूर्ण डेटा प्रशासन |
| सूचना एवं पंजीकरण विफलताएँ | €7.5 मिलियन | 1% | गलत तकनीकी दस्तावेज़, घटना की देर से रिपोर्टिंग |
| नियमित गैर-अनुपालन नोटिस | € 500K | N / A | चेतावनी के बाद मामूली उल्लंघन |
पर्यवेक्षी अधिकारी सुधार कार्य में तेजी लाने के लिए दैनिक जुर्माना लगा सकते हैं। जो उत्पाद अभी भी "गंभीर जोखिम" पैदा करते हैं, उन पर अनिवार्य जुर्माना लगाया जा सकता है। वापस बुलाना या बाजार से वापस लेना-एक ऐसी प्रतिष्ठागत क्षति जिसे कोई भी जनसंपर्क योजना छिपा नहीं सकती।
प्रशासनिक प्रतिबंध बनाम नागरिक दायित्व
नियामक जुर्माने कहानी का अंत नहीं हैं। आगामी एआई दायित्व निर्देश (एआईएलडी) और संशोधित उत्पाद दायित्व निर्देश (पीएलडी) इसके लिए समानांतर रास्ते खोलते हैं। निजी क्षति दावोंएआई निर्णय से आहत पीड़ितों को मिलेगा लाभ:
- A कार्य-कारण की खंडनीय धारणा जब प्रदाता एआई अधिनियम के कर्तव्यों का उल्लंघन करते हैं, तो सबूत का बोझ कम हो जाता है।
- प्रकटीकरण अधिकारों का विस्तार किया गया, जिससे वादी को लॉग और जोखिम आकलन का अनुरोध करने की अनुमति मिली, जो सामान्यतः आंतरिक रूप से ही रहता है।
- सदस्य राज्यों में सुसंगत नियम, फिर भी राष्ट्रीय अपकृत्य कानून अभी भी सख्त मानक प्रदान कर सकता है (उदाहरण के लिए, डच गलत-कार्य सिद्धांत)।
इसलिए कम्पनियों को दो-दो झटके झेलने पड़ सकते हैं: करोड़ों यूरो का प्रशासनिक जुर्माना और उसके बाद सिविल वर्ग कार्रवाई, विशेष रूप से ऋण देने से इनकार या भेदभावपूर्ण नियुक्ति जैसे क्षेत्रों में।
निवारण तंत्र और व्हिसलब्लोअर संरक्षण
व्यक्ति और गैर सरकारी संगठन सीधे अपने कार्यालय में शिकायत दर्ज करा सकते हैं। राष्ट्रीय सक्षम प्राधिकारी या यूरोपीय संघ के कृत्रिम बुद्धिमत्ता कार्यालय। अधिकारियों को एक "उचित अवधि" के भीतर जाँच करनी होगी और वे निलंबन आदेशों सहित अंतरिम उपाय भी जारी कर सकते हैं। प्रभावित व्यक्तियों के पास न्यायिक उपाय भी उपलब्ध हैं—निषेध आदेश, मुआवज़े के मुकदमे, और पर्यवेक्षी निर्णयों के विरुद्ध अपील।
कर्मचारी जो गलत कामों का पता लगाते हैं, उन्हें यूरोपीय संघ के तहत संरक्षण प्राप्त है व्हिसलब्लोइंग निर्देश:
- 50 से अधिक कर्मचारियों वाली फर्मों के लिए गोपनीय रिपोर्टिंग चैनल अनिवार्य हैं।
- प्रतिशोध - बर्खास्तगी, पदावनति, धमकी - स्पष्ट रूप से निषिद्ध है।
- यदि आंतरिक मार्ग विफल हो जाते हैं तो व्हिसलब्लोअर्स बाहरी नियामकों या प्रेस तक अपनी शिकायत पहुंचा सकते हैं।
इसलिए एक अच्छी तरह से विज्ञापित, गुमनाम रिपोर्टिंग लाइन स्थापित करना एक कानूनी आवश्यकता और एक पूर्व चेतावनी प्रणाली दोनों है जो आपको भविष्य में महंगी प्रवर्तन प्रक्रिया से बचा सकती है।
एआई अधिनियम को जीडीपीआर, एनआईएस2, उत्पाद सुरक्षा और क्षेत्र नियमों के साथ जोड़ना
यूरोपीय संघ का कृत्रिम बुद्धिमत्ता अधिनियम (एआई अधिनियम) कोई अलग द्वीप नहीं है। यह अनुपालन के एक विशाल सागर से जुड़ा है जिसमें पहले से ही डेटा सुरक्षा, साइबर सुरक्षा और ऊर्ध्वाधर सुरक्षा ढाँचे शामिल हैं। इन परस्पर-धाराओं को नज़रअंदाज़ करना जोखिम भरा है: एक एआई सिस्टम जो एआई अधिनियम के सभी मानदंडों को पूरा करता है, वह फिर भी जीडीपीआर या एनआईएस2 का उल्लंघन कर सकता है, और इसके विपरीत। नीचे हम प्रमुख बिंदुओं पर प्रकाश डाल रहे हैं ताकि आपकी कानूनी, सुरक्षा और उत्पाद टीमें चार अलग-अलग चेकलिस्टों को संभालने के बजाय एक एकीकृत नियंत्रण मानचित्र बना सकें।
GDPR और ePrivacy के साथ ओवरलैप
- वैध आधार और उद्देश्य सीमा: उच्च जोखिम वाले मॉडल के अंदर व्यक्तिगत-डेटा प्रसंस्करण को कम से कम एक GDPR आधार (अक्सर वैध हित या सहमति) को पूरा करना होगा।
- स्वचालित निर्णय लेने की सीमाएं: अनुच्छेद 22 जीडीपीआर कानूनी या महत्वपूर्ण प्रभावों के साथ पूरी तरह से स्वचालित निर्णयों को प्रतिबंधित करता है; एआई अधिनियम की मानव-निगरानी आवश्यकता अक्सर तकनीकी सुरक्षा के रूप में कार्य करती है जो अनुच्छेद 22 (2) (बी) या (सी) छूट को अनलॉक करती है।
- संयुक्त-नियंत्रक परिदृश्य: जब कोई परिनियोजनकर्ता किसी विक्रेता द्वारा प्रदान किए गए GPAI को परिष्कृत करता है, तो दोनों एक हो सकते हैं संयुक्त नियंत्रकजीडीपीआर के तहत डेटा प्रोसेसिंग समझौतों की योजना बनाएं।
- पारदर्शिता का कर्तव्य दोहरा है: एआई अधिनियम उपयोगकर्ता प्रकटीकरण ("एआई-जनित") को अनिवार्य करता है, जबकि जीडीपीआर अनुच्छेद 12-14 डेटा प्रवाह, अवधारण और अधिकारों का विवरण देने वाली गोपनीयता सूचनाओं की मांग करते हैं। एक स्तरीय सूचना का मसौदा तैयार करें जो दोनों को कवर करे।
साइबर सुरक्षा और NIS2 तालमेल
NIS2 "आवश्यक" और "महत्वपूर्ण" संस्थाओं के लिए जोखिम मूल्यांकन, घटना प्रतिक्रिया और आपूर्ति-श्रृंखला सुरक्षा का आह्वान करता है। AI अधिनियम 15 दिनों के भीतर मज़बूती परीक्षण, भेद्यता निगरानी और उल्लंघन रिपोर्टिंग की आवश्यकता के माध्यम से इसे प्रतिबिंबित करता है। एक SOC वर्कफ़्लो का लाभ उठाएँ:
- एआई अधिनियम अनुरूपता मूल्यांकन के दौरान प्रतिकूल-मजबूती परीक्षण चलाएं।
- परिणामों को NIS2 जोखिम रजिस्टर में दर्ज करें।
- दोनों व्यवस्थाओं के लिए समान 72 घंटे की घटना-रिपोर्टिंग पुस्तिका का उपयोग करें।
मौजूदा उत्पाद कानून के साथ एकीकरण
यदि आपका AI किसी विनियमित उत्पाद (चिकित्सा उपकरण, मशीनरी, खिलौना, लिफ्ट, ऑटोमोटिव सिस्टम) का सुरक्षा घटक है, तो आपको एक प्रदर्शन करना होगा एक अनुरूपता मूल्यांकन जिसमें शामिल हैं:
- क्षेत्र कानून के तहत सामान्य सुरक्षा या प्रदर्शन आवश्यकताएं; और
- एआई अधिनियम की अनिवार्यताएं (जोखिम प्रबंधन, डेटा शासन, मानव निरीक्षण)।
नए विधायी ढांचे के अंतर्गत समन्वित मानक शीघ्र ही दोनों प्रकार की आवश्यकताओं को संदर्भित करेंगे, जिससे एक तकनीकी फाइल और एक सीई मार्किंग की अनुमति मिलेगी।
क्षेत्र-विशिष्ट उदाहरण
- वित्तीय सेवाएं: मॉडल की निष्पक्षता और व्याख्यात्मकता को प्रमाणित करने के लिए धन शोधन-रोधी ईबीए दिशानिर्देशों के साथ एआई अधिनियम लॉगिंग को संयोजित करें।
- ऊर्जा ग्रिड प्रबंधन: SCADA प्रणालियों के लिए ENTSO-E साइबर सुरक्षा आवश्यकताओं के साथ मेष AI अधिनियम जोखिम नियंत्रण।
- ऑटोमोटिव: UNECE WP.29 सॉफ्टवेयर-अपडेट गवर्नेंस को अनिवार्य बनाता है; उन अपडेट लॉग को अपने AI एक्ट पोस्ट-मार्केट मॉनिटरिंग में एकीकृत करें।
- स्वास्थ्य देखभाल: अनावश्यक ऑडिट से बचने के लिए ISO 13485 QMS कलाकृतियों को AI अधिनियम के डेटासेट दस्तावेज़ के साथ जोड़ें।
अंतर्राष्ट्रीय तुलना
वैश्विक कंपनियों को यूरोपीय संघ के कृत्रिम बुद्धिमत्ता अधिनियम (एआई अधिनियम) को अन्यत्र उभरते नियमों के साथ सामंजस्य स्थापित करना होगा:
| अधिकार - क्षेत्र | मुख्य उपकरण | उल्लेखनीय विचलन |
|---|---|---|
| US | कार्यकारी आदेश और एनआईएसटी एआई आरएमएफ | स्वैच्छिक लेकिन संघीय खरीद आधार रेखा बन सकती है |
| चीन | अंतरिम जनरल-एआई उपाय | वास्तविक नाम पंजीकरण और सामग्री फ़िल्टरिंग अनिवार्य |
| UK | नवाचार समर्थक ढांचा | नियामक-विशिष्ट मार्गदर्शन, अभी तक कोई क्षैतिज कानून नहीं |
ओवरलैप्स का शीघ्र मानचित्रण करके, बहुराष्ट्रीय टीमें ऐसे नियंत्रण ढांचे को डिजाइन कर सकती हैं जो सबसे पहले सख्त नियमों को पूरा करते हैं, तथा फिर उन स्थानों पर नियमों को कम कर सकते हैं जहां स्थानीय कानून हल्के होते हैं।
व्यावहारिक अनुपालन चेकलिस्ट और सर्वोत्तम अभ्यास
यूरोपीय संघ के कृत्रिम बुद्धिमत्ता अधिनियम (एआई एक्ट) के लेखों और व्याख्याओं को रोज़मर्रा के व्यवहार में लाना चुनौतीपूर्ण लग सकता है। इस प्रक्रिया को छोटे-छोटे चरणों में बाँटना ही सही है, जिन्हें कानूनी, उत्पाद और सुरक्षा टीमें अपना सकें। नीचे दिए गए 12-चरणीय रोडमैप को एक जीवंत परियोजना योजना के रूप में इस्तेमाल करें—अगस्त 2027 तक हर स्प्रिंट डेमो और बोर्ड मीटिंग में इसकी समीक्षा करें।
- उत्पादन और अनुसंधान एवं विकास में प्रत्येक एआई या एल्गोरिथम घटक की सूची बनाएं।
- प्रत्येक सिस्टम के जोखिम स्तर और अपनी भूमिका (प्रदाता, उपयोगकर्ता, आयातक, वितरक) को वर्गीकृत करें।
- लागू कानूनों (जीडीपीआर, एनआईएस2, सेक्टर नियम) का मानचित्र बनाएं और ओवरलैप की पहचान करें।
- एआई अधिनियम की आवश्यक आवश्यकताओं के विरुद्ध अंतर विश्लेषण करें।
- अपनी गुणवत्ता प्रबंधन प्रणाली (QMS) को डिज़ाइन या अपडेट करें।
- एक बहुविषयक शासन संरचना स्थापित करें।
- तकनीकी दस्तावेज़ीकरण टेम्पलेट्स का मसौदा तैयार करें और उन्हें भरना शुरू करें।
- डेटा-गवर्नेंस और पूर्वाग्रह-परीक्षण पाइपलाइनों का निर्माण करें।
- प्रारंभिक अनुरूपता मूल्यांकन या ड्राई-रन ऑडिट चलाएं।
- कर्मचारियों को प्रशिक्षित करें - इंजीनियर, जोखिम मालिक और ग्राहक सहायता।
- बाजार-पश्चात निगरानी और घटना-रिपोर्टिंग कार्यप्रवाह आरंभ करें।
- आवधिक समीक्षा और निरंतर सुधार चक्र निर्धारित करें।
तैयारी मूल्यांकन और अंतराल विश्लेषण
एक स्प्रेडशीट या टिकट बोर्ड सूची के साथ शुरुआत करें: सिस्टम का नाम, उद्देश्य, प्रशिक्षण डेटा स्रोत, जोखिम स्तर, मौजूदा नियंत्रण और खुले अंतराल। प्रत्येक अंतराल को एक स्वामी और एक समय सीमा निर्धारित करें। प्रत्येक समापन के बाद शेष जोखिम का पुनः मूल्यांकन करें; नियामकों को इस पुनरावृत्तीय सुधार पथ को देखना अच्छा लगता है।
सही शासन संरचना का निर्माण
केवल नीतियों को ही नहीं, बल्कि लोगों को भी प्रभारी बनाएं:
- एआई अनुपालन अधिकारी: गला घोंटने के लिए एक ही गला।
- क्रॉस-फ़ंक्शनल नैतिकता समिति: उत्पाद, कानूनी, सुरक्षा, मानव संसाधन।
- बाह्य समीक्षक या अधिसूचित निकाय संपर्क।
- एकाकी निर्णय लेने से बचने के लिए अपने डीपीओ और सीआईएसओ के साथ घनिष्ठ संबंध बनाए रखें।
बैठक की गति, निर्णय अधिकार और उन्नयन पथ का दस्तावेजीकरण करें।
दस्तावेज़ीकरण और उपकरण
कलाकृतियों को मानकीकृत करें ताकि इंजीनियरों को पहिये का पुनः आविष्कार न करना पड़े:
| टेम्पलेट | उद्देश्य | अनुशंसित प्रारूप |
|---|---|---|
| मॉडल कार्ड | क्षमताएँ, सीमाएँ, मीट्रिक्स | मार्कडाउन + JSON |
| डाटा शीट | स्रोत, लाइसेंसिंग, पूर्वाग्रह परीक्षण | स्प्रेडशीट |
| पारदर्शिता रिपोर्ट | उपयोगकर्ता-संबंधी प्रकटीकरण | एचटीएमएल / पीडीएफ |
| मौलिक अधिकार IA | सार्वजनिक क्षेत्र के परिनियोजनकर्ता | फॉर्म-आधारित उपकरण |
ओपन-सोर्स सहायता: EU AI टूलकिट, ISO/IEC 42001 ड्राफ्ट चेकलिस्ट, और पूर्वाग्रह मैट्रिक्स के लिए GitHub रिपॉजिटरी।
विक्रेता और आपूर्ति-श्रृंखला प्रबंधन
प्रवाह एआई अधिनियम कर्तव्य नीचे की ओर:
- अनुरूपता-मूल्यांकन वारंटी और लेखा परीक्षा अधिकार जोड़ें ठेके.
- आपूर्तिकर्ताओं से मॉडल कार्ड, मजबूती परीक्षण परिणाम और घटना लॉग साझा करने की अपेक्षा करें।
- शीघ्र भेद्यता प्रकटीकरण के लिए एक साझा स्लैक या टिकट कतार स्थापित करें।
निरंतर निगरानी और मॉडल जीवनचक्र अद्यतन
तैनाती से पहले, उपयोग में, और तैनाती के बाद की निगरानी एक ही टेलीमेट्री स्टैक पर चलनी चाहिए। पुनर्मूल्यांकन तब शुरू करें जब:
- इनपुट डेटा वितरण बदलाव (
KL divergence> पूर्व निर्धारित सीमा). - सटीकता घोषित न्यूनतम से नीचे गिर जाती है।
- किसी गंभीर घटना या निकट-दुर्घटना को लॉग किया जाता है।
त्रैमासिक शासन समीक्षा और वार्षिक बाह्य लेखा परीक्षा के साथ लूप को बंद करें - यह प्रमाण है कि अनुपालन एक बार की परियोजना नहीं है बल्कि एक स्थायी क्षमता है।
FAQ: सामान्य प्रश्नों के त्वरित उत्तर
क्या यूरोपीय संघ का एआई अधिनियम पहले से ही लागू है?
हाँ। विनियमन (ईयू) 2024/1689 1 अगस्त 2024 को लागू हुआ। हालाँकि, अधिकांश ठोस दायित्व बाद में लागू होंगे: प्रतिबंधित प्रथाएँ फरवरी 2025 तक समाप्त हो जाएँगी, पारदर्शिता नियम अगस्त 2025 से लागू होंगे, और उच्च जोखिम वाले शुल्क अगस्त 2026 (बायोमेट्रिक्स अगस्त 2027) में लागू होंगे। इसलिए समय बीतता जा रहा है, हालाँकि पूर्ण आवेदन अभी भी चरणबद्ध है।
चार जोखिम स्तर क्या हैं?
यूरोपीय संघ का कृत्रिम बुद्धिमत्ता अधिनियम प्रणालियों को (1) अस्वीकार्य जोखिम - पूरी तरह से निषिद्ध; (2) उच्च जोखिम - केवल अनुरूपता मूल्यांकन और CE मार्किंग के बाद ही अनुमत; (3) सीमित जोखिम - मुख्यतः पारदर्शिता संबंधी दायित्व (जैसे, चैटबॉट, डीपफेक); और (4) न्यूनतम जोखिम - कोई कठोर नियम नहीं, बल्कि स्वैच्छिक कोड को प्रोत्साहित किया जाता है, में वर्गीकृत करता है। आपका पहला काम प्रत्येक मॉडल को इनमें से किसी एक स्तर पर मैप करना है।
क्या इस अधिनियम ने राष्ट्रीय एआई रणनीतियों का स्थान ले लिया है?
नहीं। सदस्य राज्य राष्ट्रीय रणनीतियाँ, सैंडबॉक्स और वित्तपोषण योजनाएँ बना सकते हैं या बनाए रख सकते हैं। यह अधिनियम केवल सामंजस्य स्थापित करता है नियामक सभी व्यवसायों के लिए यूरोपीय संघ में एक ही नियम पुस्तिका लागू होनी चाहिए। स्थानीय पहलों को विनियमन के जोखिम ढाँचे का खंडन नहीं करना चाहिए या इसके प्रवर्तन तंत्र को कमज़ोर नहीं करना चाहिए।
क्या स्टार्टअप्स को छूट प्राप्त है?
वास्तव में नहीं। ये नियम कंपनी के आकार की परवाह किए बिना लागू होते हैं क्योंकि दायित्व राजस्व से नहीं, बल्कि जोखिम से तय होते हैं। हालाँकि, सैंडबॉक्स, कुछ GPAI मॉडलों के लिए कम दस्तावेज़ीकरण और आयोग द्वारा वित्त पोषित मार्गदर्शन का उद्देश्य SMEs के लिए प्रशासनिक तनाव को कम करना है। "छोटे" होने के कारण अनुपालन की अनदेखी करना एक खतरनाक भ्रांति है।
एआई अधिनियम ओपन-सोर्स मॉडलों के साथ कैसा व्यवहार करता है?
मॉडल वेट सार्वजनिक रूप से जारी करने से आपको छूट नहीं मिलती। आपको अभी भी प्रशिक्षण-डेटा सारांश प्रदान करने होंगे, उत्पन्न सामग्री पर वॉटरमार्क लगाना होगा और उपयोग निर्देश प्रकाशित करने होंगे। बंद व्यावसायिक मॉडलों की तुलना में दायित्व हल्के हैं, लेकिन यदि आपका ओपन-सोर्स सिस्टम "सिस्टमिक GPAI" बन जाता है, तो अतिरिक्त परीक्षण और रिपोर्टिंग कर्तव्य लागू हो जाते हैं।
क्या यह अधिनियम एक निर्देश है?
नहीं। यह एक विनियमन है—बिना किसी राष्ट्रीय परिवर्तन के प्रत्येक सदस्य राज्य में सीधे लागू। इसे GDPR की तरह समझें: एक बार जब यह लागू हो गया, तो कानूनी दायित्व पूरे यूरोपीय संघ में लागू हो गए, और केवल व्यावहारिक प्रवर्तन दिशानिर्देश ही स्थानीय स्तर पर भिन्न हो सकते हैं।
यदि मेरा प्रदाता यूरोपीय संघ से बाहर है तो क्या होगा?
क्षेत्रीय पहुंच इस प्रकार है उत्पादनमुख्यालय नहीं। यदि किसी विदेशी विक्रेता की प्रणाली का विपणन यूरोपीय संघ में किया जाता है या उसके परिणामों का उपयोग यहाँ किया जाता है, तो प्रदाता को यूरोपीय संघ के कृत्रिम बुद्धिमत्ता अधिनियम की आवश्यकताओं को पूरा करना होगा और एक यूरोपीय संघ-आधारित कानूनी प्रतिनिधि नियुक्त करना होगा। संघ के भीतर तैनातकर्ता अभी भी उपयोगकर्ता संबंधी दायित्व निभाते हैं, इसलिए आपूर्तिकर्ताओं का चयन सावधानी से करें।
चाबी छीन लेना
अभी भी स्किमिंग कर रहे हैं? चीट-शीट यहां है:
- यूरोपीय संघ कृत्रिम बुद्धिमत्ता अधिनियम (एआई अधिनियम) अब एक मसौदा नहीं है - इसे 1 अगस्त 2024 से लागू और यह पहला क्षैतिज, जोखिम-आधारित एआई कानून लेकर आया है।
- जोखिम स्तरीकरण ही सब कुछ संचालित करता है: अस्वीकार्य प्रणालियों पर प्रतिबंध लगा दिया गया है, उच्च जोखिम वाली प्रणालियों को CE मार्किंग और रजिस्ट्री प्रविष्टि की आवश्यकता होती हैजबकि सीमित और न्यूनतम जोखिम वाले उपकरणों को हल्के-परंतु शून्य नहीं-कर्तव्यों का सामना करना पड़ता है।
- गैर-अनुपालन महंगा है: €35 मिलियन या वैश्विक कारोबार का 7% निषिद्ध प्रथाओं के लिए, साथ ही आगामी यूरोपीय संघ के निर्देशों के तहत संभावित नागरिक दायित्व।
- दायित्व आपूर्ति श्रृंखला में व्याप्त हैं: प्रदाताओं, उपयोगकर्ताओं, आयातकों और वितरकों में से प्रत्येक के पास विशिष्ट चेकलिस्ट हैं, तथा सामान्य प्रयोजन मॉडल के लिए अब विशिष्ट नियम हैं।
- यह अधिनियम GDPR, NIS2, या उत्पाद-सुरक्षा कानूनों का स्थान नहीं लेता है; आपको सभी ढाँचों को एक एकीकृत शासन कार्यक्रम में समाहित करना होगा।
कानूनी पाठ को कार्यशील कोड, नीतियों और अनुबंधों में बदलने में मदद चाहिए? टेक्नोलॉजी और गोपनीयता वकील Law & More इससे पहले कि लेखा परीक्षक आएं, हम तेजी से एआई अधिनियम की तत्परता की जांच कर सकते हैं, आवश्यक दस्तावेज तैयार कर सकते हैं, और अनुरूपता मूल्यांकन के माध्यम से आपका मार्गदर्शन कर सकते हैं।
