Что реально требует AIDA
Законопроект C-27 находится в канадском законодательном процессе достаточно долго, чтобы многие организации развили усталость от AIDA — отслеживая его прогресс, откладывая при этом существенную подготовку до получения королевского согласия. Это стратегия соответствия со значительным риском. Обязательства AIDA — не просто обновления политики; они требуют технических изменений в системах ИИ, новых практик документирования и инфраструктуры управления, на построение которой уходят месяцы.
Сфера применения AIDA: какие системы регулируются
AIDA применяется к субъектам, которые «разрабатывают, создают, используют или предоставляют в пользование» системы ИИ в рамках международной или межпровинциальной торговли. Для большинства канадских предприятий, развёртывающих ИИ, это применимый триггер.
Закон создаёт различные уровни обязательств в зависимости от того, классифицируется ли система ИИ как «высокого воздействия». Секторы, явно упомянутые в руководстве AIDA: занятость и управление персоналом, финансовые услуги (кредитные решения, страховой андеррайтинг), здравоохранение, государственные услуги и генерация контента, влияющего на общественную безопасность.
Для организаций в государственном управлении, финансах и здравоохранении практически каждое значимое развёртывание ИИ будет соответствовать критериям высокого воздействия.
Четыре основных обязательства AIDA
1. Оценка воздействия: До развёртывания системы ИИ высокого воздействия организация должна провести и задокументировать оценку рисков, которые система создаёт для людей и общества.
2. Снижение рисков: Там, где оценка воздействия выявляет риски, организация должна внедрить соразмерные меры по снижению рисков. Это создаёт техническое обязательство: снижение рисков должно быть встроено в дизайн системы.
3. Документация и ведение записей: Организации должны поддерживать документацию о дизайне системы ИИ, обучающих данных, результатах тестирования и текущем мониторинге.
4. Прозрачность для затронутых лиц: Когда система ИИ высокого воздействия принимает или помогает в принятии важного решения, затронутое лицо должно быть уведомлено об участии ИИ, иметь доступ к объяснению рассматриваемых факторов и путь к человеческой проверке решения.
Пересечение AIDA с конфиденциальностью
CPPA — законодательство о конфиденциальности, которое Законопроект C-27 заменил бы PIPEDA — создаёт параллельные обязательства, конкретно нацеленные на использование ИИ личной информации. Положения CPPA об автоматизированном принятии решений требуют: значимого согласия перед использованием личной информации в автоматизированном принятии решений, права на объяснение, права на запрос человеческой проверки.
Работа по разработке политики ИИ, требуемая здесь, выходит за рамки юридического анализа: она требует разработки интерфейсов объяснения и проверки непосредственно в самой системе ИИ.
Построение системы управления ИИ до дедлайна
Практическая программа подготовки к AIDA включает:
ИИ-инвентаризация: Полный каталог систем ИИ в эксплуатации или разработке, принимающих или влияющих на решения о людях.
Классификация воздействия: Оценка каждой инвентаризированной системы по критериям высокого воздействия AIDA.
Анализ пробелов управления: Для систем высокого воздействия — оценка того, что существует versus что потребует AIDA.
Дорожная карта устранения: Приоритизированный план построения отсутствующих возможностей управления.
Услуги соответствия ИИ, необходимые для реализации этой программы, не являются исключительно юридическими: техническое управление ИИ (карточки модели, документация тестирования, оценка предвзятости), дизайн процессов и организационный дизайн — всё это компоненты.
Дополнительное чтение: ИИ для управления недвижимостью иллюстрирует практические последствия AIDA для ИИ-скрининга арендаторов — одного из наиболее чётких примеров системы ИИ высокого воздействия.