תקנות חוק ה-AI האירופי (AI ACT) אל מול ISO/IEC 42001
מבוא:
יישומי בינה מלאכותית (AI) זה Old news, עבור כולנו נדמה שזה היה כאן תמיד, חלק מהיומיום. וכמו תמיד, בעוד שהטכנולוגיה רצה קדימה, הרגולציה מדשדשת מאחור.
במשך שנים השימוש ב AI העלה שאלות רבות לגבי ההשפעה על חיינו בהיבטים חברתיים ואישיים כאחד, ושאלות אתיקה ומדיניות עלו. ארגונים המפתחים, מטמיעים או משתמשים בטכנולוגיות AI חיפשו מסגרות ומתודולוגיות לביסוס של Responsible AI ולא חיכו לרגולציה הרשמית. אך ברמת המדיניות היה ברור שנדרשת רגולציה ברורה כדי להבטיח שימוש אחראי בבינה מלאכותית.
בעוד שתקנות ה-AI Act מהאיחוד האירופי מנסות לשרטט קווים מנחים על השימוש בטכנולוגיה זו בתוך האיחוד, תקן ISO/IEC 42001 מבקש להציע סטנדרטים עולמיים לפיתוח מערכות AI אתיות. שני הכלים האלו מתייחסים להיבטים שונים של הטמעת הבינה המלאכותית, אך לשניהם חשיבות רבה בהגדרת הכללים והערכים שיש לאמץ בתחום.
חוק ה-AI האירופי (AI Act):
ה-AI Act הינו המסגרת הרגולטורית הראשונה בעולם שנועדה להכתיב כללים לשימוש בטכנולוגיות AI. בדיוק כפי ש GDPR פותח בתחום הפרטיות. החוק נולד על רקע החשש שהטכנולוגיה תתפתח מהר יותר מיכולתה של הרגולציה לעמוד בקצב, דבר שעשוי לגרום לנזקים חברתיים, כלכליים ואתיים.
החוק מציע חלוקה של יישומי ה-AI לרמות סיכון שונות:
– סיכון לא מתקבל על הדעת: דוגמאות לכך הן מערכות הנחשבות לפוגעניות באופן מובהק כמו ניהול חברתי (social scoring) ושימוש ב-AI להשפעה פסיכולוגית.
– סיכון גבוה: מערכות העוסקות בתחומים רגישים כמו תשתיות קריטיות, חינוך, תעסוקה, ובריאות.
– סיכון נמוך ומינימלי: כלים לשימוש אישי או מקצועי שאינם פוגעים בזכויות יסוד.
החוק כולל אמצעים כמו תיוג מוצרים, חובות דיווח, ודרישות להערכת סיכונים לשם הבטחת בטיחות המשתמשים.
תקן ISO/IEC 42001:
תקן ISO/IEC 42001 מבקש להניח סטנדרטים גלובליים לפיתוח, ניהול והטמעת מערכות בינה מלאכותית. בדומה ל-AI Act, התקן שם דגש על בטיחות, אתיקה ושקיפות, אך מטרתו להציע כלים להבטחת ניהול אחראי ולא רק ליישום ספציפי של טכנולוגיה כזו או אחרת.
התקן נשען על עקרונות של:
– שקיפות וחשיפה: מערכות AI צריכות להיות נגישות ומובנות הן למפתחים והן לצרכנים.
– אחריות אתית: יש לשלב את ההיבטים האתיים בשלבי הפיתוח וההטמעה, תוך התמקדות בהשפעות הטכנולוגיה על חברה ופרט.
– אבטחת מידע ופרטיות: יש להבטיח הגנה מרבית על נתונים רגישים ולמנוע שימוש לרעה בטכנולוגיה.
לכן ה-AI Act ל-ISO/IEC 42001, הן למעשה מסגרות שונות ומשלימות בתכליתן.
מטרות ותפקוד:
ה-AI Act נועד להוות מסגרת רגולטורית שחלה באופן ייחודי על מדינות האיחוד האירופי. הוא מסווג את יישומי ה-AI לפי רמות סיכון ומציע אמצעי בקרה לכל אחת מהן. לעומת זאת, תקן ISO/IEC 42001 מבוסס על עקרונות אוניברסליים ונועד להתאים לכל מדינה, כל ארגון וכל מערכת AI, תוך התמקדות בניהול אחראי ופיתוח אתי של הטכנולוגיה.
חלוקת סיכונים:
בעוד שה-AI Act מתמקד באופן מובהק בהערכת סיכונים ודרכי ההתמודדות עימם, התקן ISO/IEC 42001 שם דגש על תהליכי הפיתוח עצמם, תוך עיסוק בעקרונות ניהול ותכנון שקוף. AI Act מדגיש את הצורך בהערכות סיכון כדי למנוע נזקים פוטנציאליים, בעוד ש-ISO/IEC 42001 מציע כלים להטמעת המערכת בסטנדרטים אחראיים מראש.
היבטים אתיים וחברתיים:
ה-AI Act כולל סעיפים המתייחסים להיבטים של פגיעה בזכויות יסוד, אפליה ושמירה על פרטיות, אך לרוב במסגרת דרישות רגולטוריות מחייבות. תקן ISO/IEC 42001 משלב את ההיבטים האתיים בשלב מוקדם של תכנון המערכת, מתוך ראייה רחבה על השפעות חברתיות וכלכליות.
גישה לטכנולוגיה:
ה-AI Act עוסק רבות בפיקוח על השימוש בטכנולוגיה והגבלות רגולטוריות, בעוד שהתקן ISO/IEC 42001 מבקש ליצור גישה פרו-אקטיבית לניהול המערכת, תוך יצירת מסגרת מוסדרת שהארגונים יכולים לאמץ ללא כפייה.
האם ישר קשר בין ISO 42001 ל ISO 27001?
בעוד שאנו דנים בתקנים שונים בתחום אבטחת המידע, חשוב להזכיר את תקן ISO 27001, שהוא אבן יסוד בתחום ניהול אבטחת מידע. תקן זה מספק מסגרת מקיפה לניהול וליישום של מערכות אבטחת מידע בארגונים. למידע נוסף אודות תקן ISO 27001.
סיכום:
ה-AI Act וה-ISO/IEC 42001 מציעים שתי גישות שונות אך משלימות בתחום הרגולציה והניהול האחראי של מערכות בינה מלאכותית. בעוד שה-AI Act מתמקד בהגנה על זכויות אזרח וחלוקת הסיכונים הכרוכים בטכנולוגיה זו, התקן ISO/IEC 42001 פועל להנחת תשתית גלובלית לפיתוח אחראי ואתי של מערכות AI. שניהם מדגישים את החשיבות של שקיפות, אתיקה ובטיחות, אך בדרכים שונות – אחד מחוקק רגולציות והשני מנסח עקרונות כלליים למעקב.
