EU AI Act + персональные данные: краткий гайд для продактов и руководителей проектов
Ч.1.
Если ваш продукт использует ИИ — и обрабатывает персональные данные пользователей — вы обязаны учитывать требования не только EU AI Act, но и GDPR в совокупности.Любая информация, по которой можно прямо или косвенно идентифицировать человека это ПД. Биометрия, эмоции, поведение, голос и даже движения курсора — это тоже персональные данные, если позволяют идентифицировать пользователя.
Примеры, когда ИИ обрабатывает персональные данные:
- Анализ резюме и автоматический отбор кандидатов;
- Биометрическая идентификация (распознавание лиц, голоса);
- Персонализированные рекомендации в маркетинге;
- Прогнозирование поведения пользователей на основе данных.
Если генерируются синтетические данные (новые профили/предположения о человеке,н-р. склонность к кредитному риску, политические взгляды) - это профайлинг и попадает под GDPR + AI Act.
Требования для ИИ-систем, работающих с персональными данными:
▪️ Высокое качество обучающих данных. Нельзя обучать ИИ на «грязных» или дискриминирующих датасетах.
▪️Пул требований в зависимости от категории уровня риска системы.
▪️Проведение оценки соответствия.
▪️Прозрачность и human oversight. Пользователь должен знать, что данные обрабатываются с помощью ИИ, иметь возможность отказаться предоставлять данные для обучения ИИ, при принятии решения с помощью ИИ иметь возможность обратиться к человеку.Обработка должна совпадать с ожиданиями пользователя (EDPB).
▪️Доступность сервиса лицам до 18 лет, проверка возраста, в большинстве случаев, согласие родителей/законных представителей, повышенные требования к прозрачности, объяснимости и защите.
▪️Data governance framework для систем ИИ с высоким уровнем риска (Chapter 3 AI Act).
Напомню, что анонимизация данных считается обработкой персональных данных по GDPR (EDPB).
Если модель обучена на нелегально полученных данных — это может вызвать ответственность, даже при последующей анонимизации.
Нарушение правил обработки данных может привести к штрафам до 35 млн евро или 7% мирового оборота по AI Act и до 20 млн евро или 4% по GDPR.
Ч.1.
Если ваш продукт использует ИИ — и обрабатывает персональные данные пользователей — вы обязаны учитывать требования не только EU AI Act, но и GDPR в совокупности.Любая информация, по которой можно прямо или косвенно идентифицировать человека это ПД. Биометрия, эмоции, поведение, голос и даже движения курсора — это тоже персональные данные, если позволяют идентифицировать пользователя.
Примеры, когда ИИ обрабатывает персональные данные:
- Анализ резюме и автоматический отбор кандидатов;
- Биометрическая идентификация (распознавание лиц, голоса);
- Персонализированные рекомендации в маркетинге;
- Прогнозирование поведения пользователей на основе данных.
Если генерируются синтетические данные (новые профили/предположения о человеке,н-р. склонность к кредитному риску, политические взгляды) - это профайлинг и попадает под GDPR + AI Act.
Пример взаимосвязи: Компания (A) обрабатывает ПД в контексте обучения новой системы ИИ - поставщик в соответствии с AI Act и контролер в соответствии с GDPR ( в рамках этой разработки принимает решения о том, как обрабатывать персональные данные в целях обучения системы ИИ). Компания (B), которая приобретает систему ИИ, у компании А и использует ее способом, который подразумевает обработку персональных данных (например, в качестве чат-бота для общения с клиентами или в качестве автоматизированного инструмента подбора персонала) - разработчик в соответствии с AI Act, и отдельный контролер в соответствии с GDPR для обработки своих собственных персональных данных (то есть она не является контролером персональных данных, используемых для первоначального обучения системы ИИ, но является контролером любых данных, которые она использует совместно с ИИ).
Т.е., если вы используете данные подрядчика (например, API OpenAI или AWS Rekognition) и при этом инициируете обработку, интегрируете ИИ в свою систему, передаёте туда пользовательские данные, то вы можете считаться “контролёром” или “совместным контролёром” и применяется AI Act и GDPR. А это уже заключение договора (DPA), проведение DPIA (если high-risk), уведомление и защита прав пользователей.
Требования для ИИ-систем, работающих с персональными данными:
▪️ Высокое качество обучающих данных. Нельзя обучать ИИ на «грязных» или дискриминирующих датасетах.
▪️Пул требований в зависимости от категории уровня риска системы.
▪️Проведение оценки соответствия.
▪️Прозрачность и human oversight. Пользователь должен знать, что данные обрабатываются с помощью ИИ, иметь возможность отказаться предоставлять данные для обучения ИИ, при принятии решения с помощью ИИ иметь возможность обратиться к человеку.Обработка должна совпадать с ожиданиями пользователя (EDPB).
▪️Доступность сервиса лицам до 18 лет, проверка возраста, в большинстве случаев, согласие родителей/законных представителей, повышенные требования к прозрачности, объяснимости и защите.
▪️Data governance framework для систем ИИ с высоким уровнем риска (Chapter 3 AI Act).
Напомню, что анонимизация данных считается обработкой персональных данных по GDPR (EDPB).
Если модель обучена на нелегально полученных данных — это может вызвать ответственность, даже при последующей анонимизации.
Для моделей искусственного интеллекта статьи 5, 24, 25 и 30 GDPR, а также, в случае вероятного высокого риска для прав и свобод субъектов данных, статья 35 GDPR требуют от контролеров надлежащего документирования операций обработки. Это также относится к любой обработке, включая обучение модели ИИ, даже если цель обработки заключается в анонимизации.
Нарушение правил обработки данных может привести к штрафам до 35 млн евро или 7% мирового оборота по AI Act и до 20 млн евро или 4% по GDPR.
👍1
Ч.2. Примеры кейсов по нарушению обработки ПД:
▪️Исследование Вашингтонского университета - несмотря на существующие правила OpenAI, многие приложения GPT и встроенные программы собирают данные пользователей без должного уведомления и согласия. Исследование показало, что только 5,8% этих приложений явно раскрывают свои методы сбора данных, при этом некоторые собирают даже такую конфиденциальную информацию, как пароли
▪️Компания Clearview AI, базирующаяся в США и занимающаяся технологией распознавания лиц, получила серию штрафов за незаконное создание и использование базы данных из лиц ЕС без согласия, отсутствие представителя в ЕС, неправильную обработку, непрозрачность и неповиновение надзорным органам. Последний на €30,5 млн от нидерландского органа по защите данных, Autoriteit Persoonsgegevens (AP), за использование незаконной базы из 30 млрд фото.
▪️Replika (Luka Inc.) оштрафована на €5 млн. итальянским Garante, т.к. чат‑бот, персонализированный под эмоциональное состояние пользователя, обрабатывал персональные данные без законного основания, и не имел системы проверки возраста (дети в зоне риска)
Что делать продакту и команде:
- Инвентаризируйте все ИИ-функции, работающие с данными, включая embedded AI от подрядчиков или внешних платформ;
- Проверьте, генерирует ли ИИ новые персональные данные;
- Выявите и оцените риски при обработке ПД, сформируйте матрицу рисков;
- Дети и чувствительные данные - специальные требования;
- Не забывайте про документацию продукта и обработки ПД;
- Скоординируйте процессы по GDPR & AI Act Compliance, проведите юр.аудит
- Включите вопрос комплаенса на стадии разработки roadmap и дизайна продукта. Ведь это уже не история про "legal в конце" - это фичи продукта.
- Проведите обучение команды и проводите проверки соответствия продукта на всех стадиях: разработки, релиза, постпродакшна.
#LawAndDisorder
@pattern_ai
▪️Исследование Вашингтонского университета - несмотря на существующие правила OpenAI, многие приложения GPT и встроенные программы собирают данные пользователей без должного уведомления и согласия. Исследование показало, что только 5,8% этих приложений явно раскрывают свои методы сбора данных, при этом некоторые собирают даже такую конфиденциальную информацию, как пароли
▪️Компания Clearview AI, базирующаяся в США и занимающаяся технологией распознавания лиц, получила серию штрафов за незаконное создание и использование базы данных из лиц ЕС без согласия, отсутствие представителя в ЕС, неправильную обработку, непрозрачность и неповиновение надзорным органам. Последний на €30,5 млн от нидерландского органа по защите данных, Autoriteit Persoonsgegevens (AP), за использование незаконной базы из 30 млрд фото.
▪️Replika (Luka Inc.) оштрафована на €5 млн. итальянским Garante, т.к. чат‑бот, персонализированный под эмоциональное состояние пользователя, обрабатывал персональные данные без законного основания, и не имел системы проверки возраста (дети в зоне риска)
Что делать продакту и команде:
- Инвентаризируйте все ИИ-функции, работающие с данными, включая embedded AI от подрядчиков или внешних платформ;
- Проверьте, генерирует ли ИИ новые персональные данные;
- Выявите и оцените риски при обработке ПД, сформируйте матрицу рисков;
- Дети и чувствительные данные - специальные требования;
- Не забывайте про документацию продукта и обработки ПД;
- Скоординируйте процессы по GDPR & AI Act Compliance, проведите юр.аудит
- Включите вопрос комплаенса на стадии разработки roadmap и дизайна продукта. Ведь это уже не история про "legal в конце" - это фичи продукта.
- Проведите обучение команды и проводите проверки соответствия продукта на всех стадиях: разработки, релиза, постпродакшна.
#LawAndDisorder
@pattern_ai
❤2
Дипфейки и маркировка контента или штраф до 35 млн.евро или 7% от мирового годового оборота по EU AI Act?
Дипфейки - сгенерированное или обработанное ИИ изображение, аудио- или видеоконтент, который напоминает существующих людей, объекты, места, сущности или события и может ложно показаться человеку подлинным или правдивым (Article 3 (60) AI Act).
Дипфейки сейчас в тренде от использования в рекламе и индустрии развлечений до политики и онлайн-мошенничеств.
Что насчет EU AI Act?
Требования к поставщикам - внедрение технических решений, которые позволят маркировать в машиночитаемом формате и обнаруживать, что выходные данные были созданы или обработаны системой ИИ, а не человеком.
Потенциальные методы: водяные знаки, идентификация метаданных, криптографические методы для подтверждения происхождения и подлинности контента, методы регистрации или отпечатки пальцев.
Требования к развертывателям системы ИИ, генерирующей или манипулирующей изображением, аудио- или видеоконтентом - раскрыть «ясно и различимо» путем соответствующей маркировки, что контент был искусственно создан (Article 50 AI Act). Например: иконка “AI generated”, всплывающее уведомление перед просмотром, QR-код для проверки происхождения.
Если контент ИИ является частью «явно художественного, творческого, сатирического, вымышленного или аналогичного произведения или программы» - можно выбрать способ уведомления, чтобы он не мешал получению удовольствия от произведения.
Если хочется использовать дипфейки для личных непрофессиональных целей, то все равно необходимо наличие технической отметки.
Инструменты проверки видео и изображений на предмет подделки: Reality Defender, Hive AI или Deepware Scanner.
Советы команде разработки:
- определите категорию риска и требования к системе ИИ (проконсультируйтесь с экспертами);
- явно маркируйте ИИ-контент;
- показывайте, что контент создан ИИ, до взаимодействия;
- максимально бдительно и осторожно с чувствительным контентом и детьми, использовать возрастные ограничения;
- настройте процесс реагирования на жалобы по дипфейкам и их удаление ( ответ в течение 24–48 часов).
Source картинки Increasing Threats of Deepfake Identities Report|Homeland Security
#LawAndDisorder
@pattern_ai
Дипфейки - сгенерированное или обработанное ИИ изображение, аудио- или видеоконтент, который напоминает существующих людей, объекты, места, сущности или события и может ложно показаться человеку подлинным или правдивым (Article 3 (60) AI Act).
Дипфейки сейчас в тренде от использования в рекламе и индустрии развлечений до политики и онлайн-мошенничеств.
Что насчет EU AI Act?
Требования к поставщикам - внедрение технических решений, которые позволят маркировать в машиночитаемом формате и обнаруживать, что выходные данные были созданы или обработаны системой ИИ, а не человеком.
Потенциальные методы: водяные знаки, идентификация метаданных, криптографические методы для подтверждения происхождения и подлинности контента, методы регистрации или отпечатки пальцев.
Требования к развертывателям системы ИИ, генерирующей или манипулирующей изображением, аудио- или видеоконтентом - раскрыть «ясно и различимо» путем соответствующей маркировки, что контент был искусственно создан (Article 50 AI Act). Например: иконка “AI generated”, всплывающее уведомление перед просмотром, QR-код для проверки происхождения.
Если контент ИИ является частью «явно художественного, творческого, сатирического, вымышленного или аналогичного произведения или программы» - можно выбрать способ уведомления, чтобы он не мешал получению удовольствия от произведения.
Если хочется использовать дипфейки для личных непрофессиональных целей, то все равно необходимо наличие технической отметки.
Инструменты проверки видео и изображений на предмет подделки: Reality Defender, Hive AI или Deepware Scanner.
Советы команде разработки:
- определите категорию риска и требования к системе ИИ (проконсультируйтесь с экспертами);
- явно маркируйте ИИ-контент;
- показывайте, что контент создан ИИ, до взаимодействия;
- максимально бдительно и осторожно с чувствительным контентом и детьми, использовать возрастные ограничения;
- настройте процесс реагирования на жалобы по дипфейкам и их удаление ( ответ в течение 24–48 часов).
Source картинки Increasing Threats of Deepfake Identities Report|Homeland Security
#LawAndDisorder
@pattern_ai
👍2
Для тех, кто уже строит планы на осень:
😎 🆕 Образовательная программа: AI Governance: регулирование и комплаенс ИИ-систем - первый русскоязычный курс по комплаенсу ИИ, охватывающий все сферы регулирования, приватность, риски, качество, IP и ИБ от ведущих экспертов отрасли.
📌 Когда: октябрь 2025 - февраль 2026
📱 Формат: онлайн
📎 Объем: 11 лекций по 90 минут, 8 семинаров по 90 минут, проверка знаний, домашние задания / кейсы, консультации
🍀 Треки:
🟢 ИИ-технологии
🟢 ИИ-регулирование
🟢 Система управления ИИ
🟢 Интеллектуальная собственность
🟢 Данные и Privacy риски
🟢 Качество и ответственность
🟢 Безопасность ИИ
✏️ Преимущества:
🟡 менторы для подготовки проекта
🟡 сообщество и практика
🟡 база знаний и безлимитный доступ
🟡 системный подход
🟡 эффективная методика обучения
Образовательная лицензия РППА Офис - № Л035-01298-77/01030105 от 22 января 2024
RPPA.pro | PPCP.pro
Образовательная лицензия РППА Офис - № Л035-01298-77/01030105 от 22 января 2024
RPPA.pro | PPCP.pro
Please open Telegram to view this post
VIEW IN TELEGRAM
rppaedu.pro
AI Governance
Образовательный продукт AI Governance поможет специалисту стать экспертом в области и научиться превращать технологии из риска в актив
❤1
Требования защиты авторских прав для поставщиков и развертывателей по EU AI Act
Первые победы Бигтеха в США в судебных разбирательствах о нарушении авторских прав при обучении ИИ показывают сложность правового регулирования использования защищённых материалов для обучения ИИ. Хотя обе компании добились частичных побед, остаётся неясным, как будут развиваться дальнейшие судебные процессы и какое влияние они окажут на будущее ИИ-технологий.
В ЕС попытались установить обязательства для поставщиков ИИ-систем и моделей общего назначения (GPAI), а также для развертывателей, использующих такие технологии, с помощью AI Act.
Так, AI Act предусматривает, что системы ИИ, использующие данные, защищённые авторским правом, должны обеспечивать:
- соответствие требованиям Директивы ЕС об авторских правах (Directive 2019/790).
- легальный доступ к используемым данным. Например, обучение моделей на текстах или изображениях, защищённых авторским правом, возможно только при наличии соответствующей лицензии или использовании исключения (например, для исследований).
Требования для поставщиков (providers) GPAI:
▪️Политика соблюдения авторских прав + чёткое описание, как компания соблюдает оговорки об отказе от TDM (art. 53(1)(c) AI Act).
▪️Резюме источников обучения: публикация подробного, но понятного описания использованных наборов данных, включая:
- названия крупных датасетов;
- категории источников (например, новостные сайты, открытые базы);
- объяснение происхождения и цели данных (статья 53(1)(d)).
▪️Техническая документация: описание архитектуры модели, процессов обучения, тестирования и рисков нарушения IP.
▪️Соблюдение «opt-out»: если сайт запретил TDM (например, в robots.txt или специальных уведомлениях), эти данные нельзя использовать.
Помним, что даже если обучение проводилось в США — при выходе GPAI на рынок ЕС необходимо соблюдать нормы ЕС (см. recital 106 AI Act).
Требования к развертывателям (deployers):
▪️Проверять, соблюдены ли IP-права в ИИ-системе, которую вы внедряете;
▪️Не использовать GPAI, нарушающие нормы AI Act;
▪️Документировать цели и объем использования ИИ;
▪️Понимать, создаёт ли ваша система производные работы (derivative works), и при необходимости запрашивать лицензии.
Однако дебаты по General-Purpose AI Code of Practice все еще продолжаются при изначальной цели принять его в мае, что провоцирует слухи вплоть до отмены положений AI Act. Но можно извлечь пользу и смотреть требования + проект резюме источников данных на будущее. Также идут дебаты о том, что AI Act создает «лазейку» в авторском праве, позволяющую использовать защищённые произведения без разрешения в коммерческом ИИ.
Из судебной практики: в деле Kneschke v. LAION, суд в Гамбурге признал, что создание датасета LAION на основе изображений в интернете подпадает под исключение для научных исследований (ст. 60d UrhG), если TDM opt-out не был чётко зафиксирован.
Почитать:
- Copyright Law and Generative AI Training - Technological and Legal Foundations /Tim W. Dornis, Sebastian Stober
- Development of Generative Artificial Intelligence from a Copyright Perspective|EUIPO
#LawAndDisorder
@pattern_ai
Первые победы Бигтеха в США в судебных разбирательствах о нарушении авторских прав при обучении ИИ показывают сложность правового регулирования использования защищённых материалов для обучения ИИ. Хотя обе компании добились частичных побед, остаётся неясным, как будут развиваться дальнейшие судебные процессы и какое влияние они окажут на будущее ИИ-технологий.
В ЕС попытались установить обязательства для поставщиков ИИ-систем и моделей общего назначения (GPAI), а также для развертывателей, использующих такие технологии, с помощью AI Act.
Так, AI Act предусматривает, что системы ИИ, использующие данные, защищённые авторским правом, должны обеспечивать:
- соответствие требованиям Директивы ЕС об авторских правах (Directive 2019/790).
- легальный доступ к используемым данным. Например, обучение моделей на текстах или изображениях, защищённых авторским правом, возможно только при наличии соответствующей лицензии или использовании исключения (например, для исследований).
Требования для поставщиков (providers) GPAI:
▪️Политика соблюдения авторских прав + чёткое описание, как компания соблюдает оговорки об отказе от TDM (art. 53(1)(c) AI Act).
▪️Резюме источников обучения: публикация подробного, но понятного описания использованных наборов данных, включая:
- названия крупных датасетов;
- категории источников (например, новостные сайты, открытые базы);
- объяснение происхождения и цели данных (статья 53(1)(d)).
▪️Техническая документация: описание архитектуры модели, процессов обучения, тестирования и рисков нарушения IP.
▪️Соблюдение «opt-out»: если сайт запретил TDM (например, в robots.txt или специальных уведомлениях), эти данные нельзя использовать.
Помним, что даже если обучение проводилось в США — при выходе GPAI на рынок ЕС необходимо соблюдать нормы ЕС (см. recital 106 AI Act).
Требования к развертывателям (deployers):
▪️Проверять, соблюдены ли IP-права в ИИ-системе, которую вы внедряете;
▪️Не использовать GPAI, нарушающие нормы AI Act;
▪️Документировать цели и объем использования ИИ;
▪️Понимать, создаёт ли ваша система производные работы (derivative works), и при необходимости запрашивать лицензии.
Однако дебаты по General-Purpose AI Code of Practice все еще продолжаются при изначальной цели принять его в мае, что провоцирует слухи вплоть до отмены положений AI Act. Но можно извлечь пользу и смотреть требования + проект резюме источников данных на будущее. Также идут дебаты о том, что AI Act создает «лазейку» в авторском праве, позволяющую использовать защищённые произведения без разрешения в коммерческом ИИ.
Из судебной практики: в деле Kneschke v. LAION, суд в Гамбурге признал, что создание датасета LAION на основе изображений в интернете подпадает под исключение для научных исследований (ст. 60d UrhG), если TDM opt-out не был чётко зафиксирован.
Почитать:
- Copyright Law and Generative AI Training - Technological and Legal Foundations /Tim W. Dornis, Sebastian Stober
- Development of Generative Artificial Intelligence from a Copyright Perspective|EUIPO
#LawAndDisorder
@pattern_ai
Как владельцам контента в ЕС отказаться от использования их данных для обучения ИИ?
1. Использование файла robots.txt и стандарта ai.txt
robots.txt — стандартный файл, размещаемый на сайте, который инструктирует поисковых роботов, какие страницы не следует сканировать и индексировать, необходимо регулярно обновлять, чтобы гарантировать блокировку инструментов извлечения.
ai.txt — новый экспериментальный стандарт, который позволяет более точно указать условия использования контента для ИИ. Несмотря на ограниченную поддержку, его стоит внедрять, чтобы показать свою позицию.
2. Внедрение информации в метаданные файлов
Включение сведений об авторских правах и условиях использования в метаданные изображений, аудио и видео помогает инструментам и платформам распознавать права на контент и соблюдать их.
3. Правила использования на сайте (Terms of Service)
Правильно оформленные условия использования сайта с явным запретом на скрапинг и коммерческое использование контента в обучении ИИ создают дополнительную юридическую защиту. Однако их соблюдение зависит от готовности суда признавать такие ограничения.
4. Прямые уведомления разработчикам ИИ
Авторы или их представители могут направлять письма с отказом (например, «reservation of rights») крупным ИИ-компаниям, требуя исключить их работы из обучающих наборов. Некоторые компании, например OpenAI, обещали внедрить специальные инструменты — Media Manager — для управления такими запросами, но на данный момент нет информации, что происходит с процессом их разработки, дедлайны провалены.
5. Проверка включения своих работ в ИИ-датасеты
Сервисы типа Have I Been Trained? позволяют проверить, использовались ли ваши работы в известных датасетах для обучения ИИ, что помогает своевременно выявлять нарушения.
Source картинки
#UXWatch
@pattern_ai
1. Использование файла robots.txt и стандарта ai.txt
robots.txt — стандартный файл, размещаемый на сайте, который инструктирует поисковых роботов, какие страницы не следует сканировать и индексировать, необходимо регулярно обновлять, чтобы гарантировать блокировку инструментов извлечения.
ai.txt — новый экспериментальный стандарт, который позволяет более точно указать условия использования контента для ИИ. Несмотря на ограниченную поддержку, его стоит внедрять, чтобы показать свою позицию.
2. Внедрение информации в метаданные файлов
Включение сведений об авторских правах и условиях использования в метаданные изображений, аудио и видео помогает инструментам и платформам распознавать права на контент и соблюдать их.
3. Правила использования на сайте (Terms of Service)
Правильно оформленные условия использования сайта с явным запретом на скрапинг и коммерческое использование контента в обучении ИИ создают дополнительную юридическую защиту. Однако их соблюдение зависит от готовности суда признавать такие ограничения.
4. Прямые уведомления разработчикам ИИ
Авторы или их представители могут направлять письма с отказом (например, «reservation of rights») крупным ИИ-компаниям, требуя исключить их работы из обучающих наборов. Некоторые компании, например OpenAI, обещали внедрить специальные инструменты — Media Manager — для управления такими запросами, но на данный момент нет информации, что происходит с процессом их разработки, дедлайны провалены.
5. Проверка включения своих работ в ИИ-датасеты
Сервисы типа Have I Been Trained? позволяют проверить, использовались ли ваши работы в известных датасетах для обучения ИИ, что помогает своевременно выявлять нарушения.
Source картинки
#UXWatch
@pattern_ai
❤1
ИИ в вашей компании? Чек- лист по обучению сотрудников - требование EU AI Act
Обязательства по повышению грамотности в области ИИ (AI Literacy), закрепленные в статье 4 EU AI Act вступили в силу со 2 февраля 2025. Контроль выполнения со стороны надзорных органов начнётся с 3 августа 2026, хоть еще и чуть больше года, не откладывайте до последнего!
На данный момент 31% европейских компаний имеют формальную политику ИИ, остальные используют его неструктурированно, что создает риски утечки, фишинга и пр.
Грамотность в области ИИ - навыки, знания и понимание, необходимые поставщикам, развертывателям и затронутым лицам, чтобы
- принимать обоснованные решения о развертывании систем ИИ.
- понимать возможности, риски и потенциальный вред, связанный с ИИ.
- работать с ИИ ответственно, обеспечивая соблюдение этических и нормативных стандартов.
Например, если сотрудники всего лишь используют ChatGPT для написания рекламных текстов или перевода текстов, то компании необходимо соблюдать требования ст. 4 и обучить их, предоставив информацию о конкретных рисках, например, галлюцинациях.
Также требования ст.4 (AI Literacy) предъявляются пока система ИИ размещена на рынке ЕС, используется в ЕС или ее использование оказывает влияние на людей, находящихся в ЕС. Помним про экстерриториальное действие закона.
Обучение, как минимум, должно обеспечивать:
▪️Осведомлённость об ИИ: что это, как это работает, где и зачем применяется;
▪️Контекст: роль организации (поставщик или пользователь), риски ИИ-систем;
▪️Учёт профиля сотрудников: уровень технической подготовки, зона ответственности;
▪️Углублённое обучение для тех, кто работает с высокорисковыми системами (статья 25 AI Act).
Забирайте чек-лист.
На данный момент не требуется официальных сертификатов - достаточно внутренних записей о проведённых обучениях.
Для упрощения процесса внедрения создаются обучающие ресурсы, Еврокомиссия выпускает гайдлайны.
Примеры best practice можно смотреть в Living repository. Например, Booking.com поделился своим примером: индивидуальное обучение для нетехнического персонала, интерактивное обучение ( видео- и подкаст-серии для разных стилей обучения), фокус на соблюдение нормативных требований (обучение включает управление ИИ и правовые аспекты). Telefónica S.A. (телекоммуникационный сектор) - назначены специалисты для руководства инициативами по грамотности в сфере ИИ, многоуровневое обучение ( сегментированные программы для руководителей, разработчиков и конечных пользователей), публичные инициативы по грамотности в области ИИ.
Ответы на частые вопросы в AI Literacy Q&A.
Обучающие материалы, курсы можно найти на Digital Skills and Jobs Platform
Посмотреть:
Third AI Pact webinar on AI literacy
Почитать:
- Generative AI Literacy: A Comprehensive Framework for Literacy and Responsible Use, Chengzhi Zhang, Brian Magerko
- AI Literacy for Legal AI Systems: A practical approach, Gizem Gultekin-Varkonyi
Список курсов в отдельном посте.
#LawAndDisorder #AIShelf
@pattern_ai
Обязательства по повышению грамотности в области ИИ (AI Literacy), закрепленные в статье 4 EU AI Act вступили в силу со 2 февраля 2025. Контроль выполнения со стороны надзорных органов начнётся с 3 августа 2026, хоть еще и чуть больше года, не откладывайте до последнего!
На данный момент 31% европейских компаний имеют формальную политику ИИ, остальные используют его неструктурированно, что создает риски утечки, фишинга и пр.
Грамотность в области ИИ - навыки, знания и понимание, необходимые поставщикам, развертывателям и затронутым лицам, чтобы
- принимать обоснованные решения о развертывании систем ИИ.
- понимать возможности, риски и потенциальный вред, связанный с ИИ.
- работать с ИИ ответственно, обеспечивая соблюдение этических и нормативных стандартов.
Например, если сотрудники всего лишь используют ChatGPT для написания рекламных текстов или перевода текстов, то компании необходимо соблюдать требования ст. 4 и обучить их, предоставив информацию о конкретных рисках, например, галлюцинациях.
Также требования ст.4 (AI Literacy) предъявляются пока система ИИ размещена на рынке ЕС, используется в ЕС или ее использование оказывает влияние на людей, находящихся в ЕС. Помним про экстерриториальное действие закона.
Обучение, как минимум, должно обеспечивать:
▪️Осведомлённость об ИИ: что это, как это работает, где и зачем применяется;
▪️Контекст: роль организации (поставщик или пользователь), риски ИИ-систем;
▪️Учёт профиля сотрудников: уровень технической подготовки, зона ответственности;
▪️Углублённое обучение для тех, кто работает с высокорисковыми системами (статья 25 AI Act).
Забирайте чек-лист.
На данный момент не требуется официальных сертификатов - достаточно внутренних записей о проведённых обучениях.
Для упрощения процесса внедрения создаются обучающие ресурсы, Еврокомиссия выпускает гайдлайны.
Примеры best practice можно смотреть в Living repository. Например, Booking.com поделился своим примером: индивидуальное обучение для нетехнического персонала, интерактивное обучение ( видео- и подкаст-серии для разных стилей обучения), фокус на соблюдение нормативных требований (обучение включает управление ИИ и правовые аспекты). Telefónica S.A. (телекоммуникационный сектор) - назначены специалисты для руководства инициативами по грамотности в сфере ИИ, многоуровневое обучение ( сегментированные программы для руководителей, разработчиков и конечных пользователей), публичные инициативы по грамотности в области ИИ.
Ответы на частые вопросы в AI Literacy Q&A.
Обучающие материалы, курсы можно найти на Digital Skills and Jobs Platform
Посмотреть:
Third AI Pact webinar on AI literacy
Почитать:
- Generative AI Literacy: A Comprehensive Framework for Literacy and Responsible Use, Chengzhi Zhang, Brian Magerko
- AI Literacy for Legal AI Systems: A practical approach, Gizem Gultekin-Varkonyi
Список курсов в отдельном посте.
#LawAndDisorder #AIShelf
@pattern_ai
🔥1
Список курсов по AI Literacy и соответствию AI Act (EU)
1. BABL AI — AI Literacy Course on the EU AI Act ( $99, ~2 часа, английский): четкий и краткий курс для сотрудников — объясняет, что такое ИИ, как он влияет на бизнес и как соответствовать AI Act.
2. AI for You (CeADAR, Ирландия) (бесплатно, ~3 часа, английский): бесплатный вводный курс по ИИ и AI Act, подходит для малых и средние предприятий, сотруднико государственного сектора.
3. AppliedAI (Германия) — AI Literacy Training Compact ( стоимость по запросу, 45 минут, английский): сфокусирован на обязанностях по статье 4 AI Act — идеален для бизнес-команд.
4. Simmons & Simmons — AI Literacy Programme (стоимость по запросу, кастомный формат, английский): корпоративное обучение с фокусом на юридические и комплаенс-аспекты AI Act.
5. VAIA (Flanders AI Academy, Бельгия) (бесплатно, продолжительность зависит от модуля, английский): модули по ИИ для специалистов, занимающихся внедрением ИИ.
6. Trustible.ai — AI Literacy & Compliance Training (стоимость по запросу (для компаний), время варьируется, английский): модули по базовым знаниям об ИИ, комплаенсу и внутренним политикам.
7. AI Portugal 2030 – INCoDe.2030 (бесплатно, португальский): государственная стратегия по ИИ и цифровой трансформации.
8. Simplilearn (SkillUp) — Artificial Intelligence for Business (бесплатно, ~2 часа, английский): основы ИИ и его применение в бизнесе. Этические аспекты и аналитика.
9. EITCA/AI Academy (EITCI, Бельгия) (€1,100 (€220 со скидкой), 180 часов, английский): европейская сертификация по ИИ (12 модулей EITC), признаётся в ЕС.
10. Turing College (Литва) — AI Ethics (грант, 3–4 месяца, английский): проектный онлайн-курс по этике ИИ и критическому мышлению.
11. Creative AI Academy — AI Literacy Training (по запросу, время варьируется, английский): обучение по категоризации рисков и соблюдению AI Act.
12. Trail — AI Literacy Training (по запросу, время варьируется, английский): практические рекомендации по созданию обучающих программ под задачи бизнеса.
13. TrustWorks — AI Literacy Training ( по запросу, время варьируется, английский): обучение как для разработчиков, так и для сотрудников без техзнаний.
14. Latham & Watkins — AI Literacy Training (статья, английский): консультации и статьи по требованиям AI Act к юристам и офицерам по комплаенсу.
15. AI & Partners — AI Literacy for Responsible Practice ( 800€ (скидки при заказе для компаний), 7 модулей, английский): курс по ИИ с фокусом на транспарентность, ответственность и цели статьи 4 AI Act.
16. Makai — AI Foundations – EU AI Act (€199 в год за одного сотрудника, 4–6 часов, английский): самостоятельное обучение по основам ИИ, влиянию на общество и регуляции.
17. EDHEC / ALLL — Digital Ethics Officer Training (5 148€, 40 часов, французский (есть версия на англ.)):
обучение по этике, охватывающее управление ИИ и AI Act.
18. ALLL — Ethics at Work in the Digital Age (1 600€, ~4 часа, английский): продвинутый курс по цифровой этике и юридическим рискам ИИ на рабочем месте.
19. Dorota Mleczko — AI Literacy Programs (модульные пакеты для организаций, английский, немецкий, польский): индивидуальные программы по обучению ИИ для различных отделов.
20. Elements of AI (Финляндия) (бесплатный) - введение в сферу ИИ.
Список программ постоянно обновляется, можно смотреть здесь.
Картинка сгенерирована ChatGPT
#AIShelf
@pattern_ai
1. BABL AI — AI Literacy Course on the EU AI Act ( $99, ~2 часа, английский): четкий и краткий курс для сотрудников — объясняет, что такое ИИ, как он влияет на бизнес и как соответствовать AI Act.
2. AI for You (CeADAR, Ирландия) (бесплатно, ~3 часа, английский): бесплатный вводный курс по ИИ и AI Act, подходит для малых и средние предприятий, сотруднико государственного сектора.
3. AppliedAI (Германия) — AI Literacy Training Compact ( стоимость по запросу, 45 минут, английский): сфокусирован на обязанностях по статье 4 AI Act — идеален для бизнес-команд.
4. Simmons & Simmons — AI Literacy Programme (стоимость по запросу, кастомный формат, английский): корпоративное обучение с фокусом на юридические и комплаенс-аспекты AI Act.
5. VAIA (Flanders AI Academy, Бельгия) (бесплатно, продолжительность зависит от модуля, английский): модули по ИИ для специалистов, занимающихся внедрением ИИ.
6. Trustible.ai — AI Literacy & Compliance Training (стоимость по запросу (для компаний), время варьируется, английский): модули по базовым знаниям об ИИ, комплаенсу и внутренним политикам.
7. AI Portugal 2030 – INCoDe.2030 (бесплатно, португальский): государственная стратегия по ИИ и цифровой трансформации.
8. Simplilearn (SkillUp) — Artificial Intelligence for Business (бесплатно, ~2 часа, английский): основы ИИ и его применение в бизнесе. Этические аспекты и аналитика.
9. EITCA/AI Academy (EITCI, Бельгия) (€1,100 (€220 со скидкой), 180 часов, английский): европейская сертификация по ИИ (12 модулей EITC), признаётся в ЕС.
10. Turing College (Литва) — AI Ethics (грант, 3–4 месяца, английский): проектный онлайн-курс по этике ИИ и критическому мышлению.
11. Creative AI Academy — AI Literacy Training (по запросу, время варьируется, английский): обучение по категоризации рисков и соблюдению AI Act.
12. Trail — AI Literacy Training (по запросу, время варьируется, английский): практические рекомендации по созданию обучающих программ под задачи бизнеса.
13. TrustWorks — AI Literacy Training ( по запросу, время варьируется, английский): обучение как для разработчиков, так и для сотрудников без техзнаний.
14. Latham & Watkins — AI Literacy Training (статья, английский): консультации и статьи по требованиям AI Act к юристам и офицерам по комплаенсу.
15. AI & Partners — AI Literacy for Responsible Practice ( 800€ (скидки при заказе для компаний), 7 модулей, английский): курс по ИИ с фокусом на транспарентность, ответственность и цели статьи 4 AI Act.
16. Makai — AI Foundations – EU AI Act (€199 в год за одного сотрудника, 4–6 часов, английский): самостоятельное обучение по основам ИИ, влиянию на общество и регуляции.
17. EDHEC / ALLL — Digital Ethics Officer Training (5 148€, 40 часов, французский (есть версия на англ.)):
обучение по этике, охватывающее управление ИИ и AI Act.
18. ALLL — Ethics at Work in the Digital Age (1 600€, ~4 часа, английский): продвинутый курс по цифровой этике и юридическим рискам ИИ на рабочем месте.
19. Dorota Mleczko — AI Literacy Programs (модульные пакеты для организаций, английский, немецкий, польский): индивидуальные программы по обучению ИИ для различных отделов.
20. Elements of AI (Финляндия) (бесплатный) - введение в сферу ИИ.
Список программ постоянно обновляется, можно смотреть здесь.
Картинка сгенерирована ChatGPT
#AIShelf
@pattern_ai
EU AI ACT Compliance чек-лист для компании. Забирайте в пользование, составила максимально полный
#LawAndDisorder
@pattern_ai
#LawAndDisorder
@pattern_ai
dataprivacy on Notion
AI ACT Compliance чек-лист для компании | Notion
Приоритетные шаги для организаций
Подборка постов за месяц.
👁🗨 Руководства, чеклисты и разборы — всё о новом законе об ИИ в ЕС, который уже влияет на разработку и запуск продуктов.
🔹К кому применим AI Act;
🔹Определение категорий риска систем ИИ по AI Act;
🔹Требования к дизайну интерфейсов по AI Act;
🔹Примерный чек-лист для проверки дизайна интерфейса;
🔹AI-агенты и применимость EU AI ACT;
🔹Краткий гайд по обработке ПД при внедрении ИИ;
🔹Примерный чек-лист для выявления рисков по обработке персональных данных для проекта (EU AI Act и GDPR);
🔹Дипфейки и требования маркировки контента;
🔹Требования защиты авторских прав для поставщиков и развертывателей по EU AI Act;
🔹Чек-лист по обучению сотрудников;
🔹Список курсов по AI Literacy и соответствию AI Act (EU);
🔹EU AI ACT Compliance чек-лист для компании.
Сохраните себе и делитесь с коллегами.
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
Подборка по ключевым рубрикам:
🔹Что делать бизнесу в постоянно меняющемся регуляторном ландшафте?
🔹Что говорит закон про регулирование темных паттернов и как избежать миллионных штрафов?
🔹Баланс между AI-First и правами сотрудников;
🔹Регуляторный подход к Emotion AI и как продукту соблюсти комплаенс;
🔹Примерный чек-лист по соблюдению законодательства для продуктов с Emotion AI;
🔹AI-ассистент и AI-агент: где заканчивается автоматизация и начинается правовая ответственность?
🔹AI и финансовый сектор;
🔹Использование чувствительных данных гос.сектором для обучения ИИ: пример ICDC и не только;
🔹AI powered dark patterns: как ИИ учится управлять вашими решениями;
🔹Искажение выбора: как AI-оценка сбивает с пути в компанию мечты;
🔹Emotion AI превратит ваши эмоции в + 20 CTR для компании;
🔹Флирт с чат-ботом: от простой игры до манипуляции вами один шаг;
🔹НейроUX в банках против ваших интересов;
🔹Neuralink и риски цифрового принуждения;
🔹ИИ помогает людям формировать свои привычки;
🔹Как владельцам контента в ЕС отказаться от использования их данных для обучения ИИ?
🔹RAG — новая точка входа для тёмных паттернов;
🔹Петля развития для моделей;
🔹Безопасное взаимодействие между агентами: рекомендации Google A2A и LangChain;
🔹Сравнительный анализ LLM: как часто языковые модели генерируют тёмные паттерны;
🔹Новый подход к контролю чувствительных данных в LLM;
🔹Анализ уязвимостей в ИИ и практики безопасной разработки - cмотрим, как проверить уязвимости при использованиие библиотек с открытым исходным кодом.
🔹Как писать промпты для ИИ и нужно ли быть вежливым?
🔹Как сделать озвучку с помощью ИИ;
🔹Презентации за пару кликов;
🔹ИИ генерация видео;
🔹Сервисы и промты: от повседневных привычек до изменения мышления.
📚 #AIShelf
🔹Список бесплатных курсов по AI;
🔹Cognizant—Banking Process Transformation 2024 RadarView;
🔹NeuroUX в банковской сфере;
🔹Обучающие курсы EDPB по ИИ и защите данных;
🔹Список курсов по AI Literacy и соответствию AI Act (EU).
Читайте, пересылайте, возвращайтесь к важному.
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Легальный веб-скраппинг для обучения ИИ возможен?
Веб-скраппинг — это автоматический сбор данных с общедоступных веб-сайтов.
Да, он пока легален, если учитывать риски и соблюдать законодательство, дискуссии и судебные баталии продолжаются (н-р, штраф Clearview на $7,5 млн. от ICO, Reddit v Anthropic, Bartz v Anthropic ).
👀 Смотрим по популярным юрисдикциям.
ЕС:
GDPR - сбор данных на законных основаниях, только необходимые, релевантные, соблюдение принципа минимизации, особые требования к чувствительным категориям данных и тп.
ePrivacy Directive (2002/58/EC) - метаданные, файлы cookies, электронная коммуникация. Может ограничивать автоматизированный сбор информации из мессенджеров и email.
Directive (EU) 2019/790 on Copyright in the Digital Single Market — запрещает копирование контента защищённого авторским правом. Исключения применимы только к научным и некоммерческим целям.
Regulation (EU) 2018/1807 on Free Flow of Non-Personal Data — важен при передаче гибридных наборов данных (личных + неличных) между странами ЕС.
В июне французский CNIL выпустил рекомендации по веб-скраппингу:
🔹Соблюдать правила robots.txt, CAPTCHA и условия использования сайтов, т.е. не собирать данные с сайтов, явно запрещающих скраппинг.
🔹Избегать сканирования сайтов, предназначенных для несовершеннолетних и содержащих чувствительные данные.
🔹Автоматически удалять персональные или чувствительные данные после сбора. Остаточный и непреднамеренный сбор конфиденциальных данных, несмотря на меры предосторожности, сам по себе не является незаконным (CJEU-136/17), как только контролеру становится известно об обработке - обеспечить немедленное удаление, по возможности используя автоматизированные средства.
🔹Обеспечивать возможность отказа (opt-out) и прозрачность.
🔹Удалять нерелевантные данные, собранные по ошибке, сразу после их обнаружения.
🔹Уважать разумные ожидания пользователя (характер отношений между субъектами данных и контролёром; явные ограничения, налагаемые веб-сайтами; характер исходного веб-сайта (например, социальные сети, форумы); тип контента (например, публикация в общедоступном блоге или публикация в социальной сети с ограниченным доступом).
Напомню, что еще в отчете EDPB ChatGPT Taskforce (2024) указывалось на то, что публичность данных не означает, что субъект данных явно сделал их публичными, необходим баланс интересов контроллера с правами пользователей, ожидания пользователя играют ключевую роль.
Великобритания
Позиция ICO:
🔹Требуется наличие законного основания (например, законный интерес).
🔹 Необходимость и соразмерность должны быть обоснованы.
🔹Требуется прозрачность и обеспечение прав субъектов данных.
США
🔹Веб-скраппинг не запрещён напрямую.
🔹 Computer Fraud & Abuse Act (CFAA) не применяется к скраппингу открытых данных (hiQ v. LinkedIn). Но сбор данных после получения уведомления о прекращении противоправных действий или обход явных блокировок (например, запретов по IP-адресам или логинам) может квалифицироваться как несанкционированный доступ (Power Ventures v. Facebook).
🔹Нарушение условий не делает скраппинг незаконным (Meta v. Bright Data).
🔹CCPA/CPRA и другие законы о защите ПД: уведомление, право на отказ, ограничение целей обработки.
🔹HIPAA, COPPA и др. при сборе данных о здоровье или детях.
🔹Законодательство о защите коммерческой тайны, защите IP.
#LawAndDisorder
———-
@pattern_ai
Веб-скраппинг — это автоматический сбор данных с общедоступных веб-сайтов.
Да, он пока легален, если учитывать риски и соблюдать законодательство, дискуссии и судебные баталии продолжаются (н-р, штраф Clearview на $7,5 млн. от ICO, Reddit v Anthropic, Bartz v Anthropic ).
ЕС:
GDPR - сбор данных на законных основаниях, только необходимые, релевантные, соблюдение принципа минимизации, особые требования к чувствительным категориям данных и тп.
ePrivacy Directive (2002/58/EC) - метаданные, файлы cookies, электронная коммуникация. Может ограничивать автоматизированный сбор информации из мессенджеров и email.
Directive (EU) 2019/790 on Copyright in the Digital Single Market — запрещает копирование контента защищённого авторским правом. Исключения применимы только к научным и некоммерческим целям.
Regulation (EU) 2018/1807 on Free Flow of Non-Personal Data — важен при передаче гибридных наборов данных (личных + неличных) между странами ЕС.
В июне французский CNIL выпустил рекомендации по веб-скраппингу:
🔹Соблюдать правила robots.txt, CAPTCHA и условия использования сайтов, т.е. не собирать данные с сайтов, явно запрещающих скраппинг.
🔹Избегать сканирования сайтов, предназначенных для несовершеннолетних и содержащих чувствительные данные.
🔹Автоматически удалять персональные или чувствительные данные после сбора. Остаточный и непреднамеренный сбор конфиденциальных данных, несмотря на меры предосторожности, сам по себе не является незаконным (CJEU-136/17), как только контролеру становится известно об обработке - обеспечить немедленное удаление, по возможности используя автоматизированные средства.
🔹Обеспечивать возможность отказа (opt-out) и прозрачность.
🔹Удалять нерелевантные данные, собранные по ошибке, сразу после их обнаружения.
🔹Уважать разумные ожидания пользователя (характер отношений между субъектами данных и контролёром; явные ограничения, налагаемые веб-сайтами; характер исходного веб-сайта (например, социальные сети, форумы); тип контента (например, публикация в общедоступном блоге или публикация в социальной сети с ограниченным доступом).
Напомню, что еще в отчете EDPB ChatGPT Taskforce (2024) указывалось на то, что публичность данных не означает, что субъект данных явно сделал их публичными, необходим баланс интересов контроллера с правами пользователей, ожидания пользователя играют ключевую роль.
Великобритания
Позиция ICO:
🔹Требуется наличие законного основания (например, законный интерес).
🔹 Необходимость и соразмерность должны быть обоснованы.
🔹Требуется прозрачность и обеспечение прав субъектов данных.
США
🔹Веб-скраппинг не запрещён напрямую.
🔹 Computer Fraud & Abuse Act (CFAA) не применяется к скраппингу открытых данных (hiQ v. LinkedIn). Но сбор данных после получения уведомления о прекращении противоправных действий или обход явных блокировок (например, запретов по IP-адресам или логинам) может квалифицироваться как несанкционированный доступ (Power Ventures v. Facebook).
🔹Нарушение условий не делает скраппинг незаконным (Meta v. Bright Data).
🔹CCPA/CPRA и другие законы о защите ПД: уведомление, право на отказ, ограничение целей обработки.
🔹HIPAA, COPPA и др. при сборе данных о здоровье или детях.
🔹Законодательство о защите коммерческой тайны, защите IP.
#LawAndDisorder
———-
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
1. Планирование до начала сбора: чётко определить цель и правовое основание сбора. Избегать сбора избыточной информации (например, геолокация, фин.данные), если они не нужны для конкретной цели, исключить ресурсы и данные несовершеннолетних, высокочувствительные.
2. Технические меры: соблюдать robots.txt, CAPTCHA, использовать фильтры на основе NER (Named Entity Recognition) и PII (Personally Identifiable Information) для исключения чувствительных и специальных категорий данных, настроить автоматическое удаление данных, не соответствующих целям, анонимизация или псевдонимизация данных сразу после сбора.
3. Юридические меры: проводить Legitimate Interest Assessment (при использовании легитимного интереса, как основания сбора данных), DPIA (оценку воздействия на защиту данных), обеспечить прозрачность (публикация списков источников, уведомления), права на отказ (suppression list, механизмы opt-out), избегать сайтов, явно запрещающих сбор (условия использования), отслеживать законодательство, гайдлайны надзорных органов и судебную практику.
#LawAndDisorder
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
The OECD.AI Global AI Initiatives Navigator (GAIIN) - обновленный инструмент от OECD, must-have для специалистов, работающих с ИИ для отслеживания, как страны разрабатывают и внедряют политику в сфере ИИ, уже 1300 инициатив, 80 юрисдикций.
▪️Инициативы международных организаций;
▪️ Национальные стратегии по ИИ (какие страны приняли стратегии, каковы их цели, приоритеты и сроки реализации).
▪️Органы управления и механизмы контроля (государственные структуры, координационные центры, комитеты и рабочие группы, ответственные за ИИ).
▪️ Законы, руководства, программы, инициативы и стандарты, связанные с регулированием ИИ.
#AIShelf
————
@pattern_ai
▪️Инициативы международных организаций;
▪️ Национальные стратегии по ИИ (какие страны приняли стратегии, каковы их цели, приоритеты и сроки реализации).
▪️Органы управления и механизмы контроля (государственные структуры, координационные центры, комитеты и рабочие группы, ответственные за ИИ).
▪️ Законы, руководства, программы, инициативы и стандарты, связанные с регулированием ИИ.
#AIShelf
————
@pattern_ai
Пример промта для проверки соответствия сайта требованиям законодательства о защите данных ( cookie consent )(Gemini Deep Research) от Daniel Barber
#TalkPrompty
————
@pattern_ai
(1) I want you to conduct a comprehensive privacy risk audit of the website '[Insert Website URL here]'. Your analysis must be thorough, detailed, and written in the style of a formal regulatory report titled 'Strategic Assessment and Recommendations for COMPANY NAME's Cookie Consent and Data Privacy Compliance' for a Privacy Leader.
(2) Include an Executive Summary highlighting overall regulatory risk, critical non-compliance areas (GDPR/ePrivacy, CCPA/CPRA), and potential impact (fines, reputation), citing recent enforcement actions.
(3) Provide an Introduction detailing the report's purpose and scope (focusing on COMPANY_DOMAIN), and an overview of GDPR/ePrivacy (explicit, prior, granular consent, no dark patterns) and CCPA/CPRA (opt-out for general, opt-in for sensitive/minors, GPC).
(4) Detail COMPANY NAME's stated cookie and data practices, including cookie types and purposes, collection/use/disclosure of personal data (especially sensitive data like fitness/geolocation), and stated user controls/opt-out mechanisms, noting any inconsistencies.
(5) Assess COMPANY NAME's cookie banner against regulatory standards, analyzing consent mechanisms (affirmative vs. implied, opt-in vs. opt-out by region), transparency, granularity, ease of opt-out/withdrawal, and presence of dark patterns.
(6) Discuss prior consent implementation, evaluating whether non-essential cookies are blocked before consent, and the implications of any shortcomings.
(7) Summarize regulatory enforcement trends, providing specific examples of recent fines (e.g., Google, Facebook, Sephora, Honda, Todd Snyder, Healthline) for cookie non-compliance and their implications for COMPANY NAME.
(8) Conclude with actionable, strategic recommendations for enhanced compliance, covering GDPR/ePrivacy opt-in, CCPA/CPRA opt-out/sensitive data, transparency, and robust consent management/monitoring.
#TalkPrompty
————
@pattern_ai
❤4
Можно на продаже промтов зарабатывать, например.
🔹PromptBase - маркетплейс готовых промптов + генератор запросов по категориям.
🔹PromptJesus - улучшает и уточняет черновые промпты, устраняет неточности и делает запрос "тяжёлым".
🔹Devplan - AI-ассистент для проработки идеи и генерации точных промптов.
🔹VibeCodex - генератор промптов в стиле “vibe coding” для AI-интерфейсов.
🔹PromptPerfect - оптимизирует промпты для GPT-4, Claude, Midjourney. Генерирует "идеальные" LLM-запросы. Поможет с маркетингом, рилсами для соц.сетей.
🔹Phraser - помогает формулировать промпты для визуальных моделей (Midjourney, DALL·E).
🔹Originality.ai - генератор текстовых промптов для AI, полезен для идей и креативных задач.
🔹WebUtility - универсальный генератор для разных AI (ChatGPT, Bard и др.).
🔹Webvizio - генерирует промпты для AI-помощников в разработке сайтов, багфиксов и UI-тестов.
🔹PromptHero - коллекция промптов для ChatGPT, Midjourney и других моделей, с фильтрами и рейтингом.
🔹AIPRM (для ChatGPT & Claude) - расширение с библиотекой промптов по SEO, маркетингу, UX, кодингу и др.
#AIShelf #TalkPrompty
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
GPAI Code of Practice опубликован Еврокомиссией. Для чего он нужен?
GPAI Code of Practice — добровольный, необязательный для исполнения документ, призванный помочь соответствовать требованиям EU AI Act, а именно обеспечить прозрачность, безопасность и соблюдения авторских прав поставщиками моделей ИИ общего назначения (GPAI), таких как GPT‑4, ChatGPT, Gemini, Claude и др.
Действует так называемая презумпция соответствия закону при проверке, если компания им руководствуется и подписывает.
🔍 Рассмотрим подробнее сами главы и то, что можно взять в качестве best practices всем разработчикам.
1️⃣ Глава. Прозрачность (обязательна для всех GPAI‑моделей). Три главные меры: составление и поддержание в актуальном состоянии документации о модели, предоставление соответствующей информации, обеспечение качества, целостности и безопасности этой информации.
Предлагается заполнить стандартизированную форму документации модели, включающую:
- источники и происхождение обучающих данных;
- предполагаемые варианты использования, ограничения модели;
- лицензионная информация (детали того, как модель может быть использована и лицензирована.
- оценочные метрики, использование вычислительных мощностей и энергии;
- подлинность модели, например, путем предоставления безопасного хэша или идентификатора.
Должна обновляться по мере изменений, хранится не менее 10 лет после выхода модели на рынок. Информация должна быть доступна клиентам, которые развертывают или интегрируют модель в свою систему ИИ (downstream-провайдеры).
Предоставляется по запросу EU AI Office или национальным органам.
Open-source модели освобождаются от требований, если только не будут признаны представляющими " системный риск".
2️⃣ Глава. Безопасность и защита (только для моделей с «системным риском»).
Применяется к «передовым» моделям, способным оказать широкомасштабное влияние на общество (например, модели, использующие >10²⁵ FLOP). Объем около 40 листов, что дает возможность взять и как best practices для адаптации к своему проекту.
Внедрение комплексной системы управления системными рисками, включающей:
- оценку потенциального вреда от модели (злоупотребления, непредсказуемое поведение и пр.);
- создание уровней риска (tiers) и порогов вмешательства;
- планирование мер реагирования.
- использование современных технологий кибербезопасности и защиты от утечек;
- проведение независимых аудитов безопасности;
- непрерывный мониторинг после выпуска модели;
- документирование и оперативное сообщение об инцидентах в EU AI Office.
Разработчики должны:
- определить четкие критерии для разных уровней системного риска.
- заранее определить, какие меры безопасности потребуются по мере приближения модели к более продвинутым уровням возможностей.
- установить критерии приемлемости риска для каждого выявленного сценария.
- задокументировать дополнительные меры безопасности, которые будут реализованы, как только модель достигнет определенного уровня риска.
3️⃣Глава. Соблюдение авторских прав.
Применяется ко всем GPAI-поставщикам.
- разработка и поддержание в актуальном состоянии внутренней политики соблюдения авторских прав;
- назначение ответственных сотрудников;
- желательно публиковать краткое описание политики.
при сборе данных:
- Не обходить и не отменять технические меры, защищающие контент (н-р, DRM или paywall);
- необходимо соблюдать инструкции в robots.txt и иные машиночитаемые теги;
- необходимо исключать сайты, признанные нарушающими авторские права — ЕС создаст динамический список таких ресурсов.
Для предотвращения нарушений авторских прав:
- внедрять технические меры, предотвращающие выдачу фрагментов обучающих данных дословно (механизмы фильтрации, ограничения на запросы, пост-обработка для обнаружения и блокировки потенциально нарушающего контент);
- ограничивать в условиях использования.
- реализовать механизм подачи жалоб (назначение контактного лица для правообладателей, создание цифрового канала для подачи жалоб, их обработка в разумные сроки).
OpenAI уже официально присоединилась к Кодексу.
#LawAndDisorder
————
@pattern_ai
GPAI Code of Practice — добровольный, необязательный для исполнения документ, призванный помочь соответствовать требованиям EU AI Act, а именно обеспечить прозрачность, безопасность и соблюдения авторских прав поставщиками моделей ИИ общего назначения (GPAI), таких как GPT‑4, ChatGPT, Gemini, Claude и др.
Действует так называемая презумпция соответствия закону при проверке, если компания им руководствуется и подписывает.
1️⃣ Глава. Прозрачность (обязательна для всех GPAI‑моделей). Три главные меры: составление и поддержание в актуальном состоянии документации о модели, предоставление соответствующей информации, обеспечение качества, целостности и безопасности этой информации.
Предлагается заполнить стандартизированную форму документации модели, включающую:
- источники и происхождение обучающих данных;
- предполагаемые варианты использования, ограничения модели;
- лицензионная информация (детали того, как модель может быть использована и лицензирована.
- оценочные метрики, использование вычислительных мощностей и энергии;
- подлинность модели, например, путем предоставления безопасного хэша или идентификатора.
Должна обновляться по мере изменений, хранится не менее 10 лет после выхода модели на рынок. Информация должна быть доступна клиентам, которые развертывают или интегрируют модель в свою систему ИИ (downstream-провайдеры).
Предоставляется по запросу EU AI Office или национальным органам.
Open-source модели освобождаются от требований, если только не будут признаны представляющими " системный риск".
2️⃣ Глава. Безопасность и защита (только для моделей с «системным риском»).
Применяется к «передовым» моделям, способным оказать широкомасштабное влияние на общество (например, модели, использующие >10²⁵ FLOP). Объем около 40 листов, что дает возможность взять и как best practices для адаптации к своему проекту.
Внедрение комплексной системы управления системными рисками, включающей:
- оценку потенциального вреда от модели (злоупотребления, непредсказуемое поведение и пр.);
- создание уровней риска (tiers) и порогов вмешательства;
- планирование мер реагирования.
- использование современных технологий кибербезопасности и защиты от утечек;
- проведение независимых аудитов безопасности;
- непрерывный мониторинг после выпуска модели;
- документирование и оперативное сообщение об инцидентах в EU AI Office.
Разработчики должны:
- определить четкие критерии для разных уровней системного риска.
- заранее определить, какие меры безопасности потребуются по мере приближения модели к более продвинутым уровням возможностей.
- установить критерии приемлемости риска для каждого выявленного сценария.
- задокументировать дополнительные меры безопасности, которые будут реализованы, как только модель достигнет определенного уровня риска.
3️⃣Глава. Соблюдение авторских прав.
Применяется ко всем GPAI-поставщикам.
- разработка и поддержание в актуальном состоянии внутренней политики соблюдения авторских прав;
- назначение ответственных сотрудников;
- желательно публиковать краткое описание политики.
при сборе данных:
- Не обходить и не отменять технические меры, защищающие контент (н-р, DRM или paywall);
- необходимо соблюдать инструкции в robots.txt и иные машиночитаемые теги;
- необходимо исключать сайты, признанные нарушающими авторские права — ЕС создаст динамический список таких ресурсов.
Для предотвращения нарушений авторских прав:
- внедрять технические меры, предотвращающие выдачу фрагментов обучающих данных дословно (механизмы фильтрации, ограничения на запросы, пост-обработка для обнаружения и блокировки потенциально нарушающего контент);
- ограничивать в условиях использования.
- реализовать механизм подачи жалоб (назначение контактного лица для правообладателей, создание цифрового канала для подачи жалоб, их обработка в разумные сроки).
OpenAI уже официально присоединилась к Кодексу.
#LawAndDisorder
————
@pattern_ai
Please open Telegram to view this post
VIEW IN TELEGRAM
Shaping Europe’s digital future
The General-Purpose AI Code of Practice
The Code of Practice helps industry comply with the AI Act legal obligations on safety, transparency and copyright of general-purpose AI models.
Model_Documentation_Code of _Practice_for GPAI.docx
102.2 KB
Отдельным файлом стандартизированная форма из GPAI Code of Practice
@pattern_ai
@pattern_ai
Agentic AI Red Teaming Guide.pdf
2.5 MB
Cloud Security Alliance выпустил руководство по Agentic AI Red Teaming.
По мере интеграции агентов в корпоративную и критически важную инфраструктуру, проактивное Red Teaming должно стать непрерывной функцией. Службам безопасности необходимо тестировать поведение изолированных моделей, полные рабочие процессы агентов, межагентские зависимости и реальные режимы сбоев.
Угрозы в гайде разбиты на 12 категорий, каждая из которых подробно описана:
🔹Захват авторизации и контроля агента;
🔹Сбои "Checker-Out-of-the-Loop";
🔹Взаимодействие агента с критически важными системами;
🔹Манипуляции с целями и инструкциями;
🔹Эксплуатация галлюцинаций агента;
🔹Риски каскадных сбоев и попытки ограничить радиус поражения при нарушениях.
🔹Отравление базы знаний агента;
🔹Манипуляции с памятью и контекстом агента;
🔹Уязвимости во внутриагентной связи, доверии и координации;
🔹Истощение ресурсов и услуг;
🔹Атаки на цепочки поставок и зависимости (риски в инструментах разработки, внешних библиотеках и API) ;
🔹Неотслеживаемость агента.
Каждый раздел руководства включает:
- практические шаги по тестированию;
- примеры сценариев и подсказок;
- результаты, которые можно немедленно применить в рабочем процессе "безопасность по умолчанию" (secure-by-design).
#BehindTheMachine #AIShelf
————
@pattern_ai
По мере интеграции агентов в корпоративную и критически важную инфраструктуру, проактивное Red Teaming должно стать непрерывной функцией. Службам безопасности необходимо тестировать поведение изолированных моделей, полные рабочие процессы агентов, межагентские зависимости и реальные режимы сбоев.
Угрозы в гайде разбиты на 12 категорий, каждая из которых подробно описана:
🔹Захват авторизации и контроля агента;
🔹Сбои "Checker-Out-of-the-Loop";
🔹Взаимодействие агента с критически важными системами;
🔹Манипуляции с целями и инструкциями;
🔹Эксплуатация галлюцинаций агента;
🔹Риски каскадных сбоев и попытки ограничить радиус поражения при нарушениях.
🔹Отравление базы знаний агента;
🔹Манипуляции с памятью и контекстом агента;
🔹Уязвимости во внутриагентной связи, доверии и координации;
🔹Истощение ресурсов и услуг;
🔹Атаки на цепочки поставок и зависимости (риски в инструментах разработки, внешних библиотеках и API) ;
🔹Неотслеживаемость агента.
Каждый раздел руководства включает:
- практические шаги по тестированию;
- примеры сценариев и подсказок;
- результаты, которые можно немедленно применить в рабочем процессе "безопасность по умолчанию" (secure-by-design).
#BehindTheMachine #AIShelf
————
@pattern_ai