Tazabek — Кабинет министров постановлением от 2 декабря 2025 года утвердил требования к методике оценки опасности систем искусственного интеллекта.
Документ утвердил:
Глава 1. Общие положения
1. Требования к методике оценки опасности систем искусственного интеллекта (далее — Требования) разработаны в соответствии с Цифровым кодексом Кыргызской Республики и устанавливают порядок определения и применения методики оценки опасности систем искусственного интеллекта их владельцами.
2. Термины и понятия, используемые в настоящих Требованиях, используются в значениях, указанных в Цифровом кодексе Кыргызской Республики.
3. Все системы искусственного интеллекта, применяемые в Кыргызской Республике, подлежат оценке опасности, которую их применение может создать для охраняемых благ, к которым относятся:
1) жизнь и здоровье людей;
2) права и свободы человека и гражданина;
3) окружающая среда;
4) обороноспособность государства;
5) национальная безопасность государства;
6) общественный порядок.
4. Целями проведения оценки опасности систем искусственного интеллекта являются:
1) выявление оснований, позволяющих отнести оцениваемые системы искусственного интеллекта к системам искусственного интеллекта повышенной опасности, подпадающих под обязательные требования, установленные Цифровым кодексом Кыргызской Республики;
2) определение рисков причинения вреда охраняемым благам, которые могут возникнуть в результате применения оцениваемых систем искусственного интеллекта;
3) оценка вероятности наступления и размера причинения вреда охраняемым благам, которые могут возникнуть в результате применения оцениваемых систем искусственного интеллекта.
5. Результатами оценки опасности являются принимаемые владельцами систем искусственного интеллекта решения о наличии или отсутствии оснований для отнесения оцениваемых систем к системам искусственного интеллекта повышенной опасности.
6. Оценка опасности осуществляется владельцами систем искусственного интеллекта:
1) на этапе проектирования систем искусственного интеллекта или планирования изменений в них;
2) по завершении разработки и до начала применения систем искусственного интеллекта или внесенных в них запланированных изменений;
3) при любых незапланированных изменениях, произошедших в системах искусственного интеллекта или в среде их применения, которые стали известны владельцам или пользователям систем и могут повлиять на результат оценки их опасности.
7. Оценка опасности систем искусственного интеллекта осуществляется владельцами систем искусственного интеллекта по методике, определенной ими самостоятельно в соответствии с настоящими Требованиями.
Владельцы систем искусственного интеллекта вправе использовать несколько методик оценки опасности систем искусственного интеллекта при условии, что их применение отвечает указанным в пункте 4 настоящих Требований целям оценки опасности и приводит к указанным в пункте 5 Требований результатам.
8. Методика должна обеспечивать реализацию принципов открытости и подконтрольности, установленных Цифровым кодексом Кыргызской Республики для проектирования, разработки и применения систем искусственного интеллекта, включая доступность технической документации на такие системы, возможность перепроверки результатов проведенной оценки любым заинтересованным лицом.
Глава 2. Перечень требований к методике оценки опасности систем искусственного интеллекта
9. Методика оценки опасности систем искусственного интеллекта (далее — методика) должна обеспечивать возможность их проведения на любой стадии жизненного цикла таких систем.
При проведении оценки опасности систем искусственного интеллекта, системы тестируются по определенным критериям, которые включают категории лиц, которые могут быть затронуты применением таких систем, характер возникающих рисков причинения вреда охраняемым благам, указанным в пункте 3 настоящих Требований, для принятия мер к управлению такими рисками в целях их минимизации.
10. При разработке методики владельцы систем искусственного интеллекта учитывают стандарты и рекомендации, опубликованные международными организациями, в том числе (не ограничиваясь):
1) Организацией экономического сотрудничества и развития (ОЭСР);
2) Международной организацией по стандартизации (International Organization for Standardization, ISO);
3) Национальным институтом стандартов и технологий США (The National Institute of Standards and Technology, NIST);
4) Европейским комитетом по стандартизации и Европейским комитетом по электротехническим стандартам (CEN/CENELEC);
5) Советом Европы (в том числе, Методикой оценки рисков и воздействия систем искусственного интеллекта с точки зрения прав человека, демократии и верховенства закона — HUDERIA Methodology).
Данный перечень не является исчерпывающим и не препятствует учету иных актуальных международных источников.
11. В методике должны быть указаны следующие характеристики (обязательные критерии оценки) систем искусственного интеллекта:
1) назначение и цели использования систем искусственного интеллекта, предусмотренные владельцами таких систем при их разработке;
2) разумно предсказуемое нецелевое использование этих систем пользователями, в том числе в связи с недостаточным обучением правилам пользования ими;
3) степень автономности действия систем и возможность принятия юридически значимых решений в отношении третьих лиц в автоматическом (без участия человека) режиме, исходя из целевого назначения систем, включая зависимость от результатов таких решений, обратимость полученных системами результатов, возможность отказа, пересмотра таких решений без использования систем;
4) возможность обрабатывать персональные данные или информацию, относящуюся к государственным секретам или к иной охраняемой законом тайне, с помощью таких систем в рамках заявленных целей их использования;
5) вероятность причинения вреда охраняемым благам при их использовании для заявленных целей или при нецелевом использовании пользователями;
6) наличие, разновидность и вероятность наступления остаточных рисков после принятия всех рекомендованных мер по снижению возможных рисков применения таких систем;
7) описание процессов, в которых системы искусственного интеллекта будут использоваться в соответствии с их назначением;
8) описание периода времени, в течение которого и с какой частотой предполагается использовать системы;
9) категории физических лиц и групп, на которые может повлиять использование систем или для которых существует риск причинения вреда от их использования в конкретном контексте;
10) оценка морально-этической допустимости применения систем искусственного интеллекта, включая соответствие профессиональным этическим стандартам, недопустимость использования систем в ситуациях, требующих высокой степени этической ответственности, оценку риска дискриминации и нарушения принципов справедливости, а также необходимость обеспечения человеческого контроля и прозрачности принимаемых системами решений.
12. Указанный в пункте 11 настоящих Требований перечень характеристик, по которым должна производиться оценка опасности, не является исчерпывающим.
Владельцы вправе включить в оценку иные дополнительные характеристики систем и произвести такую оценку с учетом обязательных и дополнительных критериев, имеющих значение для выявления вреда охраняемым благам и/или отнесения к системам искусственного интеллекта повышенной опасности.
13. Методика должна предусматривать выполнение, как минимум, следующих действий:
1) выявление и описание целей использования систем искусственного интеллекта, а также возможного нецелевого их использования;
2) выявление и описание рисков причинения вреда охраняемым благам при целевом, а также возможном нецелевом использовании этих систем;
3) оценку вероятности наступления и последствий причинения вреда охраняемым благам, если риски причинения такого вреда были выявлены;
4) принятие решения об отнесении (не отнесении) оцениваемых систем к системам искусственного интеллекта повышенной опасности.
14. При определении целей использования систем искусственного интеллекта лицо, проводящее оценку, обязано принимать во внимание действующее законодательство Кыргызской Республики и ограничения, установленные разработчиками или владельцами этих систем.
Для установления целей использования систем и их возможного нецелевого использования, в методику необходимо включить описание данных, на которых была обучена использованная в системах модель искусственного интеллекта или на которых предполагается ее дообучение, а также имеющую значение для оценки информацию об особенностях работы такой модели, предусмотренную ее разработчиком в технической документации.
15. Для выявления и описания рисков причинения вреда охраняемым благам, методика должна включать описание прогнозируемого воздействия оцениваемых систем на категории/группы лиц, чьи интересы могут быть затронуты целевым или возможным нецелевым использованием таких систем, а также внутренние (для владельцев систем искусственного интеллекта) и внешние факторы, влияющие на эти воздействия.
16. Методика должна учитывать потенциально возможные риски, а также известные владельцам случаи реализации рисков при использовании систем искусственного интеллекта, созданных теми же разработчиками или имеющие сравнимые или сопоставимые технические характеристики и/или алгоритмы работы.
17. В методике необходимо предусматривать возможность сравнения рисков причинения вреда охраняемым благам с преимуществами, которые влекут использование таких систем для заявленных целей. Результат такого сравнения используется для оценки последствий возможного причинения вреда охраняемым благам.
18. На этапе оценки вероятности наступления и последствий причинения вреда охраняемым благам в методике должны содержаться механизмы для установления пороговых значений, при которых выявленные риски требуют принятия мер по управлению ими и влекут отнесение оцениваемых систем к системам искусственного интеллекта повышенной опасности.
19. Для принятия решения об отнесении оцениваемых систем к системам искусственного интеллекта повышенной опасности методика должна содержать критерии, позволяющие определить, носит ли использование оцениваемых систем исключительно вспомогательный характер для принятия решений и/или совершения действий при их целевом использовании.
Методика должна исключать отнесение систем, которые носят исключительно вспомогательный характер при принятии решений и/или совершении действий, к системам повышенной опасности.
20. В документации, описывающей методику, должно содержаться указание на использованные источники данных, вовлеченных лиц при проведении оценки, обоснование выводов такой оценки.
21. Результаты проведенной оценки опасности систем искусственного интеллекта используются при дальнейшем управлении выявленными рисками, в том числе путем принятия организационных и технических мер по недопущению или минимизации причинения вреда охраняемым благам при применении оцениваемых систем искусственного интеллекта.
22. В методике также определяются требования к лицу или группе лиц, привлекаемых владельцами систем искусственного интеллекта для оценки ее опасности. Такие лица могут как состоять в штате владельцев систем искусственного интеллекта, так и привлекаться на договорной основе, должны иметь необходимые знания для проведения оценки и доступ к информации об оцениваемых системах искусственного интеллекта.
23. В методике должны быть указаны кем и в каком порядке производится приемка результатов оценки опасности, а также перечень необходимых мер по смягчению возможных вредных последствий охраняемым благам и ответственные за их реализацию.
Глава 3. Заключительные положения
24. Методика подлежит размещению на веб-сайтах владельцев систем искусственного интеллекта в простой и понятной для пользователей — физических лиц форме, а также в формате открытых данных, доступных в машиночитаемом формате без ограничений на их повторное использование, за исключением информации, относящейся к государственным секретам.
25. Владельцы систем искусственного интеллекта должны не реже одного раза в год проверять используемую методику на ее соответствие установленным обязательным требованиям, действующему законодательству Кыргызской Республики, а также общепризнанной международной практике, включая отраслевые и международные стандарты и рекомендации для систем искусственного интеллекта.
26. Результаты указанной проверки соответствия методики оформляются актом об отсутствии оснований для ее пересмотра либо принятием и опубликованием новой версии методики.
Глава 1. Общие положения
1. Настоящие Требования к управлению рисками в отношении систем искусственного интеллекта повышенной опасности (далее — Требования) разработаны в соответствии с Цифровым кодексом Кыргызской Республики и устанавливают минимальные обязательные критерии к системам управления рисками (вероятности наступления вреда, его размеру) причинения вреда охраняемым благам.
2. Положения настоящих Требований обязательны для применения всеми владельцами систем искусственного интеллекта повышенной опасности, независимо от вида организационно-правовой формы, ведомственной (отраслевой) принадлежности и формы собственности.
3. Все владельцы любых систем искусственного интеллекта, независимо от степени опасности, обязаны принимать все разумные и необходимые меры для минимизации рисков причинения вреда жизни и здоровью людей, правам и свободам человека и гражданина, окружающей среде, обороноспособности и национальной безопасности государства, общественному порядку (охраняемым благам) при проектировании, разработке, внедрении и применении таких систем.
Задачей управления рисками в отношении систем искусственного интеллекта повышенной опасности является устранение или минимизация до приемлемых значений вероятности причинения вреда охраняемым благам при использовании таких систем и величины такого вреда при его возникновении.
Ответственность за вред, причиненный охраняемым благам при использовании систем искусственного интеллекта повышенной опасности, несут виновные в его причинении лица в соответствии с действующим законодательством Кыргызской Республики.
4. Владельцы систем искусственного интеллекта повышенной опасности обязаны внедрить и на протяжении всего жизненного цикла таких систем поддерживать надлежащую систему управления рисками, соответствующую настоящим Требованиям и Цифровому кодексу Кыргызской Республики.
Для владельцев систем искусственного интеллекта повышенной опасности, на которых распространяются требования о реализации мер по управлению рисками в соответствии с иными нормами законодательства Кыргызской Республики (банковский сектор, объекты критической инфраструктуры и другие), положения настоящих Требований могут быть частью общих процедур по управлению рисками или сочетаться с ними.
5. Профессиональное объединение владельцев систем искусственного интеллекта вправе утверждать регламент, обязательный для его участников, включающий правила, относящиеся к управлению рисками при проектировании, разработке, внедрении, применении систем искусственного интеллекта повышенной опасности.
Положения такого регламента применяются участниками профессионального объединения в части, не противоречащей Цифровому кодексу Кыргызской Республики и настоящим Требованиям.
6. Термины и понятия, используемые в настоящих Требованиях, используются в значениях, указанных в Цифровом кодексе Кыргызской Республики.
Глава 2. Основные требования к управлению рисками в отношении систем искусственного интеллекта повышенной опасности
7. Управление рисками для систем искусственного интеллекта повышенной опасности должно предполагать для каждой такой системы:
1) выявление (определение) и документирование известных и предсказуемых рисков, связанных с применением этой системы, которые могут возникнуть при целевом и разумно предсказуемом нецелевом использовании этой системы;
2) расчет и оценку указанных в пункте 1 рисков, включающую оценку вероятности и масштаба негативных последствий;
3) оценку иных возможных (вероятных) рисков при ее явно нецелевом использовании или использовании с нарушением правил, установленных разработчиком системы искусственного интеллекта повышенной опасности, на основе известных владельцу этой системы данных, полученных в ходе эксплуатации этой системы и подобных ей систем;
4) меры по управлению рисками, то есть необходимые меры по снижению вероятности и масштаба негативных последствий в отношении каждого из выявленных рисков;
5) порядок оценки эффективности принимаемых мер по управлению рисками и внесение в них изменений на основе собранных данных об их реализации.
8. Управление рисками осуществляется владельцами систем искусственного интеллекта повышенной опасности по методике, определенной ими самостоятельно, с учетом положений Цифрового кодекса Кыргызской Республики, настоящих Требований и общепризнанной мировой практики.
9. Управление рисками должно учитывать системы искусственного интеллекта повышенной опасности со всеми входящими в них технологиями, функциональными возможностями и внешним окружением.
10. Владельцы систем искусственного интеллекта повышенной опасности самостоятельно определяют ресурсы (человеческие, финансовые, технические и другие), необходимые для управления рисками.
11. Владельцы систем искусственного интеллекта повышенной опасности вправе осуществлять управление рисками как самостоятельно, так и с привлечением третьих лиц.
12. Управление рисками в отношении систем искусственного интеллекта повышенной опасности должно базироваться на следующих общих принципах:
1) систематичность, структурированность и своевременность процессов управления рисками;
2) адаптивность по отношению к любым изменениям во внутренних организационных процессах владельцев систем, в системах искусственного интеллекта повышенной опасности или в среде их применения;
3) учет интересов всех заинтересованных сторон, включая интересы пользователей систем искусственного интеллекта повышенной опасности, поведенческих и культурных факторов;
4) проактивность, нацеленность на предвосхищение, обнаружение и реакцию на новые и изменившиеся риски.
Глава 3. Выявление и документирование рисков
13. Для выявления релевантных рисков владельцы систем искусственного интеллекта повышенной опасности принимают во внимание:
1) определенные ими цели использования систем искусственного интеллекта повышенной опасности;
2) разумно предсказуемое владельцами нецелевое использование таких систем и/или с нарушением правил их эксплуатации;
3) категории физических лиц и групп пользователей систем искусственного интеллекта повышенной опасности, их ожидания от применения систем, а также культурные, этические, языковые и иные известные владельцам особенности таких пользователей;
4) возможное потенциальное положительное и отрицательное воздействие применения систем на отдельных лиц, сообщества, организации, общество в целом, возможность оказания неблагоприятного воздействия на лиц моложе 18 лет или иных уязвимых групп лиц.
14. При выявлении рисков владельцы систем могут использовать классификаторы рисков (таксономии), разработанные и опубликованные международными и иными организациями, а также исследования, консультации и механизмы обратной связи.
15. Владельцы систем искусственного интеллекта повышенной опасности обязаны обеспечить документацию выявленных рисков, а также встраивание их в дизайн и эксплуатацию систем.
Риски, связанные с использованием систем искусственного интеллекта повышенной опасности, должны быть ясно выделены, чтобы пользователи таких систем могли получить доступ к их описанию до начала использования систем.
Глава 4. Расчет и оценка выявленных рисков
16. Расчет и оценка каждого выявленного риска включают в себя оценку вероятности его наступления и масштаб возможных негативных последствий от его наступления.
Если вероятность наступления каких-либо выявленных рисков или масштабы их последствий не поддаются расчету и оценке, владельцы систем искусственного интеллекта повышенной опасности обязаны задокументировать это с указанием причин.
17. Владельцы систем искусственного интеллекта повышенной опасности обязаны документировать и проводить оценку возможных разумно допустимых рисков, связанных с нецелевым использованием таких систем и/или использованием с нарушением правил эксплуатации, установленных самими владельцами или разработчиками.
Вероятность наступления таких рисков оценивается на основе имеющихся данных, полученных в ходе эксплуатации этих систем и/или подобных их систем, имеющих сравнимые или сопоставимые технические характеристики и/или алгоритмы работы.
18. Владельцы систем искусственного интеллекта повышенной опасности самостоятельно определяют методику расчета и оценки выявленных рисков с учетом общепризнанной международной практики.
19. Расчет вероятности наступления и оценка масштабов возможных последствий выявленных рисков владельцы систем искусственного интеллекта повышенной опасности должны основывать на:
1) общедоступной информации, публикуемой государственными органами Кыргызской Республики;
2) информации, предоставленной разработчиками систем искусственного интеллекта повышенной опасности;
3) информации, предоставленной пользователями систем искусственного интеллекта повышенной опасности;
4) информации, распространяемой международными или иностранными некоммерческими организациями, специализирующимися на исследованиях в области искусственного интеллекта.
Глава 5. Меры по управлению рисками
20. При выборе мер по управлению рисками владельцы систем искусственного интеллекта повышенной опасности учитывают достигнутый уровень развития технологий и общепризнанную международную практику.
21. Выбранные меры по управлению рисками должны обеспечивать снижение остаточного риска причинения вреда охраняемым благам для каждого из факторов риска и для системы в целом до приемлемого уровня как при целевом, так и при разумно предсказуемом нецелевом использовании этих систем.
22. Владельцы систем искусственного интеллекта повышенной опасности обязаны сделать общедоступной для пользователей информацию об остаточных рисках и целевом использовании.
23. При выборе мер по управлению рисками владельцы систем искусственного интеллекта повышенной опасности должны обеспечить:
1) устранение или снижение рисков, насколько это технически осуществимо, посредством надлежащих проектирования и разработки;
2) принятие надлежащих мер по уменьшению и контролю неблагоприятных последствий в отношении рисков, которые не могут быть устранены;
3) предоставление пользователям необходимых информации и инструктажа в отношении остаточных рисков.
24. Для устранения или снижения рисков, связанных с использованием систем искусственного интеллекта повышенной опасности, следует учитывать уровень технических знаний, опыта, образования и подготовки пользователей, а также конкретный контекст применения таких систем.
Сведения о соответствующих требованиях к пользователям систем искусственного интеллекта повышенной опасности и предполагаемого контекста их использования должны быть задокументированы и доступны пользователям систем до начала их использования.
Владельцы систем искусственного интеллекта повышенной опасности обязаны внедрить механизмы обратной связи и регулярного мониторинга и анализа жалоб пользователей, на основе которых должны корректироваться алгоритмы искусственного интеллекта, регулярно пересматриваться, адаптироваться интерфейсы систем, а также предусмотреть каналы, с помощью которых пользователи могут пожаловаться, оспорить автоматическое решение или запросить его объяснение.
25. Владельцы систем искусственного интеллекта повышенной опасности обязаны провести испытания (тестирование мер) для определения наиболее подходящих мер по управлению рисками до ввода таких систем в гражданский оборот или эксплуатацию, а также повторять их периодически на протяжении их жизненного цикла.
Испытания должны проводиться с использованием заранее определенных метрик и возможных пороговых значений, которые соответствуют целевому назначению систем искусственного интеллекта повышенной опасности.
26. Испытания признаются успешными, если по их результатам системы искусственного интеллекта повышенной опасности устойчиво работают по назначению и соответствуют обязательным требованиям.
27. Результаты испытаний оформляются соответствующим актом.
Глава 6. Заключительные положения
28. Все данные о мерах по управлению рисками, методике их внедрения и результаты испытаний систем искусственного интеллекта повышенной опасности должны быть представлены в виде цифровых записей.
29. Указанные выше сведения относятся к общедоступным цифровым данным и должны быть опубликованы на сайте владельцев систем искусственного интеллекта в простой и понятной физическим лицам форме, а также в формате открытых данных, за исключением информации, относящейся к государственным секретам.
30. Владельцы систем искусственного интеллекта должны на основе собранных данных об их применении периодически оценивать эффективность используемой системы управления рисками, а также ее соответствие установленным обязательным требованиям, действующему законодательству Кыргызской Республики, общепризнанной международной практике, включая отраслевые и международные стандарты и рекомендации для систем искусственного интеллекта.
31. Результаты такой оценки оформляются актом об отсутствии оснований для пересмотра мер управления рисками либо принятием и опубликованием новой версии системы управления рисками.
Глава 1. Общие положения
1. Требования к характеристикам систем искусственного интеллекта повышенной опасности, обеспечивающим открытость, объяснимость, подконтрольность, точность, надежность и цифровую устойчивость таких систем (далее — Требования), разработаны в соответствии с Цифровым кодексом Кыргызской Республики.
2. Термины и понятия, используемые в настоящих Требованиях, используются в значениях, указанных в Цифровом кодексе Кыргызской Республики.
3. Настоящие Требования устанавливают минимально необходимый уровень соответствия систем искусственного интеллекта повышенной опасности отраслевым принципам, установленным Цифровым кодексом Кыргызской Республики для проектирования, разработки и использования таких систем.
4. Владельцы систем искусственного интеллекта повышенной опасности обязаны обеспечить соответствие данным Требованиям на всех этапах жизненного цикла систем искусственного интеллекта повышенной опасности.
5. Владельцы систем искусственного интеллекта повышенной опасности самостоятельно определяют меры, позволяющие обеспечить соответствие систем искусственного интеллекта повышенной опасности установленным Требованиям, с учетом положений законодательства Кыргызской Республики, правил и стандартов профессионального объединения владельцев систем искусственного интеллекта (при наличии), общепризнанной международной практики.
Глава 2. Перечень требований к характеристикам систем искусственного интеллекта повышенной опасности
§ 1. Требования к характеристикам, обеспечивающим открытость систем искусственного интеллекта повышенной опасности
6. Информация о принципах работы систем искусственного интеллекта повышенной опасности, используемых данных и алгоритмах, технической документации должна быть общедоступна, если это не противоречит требованиям безопасности и законодательству об интеллектуальной собственности.
7. Характеристики систем искусственного интеллекта повышенной опасности должны обеспечивать пользователю, не обладающему специальными техническими познаниями, возможность понять и надлежащим образом использовать результат их работы.
8. Владельцы систем искусственного интеллекта повышенной опасности должны обеспечить предоставление пользователям таких систем информацию:
1) об источниках данных/входных данных, использовавшихся для обучения и тестирования систем искусственного интеллекта повышенной опасности;
2) о факторах, процессах и/или логике, влияющих на результат работы систем искусственного интеллекта повышенной опасности;
3) об ограничениях функционирования систем искусственного интеллекта повышенной опасности, намеренно внедренных при их разработке или вытекающих из современного уровня развития техники.
Указанная информация предоставляется в простой и понятной для восприятия форме путем ее опубликования на официальных веб-сайтах владельцев систем в общедоступном разделе, обеспечения постоянного доступа к такой информации непосредственно через пользовательский интерфейс системы и другими способами, обеспечивающими соблюдение принципа открытости. Информация должна быть актуальной, достоверной и доводиться до пользователей до начала использования системы.
9. Владельцы систем искусственного интеллекта повышенной опасности обязаны разместить на своих веб-сайтах и раскрыть в документации на такие системы следующую информацию:
1) условия обработки данных, загружаемых в них пользователем систем искусственного интеллекта повышенной опасности;
2) сфера целевого использования систем искусственного интеллекта повышенной опасности, в рамках которых возможные риски для пользователя таких систем или иных заинтересованных лиц не превышают приемлемых значений в силу характеристик самих систем искусственного интеллекта повышенной опасности;
3) требования к пользователям систем искусственного интеллекта повышенной опасности;
4) описание остаточных рисков, которые могут возникнуть при целевом использовании систем искусственного интеллекта повышенной опасности, а также рекомендуемые владельцами систем искусственного интеллекта повышенной опасности меры по их устранению или снижению.
§ 2. Требования к характеристикам, обеспечивающим объяснимость систем искусственного интеллекта повышенной опасности
10. Системы искусственного интеллекта повышенной опасности должны быть спроектированы таким образом, чтобы рекомендуемые ими решения или действия были понятны и объяснимы пользователям. Владельцы таких систем должны обеспечить понятность предпосылок (оснований) для решений или рекомендаций систем и возможность проверки таких оснований.
11. Если системы искусственного интеллекта повышенной опасности предназначены для получения результата, который используется для принятия или рекомендации решения, способного повлечь нарушение прав, свобод или законных интересов физических или юридических лиц, характеристики системы должны обеспечивать физическому лицу возможность понять и проверить предпосылки, а также способы получения и применения соответствующего результата (решения или рекомендации), полученного с использованием таких систем.
12. Если характеристики систем искусственного интеллекта повышенной опасности не позволяют без специальных знаний понять и проверить предпосылки, а также способы получения и применения соответствующего результата, информация о наличии такого специального знания должна быть доведена до пользователей систем искусственного интеллекта повышенной опасности до начала их использования.
13. Характеристики систем искусственного интеллекта повышенной опасности должны обеспечивать достоверность информации о предпосылках принятых системами решений, способе получения решений или рекомендаций.
14. Объяснение характеристик систем, предпосылок для решений или рекомендаций, способы получения и применения соответствующего результата должны быть доступны для пользователей по их запросу на веб-сайтах владельцев, изложены в простой и понятной форме, с возможным использованием визуальных средств для иллюстрации логики работы систем искусственного интеллекта повышенной опасности.
§ 3. Требования к характеристикам, обеспечивающим подконтрольность систем искусственного интеллекта повышенной опасности
15. Системы искусственного интеллекта повышенной опасности должны быть разработаны таким образом, чтобы обеспечивать эффективный контроль человеком их применения, а также возможность в критически важных ситуациях вмешательства человека в их работу.
16. Подконтрольность систем искусственного интеллекта повышенной опасности достигается выполнением, по крайней мере, следующих двух условий:
1) система предоставляет физическому лицу, осуществляющему контроль за эффективностью работы такой системы, информацию о своем состоянии (например, внутренние параметры или наблюдаемые характеристики) таким образом, чтобы такое физическое лицо могло контролировать систему;
2) система настроена на прием и выполнение управляющих инструкций от физического лица, осуществляющего контроль за эффективностью работы такой системы, вызывающих требуемые изменения (корректировки) в состоянии системы.
17. Для реализации требований подконтрольности, характеристик систем искусственного интеллекта повышенной опасности должны обеспечивать:
1) возможность для физического лица эффективно контролировать их в период применения;
2) автоматическое ведение журнала их работы;
3) возможность их независимой проверки на соответствие обязательным требованиям в течение всего жизненного цикла систем.
18. Физическим лицам, осуществляющим контроль за эффективностью работы систем искусственного интеллекта повышенной опасности, должны быть предоставлены необходимые технические/программные средства и информация, доступная в простой и понятной форме, обеспечивающие возможность:
1) эффективно работать с системами;
2) понимать принципиальные ограничения возможностей систем, критически воспринимать результат их работы и выявлять их недостатки;
3) при необходимости отказаться от использования систем в пользу других способов решения поставленной задачи;
4) безопасно приостановить работу систем и, когда это необходимо и возможно, обратить (вернуть в исходное состояние) последствия такой работы.
19. Журнал работы систем искусственного интеллекта повышенной опасности должен содержать цифровые записи об обстоятельствах работы систем искусственного интеллекта повышенной опасности, требуемые для контроля и при необходимости предотвращения неблагоприятных последствий их работы, а также о действиях физических лиц, осуществляющих контроль за эффективностью работы таких систем.
§ 4. Требования к характеристикам, обеспечивающим точность систем искусственного интеллекта повышенной опасности
20. Способы проектирования, разработки и применения систем искусственного интеллекта повышенной опасности должны обеспечивать достоверность результатов применения таких систем, соответствующих их целевому назначению.
21. Данные, используемые для обучения и работы систем искусственного интеллекта повышенной опасности, должны быть достоверными (валидными), точными, полными, актуальными и репрезентативными, регулярно обновляться, чтобы обеспечить их актуальность и соответствие реальным условиям и целям применения системы.
22. Характеристики систем должны содержать механизмы для отслеживания изменений в данных, корректировки систем искусственного интеллекта при необходимости и проверки данных на предмет ошибок, несоответствий, предвзятости.
23. Условия измерения характеристик, обеспечивающих точность систем искусственного интеллекта повышенной опасности, должны быть приближены к возможным условиям их целевого использования.
24. Владельцы систем искусственного интеллекта повышенной опасности обязаны обеспечить точность входящих данных в той мере, в которой это необходимо для обеспечения корректной и качественной работы систем искусственного интеллекта повышенной опасности.
25. В случае невозможности проверки точности входных данных техническими средствами (например, автоматической проверкой на соответствие входящих данных определенным метрикам качества), пользователи систем искусственного интеллекта повышенной опасности должны быть предупреждены (путем опубликования соответствующей информации на веб-сайтах владельцев в общем доступе, включения такой информации в документацию на системы) об этом с указанием рекомендаций по проверке точности входящих данных самими пользователями.
26. Владельцы систем искусственного интеллекта повышенной опасности обязаны обеспечить точность исходящих данных (решений, рекомендаций) систем искусственного интеллекта повышенной опасности в соответствии с метриками, предусмотренными технической документацией на системы искусственного интеллекта повышенной опасности, исходя из их целевого назначения.
27. Подтверждение факта соответствия точности исходящих данных таким метрикам производится с помощью испытаний (тестирования) систем, проводимых их владельцами самостоятельно или с привлечением третьих лиц.
28. Методика проведения таких испытаний, а также их результаты должны быть размещены владельцами систем искусственного интеллекта повышенной опасности на своих веб-сайтах в виде общедоступных цифровых записей.
§ 5. Требования к характеристикам, обеспечивающим надежность систем искусственного интеллекта повышенной опасности
29. Системы искусственного интеллекта повышенной опасности должны быть устойчивы к случайным сбоям и неполадкам. Владельцы таких систем должны обеспечивать принятие мер по предотвращению возможных перебоев в их работе и сохранности их основных функций при сбоях или внеплановых внешних воздействиях.
30. Характеристики надежности систем искусственного интеллекта повышенной опасности должны обеспечивать:
1) устойчивость к ошибкам, сбоям или несоответствиям, которые могут возникнуть в системах или в среде их применения, в частности, из-за взаимодействия систем с другими цифровыми технологическими системами или с физическими лицами;
2) принятие мер для обеспечения технической избыточности, включая меры резервирования и отказоустойчивости;
3) возможность для пользователей предотвращать и устранять предвзятость в выборке цифровых данных, используемых для обучения, если системы продолжают обучаться после ввода в гражданский оборот или в эксплуатацию.
31. Владельцы систем искусственного интеллекта повышенной опасности должны обеспечивать разработку и применение внутренних механизмов защиты систем от несанкционированных вмешательств, а также информировать пользователей о правилах безопасности при использовании/применении систем путем размещения соответствующей общедоступной информации на веб-сайтах и/или в технической документации на системы.
32. Характеристики надежности систем искусственного интеллекта повышенной опасности закладываются при их проектировании и указываются в документации на системы.
33. Владельцы систем искусственного интеллекта повышенной опасности должны проводить регулярные проверки соответствия реальных показателей надежности систем тем, что указаны в документации на них.
Методика проведения таких проверок и их периодичность определяются владельцами систем искусственного интеллекта повышенной опасности с учетом положений законодательства Кыргызской Республики, правил и стандартов профессионального объединения владельцев систем искусственного интеллекта (при их наличии), общепризнанной международной практики.
§ 6. Требования к характеристикам, обеспечивающим цифровую устойчивость систем искусственного интеллекта повышенной опасности
34. Владельцы систем искусственного интеллекта повышенной опасности должны стремиться обеспечивать непрерывность их функционирования путем реализации следующих мер:
1) обеспечение целостности и доступности систем, конфиденциальности обрабатываемых цифровых данных;
2) осуществление мониторинга и предупреждение инцидентов и обмена данными о них;
3) управление рисками на основе системы управления рисками;
4) управление ресурсами, необходимыми для обеспечения непрерывности функционирования таких систем.
35. Владельцы систем искусственного интеллекта повышенной опасности самостоятельно определяют требуемые для цифровой устойчивости финансовые, технические, человеческие ресурсы исходя из характера, объема, целевого назначения систем, их жизненного цикла.
При принятии решений о необходимых ресурсах для обеспечения цифровой устойчивости принимаются во внимание следующие факторы:
1) уровень развития науки и техники;
2) уровень знаний и навыков людей, участвующих в создании и использовании систем;
3) характер, объем и цели эксплуатации систем;
4) жизненный цикл систем, начиная с этапа проектирования соответствующего объекта;
5) права и законные интересы владельцев и пользователей систем.
36. Характеристики систем, обеспечивающие их цифровую устойчивость и непрерывность функционирования, должны предполагать возможность реализации мер, обеспечивающих устойчивость к попыткам неправомерного вмешательства в работу систем за счет использования их уязвимостей.
В необходимых случаях такие меры должны включать технические решения, предотвращающие целенаправленное искажение цифровых данных, используемых для обучения таких систем.
37. Владельцы систем искусственного интеллекта повышенной опасности обеспечивают регулярные проверки цифровой устойчивости систем самостоятельно или с привлечением третьих лиц.
Методика проведения таких проверок и их периодичность определяются владельцами систем искусственного интеллекта повышенной опасности с учетом положений законодательства Кыргызской Республики, правил и стандартов профессионального объединения владельцев систем искусственного интеллекта (при их наличии), общепризнанной международной практики.
38. Владельцы систем искусственного интеллекта повышенной опасности обязаны регулярно пересматривать характеристики цифровой устойчивости систем искусственного интеллекта повышенной опасности с учетом появляющейся информации о новых методах неправомерного вмешательства в работу систем и развития технологий, используемых злоумышленниками для организации такого неправомерного вмешательства.
Глава 3. Заключительные положения
39. Информация о соблюдении настоящих Требований подлежит размещению на веб-сайтах владельцев систем искусственного интеллекта в простой и понятной для пользователей — физических лиц форме, а также в формате открытых данных, доступных в машиночитаемом формате без ограничений на их повторное использование, за исключением информации, относящейся к государственным секретам.
Глава 1. Общие положения
1. Требования к качеству цифровых данных для систем искусственного интеллекта повышенной опасности (далее — Требования) разработаны в соответствии с Цифровым кодексом Кыргызской Республики в целях установления минимально необходимого уровня качества цифровых данных для систем искусственного интеллекта повышенной опасности, требуемого для обеспечения надлежащей работы таких систем.
2. Термины и понятия, используемые в настоящих Требованиях, используются в значениях, указанных в Цифровом кодексе Кыргызской Республики.
3. К данным, на которые распространяются настоящие Требования относятся обучающие, тестовые, валидационные, эксплуатационные, а также данные о результатах работы систем искусственного интеллекта повышенной опасности.
4. Владельцы систем искусственного интеллекта повышенной опасности обязаны обеспечивать и поддерживать качество цифровых данных, соответствующее настоящим Требованиям, на всех этапах жизненного цикла систем, использовать качественные и репрезентативные наборы данных, полученных без нарушений законодательства из достоверных источников, принимать необходимые меры к их защите от утечек, несанкционированного доступа, использования, разглашения, блокирования или изменения, использовать инструменты шифрования, обезличивания и другие инструменты/технологии.
5. Меры, позволяющие обеспечить соответствие качества данных в системах искусственного интеллекта повышенной опасности настоящим Требованиям, определяются владельцами таких систем самостоятельно с учетом требований законодательства Кыргызской Республики, правил и стандартов профессионального объединения владельцев систем искусственного интеллекта (при наличии), общепризнанной международной практики.
Глава 2. Перечень требований к качеству цифровых данных
6. Цифровые данные для систем искусственного интеллекта повышенной опасности должны формироваться и использоваться в соответствии с утвержденной владельцами методикой управления данными, которая должна включать в себя:
1) обоснование выбора используемых в системах проектных решений;
2) процедуры сбора цифровых данных;
3) механизмы подготовки данных к использованию в системах;
4) выработку соответствующих предположений в отношении информации, которую цифровые данные должны измерять и представлять;
5) предварительную оценку доступности, достаточности и пригодности необходимых цифровых данных;
6) процедуры проверки выборки данных на предвзятость (на смещение выборки и на ошибку отбора);
7) механизмы выявления недостатков по количеству и качеству данных, а также способы устранения этих недостатков.
7. Владельцы систем искусственного интеллекта повышенной опасности самостоятельно определяют модель качества цифровых данных, показатели их качества, методику оценки и порядок повышения качества цифровых данных.
8. Цифровые данные для систем искусственного интеллекта повышенной опасности должны быть релевантными, репрезентативными, свободными от ошибок и полными.
9. Данные должны в необходимой мере учитывать целевое назначение систем и предполагаемые условия их применения, включая характеристики лиц или групп лиц, в отношении которых предполагается применять такие системы, а также географические, поведенческие и функциональные особенности среды их применения.
10. Данные, используемые для обучения и работы систем искусственного интеллекта повышенной опасности, должны регулярно обновляться, чтобы обеспечить их актуальность и соответствие реальным условиям.
11. Владельцы систем искусственного интеллекта повышенной опасности должны разработать и внедрить механизмы для отслеживания изменений в данных и их корректировки при необходимости, проверки данных на предмет ошибок, несоответствий, предвзятости.
12. Процесс сбора, обработки и использования данных должен быть прозрачным и понятным для всех заинтересованных сторон. Владельцы систем искусственного интеллекта повышенной опасности обязаны обеспечить доступность информации об источниках данных, методах их сбора и обработки, а также о том, как эти данные используются в системах, как защищаются.
13. Происхождение (источники) цифровых данных должно соответствовать требованиям законности. Владельцы систем искусственного интеллекта повышенной опасности обязаны документировать источники происхождения используемых цифровых данных для подтверждения их качества и законности получения.
14. Владельцы систем искусственного интеллекта повышенной опасности вправе использовать как наборы цифровых данных, так и несформированные в наборы цифровые данные.
Цифровые данные в наборах должны отвечать требованиям аккуратности, наполненности, согласованности, достоверности и актуальности.
15. Владельцы систем искусственного интеллекта повышенной опасности вправе обрабатывать специальные категории персональных данных, поскольку это необходимо для предотвращения или устранения предвзятости в выборке цифровых данных, используемой для проектирования или разработки систем искусственного интеллекта повышенной опасности.
В отношении специальных категорий персональных данных должны быть приняты меры по обезличиванию, ограничению их повторного использования, защите и ограничению доступа к ним.
16. Владельцы систем искусственного интеллекта повышенной опасности обязаны документировать модель качества цифровых данных, включая составляющие характеристики качества цифровых данных, отобранные показатели качества цифровых данных и их целевые пороговые значения, результаты измерений выбранных показателей качества цифровых данных и оценку соответствия, используемых в системе цифровых данных настоящим Требованиям.
Глава 3. Заключительные положения
17. Информация о соблюдении настоящих Требований владельцами систем искусственного интеллекта повышенной опасности подлежит размещению на веб-сайтах владельцев систем искусственного интеллекта в простой и понятной для пользователей — физических лиц форме, а также в формате открытых данных, доступных в машиночитаемом формате без ограничений на их повторное использование, за исключением информации, относящейся к государственным секретам или законодательству об интеллектуальной собственности.
Глава 1. Общие положения
1. Требования к технической документации на системы искусственного интеллекта повышенной опасности (далее — Требования) разработаны в соответствии с Цифровым кодексом Кыргызской Республики в целях обеспечения доступности пользователей таких систем и иных заинтересованных лиц ко всей необходимой информации, требуемой для их целевого использования, снижения или устранения рисков при использовании таких систем, обеспечения подконтрольности деятельности владельцев систем искусственного интеллекта повышенной опасности.
2. Термины и понятия, используемые в настоящих Требованиях, используются в значениях, указанных в Цифровом кодексе Кыргызской Республики.
3. Владельцы систем искусственного интеллекта повышенной опасности обязаны разработать надлежащую техническую документацию на свои системы, обеспечить сохранность журналов работы таких систем в период их нахождения под их контролем и общедоступность технической документации.
4. Техническая документация на системы искусственного интеллекта повышенной опасности должна быть разработана до их ввода в гражданский оборот или эксплуатацию и впоследствии поддерживаться в актуальном состоянии.
5. Техническая документация должна быть разработана таким образом, чтобы при ознакомлении с ней любое заинтересованное лицо могло оценить целевое назначение систем, возможность и правила их эксплуатации, соответствие систем обязательным требованиям.
6. Руководство по эксплуатации систем искусственного интеллекта повышенной опасности должно быть полным, достоверным, изложено в простой и понятной форме и содержать всю информацию, имеющую значение для пользователей.
Глава 2. Перечень требований к технической документации на системы искусственного интеллекта повышенной опасности
7. Техническая документация на системы искусственного интеллекта повышенной опасности должна включать:
1) общее описание систем искусственного интеллекта повышенной опасности, включая:
— их целевое назначение, наименование разработчика и версии систем, отражающие их связь с предыдущими версиями;
— описание, как эти системы взаимодействуют или могут использоваться для взаимодействия с оборудованием или программным обеспечением, включая другие системы искусственного интеллекта, которые не являются частью самих систем (где применимо);
— требования к оборудованию и программному обеспечению, необходимых для использования систем;
— если системы являются компонентом иного программного обеспечения или товара, фотографии или иллюстрации, внешние характеристики, маркировку и внутреннюю компоновку такого программного обеспечения или товара;
— базовое описание пользовательского интерфейса и инструкции для пользователей систем искусственного интеллекта повышенной опасности;
2) подробное описание элементов систем искусственного интеллекта повышенной опасности и процесса их разработки, включая:
— описание систем искусственного интеллекта и иного программного обеспечения, разработанных третьими лицами и интегрированных в данные системы, а также описание деталей их модификации при интеграции, если применимо;
— детали проектирования систем, общую логику систем и их алгоритмов;
— принятые владельцами ключевые решения на стадии проектирования, их обоснование и использованные гипотезы, в том числе в отношении лиц или групп лиц, в отношении которых системы предназначены для использования;
— описание ожидаемых результатов работы систем и их качества;
— описание архитектур систем, объясняющие, как программные компоненты надстраиваются или взаимодействуют друг с другом и интегрируются в общую обработку;
— вычислительные ресурсы, используемые для разработки, обучения, тестирования и проверки систем;
— методики и методы обучения, а также использованные для обучения наборы данных, включая общее описание этих наборов данных, информацию об их происхождении, области применения и основных характеристиках;
— оценку мер по обеспечению подконтрольности систем человеку, включая оценку принятых технических мер, необходимых для облегчения понимания пользователями результатов их работы;
— использованные владельцами процедуры тестирования, включая информацию об использованных для этого цифровых данных и их основных характеристиках;
— метрики, используемые для измерения точности, надежности;
— потенциально возможные случаи дискриминации при использовании систем;
— журналы тестирования и все отчеты о тестировании, датированные и подписанные ответственными лицами;
— принятые меры по поддержанию цифровой устойчивости;
3) подробную информацию о мониторинге, функционировании и контроле систем искусственного интеллекта повышенной опасности, включая:
— описание их возможностей и ограничений в производительности, степени точности для конкретных лиц или групп лиц, для которых системы предназначены;
— общий ожидаемый уровень точности по отношению к их целевому назначению;
— разумно ожидаемое нецелевое использование и источники рисков для охраняемых благ с учетом целевого назначения систем;
— используемые меры контроля со стороны человека, включая технические меры, принятые для облегчения понимания результатов применения систем пользователями;
— требования к входным цифровым данным;
4) описание соответствия показателей качества систем искусственного интеллекта повышенной опасности установленным требованиям;
5) описание систем управления рисками;
6) описание соответствующих изменений, внесенных владельцами в системы в течение их жизненного цикла;
7) список использованных стандартов, кодексов этики и иных источников общепризнанной международной практики;
8) журналы работы систем.
8. Журналы работы систем искусственного интеллекта повышенной опасности должны вестись владельцами в виде цифровых записей на протяжении всего жизненного цикла систем и должны отражать, как минимум, следующую информацию:
1) описание случаев причинения системами вреда охраняемым благам;
2) описание случаев нецелевого использования систем или иного нарушения установленных правил их использования;
3) записи периодов использования систем (дата и время начала сессии, их длительность, дата и время окончания), а также регистрационные данные о пользователях, открывших такие сессии;
4) сведения о физических лицах, осуществляющих контроль за функционированием систем на стороне их владельцев.
Глава 3. Заключительные положения
9. Техническая документация подлежит размещению на веб-сайтах владельцев систем искусственного интеллекта повышенной опасности в простой и понятной для пользователей — физических лиц форме, а также в формате открытых данных, доступных в машиночитаемом формате без ограничений на их повторное использование, за исключением информации, относящейся к государственным секретам.
10. Владельцы систем искусственного интеллекта повышенной опасности обязаны обеспечить сохранность технической документации, включая сведения о содержании и дате принятия всех версий технической документации, введенной в действие после выпуска систем искусственного интеллекта повышенной опасности в гражданский оборот или ввода их в эксплуатацию, в течение 3 (трех) лет с даты утверждения такой документации владельцами.
Владельцы систем искусственного интеллекта, применяемых в Кыргызстане, должны на соответствующих этапах их жизненного цикла проводить оценку опасности этих систем по собственным методикам, разработанным с учетом требований настоящего постановления.
В случае отнесения ИИ к системам искусственного интеллекта повышенной опасности владельцы систем должны:
За последними событиями следите через наш Твиттер @tazabek
По сообщению сайта Tazabek