قانون هوش مصنوعی اتحادیه اروپا - فصل 3؛ ماده 17 – دقت، استحکام و امنیت سایبری

ماده ۱۷ عرضه‌کنندگان سامانه‌های هوش مصنوعی پرمخاطره را موظف می‌کند که نظام مدیریت کیفیتی جامع و مستند ایجاد کنند تا در تمام مراحل طراحی، توسعه، آزمایش، عرضه و نظارت پس از بهره‌برداری، انطباق سامانه با...

دوشنبه، 5 آبان 1404

تخمین زمان مطالعه:

نویسنده : تحریریه راسخون

موارد بیشتر برای شما

ماده 17 یعنی دقت، استحکام و امنیت سایبری، قلب مدیریتی قانون هوش مصنوعی اروپاست و تضمین می‌کند که عرضه‌کنندگان، صرفاً محصولی فناورانه ارائه ندهند بلکه فرایندی حقوقی و اخلاقی برای کنترل کیفیت در سراسر چرخه عمر سامانه مستقر سازند. به موجب این ماده، شرکت‌ها باید از طراحی تا پایش پس از عرضه، سازوکارهای مستندسازی، مدیریت ریسک، امنیت داده، گزارش‌دهی حوادث و پاسخ‌گویی در برابر مقامات نظارتی را ایجاد کنند. هدف نهایی این ماده، ایجاد اعتماد، جلوگیری از خطا یا سوگیری، و تضمین شفافیت و مسئولیت‌پذیری حقوقی در سامانه‌های هوش مصنوعی پرمخاطره است.

ماده قبلی: قانون هوش مصنوعی اتحادیه اروپا - ماده 16: تعهدات عرضه‌کنندگان هوش مصنوعی پرمخاطره

ماده ۱۷: نظام مدیریت کیفیت (Quality Management System)

عرضه‌کنندگان سامانه‌های هوش مصنوعی پرمخاطره باید یک نظام مدیریت کیفیت برقرار کنند که تضمین کند سامانه‌های آن‌ها با مفاد این مقرره سازگار است.

این نظام باید به‌صورت مستند، منظم و سیستماتیک در قالب سیاست‌های مکتوب، رویه‌ها و دستورالعمل‌ها تنظیم شود و دست‌کم موارد زیر را دربرگیرد:

(الف) راهبردی برای پایبندی به الزامات قانونی، از جمله رعایت رویه‌های ارزیابی انطباق و روش‌های مدیریت تغییرات در سامانه هوش مصنوعی پرمخاطره؛

(ب) فنون، روش‌ها و اقدامات نظام‌مند مورد استفاده در طراحی، کنترل طراحی و راستی‌آزمایی طراحی سامانه هوش مصنوعی پرمخاطره؛

(ج) فنون، روش‌ها و اقدامات نظام‌مند مورد استفاده در توسعه، کنترل کیفیت و تضمین کیفیت سامانه هوش مصنوعی پرمخاطره؛

(د) روش‌های آزمون، بررسی و اعتبارسنجی که باید پیش، حین و پس از توسعه سامانه انجام شوند، به همراه تناوب اجرای آن‌ها؛

(هـ) مشخصات فنی از جمله استانداردهای قابل اعمال و در مواردی که استانداردهای هماهنگ اتحادیه اروپا به‌طور کامل به‌کار نرفته‌اند یا همه الزامات بخش ۲ را پوشش نمی‌دهند، روش‌های جایگزین برای تضمین انطباق سامانه با آن الزامات؛

(و) نظام‌ها و رویه‌های مدیریت داده، شامل کسب داده، گردآوری، تحلیل، برچسب‌گذاری، ذخیره، پالایش، داده‌کاوی، تجمیع، نگهداری و سایر عملیات مرتبط با داده‌ها که پیش از عرضه یا به‌منظور بهره‌برداری از سامانه‌های هوش مصنوعی پرمخاطره انجام می‌شود؛

(ز) نظام مدیریت ریسک مندرج در ماده ۹؛

(ح) ایجاد، اجرا و نگهداری نظام پایش پس از عرضه، مطابق با ماده ۷۲؛

(ط) رویه‌های مربوط به گزارش‌دهی حوادث جدی طبق ماده ۷۳؛

(ی) روش‌های ارتباط با مراجع صلاحیت‌دار ملی، سایر نهادهای ذی‌ربط (از جمله نهادهایی که دسترسی به داده را فراهم یا پشتیبانی می‌کنند)، نهادهای ارزیابی انطباق، سایر اپراتورها، مشتریان یا ذی‌نفعان دیگر؛

(ک) نظام‌ها و روش‌های ثبت و نگهداری سوابق کلیه اسناد و اطلاعات مرتبط؛

(ل) مدیریت منابع، شامل اقدامات مرتبط با امنیت زنجیره تأمین؛

(م) چارچوب پاسخ‌گویی که مسئولیت‌های مدیریت و سایر کارکنان را در خصوص تمامی موارد فوق مشخص می‌کند.

اجرای موارد یادشده در بند ۱ باید متناسب با اندازه سازمان عرضه‌کننده باشد.

با این حال، عرضه‌کنندگان در هر صورت باید سطح لازم از دقت، سخت‌گیری و حفاظت را رعایت کنند تا از انطباق سامانه‌های هوش مصنوعی خود با این مقرره اطمینان حاصل نمایند.

عرضه‌کنندگانی که طبق سایر قوانین بخشی از اتحادیه اروپا، مشمول الزامات مربوط به نظام مدیریت کیفیت یا سازوکار مشابهی هستند، می‌توانند موارد ذکرشده در بند ۱ را به عنوان بخشی از همان نظام مدیریت کیفیت لحاظ کنند.

عرضه‌کنندگانی که مؤسسات مالی هستند و مطابق قوانین خدمات مالی اتحادیه اروپا، الزامات حکمرانی درونی، ترتیبات یا فرآیندهای خاصی برای مدیریت داخلی دارند، با رعایت آن قوانین، الزام ایجاد نظام مدیریت کیفیت (به‌جز بندهای (ز)، (ح) و (ط) این ماده) را انجام‌شده تلقی می‌شود.

در این راستا، هرگونه استاندارد هماهنگ‌شده‌ای که در ماده ۴۰ به آن اشاره شده باید مد نظر قرار گیرد.

🧩 تحلیل و تفسیر ماده ۱۷ — نظام مدیریت کیفیت

🔹 بند ۱: ضرورت استقرار نظام مدیریت کیفیت (QMS)
قانون‌گذار اتحادیه اروپا در گام نخست عرضه‌کنندگان سامانه‌های هوش مصنوعی پرمخاطره را موظف می‌کند که یک سیستم مدیریت کیفیت جامع و مستند داشته باشند. این الزام دقیقاً مانند الزامی است که در صنایع حساس (مانند پزشکی یا هوافضا) برای کنترل کیفیت اعمال می‌شود. هدف این است که فرآیند طراحی، تولید، ارزیابی و عرضه سامانه‌های هوش مصنوعی شفاف، قابل‌پیگیری و قابل‌ممیزی باشد.

📘 نکته کلیدی:
قانون به مستندسازی رسمی تأکید دارد؛ یعنی عرضه‌کننده باید بتواند برای هر تصمیم، تغییر یا فرآیند، مدرک قابل ارائه داشته باشد.

🔹 بند ۱ (الف تا م): اجزای اصلی نظام مدیریت کیفیت

در این بخش، ۱۳ جزء کلیدی QMS فهرست شده است. تفسیر هر کدام:
(الف): وجود راهبرد انطباق قانونی؛ یعنی سازوکاری دائمی برای اطمینان از رعایت الزامات حقوقی، به‌ویژه در هنگام تغییرات نرم‌افزار یا الگوریتم.

(ب) و (ج): الزام به داشتن رویه‌های دقیق طراحی، کنترل طراحی و تضمین کیفیت؛ این بندها مشابه مقررات ایمنی صنعتی‌اند و جلوی اشتباهات مهندسی را می‌گیرند.

(د): آزمون‌های مداوم در مراحل توسعه تا بهره‌برداری، برای راستی‌آزمایی عملکرد و کاهش ریسک.

(هـ): اگر استانداردهای هماهنگ اتحادیه برای حوزه خاصی وجود نداشته باشد، شرکت باید راه‌حل جایگزین برای تضمین ایمنی ارائه کند.

(و): بند بسیار مهمی درباره مدیریت داده است — از جمع‌آوری تا برچسب‌گذاری و ذخیره‌سازی. این الزام برای جلوگیری از سوگیری داده یا نقض حریم خصوصی حیاتی است.

(ز): پیوند با ماده ۹ (مدیریت ریسک)؛ یعنی نظام کیفیت باید ریسک‌های احتمالی را هم پوشش دهد.

(ح) و (ط): ناظر بر پایش پس از عرضه و گزارش‌دهی حوادث جدی است — مشابه گزارش‌های نقص ایمنی در خودروها یا تجهیزات پزشکی.

(ی): سازوکار رسمی برای ارتباط با مقامات نظارتی و کاربران؛ یعنی شفافیت در تعاملات حقوقی و فنی.

(ک): الزام به ثبت کامل سوابق و داده‌ها برای امکان ممیزی در آینده.

(ل): مدیریت منابع و امنیت زنجیره تأمین، برای جلوگیری از اختلال یا تغییر غیرمجاز در اجزا.

(م): ایجاد چارچوب پاسخ‌گویی (accountability framework) که نشان دهد چه کسی در شرکت برای چه بخش‌هایی مسئول است — پایه‌ای برای مسئولیت حقوقی در صورت خطا یا نقض قانون.

📘 تحلیل کلی این بند:
این ساختار QMS در واقع ستون فقرات حکمرانی داخلی شرکت در حوزه هوش مصنوعی است. هدفش این است که کیفیت، ایمنی، شفافیت و پاسخ‌گویی در چرخه عمر محصول تضمین شود.

🔹 بند ۲: تناسب با اندازه سازمان

قانون اذعان دارد که همه شرکت‌ها بزرگ نیستند، بنابراین اجرای QMS باید متناسب با اندازه عرضه‌کننده باشد. اما حتی شرکت‌های کوچک هم باید حداقل‌های قانونی را رعایت کنند و نمی‌توانند از اصل حفاظت و دقت تخطی کنند.

📘 برداشت:
این بند تعادل بین انعطاف اقتصادی برای استارت‌آپ‌ها و حفظ استانداردهای ایمنی را برقرار می‌کند.

🔹 بند ۳: هم‌پوشانی با سایر نظام‌های کیفیت

اگر عرضه‌کننده قبلاً تحت قوانین دیگر اتحادیه (مثلاً تجهیزات پزشکی، خودرو یا مخابرات) ملزم به داشتن QMS است، می‌تواند همان نظام را توسعه داده و موارد این قانون را در آن ادغام کند.

📘 تحلیل:
این بند از تکرار مقررات جلوگیری می‌کند و اجرای قانون را برای صنایع چندقانونی ساده‌تر می‌سازد.

🔹 بند ۴: استثنا برای مؤسسات مالی

در بخش مالی، بسیاری از مؤسسات از قبل دارای چارچوب‌های حاکمیت داخلی و مدیریت ریسک هستند. قانون می‌گوید اگر این نظام‌ها با قوانین مالی اتحادیه مطابقت داشته باشند، نیازی به QMS جدید ندارند (به جز در مورد سه حوزه: مدیریت ریسک، پایش پس از عرضه و گزارش حوادث).

📘 برداشت:
هدف این بند هم‌ترازی و کاهش دوباره‌کاری قانونی در صنایع تنظیم‌شده است، نه کاهش مسئولیت.

🧠 جمع‌بندی تحلیلی ماده ۱۷
این ماده به‌طور خلاصه ستون اصلی کنترل کیفیت در قانون هوش مصنوعی اروپاست. اتحادیه اروپا می‌خواهد هر شرکت عرضه‌کننده‌ی AI پرمخاطره مانند یک نهاد صنعتی حساس (مثلاً شرکت داروسازی یا هوانوردی) رفتار کند — یعنی دارای سیستم مدون، پایدار و قابل‌ممیزی برای تضمین کیفیت، ایمنی و شفافیت باشد. این ماده در عمل، نقشه راه حکمرانی درون‌سازمانی هوش مصنوعی را ترسیم می‌کند.

منبع: تهیه شده در واحد فناوری های نوین راسخون

ارسال نظر

با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.

متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.

ماده ۱۷: نظام مدیریت کیفیت (Quality Management System)

🧩 تحلیل و تفسیر ماده ۱۷ — نظام مدیریت کیفیت

🔹 بند ۱ (الف تا م): اجزای اصلی نظام مدیریت کیفیت

🔹 بند ۲: تناسب با اندازه سازمان

🔹 بند ۳: هم‌پوشانی با سایر نظام‌های کیفیت

🔹 بند ۴: استثنا برای مؤسسات مالی

مقالات مرتبط

تازه های مقالات

بیشترین بازدید هفته