قانون هوش مصنوعی اتحادیه اروپا - فصل 3؛ ماده ۲۶: تعهدات به‌کارگیرندگان سامانه‌های هوش مصنوعی پرخطر

ماده ۲۶ قانون هوش مصنوعی اتحادیه اروپا تعهدات اصلی به‌کارگیرندگان سامانه‌های هوش مصنوعی پرخطر را مشخص می‌کند؛ از جمله استفاده مطابق دستورالعمل، استقرار نظارت انسانی صلاحیت‌دار، تضمین کیفیت داده‌های ورودی، پایش مستمر عملکرد سامانه، نگهداری گزارش‌ها، اطلاع‌رسانی به کارکنان و اشخاص تحت تأثیر، ثبت سامانه‌ها توسط نهادهای عمومی، همکاری با مراجع نظارتی و رعایت الزامات ویژه در حوزه‌هایی مانند شناسایی بیومتریک و اجرای قانون. هدف این ماده، کاهش خطرات، افزایش پاسخ‌گویی و تضمین حقوق بنیادین اشخاص در فرآیند به‌کارگیری هوش مصنوعی پرخطر است.

ماده ۲۶: تعهدات به‌کارگیرندگان سامانه‌های هوش مصنوعی پرخطر

1. به‌کارگیرندگان سامانه‌های هوش مصنوعی پرخطر موظف‌اند تدابیر فنی و سازمانی مناسب را اتخاذ کنند تا اطمینان حاصل شود که این سامانه‌ها مطابق با دستورالعمل‌های استفاده همراه سامانه، طبق بندهای ۳ و ۶، به کار گرفته می‌شوند.

2. به‌کارگیرندگان باید نظارت انسانی را به اشخاص حقیقی‌ای بسپارند که از صلاحیت، آموزش و اختیار لازم برخوردار بوده و از پشتیبانی کافی نیز بهره‌مند باشند.

3. تعهدات مندرج در بندهای ۱ و ۲، خدشه‌ای به سایر تعهدات به‌کارگیرنده بر اساس حقوق اتحادیه یا حقوق ملی وارد نمی‌کند و آزادی به‌کارگیرنده را در سازمان‌دهی منابع و فعالیت‌های خود برای اجرای تدابیر نظارت انسانی تعیین‌شده توسط ارائه‌دهنده محدود نمی‌سازد.

4. بدون خدشه به بندهای ۱ و ۲، هرگاه به‌کارگیرنده بر داده‌های ورودی کنترل داشته باشد، موظف است اطمینان حاصل کند که این داده‌ها متناسب، مرتبط و به‌طور کافی نماینده هدف موردنظر از به‌کارگیری سامانه هوش مصنوعی پرخطر هستند.

5. به‌کارگیرندگان موظف‌اند عملکرد سامانه هوش مصنوعی پرخطر را بر اساس دستورالعمل‌های استفاده پایش کرده و در صورت لزوم، مطابق با ماده ۷۲، ارائه‌دهنده را مطلع سازند. چنانچه به‌کارگیرنده دلایل معقولی داشته باشد که استفاده از سامانه مطابق دستورالعمل‌ها ممکن است منجر به ایجاد خطر به معنای ماده ۷۹(۱) شود، باید بدون تأخیر ناموجه، ارائه‌دهنده یا توزیع‌کننده و مرجع نظارت بازار ذی‌صلاح را مطلع کرده و استفاده از سامانه را معلق نماید.

 در صورت شناسایی یک حادثه جدی، به‌کارگیرنده باید فوراً ابتدا ارائه‌دهنده و سپس واردکننده یا توزیع‌کننده و مراجع نظارت بازار ذی‌ربط را مطلع کند. اگر امکان تماس با ارائه‌دهنده وجود نداشته باشد، ماده ۷۳ حسب مورد اعمال می‌شود. این تعهد شامل داده‌های عملیاتی حساس مربوط به به‌کارگیرندگانِ نهادهای مجری قانون نمی‌شود. برای مؤسسات مالی مشمول الزامات حاکمیت داخلی بر اساس حقوق خدمات مالی اتحادیه، تعهد پایش مذکور با رعایت همان مقررات حاکمیت داخلی محقق‌شده تلقی می‌شود.

6. به‌کارگیرندگان موظف‌اند گزارش‌ها (لاگ‌ها)یی را که به‌طور خودکار توسط سامانه هوش مصنوعی پرخطر تولید می‌شود و تحت کنترل آن‌هاست، برای مدتی متناسب با هدف سامانه و حداقل به مدت شش ماه نگهداری کنند، مگر آنکه در حقوق اتحادیه یا حقوق ملی، به‌ویژه قوانین مربوط به حفاظت از داده‌های شخصی، ترتیب دیگری مقرر شده باشد. مؤسسات مالی مشمول حقوق خدمات مالی اتحادیه باید این گزارش‌ها را به‌عنوان بخشی از مستندات الزامی نگهداری کنند.

7. پیش از به‌کارگیری یا استفاده از یک سامانه هوش مصنوعی پرخطر در محیط کار، به‌کارگیرندگانی که کارفرما هستند باید نمایندگان کارکنان و کارکنان متأثر را از استفاده از این سامانه مطلع سازند. این اطلاع‌رسانی باید، حسب مورد، مطابق با قواعد و رویه‌های مقرر در حقوق و عرف اتحادیه و ملی انجام شود.(مرتبط: ملاحظه ۹۲)

8. به‌کارگیرندگانی که نهادهای عمومی یا مؤسسات، ارگان‌ها، دفاتر یا آژانس‌های اتحادیه هستند، باید الزامات ثبت مقرر در ماده ۴۹ را رعایت کنند. چنانچه چنین به‌کارگیرندگانی احراز کنند که سامانه هوش مصنوعی پرخطر موردنظر در پایگاه داده اتحادیه اروپا موضوع ماده ۷۱ ثبت نشده است، مجاز به استفاده از آن نبوده و باید ارائه‌دهنده یا توزیع‌کننده را مطلع کنند.

9. در موارد مقتضی، به‌کارگیرندگان باید از اطلاعات ارائه‌شده وفق ماده ۱۳ این مقرره برای ایفای تعهد خود در انجام ارزیابی اثرات حفاظت از داده‌ها مطابق با ماده ۳۵ مقرره (EU) 2016/679 یا ماده ۲۷ دستورالعمل (EU) 2016/680 استفاده کنند.

10. بدون خدشه به دستورالعمل (EU) 2016/680، در چارچوب تحقیقات مربوط به جست‌وجوی هدفمند یک شخص مظنون یا محکوم به ارتکاب جرم، به‌کارگیرنده سامانه هوش مصنوعی پرخطر برای شناسایی بیومتریک پسادور باید پیشاپیش یا بدون تأخیر ناموجه و حداکثر ظرف ۴۸ ساعت، مجوز استفاده از سامانه را از یک مرجع قضایی یا مرجع اداری دارای تصمیم الزام‌آور و قابل رسیدگی قضایی اخذ کند؛ مگر در مواردی که سامانه صرفاً برای شناسایی اولیه یک مظنون بالقوه بر اساس واقعیت‌های عینی و قابل‌راستی‌آزمایی مرتبط مستقیم با جرم به کار می‌رود.

هر بار استفاده باید به آنچه برای تحقیق درباره یک جرم مشخص کاملاً ضروری است محدود شود. در صورت رد مجوز، استفاده از سامانه فوراً متوقف شده و داده‌های شخصی مرتبط حذف می‌شود. در هیچ حالتی استفاده غیرهدفمند و بدون ارتباط با جرم، روند کیفری، تهدید واقعی یا قابل پیش‌بینی جرم، یا جست‌وجوی شخص گمشده مشخص مجاز نیست.

همچنین تضمین می‌شود که هیچ تصمیم دارای اثر حقوقی نامطلوب علیه اشخاص صرفاً بر اساس خروجی این سامانه‌ها اتخاذ نشود. این بند خدشه‌ای به مقررات مربوط به پردازش داده‌های بیومتریک در حقوق حفاظت از داده‌ها وارد نمی‌کند. هر استفاده باید مستندسازی شده و بنا به درخواست، در اختیار مراجع نظارت بازار و مراجع ملی حفاظت از داده قرار گیرد (به‌جز داده‌های عملیاتی حساس مجریان قانون). به‌کارگیرندگان موظف‌اند گزارش‌های سالانه‌ای از استفاده خود ارائه دهند. (مرتبط: ملاحظات ۹۴ و ۹۵)

11. بدون خدشه به ماده ۵۰، به‌کارگیرندگان سامانه‌های هوش مصنوعی پرخطر مندرج در پیوست III که تصمیم‌گیری درباره اشخاص حقیقی را انجام می‌دهند یا در آن کمک می‌کنند، باید اشخاص ذی‌ربط را از تحت استفاده قرار گرفتن توسط سامانه هوش مصنوعی مطلع سازند. در کاربردهای اجرای قانون، ماده ۱۳ دستورالعمل (EU) 2016/680 اعمال می‌شود.

12. به‌کارگیرندگان موظف‌اند با مراجع ذی‌صلاح مربوطه در هر اقدامی که این مراجع برای اجرای این مقرره در ارتباط با سامانه هوش مصنوعی پرخطر انجام می‌دهند، همکاری کنند.
 

تحلیل حقوقی بندبه‌بند ماده ۲۶ تعهدات به‌کارگیرندگان (Deployers) سامانه‌های هوش مصنوعی پرخطر

🔹 بند ۱: تعهد به استفاده مطابق دستورالعمل

متن بند: به‌کارگیرندگان باید تدابیر فنی و سازمانی اتخاذ کنند تا سامانه مطابق دستورالعمل استفاده شود.

تحلیل حقوقی: این بند اصل «استفاده ایمن و مسئولانه» را برای به‌کارگیرنده تثبیت می‌کند. قانون‌گذار مسئولیت را صرفاً بر عهده ارائه‌دهنده نگذاشته و زنجیره مسئولیت را به مرحله بهره‌برداری گسترش می‌دهد. «تدابیر فنی و سازمانی» مفهومی شناور دارد و می‌تواند شامل: سیاست‌های داخلی،  کنترل دسترسی، آموزش کارکنان، رویه‌های عملیاتی استاندارد (SOP) و تخطی از دستورالعمل استفاده، می‌تواند مسئولیت مدنی، اداری یا حتی کیفری برای به‌کارگیرنده ایجاد کند.

🔹 بند ۲: الزام به نظارت انسانی مؤثر

متن بند: نظارت انسانی باید به افراد واجد صلاحیت و اختیار سپرده شود.
تحلیل حقوقی: این بند، اصل Human-in-the-loop / Human oversight را الزام‌آور می‌کند. صرف حضور انسان کافی نیست؛ بلکه باید: صلاحیت تخصصی، آموزش کافی، اختیار واقعی برای مداخله وجود داشته باشد.

در صورت فقدان اختیار یا آموزش، نظارت انسانی صوری تلقی شده و تخلف محسوب می‌شود. این بند مستقیماً با حقوق بنیادین اشخاص (مانند حق دادرسی عادلانه یا منع تصمیم‌گیری خودکار زیان‌بار) مرتبط است.

🔹 بند ۳: حفظ آزادی سازمانی به‌کارگیرنده

متن بند: تعهدات بندهای ۱ و ۲ خدشه‌ای به سایر قوانین یا آزادی سازمانی وارد نمی‌کند.

تحلیل حقوقی: این بند یک قاعده تفسیر محدودکننده است. هدف آن جلوگیری از این برداشت است که AI Act: جایگزین سایر مقررات شود یا ساختار سازمانی خاصی را تحمیل کند. در واقع قانون‌گذار می‌گوید: «نتیجه مهم است، نه شکل اجرا»؛ این بند مانع از مداخله بیش‌ازحد تنظیم‌گر در مدیریت داخلی سازمان‌ها می‌شود.
 

🔹 بند ۴: مسئولیت کیفیت داده‌های ورودی

متن بند: در صورت کنترل داده‌ها، به‌کارگیرنده باید از تناسب و نمایندگی داده‌ها اطمینان حاصل کند.

تحلیل حقوقی: این بند یک نقطه اتصال کلیدی با تبعیض الگوریتمی است. قانون‌گذار میان ارائه‌دهنده و به‌کارگیرنده تفکیک مسئولیت می‌کند: اگر داده در اختیار deployer است → مسئولیت با deployer، مفاهیم «مرتبط» و «نماینده» معیارهای حقوقی برای: جلوگیری از سوگیری، تضمین تناسب هدف، نقض این بند می‌تواند به: نقض GDPR، نقض اصل برابری یا مسئولیت مدنی ناشی از تبعیض منجر شود.
 

🔹 بند ۵: پایش، گزارش‌دهی و توقف استفاده

متن بند: به‌کارگیرنده موظف به پایش، گزارش خطر و تعلیق استفاده در شرایط پرخطر است.

تحلیل حقوقی: این بند قلب نظارتی ماده ۲۶ است. به‌کارگیرنده صرفاً مصرف‌کننده نیست، بلکه ناظر فعال خطر است. الزام به: اطلاع‌رسانی به ارائه‌دهنده، اطلاع به مرجع نظارت بازار، توقف فوری استفاده، برای مؤسسات مالی، انطباق با مقررات حاکمیت داخلی معادل ایفای این تعهد تلقی می‌شود (اصل عدم تعارض مقررات). استثنای داده‌های عملیاتی حساس اجرای قانون، توازن میان امنیت عمومی و شفافیت را نشان می‌دهد.

🔹 بند ۶: نگهداری لاگ‌ها (Logs)

متن بند: لاگ‌ها باید حداقل شش ماه نگهداری شوند.

تحلیل حقوقی: این بند ابزار قابلیت ردیابی و حسابرسی (Traceability) را فراهم می‌کند. لاگ‌ها برای: رسیدگی به شکایات، اثبات انطباق، بررسی حوادث، حیاتی‌اند. مدت «متناسب با هدف» یک مفهوم باز است، اما حداقل شش ماه قاعده آمره محسوب می‌شود. تعامل مستقیم با قوانین حفاظت از داده (GDPR) وجود دارد.
 

🔹 بند ۷: اطلاع‌رسانی به کارکنان

تحلیل حقوقی: این بند به حقوق کار و حق آگاهی کارکنان مربوط است. استفاده از AI پرخطر در محیط کار بدون اطلاع: نقض حقوق کار، نقض اصل شفافیت، هماهنگی با حقوق ملی و عرف کارگری، اصل چندسطحی بودن حقوق اتحادیه را نشان می‌دهد.
 

🔹 بند ۸: ثبت سامانه توسط نهادهای عمومی

تحلیل حقوقی: این بند شفافیت حداکثری در بخش عمومی را الزام‌آور می‌کند. استفاده از سامانه ثبت‌نشده: غیرقانونی است، حتی اگر سامانه از نظر فنی مناسب باشد. این قاعده، ابزار کنترل دموکراتیک بر دولت دیجیتال است.
 

🔹 بند ۹: ارتباط با ارزیابی اثرات حفاظت از داده (DPIA)

تحلیل حقوقی: این بند پل ارتباطی AI Act و GDPR است. اطلاعات ماده ۱۳، ورودی رسمی DPIA تلقی می‌شود. از تکرار فرآیندها جلوگیری کرده و هم‌افزایی مقرراتی ایجاد می‌کند.

🔹 بند ۱۰: محدودیت‌های شدید شناسایی بیومتریک پسادور

تحلیل حقوقی: این بند سخت‌گیرانه‌ترین مقرره کل AI Act است. اصول کلیدی: مجوز قضایی، ضرورت و تناسب، منع استفاده غیرهدفمند، منع تصمیم‌گیری صرفاً خودکار، نشان‌دهنده اولویت حقوق بنیادین و کرامت انسانی بر کارایی فناورانه است. مستندسازی و گزارش‌دهی سالانه، ابزار پاسخ‌گویی دموکراتیک است.
 

🔹 بند ۱۱: حق آگاهی اشخاص حقیقی

تحلیل حقوقی: این بند اصل شفافیت تصمیم‌گیری الگوریتمی را تثبیت می‌کند. مکمل ماده ۵۰ (الزامات شفافیت عمومی) است. در اجرای قانون، قواعد خاص حفاظتی اعمال می‌شود تا تعارض با تحقیقات کیفری ایجاد نشود.
 

🔹 بند ۱۲: الزام به همکاری با مراجع ذی‌صلاح

تحلیل حقوقی: این بند ضمانت اجرای نهادی ماده ۲۶ است. عدم همکاری می‌تواند: تخلف مستقل، یا تشدیدکننده مجازات‌ها، تلقی شود. همکاری، شرط لازم برای اعتماد تنظیم‌گر به استفاده‌کننده است.

جمع‌بندی تحلیلی
ماده ۲۶، به‌کارگیرنده را از یک «کاربر منفعل» به بازیگر مسئول در زنجیره ارزش هوش مصنوعی تبدیل می‌کند. این ماده ترکیبی از تعهدات فنی، انسانی، داده‌ای، نظارتی و حقوق بشری است و نقش کلیدی در تحقق هدف نهایی AI Act یعنی هوش مصنوعی قابل اعتماد (Trustworthy AI) دارد.


منبع: ترجمه شده توسط بخش فناوری های نوین سایت راسخون