EU آرٹیفیشل انٹیلی جنس ایکٹ — ریگولیشن (EU) 2024/1689 — یورپی مارکیٹ پر رکھے گئے کسی بھی AI سسٹم کے لیے قانونی طور پر پابند اصول طے کرتا ہے یا جس کے نتائج EU صارفین تک پہنچتے ہیں، یہ کہیں بھی پہلے افقی، خطرے پر مبنی AI قانون بناتا ہے۔ چاہے آپ ماڈلز بنائیں، تھرڈ پارٹی ٹولنگ کو مربوط کریں، یا صارفین کی خدمت کے لیے صرف چیٹ بوٹس کو تعینات کریں، یہ ایکٹ نئی ڈیوٹی بناتا ہے اور آپ کو فی خلاف ورزی پر عالمی ٹرن اوور کے 7% تک آنکھوں کو پانی دینے والے جرمانے کا سامنا کرتا ہے۔ 1 اگست 2024 کو نافذ العمل تھا۔ تعمیل کی ذمہ داریوں کا مرحلہ فروری 2025 سے اگست 2027 تک ہے، یعنی تیاری کا وقت محدود ہے۔
یہ عملی گائیڈ قانونی اصطلاحات کو ختم کرتا ہے اور بالکل وہی بتاتا ہے جو آپ کو جاننے کی ضرورت ہے: ایکٹ کا دائرہ کار اور کلیدی تعریفیں، اس کی چار درجے کی رسک کی درجہ بندی، ٹائم لائن اور انفورسمنٹ میکانکس، فراہم کنندگان، صارفین، درآمد کنندگان اور تقسیم کاروں کے لیے ٹھوس ذمہ داریاں، اور کم ہونے پر جرمانے۔ ہم آپ کو مرحلہ وار تعمیل چیک لسٹ دینے سے پہلے GDPR، NIS2، پروڈکٹ کے حفاظتی اصولوں اور سیکٹر کے مخصوص تقاضوں کے مطابق ریگولیشن کا نقشہ بھی بناتے ہیں جس پر انجینئرنگ، قانونی اور قیادت کی ٹیمیں فوری طور پر عمل کر سکتی ہیں۔ آئیے آپ کو تیار کرتے ہیں — اس سے پہلے کہ آڈیٹرز دستک دیں۔
ایک نظر میں: EU AI ایکٹ دراصل کیا ہے۔
ریگولیشن (EU) 2024/1689 — جسے EU مصنوعی ذہانت ایکٹ کے نام سے جانا جاتا ہے — براہ راست قابل اطلاق EU ضابطہ ہے، کوئی ہدایت نہیں۔ اس کا مطلب ہے کہ اس کے مضامین ہر رکن ریاست میں قومی تبدیلی کی ضرورت کے بغیر خود بخود کاٹتے ہیں، جیسا کہ بہت کچھ GDPR 2018 میں کیا گیا۔ مقصد دو گنا ہے: بنیادی حقوق اور حفاظت کی حفاظت کرنا اور ساتھ ہی ساتھ کمپنیوں کو AI کے ساتھ ذمہ داری کے ساتھ اختراع کرنے کے لیے قانونی یقین دلانا۔ اس کو حاصل کرنے کے لیے، ایکٹ ایک افقی، خطرے پر مبنی ٹول کٹ متعارف کرایا ہے جو مالیات سے لے کر صحت کی دیکھ بھال تک، قانونی فرائض سے مماثلت کے ساتھ "کم سے کم" سے "ناقابل قبول" خطرے تک درجہ بندی کے نظام کو پھیلاتا ہے۔
دائرہ کار اور تعریفیں جو آپ کو جاننے کی ضرورت ہے۔
تعمیل کا منصوبہ تیار کرنے سے پہلے، بنیادی الفاظ پر عبور حاصل کریں:
- AI نظام: "ایک مشین پر مبنی نظام جو خود مختاری کی مختلف سطحوں کے ساتھ کام کرنے کے لیے ڈیزائن کیا گیا ہے اور یہ کہ واضح یا مضمر مقاصد کے لیے، ان پٹ ڈیٹا سے اندازہ لگایا جاتا ہے کہ کس طرح آؤٹ پٹ پیدا کیے جائیں—جیسے پیشین گوئیاں، مواد، سفارشات یا فیصلے — جو جسمانی یا ورچوئل ماحول کو متاثر کر سکتے ہیں۔"
- عمومی مقصد AI (GPAI): ایک AI نظام جو مختلف کاموں کی ایک وسیع رینج کو انجام دینے کی صلاحیت رکھتا ہے، قطع نظر اس کے کہ اسے بعد میں کس طرح ٹھیک کیا گیا ہے یا تعینات کیا گیا ہے۔
- فراہم کنندہ: کوئی بھی فطری یا قانونی شخص جو ایک AI سسٹم تیار کرتا ہے — یا تیار کر چکا ہے — اسے مارکیٹ میں لانے یا اپنے نام یا ٹریڈ مارک کے تحت سروس میں ڈالنے کے لیے۔
- صارف (اکثر "تعین کنندہ" کہلاتا ہے): نجی، غیر پیشہ ورانہ استعمال کو چھوڑ کر، اپنے اختیار کے تحت AI سسٹم استعمال کرنے والا شخص یا ادارہ۔
- درآمد کنندہ: یونین کی قائم کردہ پارٹی جو EU مارکیٹ میں یونین سے باہر واقع کسی ہستی کا نام یا ٹریڈ مارک والا AI سسٹم لگاتی ہے۔
- ڈسٹری بیوٹر: سپلائی چین میں اداکار — فراہم کنندہ یا درآمد کنندہ کے علاوہ — جو AI سسٹم میں ترمیم کیے بغیر اسے دستیاب کرتا ہے۔
علاقائی رسائی وسیع ہے: EU مارکیٹ پر رکھا ہوا کوئی بھی سسٹم یا جس کا آؤٹ پٹ EU میں استعمال ہوتا ہے وہ ایکٹ کے تحت آتا ہے، چاہے ڈویلپر کہاں بیٹھا ہو۔ مکمل طور پر فوجی یا قومی سلامتی کی ایپلی کیشنز، R&D پروٹو ٹائپس جو ابھی تک مارکیٹ نہیں کیے گئے، اور ذاتی شوق کے منصوبوں کے لیے کارو آؤٹ موجود ہیں۔
ایکٹ میں شامل کلیدی اصول
ضابطہ دیرینہ اخلاقی تصورات کو قابل نفاذ قانون میں جوڑتا ہے:
- انسانی ایجنسی اور نگرانی
- تکنیکی مضبوطی اور حفاظت
- پرائیویسی اور ڈیٹا گورننس
- شفافیت اور وضاحت کی اہلیت
- تنوع، عدم تفریق اور انصاف پسندی۔
- معاشرتی اور ماحولیاتی بہبود
یہ OECD AI اصولوں اور EU کے پہلے کے "اخلاقی رہنما خطوط کے آئینہ دار ہیں۔ قابل اعتماد AI"لیکن اب ریگولیٹری دانت لے جائیں۔
ضابطہ بمقابلہ موجودہ نرم قانون کے رہنما خطوط
2024 تک، یورپ میں AI گورننس رضاکارانہ فریم ورک جیسے EU AI Pact یا کارپوریٹ کوڈز آف ایتھکس پر انحصار کرتی تھی۔ AI ایکٹ گیم کو تبدیل کرتا ہے: تعمیل لازمی، قابل سماعت، اور حمایت یافتہ ہے۔ 35 ملین یورو تک جرمانہ یا عالمی آمدنی کا 7 فیصد۔ دوسرے لفظوں میں، "اخلاقی AI" کے اعلانات اب کافی نہیں ہیں — تنظیموں کو لازمی طور پر مطابقت کے جائزے، CE نشانات، اور قابل تصدیق لاگز یا EU مارکیٹ سے روکے جانے کا خطرہ ہونا چاہیے۔
ٹائم لائن، قانونی حیثیت، اور نفاذ کے مراحل
EU مصنوعی ذہانت کا ایکٹ صرف تین سالوں میں تجویز سے پابند قانون تک کا سفر کرتا ہے — برسلز کے معیارات کے مطابق ہلکی رفتار۔ چونکہ یہ ایک ضابطہ ہے، زیادہ تر مضامین قومی تبدیلی کے بغیر پورے بلاک پر خود بخود لاگو ہوتے ہیں۔ وقت کے ساتھ کیا بدلتا ہے فرض سب سے پہلے کاٹتے ہیں. نیچے دی گئی ٹائم ٹیبل ان سیاسی سنگ میلوں کو ظاہر کرتی ہے جو ہمیں یہاں تک پہنچاتے ہیں اور مرحلہ وار تعمیل کے فرائض کے لیے مرحلہ طے کرتے ہیں جن کے لیے آپ کی تنظیم کو اب کیلنڈر کرنا چاہیے۔
| تاریخ | سنگ میل | اہمیت |
|---|---|---|
| 21 اپریل 2021 | کمیشن نے اے آئی ایکٹ کا مسودہ شائع کیا۔ | قانون سازی کے عمل کا باقاعدہ آغاز |
| 9 دسمبر 2023 | پارلیمنٹ اور کونسل سیاسی معاہدے پر پہنچ گئے۔ | بنیادی متن بڑی حد تک مقفل ہے۔ |
| 13 مارچ 2024 | یورپی پارلیمنٹ کا حتمی ووٹ (523-46) | جمہوری منظوری حاصل کر لی گئی۔ |
| 21 مئی 2024 | یورپی یونین کو اپنانے کی کونسل | آخری قانون سازی کی رکاوٹ ختم ہوگئی |
| 10 جولائی 2024 | سرکاری جریدے میں شائع شدہ متن | قانونی الٹی گنتی شروع |
| 1 اگست 2024 | ضابطہ (EU) 2024/1689 نافذ العمل ہے۔ | مستقبل کی تمام آخری تاریخوں کے لیے "دن 0" |
داخلے کی تاریخ تین سالوں پر محیط درخواست کی تاریخوں کا ایک سلسلہ شروع کرتی ہے۔ یہ ڈیزائن فراہم کنندگان، صارفین، درآمد کنندگان، اور تقسیم کاروں کو ہم آہنگی کے عمل کی تعمیر، ماڈلز کو اپ گریڈ کرنے، اور عملے کو تربیت دینے کے لیے سانس لینے کا کمرہ فراہم کرتا ہے — پھر بھی اس کا مطلب یہ بھی ہے کہ آڈیٹرز 2027 سے پہلے قابلِ ذکر پیش رفت کی توقع کریں گے۔
نفاذ کا روڈ میپ: کب لاگو ہوتا ہے۔
- 6 ماہ | 1 فروری 2025
- ممنوعہ AI طریقوں (آرٹ 5) کو بازار سے باہر ہونا چاہیے - کوئی بہانہ نہیں۔
- 12 ماہ | 1 اگست 2025
- ڈیپ فیکس، چیٹ بوٹس، اور جذبات کی شناخت کے لیے شفافیت کے فرائض شروع ہوتے ہیں۔
- عام مقصد کے AI (GPAI) کے لیے پریکٹس کے ضابطوں کی توقع ہے؛ رضاکارانہ لیکن انتہائی سفارش کی جاتی ہے۔
- 24 ماہ | 1 اگست 2026
- ہائی رسک سسٹم کے تقاضے شروع ہوتے ہیں: رسک مینجمنٹ، ڈیٹا گورننس، تکنیکی دستاویزات، انسانی نگرانی، اور سی ای مارکنگ کی تیاری۔
- فراہم کنندگان کو نئے EU ڈیٹا بیس میں ہائی رسک سسٹمز کو رجسٹر کرنا ہوگا۔
- 36 ماہ | 1 اگست 2027
- مکمل نظام لاگو ہوتا ہے، بشمول بایومیٹرک شناختی نظام، مطلع شدہ باڈی کنفرمٹی اسیسمنٹس، اور تمام ہائی رسک AI کے لیے مطابقت کا لازمی EU اعلان۔
- مارکیٹ کی نگرانی کرنے والے حکام غیر تعمیل شدہ مصنوعات کو واپس بلانے یا واپس لینے کا آرڈر دینے کا اختیار حاصل کریں۔
عبوری شقیں اگست 2026 سے پہلے قانونی طور پر استعمال میں آنے والے ہائی رسک سسٹمز کو اس وقت تک مارکیٹ میں رہنے کی اجازت دیتی ہیں جب تک کہ وہ "کافی ترمیم" سے گزر نہ جائیں۔ اتفاقی طور پر تعمیل کی گھڑی کو دوبارہ ترتیب دینے سے بچنے کے لیے احتیاط سے اپ گریڈ کا منصوبہ بنائیں۔
ادارے اور نگران ادارے
نگرانی کی تین پرتیں یورپی یونین کے مصنوعی ذہانت کے ایکٹ کو نافذ کرتی ہیں:
- EU AI آفس (یورپی کمیشن) - رہنمائی کو مربوط کرتا ہے، GPAI رجسٹر کو برقرار رکھتا ہے، اور نظامی ماڈل فراہم کرنے والوں پر جرمانے عائد کر سکتا ہے۔
- قومی مجاز اتھارٹیز - ایک فی رکن ریاست؛ معائنہ، شکایات، اور روزانہ مارکیٹ کی نگرانی کو ہینڈل کریں۔
- مطلع شدہ باڈیز - خود مختار مطابقت کی تشخیص کرنے والی تنظیمیں جو CE مارکنگ سے پہلے ہائی رسک سسٹم کا آڈٹ کرتی ہیں۔
یہ اداکار اس کے ذریعے تعاون کرتے ہیں۔ یورپی مصنوعی ذہانت بورڈ (EAIB)، جو ہم آہنگ تشریحی نوٹ جاری کرتا ہے — اسے GDPR کے EDPB کے AI کے برابر سمجھیں۔ ان کی رہنمائی کے لیے ہوشیار رہیں؛ یہ شکل دے گا کہ آپ کی تکنیکی فائلوں اور خطرے کے جائزوں کو عملی طور پر کیسے پرکھا جاتا ہے۔
چار درجے کے خطرے کی درجہ بندی کا فریم ورک
EU آرٹیفیشل انٹیلی جنس ایکٹ (AI Act) کے مرکز میں ٹریفک لائٹ ماڈل ہے جو اس بات کا تعین کرتا ہے کہ قوانین کتنے سخت ہوتے ہیں: لوگوں کے حقوق اور حفاظت کو جتنا زیادہ خطرہ ہوگا، تعمیل کا بوجھ اتنا ہی زیادہ ہوگا۔ ہر AI سسٹم کو چار کلاسوں میں سے کسی ایک میں میپ کیا جانا چاہیے — ناقابل قبول، زیادہ، محدود، یا کم سے کم۔ درجہ بندی باقی سب کچھ چلاتی ہے: دستاویزات کی گہرائی، جانچ کی سختی، نگرانی، اور بالآخر، مارکیٹ تک رسائی۔
| خطرے کا درجہ | عام مثالیں۔ | بنیادی قانونی نتیجہ | پہلی درخواست کی تاریخ* |
|---|---|---|---|
| ناقابل قبول | سماجی اسکورنگ، عوامی جگہوں پر ریئل ٹائم بائیو میٹرک ID، ہیرا پھیری والے "نج" انجن | مکمل پابندی؛ واپسی اور جرمانے €35 m/7% تک | 1 فروری 2025 |
| ہائی | سی وی اسکریننگ ٹولز، طبی تشخیصی سافٹ ویئر، کریڈٹ قابلیت اسکورنگ، خود مختار ڈرائیونگ ماڈیولز | مطابقت کی تشخیص، سی ای مارکنگ، رجسٹری اندراج، پوسٹ مارکیٹ مانیٹرنگ | 1 اگست 2026 (بائیو میٹرکس: 1 اگست 2027) |
| لمیٹڈ | چیٹ بوٹس، ڈیپ فیک جنریٹرز، جذباتی تجزیہ وجیٹس | شفافیت کا نوٹس اور صارف کے بنیادی کنٹرول | 1 اگست 2025 |
| کم سے کم | AI سے چلنے والے اسپام فلٹرز، ویڈیو گیم NPCs | کوئی لازمی اصول نہیں؛ صرف رضاکارانہ کوڈز | پہلے ہی اثر میں ہے۔ |
* 1 اگست 2024 کو لاگو ہونے کی تاریخ سے شمار کیا جاتا ہے۔
فریم ورک متحرک ہے: اگر آپ نئی خصوصیات شامل کرتے ہیں یا ہدف والے صارفین کو تبدیل کرتے ہیں، تو آپ کا سسٹم ایک درجے کو چھلانگ لگا سکتا ہے، جو نئے فرائض کو متحرک کرتا ہے۔
ناقابل قبول خطرہ: ممنوعہ AI پریکٹسز
آرٹیکل 5 ان استعمالات کے تحت سرخ لکیر کھینچتا ہے جسے یورپی یونین فطری طور پر بنیادی حقوق سے مطابقت نہیں رکھتی۔ ان میں شامل ہیں:
- شاندار تکنیکیں جو مادی طور پر رویے کو مسخ کرتی ہیں۔
- نابالغوں یا معذور افراد کی کمزوریوں کا فائدہ اٹھانا
- اندھا دھند حقیقی وقت بایومیٹرک شناخت عوامی طور پر قابل رسائی جگہوں میں (تنگ قانون نافذ کرنے والے نقش و نگار لاگو ہوتے ہیں)
- عوامی حکام کے ذریعہ سماجی اسکورنگ
- پیش گوئی کرنے والی پولیسنگ صرف پروفائلنگ یا مقام کے ڈیٹا پر مبنی ہے۔
اس طرح کے نظام کو کبھی بھی یورپی یونین کی مارکیٹ میں نہیں آنا چاہیے۔ قومی حکام فوری طور پر واپس بلانے کا حکم دے سکتے ہیں، اور جرمانے ایکٹ کی عمدہ سیڑھی سے اوپر ہیں۔
ہائی رسک AI سسٹمز: انیکس III زمرہ جات
ایک نظام اعلی خطرے والی بالٹی میں اترتا ہے اگر یہ یا تو ہے:
- پہلے سے ریگولیٹ شدہ پروڈکٹ کا حفاظتی جزو (مثلاً، مشینری یا میڈیکل ڈیوائس ریگولیشنز کے تحت)، یا
- ضمیمہ III کے آٹھ حساس ڈومینز میں درج ہیں - بائیو میٹرکس، اہم بنیادی ڈھانچہ، تعلیم، روزگارضروری خدمات، قانون نافذ کرنے والے اداروںہجرت، اور انصاف۔
ایک بار ہائی رسک کے طور پر درجہ بندی کرنے کے بعد، فراہم کنندگان کو کوالٹی مینجمنٹ سسٹم چلانا چاہیے، رسک مینجمنٹ سائیکل انجام دینا چاہیے، اور مطابقت کی تشخیص کو محفوظ کرنا چاہیے—بعض اوقات کسی بیرونی مطلع شدہ باڈی کے ذریعے۔ استعمال کنندگان (تعینات کنندگان) کو لاگنگ، نگرانی، اور واقعہ کی اطلاع دینے کے فرائض وراثت میں ملتے ہیں۔
محدود خطرہ: شفافیت کی ذمہ داریاں
محدود خطرے والے ٹولز بے ضرر نہیں ہیں، لیکن یورپی یونین کا خیال ہے کہ صارف کی آگاہی زیادہ تر خطرات کو کم کرتی ہے۔ چیٹ بوٹس، جنریٹیو-AI آرٹ انجن، یا مصنوعی آواز کی خدمات بنانے والوں کو:
- صارفین کو مطلع کریں کہ وہ AI کے ساتھ بات چیت کر رہے ہیں ("یہ تصویر AI سے تیار کردہ ہے")
- مشین پڑھنے کے قابل واٹر مارک میں ڈیپ فیک مواد کا انکشاف کریں۔
- خفیہ طور پر ذاتی ڈیٹا اکٹھا کرنے سے پرہیز کریں جو کہ سختی سے ضروری ہے۔
نوٹس فراہم کرنے میں ناکامی نظام کو براہ راست غیر تعمیل والے علاقے میں نیچے کر دیتی ہے اور انتظامی جرمانے کو مدعو کرتی ہے۔
کم سے کم/ نہ ہونے کے برابر خطرہ: کوئی لازمی اصول نہیں۔
اسپام فلٹرز، ای میل میں پیش گوئی کرنے والا متن، یا AI جو HVAC توانائی کے استعمال کو بہتر بناتا ہے عام طور پر یہاں آتا ہے۔ EU آرٹیفیشل انٹیلی جنس ایکٹ (AI Act) کوئی سخت ذمہ داریاں عائد نہیں کرتا ہے، لیکن یہ رضاکارانہ کوڈز، ریگولیٹری سینڈ باکسز، اور ISO/IEC 42001 جیسے بین الاقوامی معیارات کی پابندی کی حوصلہ افزائی کرتا ہے۔ ہلکی دستاویزات اور بنیادی تعصب کے ٹیسٹ کو برقرار رکھنا اب بھی ایک زبردست اقدام ہے۔ ریگولیٹرز سرحدی معاملات کو نقصان پہنچانے کی صورت میں دوبارہ درجہ بندی کر سکتے ہیں۔
فراہم کنندگان، تعینات کنندگان اور دیگر اداکاروں کے لیے بنیادی ذمہ داریاں
EU مصنوعی ذہانت کا ایکٹ پوری سپلائی چین میں تعمیل کے فرائض کو پھیلاتا ہے۔ چونکہ ذمہ داری کمپنی کے سائز کی نہیں بلکہ فنکشن کی پیروی کرتی ہے، آپ کو پہلے یہ تعین کرنا ہوگا کہ آپ کون سی ٹوپی پہن رہے ہیں — فراہم کنندہ، صارف (تعین کنندہ)، درآمد کنندہ، یا تقسیم کار — اور پھر کسی بھی خطرے سے متعلق مخصوص تقاضوں پر تہہ لگا دیں۔ صحیح درجہ بندی کی کمی ایک عام آڈٹ کی تلاش ہے، لہذا نقشہ سازی کی مشق کو اپنے پروگرام کے مرحلہ صفر کے طور پر سمجھیں۔
ہائی رسک سسٹمز فراہم کرنے والے
فراہم کنندگان کا سب سے زیادہ بوجھ ہے کیونکہ وہ ڈیزائن کے فیصلوں کو کنٹرول کرتے ہیں۔ اہم کام:
- ایک دستاویزی کوالٹی مینجمنٹ سسٹم (QMS) مرتب کریں جو ڈیٹا گورننس، رسک مینجمنٹ، چینج کنٹرول، اور سائبر سیکیورٹی کا احاطہ کرتا ہے۔
- ایک سابقہ مطابقت کا جائزہ چلائیں۔ زیادہ تر Annex III سسٹمز خود اندازہ لگا سکتے ہیں، لیکن بائیو میٹرک ID، طبی آلات، اور دیگر حفاظتی لحاظ سے اہم استعمال کے معاملات میں ایک مطلع شدہ باڈی کی ضرورت ہوتی ہے۔
- تکنیکی دستاویزات مرتب کریں: ماڈل آرکیٹیکچر، تربیتی ڈیٹا نسب، تشخیصی میٹرکس، مضبوطی کے ٹیسٹ، انسانی نگرانی کے طریقہ کار، اور پوسٹ مارکیٹ مانیٹرنگ پلان۔
- EU کے موافقت کے اعلان کا مسودہ تیار کریں، CE مارکنگ لگائیں، اور پہلی تعیناتی سے پہلے سسٹم کو عوامی AI ڈیٹا بیس میں رجسٹر کریں۔
- مارکیٹ کے بعد کی مسلسل نگرانی قائم کریں: سنگین واقعات کا اندراج کریں، حد سے تجاوز کرنے پر دوبارہ تربیت دیں، اور 15 دنوں کے اندر مجاز حکام کو مطلع کریں۔
ان اقدامات میں سے کسی کو نظر انداز کرنے سے €15 ملین یا عالمی ٹرن اوور کا 3% تک جرمانہ ہو سکتا ہے- چاہے کوئی نقصان نہ ہو۔
ہائی رسک سسٹمز کے استعمال کنندگان / تعینات کرنے والے
تعینات کرنے والے کوڈ کو حقیقی دنیا کے اثرات میں تبدیل کرتے ہیں، لہذا ایکٹ انہیں ان کی اپنی چیک لسٹ دیتا ہے:
- فراہم کنندہ کی ہدایات اور دستاویزی استعمال کے کیس کے مطابق سسٹم کو سختی سے چلائیں۔
- جب صارف عوامی اتھارٹی ہو یا جب AI ضروری خدمات جیسے ہاؤسنگ یا کریڈٹ تک رسائی کو متاثر کرتا ہو تو بنیادی حقوق کے اثرات کا جائزہ (FRIA) انجام دیں۔
- اہل انسانی نگرانی کو یقینی بنائیں: عملے کو تربیت یافتہ، آؤٹ پٹس کو اوور رائیڈ کرنے کے لیے بااختیار، اور متاثرہ افراد کو فیصلوں کی وضاحت کرنے کے قابل ہونا چاہیے۔
- لاگ ان کو کم از کم چھ سال تک برقرار رکھیں، بشمول ان پٹ ڈیٹا، آؤٹ پٹ، انسانی مداخلت، اور کارکردگی کی بے ضابطگیوں۔
- سنگین واقعات کی اطلاع فراہم کنندہ اور قومی اتھارٹی دونوں کو "غیر ضروری تاخیر" کے بغیر دیں، جسے عام طور پر 72 گھنٹے سے تعبیر کیا جاتا ہے۔
درآمد کنندگان اور تقسیم کار
وہ اداکار جو EU میں AI سسٹم متعارف کرواتے ہیں یا پاس کرتے ہیں ان کے پاس گیٹ کیپنگ کے فرائض ہوتے ہیں:
- تصدیق کریں کہ CE مارکنگ، EU ڈیکلریشن آف کنفارمیٹی، اور ہدایات موجود ہیں اور مارکیٹ کردہ فعالیت سے میل کھاتی ہیں۔
- پروڈکٹ کی فراہمی سے گریز کریں اگر وہ جانتے ہوں — یا انہیں معلوم ہونا چاہیے — کہ یہ غیر تعمیل ہے۔ اس کے بجائے، فراہم کنندہ اور مجاز اتھارٹی کو مطلع کریں۔
- شکایات اور یادداشتوں کا ایک رجسٹر رکھیں، درخواست پر اسے حکام کو دستیاب کرائیں۔
- پروڈکٹ کی واپسی یا سافٹ ویئر پیچ سمیت اصلاحی کاموں میں تعاون کریں۔
عمومی مقصد AI (فاؤنڈیشن ماڈلز) کی ذمہ داریاں
یہ ایکٹ GPAI یا فاؤنڈیشن ماڈلز کے تخلیق کاروں کے لیے پہلے سے طے شدہ اصول شامل کرتا ہے جو کہیں بھی سرایت کر سکتے ہیں:
- جامع تکنیکی دستاویزات اور استعمال شدہ ڈیٹا سیٹس کا خلاصہ فراہم کریں، بشمول لائسنس کی حیثیت اور جغرافیائی اصل۔
- کا بیان شائع کریں۔ کاپی رائٹ کی تعمیل اور، جہاں ممکن ہو، محفوظ کاموں کے لیے آپٹ آؤٹ میکانزم کو نافذ کریں۔
- اگر ماڈل Annex XI میں کمپیوٹ کی حد سے تجاوز کرتا ہے تو سسٹمک رسک ٹیسٹنگ کروائیں اور دستاویز کریں (سوچیں 10^25 FLOPs)۔ "سسٹمک GPAI" کے لیے اضافی ڈیوٹی شروع ہوتی ہے جیسے کہ حوالہ کے نفاذ کی پیشکش کرنا اور EU AI آفس کے ساتھ تعاون کرنا۔
- اوپن سورس ماڈلز ہلکی ٹچ کی ذمہ داریوں سے لطف اندوز ہوتے ہیں، لیکن پھر بھی واٹر مارک سے تیار کردہ مواد اور سپلائی استعمال کی ہدایات کو پیشگی حدود کی تفصیل کے ساتھ ہونا چاہیے۔
اپنے داخلی کنٹرولز کو اوپر مخصوص کردار کی فہرستوں کے ساتھ سیدھ میں لا کر، آپ اگست 2026 اور 2027 کے نفاذ کی آخری تاریخوں سے بہت پہلے کے سب سے واضح تعمیل کے فرق کو ختم کر سکتے ہیں۔
تعمیل حاصل کرنے کے لیے تکنیکی اور تنظیمی تقاضے
EU مصنوعی ذہانت کا ایکٹ ایک سائز کے تمام بلیو پرنٹس کا تعین نہیں کرتا ہے۔ اس کے بجائے، یہ نتائج پر مبنی "ضروری ضروریات" کی وضاحت کرتا ہے اور آپ کو ان کنٹرولز کو منتخب کرنے کے لیے آزاد چھوڑتا ہے جو ان کو ثابت کرتے ہیں۔ چال یہ ہے کہ انجینئرنگ کی اچھی پریکٹس کو ریگولیٹری حفظان صحت کے ساتھ ملایا جائے، تاکہ ہر ماڈل اپ ڈیٹ یا ڈیٹا ریفریش خود بخود دوبارہ قابل تعمیل پائپ لائن میں گر جائے۔ نیچے دیے گئے پانچ بلڈنگ بلاکس ایکٹ کے قانونی مضامین کو ٹھوس کاموں میں ترجمہ کرتے ہیں جو آپ کے پروڈکٹ، ڈیٹا اور قانونی ٹیموں کے پاس ہو سکتے ہیں۔
ڈیٹا گورننس اور مینجمنٹ
خراب ڈیٹا ریگولیٹری کرپٹونائٹ کے برابر ہے۔ آرٹیکل 10 ہائی رسک AI فراہم کرنے والوں کو پائپ لائن میں داخل ہونے والے ہر بائٹ کو دستاویز کرنے اور اس کا جواز پیش کرنے پر مجبور کرتا ہے۔
- کیوریٹ ڈیٹاسیٹس جو ہیں۔ متعلقہ، نمائندہ، غلطی سے پاک، اور تازہ ترین مطلوبہ آبادی کے لیے۔
- ہر کارپس کے لیے ایک "ڈیٹا شیٹ" رکھیں: ماخذ، جمع کرنے کی تاریخ، لائسنس کی شرائط، پری پروسیسنگ کے اقدامات، تعصب کی جانچ، اور برقرار رکھنے کی مدت۔
- ورژن کے زیر کنٹرول ریپوزٹری میں نسب کو ٹریک کریں تاکہ اگر کوئی اتھارٹی اصلاح کا مطالبہ کرے تو آپ واپس جاسکتے ہیں۔
- اعداد و شمار کے لحاظ سے درست طریقے استعمال کرتے ہوئے تعصب اور عدم توازن کی جانچ کریں (
χ²,KS-test، یا ماڈل-ایگنوسٹک فیئرنس میٹرکس) اور لاگ تخفیف کی کارروائیاں۔
مکمل ٹریل رکھیں — خام ڈیٹا، اسکرپٹس، ٹیسٹ کے نتائج— کے لیے قابل رسائی 10 سال; ایکٹ کی واپسی کی کھڑکی لمبی ہے۔
رسک مینجمنٹ فریم ورک
آرٹیکل 9 ایک کی ضرورت ہے۔ مسلسل اور دستاویزی عمل جو ISO 31000 اور مسودہ ISO/IEC 23894 کا آئینہ دار ہے۔
- خطرات کی نشاندہی کریں: غلط استعمال کے منظرنامے، مخالفانہ حملے، ڈیٹا کا بہاؤ۔
- اثرات اور امکانات کا تجزیہ کریں؛ انہیں عام پیمانے پر اسکور کریں (مثال کے طور پر،
risk = probability × severity). - کنٹرول کا فیصلہ کریں: تکنیکی تحفظات، انسانی نگرانی، معاہدے کی حدود۔
- ہر اہم اپ ڈیٹ کے بعد کنٹرولز کی تصدیق کریں۔ اگلے سپرنٹ میں نتائج کو کھلائیں۔
ہر چیز کو زندہ خطرے کے رجسٹر میں محفوظ کریں؛ ریگولیٹرز ٹائم اسٹیمپ، مالکان، اور بند ہونے کے ثبوت دیکھنے کی توقع کرتے ہیں۔
ڈیزائن کے لحاظ سے انسانی نگرانی اور شفافیت
آرٹیکل 14 اور 52 "ہیومن ان دی لوپ" گفتگو کو ڈیزائن کے لازمی کاموں میں تبدیل کرتے ہیں۔
- نگرانی کے موڈ کی وضاحت کریں: ان دی لوپ (دستی منظوری) آن دی لوپ (ریئل ٹائم الرٹس)، یا اوور دی لوپ (پوسٹ ہاک آڈٹ)۔
- وضاحتی پرتوں کو ایمبیڈ کریں: سلینسی نقشے، جوابی مثالیں، آسان فیصلے کے اصول۔
- اوور رائڈ اور فال بیک آپشنز فراہم کریں جو دونوں ہیں۔ تکنیکی طور پر قابل عمل اور تنظیمی طور پر مجاز.
- سادہ زبان میں صارف نوٹس پیش کریں ("آپ ایک AI سسٹم کے ساتھ تعامل کر رہے ہیں") اور جہاں ممکن ہو اعتماد کے اسکور کو ظاہر کریں۔
مضبوطی، درستگی، اور سائبرسیکیوریٹی
آرٹیکل 15 کے تحت، ماڈلز کو اعلان کردہ غلطی کی شرح کے اندر رہنا چاہیے اور بدنیتی پر مبنی مداخلت کی مزاحمت کرنی چاہیے۔
- کم از کم کارکردگی کی حدیں قائم کریں؛ پیداوار میں درستگی، درستگی، یاد کرنے، اور انشانکن بڑھے کی نگرانی کریں۔
- ہر ریلیز سے پہلے مخالف لچک کے ٹیسٹ (FGSM، PGD، ڈیٹا پوائزننگ) چلائیں۔
- NIS2 اور ETSI EN 303 645 کے مطابق انفراسٹرکچر کو سخت کریں: محفوظ APIs، رول پر مبنی رسائی، انکرپٹڈ ماڈل چیک پوائنٹس۔
- فال بیک پلانز تیار کریں—سیف موڈ ڈیفالٹس، انسانی جائزہ میں اضافہ—جب کارکردگی رواداری کے بینڈ سے نیچے آجائے۔
ریکارڈ کیپنگ، لاگنگ، اور عیسوی دستاویزات
اگر اسے نہیں لکھا گیا، تو ایسا کبھی نہیں ہوا- ایک منتر جو آرٹیکل 11 اور 19 میں قانون بن جاتا ہے۔
| دستاویز | کلیدی مواد | برقراری |
|---|---|---|
| ٹیکنیکل فائل | ماڈل فن تعمیر، تربیتی ڈیٹا کا خلاصہ، تشخیصی میٹرکس، سائبر سیکیورٹی کنٹرولز | لائف سائیکل + 10 سال |
| کھنگالیں | ان پٹ، آؤٹ پٹ، اوور رائڈ ایونٹس، کارکردگی کے اعدادوشمار، واقعات | ≥ 6 سال |
| یوروپی یونین کے مطابق ہونے کا اعلامیہ | مطابقت کا بیان، لاگو معیارات، فراہم کنندہ کی تفصیلات | عوامی طور پر دستیاب ہے۔ |
| پوسٹ مارکیٹ مانیٹرنگ پلان | KPIs، رپورٹنگ چینلز، ٹرگر تھریشولڈز | مسلسل اپ ڈیٹ |
جہاں ممکن ہو خودکار لاگ کیپچر؛ غیر تبدیل شدہ اسٹوریج کا استعمال کریں یا صرف منسلک لیجرز استعمال کریں تاکہ ثبوت فرانزک جانچ سے بچ جائیں۔ ڈوزیئر مکمل ہونے کے بعد، چسپاں کریں۔ عیسائی مارکنگ اور سسٹم کو EU ڈیٹا بیس میں جمع کرائیں — تب ہی یہ مارکیٹ میں آ سکتا ہے۔
ان تکنیکی اور تنظیمی کنٹرولوں کو اپنی ڈیولپمنٹ لائف سائیکل میں سخت وائرنگ کر کے، آپ تعمیل کو آخری لمحات کے جھگڑے سے ہمیشہ جاری رہنے والی صلاحیت میں تبدیل کر دیتے ہیں جو آڈیٹرز پہچانیں گے اور انعام دیں گے۔
جرمانے، علاج، اور قانونی چارہ جوئی کی نمائش
EU مصنوعی ذہانت کا ایکٹ شائستہ نوڈز پر انحصار نہیں کرتا ہے۔ یہ اتنی بڑی چھڑی لگاتا ہے کہ ایگزیکٹوز کو ہچکولے کھا سکے۔ مالی پابندیاں جی ڈی پی آر کے پیمانے کی عکاسی کرتی ہیں، پھر بھی یہ ایکٹ حکام کو اختیار دیتا ہے۔ مصنوعات کو شیلف سے کھینچیں، ڈیٹا کو حذف کرنے کا حکم دیں، یا ماڈل کو دوبارہ تربیت دینے پر مجبور کریں۔ اگر خطرات لامحالہ رہیں۔ جرمانے میں جو بھی زیادہ ہو اس کی حد ہوتی ہے — ایک مطلق یورو کی رقم یا پچھلے سال کے عالمی ٹرن اوور کا ایک فیصد — اس لیے ابتدائی مرحلے کے اسٹارٹ اپ بھی مطمئن ہونے سے گریز کرتے ہیں۔ مندرجہ ذیل جدول میں منظور شدہ درجات کا خلاصہ کیا گیا ہے:
| خلاف ورزی کی قسم | زیادہ سے زیادہ فکسڈ جرمانہ | عالمی کاروبار کا زیادہ سے زیادہ % | عام محرکات |
|---|---|---|---|
| ممنوعہ اعمال (آرٹ 5) | €35 ملین | 7٪ | سماجی اسکورنگ، غیر قانونی بائیو میٹرک ماس سرویلنس |
| زیادہ خطرے والی ذمہ داریاں (آرٹس 8-15) | €15 ملین | 3٪ | لاپتہ مطابقت کا اندازہ، ناقص ڈیٹا گورننس |
| معلومات اور رجسٹریشن کی ناکامی۔ | €7.5 ملین | 1٪ | غلط تکنیکی دستاویزات، دیر سے واقعے کی رپورٹنگ |
| معمول کی عدم تعمیل کا نوٹس | . 500K | N / A | انتباہ کے بعد معمولی خلاف ورزیاں |
نگران حکام تدارک کو تیز کرنے کے لیے روزانہ جرمانے کی ادائیگیاں عائد کر سکتے ہیں۔ وہ پروڈکٹس جو اب بھی "سنگین خطرہ" لاحق ہیں۔ واپسی یا مارکیٹ واپسیایک مشہور ہٹ کوئی PR منصوبہ نقاب نہیں کر سکتا۔
انتظامی پابندیاں بمقابلہ سول ذمہ داری
ریگولیٹری جرمانے کہانی کا اختتام نہیں ہیں۔ آنے والا AI لائیبلٹی ڈائرکٹیو (AILD) اور نئے سرے سے تیار کردہ پروڈکٹ لائیبلٹی ڈائرکٹیو (PLD) کے لیے متوازی راستے کھلے ہیں ذاتی نقصان کے دعوے. AI فیصلے سے زخمی ہونے والے متاثرین لطف اندوز ہوں گے:
- A وجہ کا قابلِ تردید مفروضہ جب فراہم کنندگان AI ایکٹ کے فرائض کی خلاف ورزی کرتے ہیں، ثبوت کے بوجھ کو کم کرتے ہیں۔
- افشاء کے حقوق میں توسیع، مدعی کو لاگ اور رسک اسیسمنٹ کی درخواست کرنے دینا جو عام طور پر گھر میں ہی رہیں گے۔
- ممبر ریاستوں میں ہم آہنگی کے قوانین، پھر بھی قومی تشدد کا قانون اب بھی سخت معیارات فراہم کر سکتا ہے (مثال کے طور پر، ڈچ غلط کام کا نظریہ)۔
لہذا کمپنیوں کو ایک سے دو پنچ کا سامنا کرنا پڑ سکتا ہے: ملٹی ملین یورو کا انتظامی جرمانہ جس کے بعد سول طبقے کی کارروائیاں، خاص طور پر کریڈٹ انکار یا امتیازی بھرتی جیسے شعبوں میں۔
ازالہ میکانزم اور وِسل بلور پروٹیکشن
افراد اور این جی اوز براہ راست اپنے ساتھ شکایات درج کر سکتے ہیں۔ قومی مجاز اتھارٹی یا EU AI آفس۔ حکام کو ایک "مناسب مدت" کے اندر تفتیش کرنی چاہیے اور وہ عبوری اقدامات دے سکتے ہیں، بشمول معطلی کے احکامات۔ متاثرہ افراد عدالتی علاج بھی اپنے پاس رکھتے ہیں- حکم امتناعی، معاوضے کے سوٹ، اور نگران فیصلوں کے خلاف اپیلیں۔
ایمپلائز غلط کاموں کی نشاندہی کرنے والوں کو یورپی یونین کے تحت ڈھال دیا جاتا ہے۔ سیٹی چلانے کی ہدایت:
- 50+ عملے والی فرموں کے لیے خفیہ رپورٹنگ چینلز لازمی ہیں۔
- انتقامی کارروائی — برخاستگی، تنزلی، دھمکی— واضح طور پر حرام ہے۔
- اگر اندرونی راستے ناکام ہو جاتے ہیں تو سیٹی بلورز بیرونی طور پر ریگولیٹرز یا پریس تک پہنچ سکتے ہیں۔
ایک اچھی طرح سے مشتہر، گمنام رپورٹنگ لائن قائم کرنا ایک قانونی تقاضہ اور قبل از وقت وارننگ کا نظام ہے جو آپ کو سڑک پر مہنگے نفاذ سے بچا سکتا ہے۔
اے آئی ایکٹ کو جی ڈی پی آر، این آئی ایس 2، پروڈکٹ سیفٹی، اور سیکٹر رولز سے میپ کرنا
EU مصنوعی ذہانت کا ایکٹ (AI Act) کوئی الگ الگ جزیرہ نہیں ہے۔ یہ ایک پرہجوم تعمیل والے سمندر میں پلگ جاتا ہے جس میں پہلے سے ہی ڈیٹا پروٹیکشن، سائبرسیکیوریٹی، اور عمودی حفاظتی فریم ورک شامل ہیں۔ ان کراس کرنٹ کو نظر انداز کرنا خطرناک ہے: ایک AI سسٹم جو ہر AI ایکٹ باکس کو ٹک کرتا ہے پھر بھی GDPR یا NIS2 کی خلاف ورزی کر سکتا ہے، اور اس کے برعکس۔ ذیل میں ہم کلیدی ٹچ پوائنٹس کو نمایاں کرتے ہیں تاکہ آپ کی قانونی، سیکورٹی اور پروڈکٹ ٹیمیں چار الگ الگ چیک لسٹوں کو جگانے کے بجائے ایک واحد، مربوط کنٹرول نقشہ بنا سکیں۔
جی ڈی پی آر اور ای پرائیویسی کے ساتھ اوورلیپ
- قانونی بنیاد اور مقصد کی حد: ہائی رسک ماڈل کے اندر ذاتی ڈیٹا پروسیسنگ کو کم از کم ایک GDPR گراؤنڈ (اکثر جائز دلچسپی یا رضامندی) کو پورا کرنا چاہیے۔
- خودکار فیصلہ سازی کی حدود: آرٹیکل 22 جی ڈی پی آر قانونی یا اہم اثرات کے ساتھ مکمل طور پر خودکار فیصلوں پر پابندی لگاتا ہے۔ AI ایکٹ کی انسانی نگرانی کی ضرورت اکثر تکنیکی حفاظت کے طور پر کام کرتی ہے جو آرٹیکل 22(2)(b) یا (c) کی چھوٹ کو کھول دیتی ہے۔
- جوائنٹ کنٹرولر منظرنامے: جب ایک تعینات کرنے والا کسی وینڈر کے ذریعہ فراہم کردہ GPAI کو ٹھیک کرتا ہے، تو دونوں بن سکتے ہیں۔ مشترکہ کنٹرولرجی ڈی پی آر کے تحت - اس کے مطابق ڈیٹا پروسیسنگ کے معاہدے کی منصوبہ بندی کریں۔
- شفافیت ڈیوٹی ڈبل ٹیپ: AI ایکٹ صارف کے انکشافات ("AI-generated") کو لازمی قرار دیتا ہے، جبکہ GDPR آرٹیکلز 12-14 ڈیٹا کے بہاؤ، برقرار رکھنے اور حقوق کی تفصیلات پرائیویسی نوٹسز کا مطالبہ کرتے ہیں۔ ایک پرتوں والے نوٹس کا مسودہ تیار کریں جو دونوں کا احاطہ کرے۔
سائبرسیکیوریٹی اور NIS2 Synergies
NIS2 "ضروری" اور "اہم" اداروں کے لیے خطرے کی تشخیص، واقعے کے ردعمل، اور سپلائی چین سیکیورٹی کا مطالبہ کرتا ہے۔ AI ایکٹ اس بات کا آئینہ دار ہے کہ 15 دنوں کے اندر مضبوطی کی جانچ، کمزوری کی نگرانی، اور خلاف ورزی کی رپورٹنگ کی ضرورت ہے۔ ایک SOC ورک فلو کا فائدہ اٹھائیں:
- AI ایکٹ کی مطابقت کی تشخیص کے دوران مخالفانہ مضبوطی کے ٹیسٹ چلائیں۔
- نتائج کو NIS2 رسک رجسٹر میں فیڈ کریں۔
- دونوں حکومتوں کے لیے ایک ہی 72 گھنٹے واقعے کی اطلاع دینے والی پلے بک استعمال کریں۔
موجودہ مصنوعات کی قانون سازی کے ساتھ انضمام
اگر آپ کا AI کسی ریگولیٹڈ پروڈکٹ (طبی ڈیوائس، مشینری، کھلونا، لفٹ، آٹوموٹیو سسٹم) کا حفاظتی جزو ہے، تو آپ کو ایک مطابقت کی تشخیص جس کا احاطہ کرتا ہے:
- سیکٹر کے قانون کے تحت عمومی تحفظ یا کارکردگی کے تقاضے؛ اور
- اے آئی ایکٹ کے لوازمات (رسک مینجمنٹ، ڈیٹا گورننس، انسانی نگرانی)۔
نئے قانون سازی کے فریم ورک کے تحت ہم آہنگ معیارات جلد ہی ضروریات کے دونوں سیٹوں کا حوالہ دیں گے، جس میں ایک تکنیکی فائل اور ایک سی ای مارکنگ کی اجازت ہوگی۔
سیکٹر کے لیے مخصوص مثالیں۔
- مالیاتی خدمات: AI ایکٹ لاگنگ کو EBA کے رہنما خطوط کے ساتھ جوڑیں تاکہ انسداد منی لانڈرنگ کے ماڈل کی انصاف پسندی اور وضاحت کی جا سکے۔
- انرجی گرڈ مینجمنٹ: SCADA سسٹمز کے لیے ENTSO-E سائبر سیکیورٹی کے تقاضوں کے ساتھ AI ایکٹ رسک کنٹرول کو میش کریں۔
- آٹوموٹو: UNECE WP.29 سافٹ ویئر اپڈیٹ گورننس کو لازمی قرار دیتا ہے۔ ان اپڈیٹ لاگز کو اپنے AI ایکٹ پوسٹ مارکیٹ مانیٹرنگ میں ضم کریں۔
- صحت کی دیکھ بھال: فالتو آڈٹ سے بچنے کے لیے AI ایکٹ کے ڈیٹاسیٹ دستاویزات کے ساتھ ISO 13485 QMS نمونے جوڑیں۔
بین الاقوامی موازنہ
عالمی کمپنیوں کو EU مصنوعی ذہانت کے ایکٹ (AI Act) کو کہیں اور ابھرتے ہوئے قوانین کے ساتھ ہم آہنگ کرنا چاہیے:
| دائرہ کار | کلیدی آلہ | قابل ذکر اختلاف |
|---|---|---|
| US | ایگزیکٹو آرڈر اور NIST AI RMF | رضاکارانہ لیکن وفاقی حصولی کی بنیاد بن سکتی ہے۔ |
| چین | عبوری جنرل-AI اقدامات | اصلی نام کی رجسٹریشن اور مواد کی فلٹرنگ واجب ہے۔ |
| UK | پرو انوویشن فریم ورک | ریگولیٹر کے لیے مخصوص رہنمائی، ابھی تک کوئی افقی قانون نہیں ہے۔ |
اوورلیپ کی ابتدائی نقشہ سازی کر کے، ملٹی نیشنل ٹیمیں کنٹرول فریم ورک ڈیزائن کر سکتی ہیں جو پہلے مقرر کردہ سخت ترین اصول کو پورا کرتی ہیں، پھر ڈائل ڈاؤن کریں جہاں مقامی قوانین ہلکے ہوں۔
عملی تعمیل چیک لسٹ اور بہترین طریقہ کار
EU مصنوعی ذہانت کے ایکٹ (AI Act) کے مضامین اور تلاوت کو روز مرہ کی مشق میں تبدیل کرنا مشکل محسوس کر سکتا ہے۔ چال یہ ہے کہ سفر کو کاٹنے کے سائز کے اعمال میں توڑ دیا جائے جن کی قانونی، پروڈکٹ اور سیکیورٹی ٹیمیں مالک ہوسکتی ہیں۔ نیچے دیے گئے 12 قدمی روڈ میپ کو ایک زندہ پروجیکٹ پلان کے طور پر استعمال کریں—اگست 2027 تک ہر سپرنٹ ڈیمو اور بورڈ میٹنگ میں اس کا جائزہ لیں۔
- پیداوار اور R&D میں ہر AI یا الگورتھمک جزو کی انوینٹری۔
- ہر نظام کے خطرے کے درجے اور اپنے اداکار کے کردار (فراہم کنندہ، صارف، درآمد کنندہ، تقسیم کنندہ) کی درجہ بندی کریں۔
- قابل اطلاق قوانین (GDPR، NIS2، سیکٹر رولز) کا نقشہ بنائیں اور اوورلیپس کی نشاندہی کریں۔
- AI ایکٹ کے ضروری تقاضوں کے خلاف فرق کا تجزیہ کریں۔
- اپنے کوالٹی مینجمنٹ سسٹم (QMS) کو ڈیزائن یا اپ ڈیٹ کریں۔
- ایک کثیر الشعبہ طرز حکمرانی کا ڈھانچہ کھڑا کریں۔
- تکنیکی دستاویزات کے سانچوں کا مسودہ تیار کریں اور انہیں آباد کرنا شروع کریں۔
- ڈیٹا گورننس اور تعصب کی جانچ کی پائپ لائنیں بنائیں۔
- ابتدائی مطابقت کے جائزے یا خشک آڈٹ چلائیں۔
- اسٹاف کو تربیت دیں—انجینئرز، رسک مالکان، اور کسٹمر سپورٹ۔
- مارکیٹ کے بعد کی نگرانی اور واقعہ کی اطلاع دینے والے ورک فلو کا آغاز کریں۔
- وقتاً فوقتاً جائزے اور مسلسل بہتری کے لوپس کو شیڈول کریں۔
تیاری کا اندازہ اور فرق کا تجزیہ
اسپریڈشیٹ یا ٹکٹ بورڈ کی فہرست کے ساتھ شروع کریں: سسٹم کا نام، مقصد، تربیتی ڈیٹا کے ذرائع، خطرے کی سطح، موجودہ کنٹرولز، اور کھلے خلا۔ ہر خلا کو ایک مالک اور ایک آخری تاریخ تفویض کریں۔ ہر بندش کے بعد بقایا خطرے کو دوبارہ اسکور کریں؛ ریگولیٹرز اس بار بار بہتری کے راستے کو دیکھنا پسند کرتے ہیں۔
صحیح حکمرانی کے ڈھانچے کی تعمیر
لوگوں کو، نہ صرف پالیسیوں کو، انچارج میں رکھیں:
- اے آئی کمپلائنس آفیسر: اکیلا گلا دبانا۔
- کراس فنکشنل اخلاقیات کمیٹی: پروڈکٹ، قانونی، سیکورٹی، HR۔
- بیرونی جائزہ لینے والا یا مطلع شدہ باڈی رابطہ۔
- خاموش فیصلہ سازی سے بچنے کے لیے اپنے DPO اور CISO کے ساتھ سخت رابطہ۔
دستاویز میٹنگ کیڈنس، فیصلے کے حقوق، اور ترقی کے راستے۔
دستاویزات اور ٹولز
نوادرات کو معیاری بنائیں تاکہ انجینئرز پہیے کو دوبارہ ایجاد نہ کر سکیں:
| سانچہ | مقصد | تجویز کردہ فارمیٹ |
|---|---|---|
| ماڈل کارڈ | صلاحیتیں، حدود، میٹرکس | مارک ڈاؤن + JSON |
| ڈیٹا شیٹ | ماخذ، لائسنسنگ، تعصب ٹیسٹ | سپریڈ شیٹ |
| شفافیت کی رپورٹ | صارف کے سامنے انکشاف | ایچ ٹی ایم ایل / پی ڈی ایف |
| بنیادی حقوق IA | پبلک سیکٹر تعینات کرنے والے | فارم پر مبنی ٹول |
اوپن سورس مدد: EU AI ٹول کٹ، ISO/IEC 42001 ڈرافٹ چیک لسٹ، اور تعصب میٹرکس کے لیے GitHub ریپوز۔
وینڈر اور سپلائی چین مینجمنٹ
بہاؤ AI ایکٹ کے فرائض بہاو:
- مطابقت کی تشخیص کی وارنٹی اور آڈٹ کے حقوق کو شامل کریں۔ معاہدے.
- سپلائی کرنے والوں سے ماڈل کارڈز، مضبوطی کے ٹیسٹ کے نتائج، اور واقعہ کے نوشتہ جات کا اشتراک کرنے کا تقاضہ کریں۔
- تیزی سے خطرے کے انکشاف کے لیے مشترکہ سلیک یا ٹکٹ کی قطار ترتیب دیں۔
مسلسل نگرانی اور ماڈل لائف سائیکل اپ ڈیٹس
پہلے سے تعیناتی، استعمال میں، اور تعیناتی کے بعد کی نگرانی ایک ہی ٹیلی میٹری اسٹیک سے چلنی چاہیے۔ دوبارہ تشخیص کو متحرک کریں جب:
- ان پٹ ڈیٹا کی تقسیم کی تبدیلیاں (
KL divergence> پہلے سے طے شدہ حد)۔ - درستگی اعلان کردہ کم از کم سے نیچے گرتی ہے۔
- ایک سنگین واقعہ یا قریب سے مس لاگ ان ہے۔
سہ ماہی گورننس کے جائزوں اور سالانہ بیرونی آڈٹ کے ساتھ لوپ کو بند کریں — اس بات کا ثبوت کہ تعمیل ایک واحد منصوبہ نہیں ہے بلکہ ایک مستقل صلاحیت ہے۔
اکثر پوچھے گئے سوالات: عام سوالات کے فوری جوابات
کیا EU AI ایکٹ پہلے سے نافذ ہے؟
جی ہاں ریگولیشن (EU) 2024/1689 1 اگست 2024 کو نافذ ہوا۔ تاہم، زیادہ تر ٹھوس ذمہ داریوں کا مرحلہ بعد میں: ممنوعہ طرز عمل فروری 2025 تک ختم ہو جاتا ہے، شفافیت کے قوانین اگست 2025 سے شروع ہوتے ہیں، ہائی رسک ڈیوٹی اگست 2026 میں پہنچ جاتی ہے (بائیو میٹرکس اگست 2027)۔ لہذا گھڑی ٹک ٹک کر رہی ہے حالانکہ مکمل درخواست ابھی بھی جاری ہے۔
خطرے کی چار سطحیں کیا ہیں؟
EU مصنوعی ذہانت کا ایکٹ سسٹمز کو گروپ کرتا ہے (1) ناقابل قبول خطرہ—مکمل طور پر ممنوع۔ (2) زیادہ خطرے کی اجازت صرف مطابقت کی تشخیص اور سی ای مارکنگ کے بعد؛ (3) محدود خطرہ — بنیادی طور پر شفافیت کے فرائض (مثلاً چیٹ بوٹس، ڈیپ فیکس)؛ اور (4) کم سے کم خطرہ — کوئی سخت اصول نہیں لیکن رضاکارانہ کوڈز کی حوصلہ افزائی کی جاتی ہے۔ آپ کا پہلا کام ہر ماڈل کو ان درجوں میں سے کسی ایک پر نقشہ بنانا ہے۔
کیا ایکٹ نے قومی AI حکمت عملیوں کی جگہ لے لی ہے؟
نہیں، رکن ممالک قومی حکمت عملی، سینڈ باکس، اور فنڈنگ اسکیمیں رکھ سکتے ہیں یا بنا سکتے ہیں۔ ایکٹ صرف ہم آہنگی کرتا ہے۔ ریگولیٹری تقاضے تاکہ کاروباروں کو یورپی یونین میں ایک اصولی کتاب کا سامنا ہو۔ مقامی اقدامات کو ضابطے کے خطرے کے فریم ورک سے متصادم یا اس کے نفاذ کے طریقہ کار کو کمزور نہیں کرنا چاہیے۔
کیا اسٹارٹ اپس کو چھوٹ حاصل ہے؟
واقعی نہیں۔ کمپنی کے سائز سے قطع نظر قوانین لاگو ہوتے ہیں کیونکہ خطرہ، آمدنی نہیں، ذمہ داریوں کو آگے بڑھاتا ہے۔ اس نے کہا، سینڈ باکس، کچھ GPAI ماڈلز کے لیے ہلکی دستاویزات، اور کمیشن کی مالی اعانت سے چلنے والی رہنمائی کا مقصد SMEs کے لیے انتظامی رگڑ کو کم کرنا ہے۔ تعمیل کو نظر انداز کرنا کیونکہ آپ "چھوٹے" ہیں ایک خطرناک غلط فہمی ہے۔
AI ایکٹ اوپن سورس ماڈلز کے ساتھ کیسے سلوک کرتا ہے؟
ماڈل وزن کو عوامی طور پر جاری کرنا آپ کو مستثنیٰ نہیں کرتا ہے۔ آپ کو ابھی بھی تربیتی ڈیٹا کے خلاصے، واٹر مارک سے تیار کردہ مواد فراہم کرنا، اور استعمال کی ہدایات شائع کرنا چاہیے۔ بند تجارتی ماڈلز کے مقابلے میں ذمہ داریاں ہلکی ہیں، لیکن اگر آپ کا اوپن سورس سسٹم "سسٹمک GPAI" بن جاتا ہے، تو اضافی جانچ اور رپورٹنگ کے فرائض شروع ہو جاتے ہیں۔
کیا ایکٹ ایک ہدایت ہے؟
نہیں، یہ ایک ضابطہ ہے—ہر رکن ریاست میں قومی تبدیلی کے بغیر براہ راست لاگو ہوتا ہے۔ اس کے بارے میں جی ڈی پی آر کی طرح سوچیں: ایک بار جب یہ نافذ ہو گیا، قانونی ذمہ داریاں EU میں موجود تھیں، اور صرف عملی نفاذ کی رہنمائی مقامی طور پر مختلف ہو سکتی ہے۔
اگر میرا فراہم کنندہ EU سے باہر ہے تو کیا ہوگا؟
علاقائی رسائی مندرجہ ذیل ہے۔ پیداوارہیڈکوارٹر نہیں اگر کسی بیرون ملک فروش کے نظام کی EU میں مارکیٹنگ کی جاتی ہے یا اس کے نتائج یہاں استعمال کیے جاتے ہیں، تو فراہم کنندہ کو EU AI ایکٹ کے تقاضوں کو پورا کرنا اور EU میں مقیم قانونی نمائندے کو نامزد کرنا چاہیے۔ یونین کے اندر تعینات کرنے والے اب بھی صارف کی ذمہ داریاں نبھاتے ہیں، لہذا سپلائی کرنے والوں کا انتخاب احتیاط سے کریں۔
کلیدی لے لو
اب بھی سکیمنگ؟ یہاں دھوکہ دہی کی شیٹ ہے:
- EU مصنوعی ذہانت کا ایکٹ (AI Act) اب کوئی مسودہ نہیں رہا ہے۔ یکم اگست 1 سے نافذ ہے۔ اور پہلے افقی، خطرے پر مبنی AI قانون کہیں بھی لاتا ہے۔
- رسک ٹائرنگ ہر چیز کو چلاتی ہے: ناقابل قبول نظاموں پر پابندی ہے۔, ہائی رسک سسٹمز کو سی ای مارکنگ اور رجسٹری انٹری کی ضرورت ہوتی ہے۔، جبکہ محدود اور کم سے کم خطرے والے ٹولز کو ہلکے — لیکن صفر — ڈیوٹی کا سامنا کرنا پڑتا ہے۔
- عدم تعمیل مہنگا ہے: تک €35 ملین یا عالمی کاروبار کا 7% ممنوعہ طریقوں کے علاوہ EU کی آئندہ ہدایات کے تحت ممکنہ شہری ذمہ داری۔
- ذمہ داریاں سپلائی چین میں ہوتی ہیں: فراہم کنندگان، استعمال کنندگان، درآمد کنندگان، اور تقسیم کنندگان میں سے ہر ایک کے پاس مخصوص چیک لسٹ ہوتے ہیں، اور عام مقصد کے ماڈلز میں اب پہلے سے طے شدہ اصول ہوتے ہیں۔
- یہ ایکٹ GDPR، NIS2، یا مصنوعات کی حفاظت کے قوانین کی جگہ نہیں لیتا ہے۔ آپ کو تمام فریم ورک کو ایک مربوط گورننس پروگرام میں جوڑنا چاہیے۔
قانونی متن کو ورکنگ کوڈ، پالیسیوں اور معاہدوں میں تبدیل کرنے میں مدد کی ضرورت ہے؟ پر ٹیکنالوجی اور رازداری کے وکلاء Law & More ایک تیز رفتار AI ایکٹ ریڈینس اسکین کر سکتا ہے، مطلوبہ دستاویزات کا مسودہ تیار کر سکتا ہے، اور مطابقت کی تشخیص کے ذریعے آپ کی رہنمائی کر سکتا ہے — اس سے پہلے کہ آڈیٹرز دستک دیں۔
