EU AI Act Стаття 12: вимоги до журналювання — детальний розбір
Коли інженерні команди чують «вимоги до журналювання за EU AI Act», більшість припускає, що відповідь — «увімкнути докладне журналювання». Стаття 12 є більш конкретною та більш вимогливою. Це не вимога обсягу. Це вимога структури.
Повний текст статті 12 містить три абзаци. Наслідки для реалізації значно ширші. Ось що насправді вимагає закон — у перекладі на інженерні терміни.
TL;DR
- Стаття 12 EU AI Act вимагає автоматичного, точного журналювання подій для систем AI високого ризику
- Журналювання повинно забезпечувати виявлення ризиків, моніторинг після випуску та перевірку регуляторами
- Конкретні необхідні дані: період використання, референсна база даних, вхідні дані та ідентичність осіб, що здійснюють нагляд
- Журнали повинні мати захист від фальсифікації — не просто зберігатися, але бути верифікованими
- Стаття 12 не визначає формат; вона визначає функцію — ваші журнали повинні забезпечувати можливість реконструкції AI-рішень
Що насправді говорить стаття 12
Стаття 12 EU AI Act озаглавлена «Можливості журналювання». Оперативний текст для систем AI високого ризику говорить:
«Системи AI високого ризику повинні технічно забезпечувати автоматичний запис подій (‘журнали’) протягом усього терміну служби системи… Можливості журналювання повинні забезпечувати моніторинг роботи системи AI високого ризику з метою виявлення ситуацій, які можуть призвести до того, що система AI представлятиме ризик…»
Три фрази визначають вимогу:
«Автоматичний запис» — Журнали повинні генеруватися системою, а не складатися вручну. Агент, що вимагає від людини документувати свої дії, не відповідає цьому стандарту.
«Протягом усього терміну служби системи» — Журналювання не є пунктом чеклісту при запуску. Воно повинно працювати від початкового розгортання до виведення з експлуатації.
«Виявлення ситуацій, які можуть призвести до ризику» — Це визначає функціональний стандарт. Ваші журнали повинні бути структуровані так, щоб аномалія, порушення політики або ризиковий паттерн були виявними з даних журналів.
Повний текст див. в офіційному тексті EU AI Act.
На кого поширюється стаття 12
Стаття 12 поширюється на провайдерів систем AI високого ризику. Системи високого ризику визначені в Додатку III EU AI Act і охоплюють:
- Біометричну ідентифікацію та категоризацію
- Управління критичною інфраструктурою
- Оцінку в сфері освіти та професійного навчання
- Прийняття рішень у сфері зайнятості
- Основні приватні та публічні послуги (включно з кредитним скорингом)
- Правоохоронну діяльність
- Міграцію та прикордонний контроль
- Відправлення правосуддя
Чеклист журналювання за статтею 12 для інженерних команд
Структурні вимоги
□ Автоматичне журналювання вбудовано в архітектуру системи
□ Журнали генеруються за кожним періодом використання
□ Генерація журналів продовжується протягом усього терміну служби системи
Вимоги до змісту
□ Зафіксована референсна база даних
□ Зафіксовані вхідні дані
□ Зафіксована ідентичність осіб, що здійснюють нагляд
□ Зафіксовані рішення та їхнє обґрунтування
Вимоги до цілісності
□ Журнали мають захист від фальсифікації Ed25519 підписи + хеш-ланцюжок задовольняють цю вимогу.
□ Журнали зберігаються окремо від виробничої системи
□ Термін зберігання відповідає правовим вимогам Мінімум 6 місяців; регульовані галузі — зазвичай 5–10 років.
Операційні вимоги
□ Журнали доступні регуляторним органам
□ Журналювання охоплює збої системи та аномалії
| Вимога | Поширена реалізація | Перевірка прогалини |
|---|---|---|
| Автоматичне журналювання | Вбудовано в шар управління | ✅ якщо на рівні управління, ❌ якщо лише на рівні застосунку |
| Зафіксовані вхідні дані | Запис доказів включає параметри запиту | ✅ якщо параметри захоплені, ❌ якщо лише статус-код |
| Захист від фальсифікації | Підписи Ed25519 + хеш-ланцюжок | ✅ якщо підписано, ❌ якщо plaintext |
| Зберігання 6+ місяців | Визначена політика зберігання | ✅ якщо політика існує, ❌ якщо ad hoc |
Поширені прогалини, які пропускають інженерні команди
Помилка 1: Журналювання на рівні застосунку, а не на рівні управління.
Помилка 2: Журналювання вихідних даних, а не вхідних.
Помилка 3: Розгляд зберігання як вимоги до журналювання.
Помилка 4: Прогалини під час оновлень.
Часті запитання
П: Чи застосовується стаття 12 до AI-агентів, що використовуються лише всередині компанії?
Класифікація високого ризику ґрунтується на функції, а не на аудиторії. Перевірте Додаток III відносно конкретної функції вашого агента.
П: Що являє собою адекватне журналювання «вхідних даних» для AI-агента?
Стандарт — те, що необхідно для реконструкції рішення в цілях аудиту. Журналюйте те, що потрібно аудитору відповідності для відстеження причинності від входу до рішення.
П: Чи існують конкретні вимоги до формату за статтею 12 EU AI Act?
Ні. Стаття 12 визначає функцію, а не формат. JSON, структуровані бази даних та підписані бінарні формати — всі задовольняють вимогу, якщо відповідають функціональному стандарту.
Микола Ковтун, засновник Infracortex AI Studio. Cortex реалізує журналювання, що відповідає статті 12, для розгортань AI-агентів — автоматичне, із захистом від фальсифікації та структуроване для перевірки регуляторами. Забронюйте дзвінок для аудиту вашого поточного журналювання.
Дивіться також: EU AI Act Стаття 9: безперервне управління ризиками | EU AI Act Стаття 14: побудова практичного нагляду людини | Чому журнали вашого AI-агента не пройдуть аудит
Cortex build: 0.1.35-260423
