AI Act و رضایت کوکی در ۲۰۲۶: جایگاه پروفایلسازی، سیستمهای توصیهگر و تبلیغات هدفمند در چارچوب نظارتی جدید
AI Act (Regulation ۲۰۲۴/۱۶۸۹) در اوت ۲۰۲۴ لازمالاجرا شد و مفاد آن در طول یک اجرای چندساله مرحلهبندی میشود. قوانین شیوههای ممنوع در فوریه ۲۰۲۵ اجرایی شدند، تعهدات هوش مصنوعی عمومی در اوت ۲۰۲۵ و بخش عمدهای از تعهدات سیستم پرخطر در طول سالهای ۲۰۲۶ و ۲۰۲۷ اجرایی میشوند. در آغاز ۲۰۲۶، AI Act دیگر نگرانی آینده نیست — این یک مقررات عملیاتی است که برای هر سیستمی که از AI برای پروفایلسازی، امتیازدهی یا رتبهبندی کاربران EU استفاده میکند، بر GDPR لایه میافزاید. برای ناشرانی که سیستمهای توصیهگر را اداره میکنند، تبلیغکنندگانی که موتورهای شخصیسازی را اداره میکنند و فروشندگان فناوری تبلیغات که امتیازدهی خودکار مخاطبان را انجام میدهند، AI Act یک بُعد انطباق جدید اضافه میکند که GDPR بهتنهایی هرگز آن را پوشش نداده است: نهتنها اینکه آیا کاربر به پردازش داده رضایت داده است، بلکه اینکه آیا سیستم AI خود الزامات طراحی، شفافیت، نظارت و پاسخگویی قانون را برآورده میکند. این راهنما ساختار AI Act، نحوه تقاطع آن با قوانین رضایت کوکی و پروفایلسازی GDPR، الزامات واقعی ۲۰۲۶ و نحوه تفکر ناشران و تبلیغکنندگان درباره سطح انطباق ترکیبی GDPR-بهاضافه-AI Act را بررسی میکند.
ساختار AI Act در ۲۰۲۶
AI Act اولین مقررات جامع افقی هوش مصنوعی در جهان است. معماری آن با سطوح ریسک مرتبط کلید درک این است که کدام تعهدات برای کدام سیستمها اعمال میشوند.
سطوح ریسک
قانون سیستمهای AI را بر اساس خطری که ایجاد میکنند به چهار سطح تقسیم میکند:
- سیستمهای ممنوع — شیوههایی که بهطور کامل ممنوع هستند، از جمله تکنیکهای زیرآستانهای دستکاریگر، بهرهبرداری از آسیبپذیریها، امتیازدهی اجتماعی توسط مقامات عمومی و اشکال خاصی از طبقهبندی بیومتریک و تشخیص احساسات
- سیستمهای پرخطر — سیستمهایی که در موقعیتهای با سهام بالا استفاده میشوند و تابع بخش عمدهای از تعهدات ماهوی قانون هستند، از جمله مدیریت ریسک، حاکمیت داده، شفافیت، نظارت انسانی و الزامات دقت
- سیستمهای ریسک محدود — سیستمهایی با تعهدات شفافیت خاص، از جمله اکثر توصیهگرهای محتوای مبتنی بر AI و چتباتهایی که مستقیماً با کاربران تعامل میکنند
- سیستمهای ریسک حداقلی — همه چیز دیگر، تابع تنها آییننامههای داوطلبانه عمومی
جایگاه تبلیغات و سیستمهای توصیهگر
اکثر AI تبلیغاتی — امتیازدهی مخاطبان، بهینهسازی مناقصه برنامهای، توصیهگرهای محتوا، موتورهای شخصیسازی — در سطح ریسک محدود قرار میگیرند نه سطح ریسک بالا. این خوب به نظر میرسد، اما سطح ریسک محدود همچنان تعهدات شفافیت معناداری دارد و برخی موارد مرزی سیستمهای خاص را به سطوح بالاتر میرانند. بهطور حیاتی، قوانین شیوههای ممنوع میتوانند به سیستمهای تبلیغاتی برسند اگر وارد قلمرو دستکاری یا بهرهبرداری شوند، و EDPB نشان داده که حاضر است این مقررات را بهطور گسترده تفسیر کند.
مرحلهبندی
تقویم ۲۰۲۶ اهمیت دارد: تعهدات پرخطر برای سیستمهای جدید در اوت ۲۰۲۶ اجرایی میشوند، تعهدات پرخطر برای سیستمهایی که از قبل در بازار هستند در ۲۰۲۷ اجرایی میشوند، و تعهدات ارائهدهندگان AI عمومی از قبل اجرایی است. ناشران و تبلیغکنندگان باید موجودی AI خود را با این تقویم مقایسه کنند تا بدانند چه تعهداتی در چه زمانی اعمال میشوند.
نحوه لایهافزایی AI Act بر GDPR
AI Act جایگزین GDPR نمیشود. در بالای آن قرار میگیرد. سیستمی که دادههای شخصی را برای تولید خروجیهای مبتنی بر AI پردازش میکند باید هر دو رژیم را برآورده کند و تعهدات جمعپذیر هستند نه جایگزین.
لایه GDPR
GDPR همچنان بر قانونی بودن پردازش دادههای شخصی حاکم است. رضایت برای پروفایلسازی تبلیغاتی، مبنای قانونی برای اندازهگیری، خوشه حقوق موضوع داده، تعهدات انتقال فرامرزی — همه اینها بدون تغییر به اجرا درمیآیند.
لایه AI Act
علاوه بر GDPR، AI Act تعهداتی را بهطور خاص درباره خود سیستم AI اضافه میکند: چگونه آموزش دیده، چه دادههایی وارد آموزش شده، چگونه خروجیهایش مستند شده، چه مکانیسمهای نظارتی وجود دارد، چه شفافیتی کاربر دریافت میکند. این تعهدات به سیستم AI متصل میشوند صرف نظر از اینکه پردازش داده زیرین مبتنی بر رضایت، قرارداد یا برخی مبنای قانونی دیگر باشد.
پیامد عملی
ناشری که یک توصیهگر محتوا بر دادههای شخصی اجرا میکند، هم به یک مبنای قانونی معتبر GDPR برای پردازش داده و هم به افشای شفافیت مطابق AI Act نیاز دارد. هیچکدام بهتنهایی کافی نیستند. سطح انطباق اکنون واقعاً دوبُعدی است و زنجیره مستندات باید هر دو محور را پوشش دهد.
شیوههای ممنوع و تبلیغات
فهرست شیوههای ممنوع قانون کوتاه اما پیامددار است و چندین ورودی برای طراحی تبلیغات پیامد دارند.
تکنیکهای دستکاریگر
قانون سیستمهای AI را که تکنیکهای زیرآستانهای، شیوههای دستکاریگر یا آسیبپذیریهای گروههای خاص را بهگونهای که احتمالاً آسیب قابلتوجهی ایجاد میکند بهرهبرداری میکنند ممنوع میکند. اکثر طراحیهای تبلیغاتی به این خط نزدیک نمیشوند — اما تبلیغاتی که با استفاده از پروفایلسازی مبتنی بر AI آسیبپذیریهای شناساییشده (فشار مالی، حالات سلامت روان، الگوهای اعتیاد) را هدف قرار میدهد ممکن است آن را رد کند. EDPB این موضوع را در راهنماییهای اولیه علامتگذاری کرده است.
طبقهبندی بیومتریک
قانون طبقهبندی بیومتریکی را که ویژگیهای حساسی مانند نژاد، عقیده سیاسی، عضویت در اتحادیه، اعتقاد دینی، زندگی جنسی یا گرایش جنسی را استنتاج میکند ممنوع میکند. بخشهای مخاطبان ساختهشده از دادههای بیومتریک که این ویژگیها را استنتاج میکنند اکنون در قلمرو ممنوع هستند.
تشخیص احساسات در موقعیتهای خاص
تشخیص احساسات در موقعیتهای کاری و آموزشی ممنوع است. موارد استفاده از تشخیص احساسات در تبلیغات خارج از آن موقعیتها ممکن است همچنان مجاز باشد اما با بررسی دقیقتری روبرو میشود.
تعهدات شفافیت ریسک محدود
اینجاست که بخش عمده کار انطباق AI Act ناشران و تبلیغکنندگان در ۲۰۲۶ قرار دارد.
افشای سیستم توصیهگر
توصیهگرهای محتوا که آنچه کاربران میبینند را شخصیسازی میکنند — چه در صفحه اصلی ناشر، در فید درونبرنامهای، یا در قرارگیری تبلیغ برنامهای — زیر سطح ریسک محدود قرار میگیرند. کاربران باید مطلع شوند که با یک سیستم AI تعامل میکنند و سیستم باید طوری طراحی شود که ماهیت AI تعامل واضح باشد.
افشای چتبات
هر سیستم AI که مستقیماً با کاربران به شکل مکالمهای تعامل میکند باید ماهیت AI خود را افشا کند. ناشران و تبلیغکنندگانی که رابطهای چت AI را برای پشتیبانی مشتری، کشف محتوا یا هر هدف دیگری اداره میکنند باید این خط پایه را برآورده کنند.
افشای محتوای مصنوعی
تصاویر، صدا، ویدئو و محتوای متنی تولیدشده توسط AI باید بهعنوان چنین علامتگذاری شوند. ناشرانی که از تصاویر یا متن تولیدشده توسط AI در محتوای ویرایشی، خلاقیت تبلیغاتی یا تصاویر محصولات استفاده میکنند باید تعهدات علامتگذاری را اعمال کنند. راهنمایی اجرایی ۲۰۲۶ مشخصات فنی علامتگذاری را روشن کرده است، از جمله استانداردهای واترمارک برای محتوای بصری.
سطح رضایت ترکیبی در ۲۰۲۶
CMP و اطلاعیه حریم خصوصی اکنون باید برای هر دو رژیم کار کنند. CMP ناشر ۲۰۲۶ بهطور معناداری پیچیدهتر از پیشرو ۲۰۲۴ خود است.
اهداف رضایت دقیق
CMP اهداف رضایتی را که بین تبلیغات عمومی، پروفایلسازی برای تبلیغات، تصمیمگیری خودکار و شخصیسازی توصیهگر تمایز قائل میشوند را نشان میدهد. هر کدام با یک مرز خاص AI Act و GDPR مطابقت دارند و هر کدام به رضایت مثبت خود نیاز دارند.
افشاهای سیستم AI
اطلاعیه حریم خصوصی یا یک سند افشای AI همراه، سیستمهای AI مورد استفاده، اهداف آنها، دستهبندیهای داده ورودی، منطق گسترده خروجیها و مکانیسمهای نظارت انسانی موجود را توصیف میکند. این بیشتر از افشای تصمیم خودکار ماده ۲۲ GDPR است — یک داستان کاملتر از شفافیت AI است.
حق اعتراض
حق GDPR برای اعتراض به پروفایلسازی همچنان اعمال میشود و AI Act حقوق بیشتری را برای کاربران در اطراف شخصیسازی توصیهگر مبتنی بر AI اضافه میکند. کاربران میتوانند از شخصیسازی توصیهگر خارج شوند بدون اینکه دسترسی به خدمات اصلی را از دست بدهند و خروج باید حداقل به همان آسانی ورود باشد.
الگوهای عملیاتی موثر در ۲۰۲۶
ناشران و تبلیغکنندگانی که برنامههای بالغ ۲۰۲۶ را اجرا میکنند به چند الگوی عملیاتی همگرا میشوند.
موجودی AI
یک موجودی زنده از هر سیستم AI مورد استفاده در پشته ناشر یا تبلیغکننده نگه دارید: سیستم، سطح ریسک آن زیر قانون، دادههای شخصی که پردازش میکند، مبنای قانونی آن زیر GDPR، افشاهای شفافیت اعمالشده بر آن و نظارت انسانی موجود. این مصنوع انطباق بنیادی است و همان چیزی است که ناظران ابتدا میخواهند ببینند.
اطلاعیه حریم خصوصی ترکیبی
یک اطلاعیه حریم خصوصی و شفافیت AI ترکیبی واحد — پرتغالی، آلمانی، فرانسوی یا هر زبانی که برای مخاطبان مناسب است — که هم تعهدات GDPR و هم AI Act را در روایتی منسجم برمیشمارد. تلاش برای نگهداری دو افشای جداگانه منجر به تناقضات و سردرگمی خواننده میشود.
ممیزی AI فروشنده
برای هر فروشنده تبلیغاتی یا تحلیلی که خروجیهای مبتنی بر AI را از طرف ناشر پردازش میکند، قرارداد باید تخصیص تعهدات AI Act، دسترسی به مستندات فنی و اطلاعرسانی حوادث را پوشش دهد. توافقنامههای استاندارد پردازش داده از ۲۰۲۳ AI Act را پوشش نمیدهند و باید بهروزرسانی شوند.
جریمهها و موضع اجرا
AI Act یک رژیم جریمههای مرحلهای با جریمههای اداری معرفی میکند که میتوانند از حداکثرهای GDPR فراتر روند.
سطوح جریمه
- تا EUR ۳۵ میلیون یا ۷ درصد از گردش مالی سالانه جهانی برای نقض شیوههای ممنوع
- تا EUR ۱۵ میلیون یا ۳ درصد برای اکثر نقضهای ماهوی دیگر
- تا EUR ۷.۵ میلیون یا ۱ درصد برای ارائه اطلاعات نادرست
معماری اجرا
هر کشور عضو مقامات ملی صالح برای اجرای AI Act را تعیین میکند و دفتر AI اروپا نظارت بر مدلهای AI عمومی را هماهنگ میکند. اجرا علیه ناشران و تبلیغکنندگان عمدتاً از طریق مقامات ملی، اغلب در هماهنگی نزدیک با مقامات حفاظت از داده موجود، انجام میشود. اولین اقدامات اجرایی معنادار AI Act با کاملشدن تعهدات پرخطر در طول ۲۰۲۶ انتظار میرود.
چکلیست ممیزی برای تبلیغات مبتنی بر AI در ۲۰۲۶
- موجودی زنده از هر سیستم AI در پشته با طبقهبندی سطح ریسک
- مبنای قانونی GDPR برای هر سیستم AI که دادههای شخصی را پردازش میکند مستند شده
- افشاهای شفافیت AI Act برای هر سیستم ریسک محدود اعمال شده، از جمله شخصیسازی توصیهگر و چتباتها
- علامتگذاری محتوای مصنوعی برای خلاقیت، تصاویر، صدا و ویدئوی تولیدشده توسط AI اعمال شده
- اطلاعیه حریم خصوصی و شفافیت AI ترکیبی به زبان محلی مرتبط
- CMP پروفایلسازی، تصمیمگیری خودکار و شخصیسازی توصیهگر را بهعنوان اهداف جداگانه قابل رضایت نشان میدهد
- بخشهای مخاطبان در برابر فهرست ممنوع طبقهبندی بیومتریک بررسی میشوند
- قراردادهای فروشنده برای پوشش تخصیص تعهدات AI Act بهروزرسانی شده
- مکانیسمهای نظارت انسانی برای هر سیستمی که به مرز پرخطر نزدیک میشود مستند شده
- جریان کاری حقوق موضوع داده و کاربر AI Act میتواند به درخواستهای خروج، توضیح و بررسی انسانی در پنجرههای پاسخ قابل اجرا پاسخ دهد
چشمانداز ۲۰۲۶
AI Act جایگزین GDPR نمیشود — روی آن انباشته میشود و سطح ترکیبی بهطور معناداری پیچیدهتر از هر رژیم بهتنهایی است. برای ناشران و تبلیغکنندگانی که شخصیسازی مبتنی بر AI، پروفایلسازی، سیستمهای توصیهگر یا محتوای مولد را اجرا میکنند، ۲۰۲۶ سالی است که معماری انطباق باید فراتر از موضع خالص GDPR بالغ شود. آنهایی که AI Act را بهعنوان نگرانی آینده تلقی میکنند خواهند دید که آینده سریعتر از انتظار میرسد، با مقامات ملی که اولین اقدامات اجرایی خود را در طول ۲۰۲۶ و تا ۲۰۲۷ صادر میکنند. آنهایی که انطباق ترکیبی را از ابتدا میسازند خواهند دید که معماری سود میدهد: تعهدات شفافیت AI Act، بهخوبی اجراشده، همچنین داستان رضایت و اعتماد GDPR را تقویت میکند و انضباط عملیاتی نگهداری موجودی AI زنده فراتر از انطباق نظارتی مفید است.