2026 میں EU AI Act اور کوکی رضامندی: پروفائلنگ، ریکمنڈیشن سسٹم، اور ٹارگٹڈ ایڈورٹائزنگ نئے ریگولیٹری ڈھانچے میں کیسے فٹ ہوتے ہیں
The EU AI Act (Regulation 2024/1689) اگست 2024 میں نافذ ہوا، اس کی دفعات کئی سالہ مدت میں مرحلہ وار متعارف کروائی گئیں۔ ممنوعہ طریقوں کے اصول فروری 2025 میں نافذ ہوئے، عمومی مقصد AI کی ذمہ داریاں اگست 2025 میں، اور ہائی رسک سسٹم کی ذمہ داریوں کا بڑا حصہ 2026 میں اور 2027 تک نافذ ہو رہا ہے۔ 2026 کے آغاز تک، AI Act ایک مستقبل کی فکر نہیں رہا — یہ ایک آپریشنل ضابطہ ہے جو GDPR کے اوپر پرت بناتا ہے کسی بھی ایسے سسٹم کے لیے جو EU صارفین کو پروفائل، اسکور، یا رینک کرنے کے لیے AI استعمال کرتا ہو۔ ریکمنڈیشن سسٹم چلانے والے پبلشرز، ذاتی کاری کے انجن چلانے والے ایڈورٹائزرز، اور خودکار آڈینس اسکورنگ چلانے والے ایڈ ٹیک وینڈرز کے لیے، AI Act تعمیل کی ایک نئی جہت شامل کرتا ہے جسے GDPR اکیلے کبھی نہیں ڈھانپتا تھا: نہ صرف یہ کہ صارف نے ڈیٹا پروسیسنگ کی رضامندی دی یا نہیں، بلکہ یہ کہ AI سسٹم خود ایکٹ کے ڈیزائن، شفافیت، نگرانی، اور جوابدہی کے تقاضوں کو پورا کرتا ہے یا نہیں۔ یہ گائیڈ AI Act کی ساخت، کوکی رضامندی اور GDPR پروفائلنگ اصولوں سے اس کے تقاطع، 2026 کی ذمہ داریوں کے اصل تقاضوں، اور پبلشرز و ایڈورٹائزرز کو مشترکہ GDPR-plus-AI-Act تعمیل کی سطح کے بارے میں کیسے سوچنا چاہیے، ان سب پر روشنی ڈالتی ہے۔
2026 میں AI Act کی ساخت
AI Act مصنوعی ذہانت کا دنیا کا پہلا جامع افقی ضابطہ ہے۔ اس کا رسک ٹائرڈ آرکیٹیکچر یہ سمجھنے کی کلید ہے کہ کون سی ذمہ داریاں کن سسٹمز پر لاگو ہوتی ہیں۔
رسک ٹیئرز
ایکٹ AI سسٹمز کو ان کے خطرے کی بنیاد پر چار ٹیئرز میں تقسیم کرتا ہے:
- ممنوعہ سسٹمز — ایسے طریقے جو مکمل طور پر ممنوع ہیں، بشمول جوڑ توڑ سبلیمنل تکنیک، کمزوریوں کا استحصال، سرکاری اداروں کی طرف سے سوشل اسکورنگ، اور بائیومیٹرک درجہ بندی اور جذبات کی شناخت کی کچھ اشکال
- ہائی رسک سسٹمز — مخصوص ہائی اسٹیکس سیاق و سباق میں استعمال ہونے والے سسٹمز، ایکٹ کی بڑی مادی ذمہ داریوں کے تابع بشمول رسک مینجمنٹ، ڈیٹا گورننس، شفافیت، انسانی نگرانی، اور درستگی کے تقاضے
- محدود رسک سسٹمز — مخصوص شفافیت کی ذمہ داریوں والے سسٹمز، بشمول زیادہ تر AI پر مبنی کنٹینٹ ریکمنڈرز اور چیٹ بوٹس جو براہ راست صارفین سے تعامل کرتے ہیں
- کم سے کم رسک سسٹمز — باقی سب کچھ، صرف عمومی رضاکارانہ ضابطہ اخلاق کے تابع
اشتہار اور ریکمنڈیشن سسٹمز کہاں ہیں
زیادہ تر اشتہاری AI — آڈینس اسکورنگ، پروگرامیٹک بڈنگ آپٹیمائزیشن، کنٹینٹ ریکمنڈرز، ذاتی کاری کے انجن — ہائی رسک ٹیئر کی بجائے محدود رسک ٹیئر میں ہیں۔ یہ سکون کی بات لگتی ہے، لیکن محدود رسک ٹیئر اب بھی بامعنی شفافیت کی ذمہ داریاں رکھتا ہے، اور کئی کنارے کے معاملات مخصوص سسٹمز کو بلند ٹیئرز میں دھکیل دیتے ہیں۔ اہم بات یہ ہے کہ ممنوعہ طریقوں کے اصول اشتہاری سسٹمز تک پہنچ سکتے ہیں اگر وہ جوڑ توڑ یا استحصال کے علاقے میں داخل ہوں، اور EDPB نے ان دفعات کو وسیع انداز میں تعبیر کرنے کی آمادگی کا اشارہ دیا ہے۔
مرحلہ بندی
2026 کا کیلنڈر اہمیت رکھتا ہے: نئے سسٹمز کے لیے ہائی رسک ذمہ داریاں اگست 2026 میں نافذ ہوتی ہیں، پہلے سے مارکیٹ میں موجود سسٹمز کے لیے ہائی رسک ذمہ داریاں 2027 میں نافذ ہوتی ہیں، اور عمومی مقصد AI فراہم کنندہ کی ذمہ داریاں پہلے سے نافذ ہیں۔ پبلشرز اور ایڈورٹائزرز کو یہ جاننے کے لیے اپنی AI انوینٹری کو اس کیلنڈر کے خلاف نقشہ بنانا چاہیے کہ کون سی ذمہ داریاں کب لاگو ہوتی ہیں۔
AI Act GDPR کے اوپر کیسے پرتیں بناتا ہے
AI Act GDPR کی جگہ نہیں لیتا۔ یہ اس کے اوپر بیٹھتا ہے۔ جو سسٹم AI پر مبنی آؤٹ پٹ پیدا کرنے کے لیے ذاتی ڈیٹا پروسیس کرتا ہے اسے دونوں نظاموں کو پورا کرنا ہوگا، اور ذمہ داریاں متبادل کے بجائے اضافی ہیں۔
GDPR پرت
GDPR ذاتی ڈیٹا پروسیسنگ کی قانونی حیثیت کو کنٹرول کرتا رہتا ہے۔ اشتہاری پروفائلنگ کے لیے رضامندی، پیمائش کے لیے قانونی بنیاد، ڈیٹا سبجیکٹ رائٹس کلسٹر، سرحد پار منتقلی کی ذمہ داریاں — یہ سب بغیر تبدیلی کے لاگو ہوتے رہتے ہیں۔
AI Act پرت
GDPR کے اوپر، AI Act خاص طور پر AI سسٹم کے بارے میں ذمہ داریاں شامل کرتا ہے: اسے کیسے تربیت دی گئی، تربیت میں کون سا ڈیٹا گیا، اس کے آؤٹ پٹ کیسے دستاویز ہوتے ہیں، کون سے نگرانی کے طریقہ کار موجود ہیں، صارف کو کتنی شفافیت ملتی ہے۔ یہ ذمہ داریاں AI سسٹم سے اس بات سے قطع نظر وابستہ ہوتی ہیں کہ بنیادی ڈیٹا پروسیسنگ رضامندی پر مبنی ہے، معاہدے پر مبنی ہے، یا کوئی دوسری قانونی بنیاد ہے۔
عملی مطلب
ذاتی ڈیٹا پر کنٹینٹ ریکمنڈر چلانے والے پبلشر کو ڈیٹا پروسیسنگ کے لیے ایک درست GDPR قانونی بنیاد اور AI Act کے تحت ایک موافق شفافیت ڈسکلوژر دونوں کی ضرورت ہے۔ اکیلا کوئی ایک کافی نہیں ہے۔ تعمیل کی سطح اب حقیقی معنوں میں دو جہتی ہے، اور دستاویزی سلسلے کو دونوں محوروں کا احاطہ کرنا ہوگا۔
ممنوعہ طریقے اور اشتہار بازی
ایکٹ کی ممنوعہ طریقوں کی فہرست مختصر لیکن اہم نتائج والی ہے، اور کئی اندراجات کے اشتہاری ڈیزائن پر اثرات ہیں۔
جوڑ توڑ کی تکنیک
ایکٹ ایسے AI سسٹمز کو ممنوع قرار دیتا ہے جو سبلیمنل تکنیک، جوڑ توڑ کے طریقے تعینات کرتے ہیں، یا مخصوص گروپوں کی کمزوریوں کا ایسے طریقوں سے استحصال کرتے ہیں جن سے نمایاں نقصان ہونے کا امکان ہو۔ زیادہ تر اشتہاری ڈیزائن اس خط کے قریب نہیں جاتا — لیکن AI پر مبنی پروفائلنگ کا استعمال کرتے ہوئے شناخت شدہ کمزوریوں (مالی تنگی، ذہنی صحت کی حالتیں، لت کے نمونے) کو نشانہ بنانے والی اشتہار بازی اسے عبور کر سکتی ہے۔ EDPB نے ابتدائی رہنمائی میں اسے نشان زد کیا ہے۔
بائیومیٹرک درجہ بندی
ایکٹ بائیومیٹرک درجہ بندی کو ممنوع قرار دیتا ہے جو نسل، سیاسی رائے، ٹریڈ یونین رکنیت، مذہبی عقیدہ، جنسی زندگی، یا جنسی رجحان جیسی حساس صفات کا اندازہ لگاتی ہے۔ بائیومیٹرک ڈیٹا سے بنائے گئے آڈینس سیگمنٹس جو یہ صفات کا اندازہ لگاتے ہیں اب ممنوع علاقے میں ہیں۔
مخصوص سیاق و سباق میں جذبات کی شناخت
جذبات کی شناخت کام کی جگہ اور تعلیمی سیاق و سباق میں ممنوع ہے۔ ان سیاق و سباق سے باہر اشتہاری جذبات کی شناخت کے استعمال کے معاملات اب بھی قابل اجازت ہو سکتے ہیں لیکن بڑھتی ہوئی جانچ پڑتال کا سامنا کرتے ہیں۔
محدود رسک شفافیت کی ذمہ داریاں
یہاں پبلشر اور ایڈورٹائزر AI Act تعمیل کے کام کا بڑا حصہ 2026 میں ہے۔
ریکمنڈیشن سسٹم ڈسکلوژر
کنٹینٹ ریکمنڈرز جو صارفین کو نظر آنے والی چیزوں کو ذاتی بناتے ہیں — چاہے پبلشر کے ہوم پیج پر، ان ایپ فیڈ میں، یا پروگرامیٹک اشتہار کی جگہ میں — محدود رسک ٹیئر کے تحت آتے ہیں۔ صارفین کو مطلع کیا جانا چاہیے کہ وہ AI سسٹم کے ساتھ تعامل کر رہے ہیں، اور سسٹم کو اس طرح ڈیزائن کیا جانا چاہیے کہ تعامل کی AI نوعیت واضح ہو۔
چیٹ بوٹ ڈسکلوژر
کوئی بھی AI سسٹم جو گفتگو کی شکل میں براہ راست صارفین سے تعامل کرتا ہے اسے اپنی AI نوعیت ظاہر کرنی ہوگی۔ کسٹمر سپورٹ، کنٹینٹ دریافت، یا کسی دوسرے مقصد کے لیے AI چیٹ انٹرفیس چلانے والے پبلشرز اور ایڈورٹائزرز کو اس بنیاد کو پورا کرنا ہوگا۔
مصنوعی کنٹینٹ ڈسکلوژر
AI سے تیار کردہ تصاویر، آڈیو، ویڈیو، اور ٹیکسٹ کنٹینٹ کو اس طرح نشان زد کیا جانا چاہیے۔ ادارتی کنٹینٹ، اشتہاری تخلیقی، یا پروڈکٹ امیجری میں AI سے تیار کردہ بصری یا ٹیکسٹ استعمال کرنے والے پبلشرز کو نشان کاری کی ذمہ داریاں لاگو کرنی ہوں گی۔ 2026 نفاذ رہنمائی نے نشان کاری کی تکنیکی وضاحتیں واضح کر دی ہیں، بشمول بصری کنٹینٹ کے لیے واٹر مارکنگ کے معیارات۔
2026 میں مشترکہ رضامندی کی سطح
CMP اور پرائیویسی نوٹس کو اب دونوں نظاموں کے لیے کام کرنا ہوگا۔ 2026 پبلشر CMP اپنے 2024 کے پیشرو سے بامعنی طور پر زیادہ تفصیلی نظر آتا ہے۔
دانے دار رضامندی کے مقاصد
CMP رضامندی کے مقاصد ظاہر کرتا ہے جو عمومی اشتہار بازی، اشتہار کے لیے پروفائلنگ، خودکار فیصلہ سازی، اور ریکمنڈیشن ذاتی کاری کے درمیان فرق کرتے ہیں۔ ہر ایک مخصوص AI Act اور GDPR حد سے نقشہ بنتا ہے، اور ہر ایک کو اپنی مثبت رضامندی کی ضرورت ہوتی ہے۔
AI سسٹم ڈسکلوژرز
پرائیویسی نوٹس یا ایک ساتھ چلنے والا AI ڈسکلوژر دستاویز استعمال میں موجود AI سسٹمز، ان کے مقاصد، ان پٹ ڈیٹا کی اقسام، آؤٹ پٹ کی وسیع منطق، اور موجود انسانی نگرانی کے طریقہ کار کو بیان کرتا ہے۔ یہ GDPR آرٹیکل 22 خودکار فیصلہ ڈسکلوژر سے زیادہ ہے — یہ ایک مکمل تر AI شفافیت کی کہانی ہے۔
اعتراض کا حق
پروفائلنگ پر اعتراض کرنے کا GDPR کا حق لاگو ہوتا رہتا ہے، اور AI Act AI پر مبنی ریکمنڈیشن ذاتی کاری کے ارد گرد صارف کے مزید حقوق شامل کرتا ہے۔ صارفین بنیادی خدمت تک رسائی کھوئے بغیر ریکمنڈیشن ذاتی کاری سے باہر نکل سکتے ہیں، اور آپٹ آؤٹ آپٹ ان جتنا آسان ہونا چاہیے۔
آپریشنل پیٹرن جو 2026 میں کام کرتے ہیں
پختہ 2026 پروگرام چلانے والے پبلشرز اور ایڈورٹائزرز چند آپریشنل پیٹرن پر متفق ہو رہے ہیں۔
AI انوینٹری
پبلشر یا ایڈورٹائزر اسٹیک میں استعمال ہونے والے ہر AI سسٹم کی ایک زندہ انوینٹری برقرار رکھیں: سسٹم، ایکٹ کے تحت اس کا رسک ٹیئر، وہ ذاتی ڈیٹا جو یہ پروسیس کرتا ہے، GDPR کے تحت اس کی قانونی بنیاد، اس پر لاگو شفافیت ڈسکلوژرز، اور موجود انسانی نگرانی۔ یہ بنیادی تعمیل آثار ہے اور وہی ہے جو ریگولیٹرز سب سے پہلے دیکھنا چاہیں گے۔
مشترکہ پرائیویسی نوٹس
ایک واحد مشترکہ پرائیویسی اور AI شفافیت نوٹس — پرتگالی، جرمن، فرانسیسی، یا جو بھی زبان آڈینس کے لیے مناسب ہو — جو GDPR اور AI Act دونوں کی ذمہ داریوں کو ایک مربوط بیانیے میں پورا کرے۔ دو الگ الگ ڈسکلوژرز برقرار رکھنے کی کوشش تضادات اور قارئین کی الجھن کو دعوت دیتی ہے۔
وینڈر AI آڈٹ
پبلشر کی طرف سے AI پر مبنی آؤٹ پٹ پروسیس کرنے والے ہر اشتہاری یا تجزیاتی وینڈر کے لیے، معاہدے میں AI Act ذمہ داریوں کی تقسیم، تکنیکی دستاویزات تک رسائی، اور واقعے کی اطلاع کا احاطہ ہونا چاہیے۔ 2023 کے معیاری ڈیٹا پروسیسنگ معاہدے AI Act کا احاطہ نہیں کرتے اور انہیں تازہ کرنے کی ضرورت ہے۔
جرمانے اور نفاذ کا موقف
AI Act انتظامی جرمانوں کے ساتھ ایک درجہ بند جرمانے کا نظام متعارف کراتا ہے جو GDPR کی زیادہ سے زیادہ حدود سے تجاوز کر سکتا ہے۔
جرمانے کے درجے
- ممنوعہ طریقوں کی خلاف ورزیوں کے لیے EUR 35 ملین یا عالمی سالانہ ٹرن اوور کا 7 فیصد تک
- زیادہ تر دیگر مادی خلاف ورزیوں کے لیے EUR 15 ملین یا 3 فیصد تک
- غلط معلومات فراہم کرنے کے لیے EUR 7.5 ملین یا 1 فیصد تک
نفاذ کا ڈھانچہ
ہر رکن ریاست AI Act نفاذ کے لیے قومی مجاز حکام نامزد کرتی ہے، اور یورپی AI آفس عمومی مقصد AI ماڈلز کی نگرانی کو مربوط کرتا ہے۔ پبلشرز اور ایڈورٹائزرز کے خلاف نفاذ بنیادی طور پر قومی حکام کے ذریعے چلے گا، اکثر موجودہ ڈیٹا تحفظ حکام کے ساتھ قریبی تعاون میں۔ پہلے اہم AI Act نفاذ اقدامات 2026 میں متوقع ہیں جب ہائی رسک ذمہ داریاں مکمل طور پر نافذ ہو جائیں گی۔
2026 میں AI پر مبنی اشتہار کے لیے آڈٹ چیک لسٹ
- رسک ٹیئر درجہ بندی کے ساتھ اسٹیک میں ہر AI سسٹم کی زندہ انوینٹری
- ذاتی ڈیٹا پروسیس کرنے والے ہر AI سسٹم کے لیے دستاویز شدہ GDPR قانونی بنیاد
- ریکمنڈیشن ذاتی کاری اور چیٹ بوٹس سمیت ہر محدود رسک سسٹم پر لاگو AI Act شفافیت ڈسکلوژرز
- AI سے تیار کردہ تخلیقی، تصاویر، آڈیو، اور ویڈیو پر لاگو مصنوعی کنٹینٹ نشان کاری
- متعلقہ مقامی زبان میں مشترکہ پرائیویسی اور AI شفافیت نوٹس
- CMP پروفائلنگ، خودکار فیصلہ سازی، اور ریکمنڈیشن ذاتی کاری کو علیحدہ رضامندی کے قابل مقاصد کے طور پر ظاہر کرتا ہے
- آڈینس سیگمنٹس کا ممنوعہ بائیومیٹرک درجہ بندی کی فہرست کے خلاف جائزہ لیا جاتا ہے
- AI Act ذمہ داریوں کی تقسیم کا احاطہ کرنے کے لیے وینڈر معاہدے اپ ڈیٹ کیے گئے
- ہائی رسک حد کے قریب پہنچنے والے کسی بھی سسٹم کے لیے دستاویز شدہ انسانی نگرانی کے طریقہ کار
- ڈیٹا سبجیکٹ اور AI Act صارف حقوق ورک فلو قابل اطلاق رسپانس ونڈوز کے اندر آپٹ آؤٹ، وضاحت، اور انسانی جائزے کی درخواستوں کا جواب دے سکتا ہے
2026 کا نقطہ نظر
AI Act GDPR کی جگہ نہیں لیتا — یہ اس کے اوپر پرت بناتا ہے، اور مشترکہ سطح کسی بھی ایک نظام سے بامعنی طور پر زیادہ پیچیدہ ہے۔ AI پر مبنی ذاتی کاری، پروفائلنگ، ریکمنڈیشن سسٹمز، یا جنریٹو کنٹینٹ چلانے والے پبلشرز اور ایڈورٹائزرز کے لیے، 2026 وہ سال ہے جب تعمیل کے ڈھانچے کو خالص GDPR موقف سے آگے پختہ ہونا ہوگا۔ جو لوگ AI Act کو مستقبل کی فکر سمجھتے ہیں وہ پائیں گے کہ مستقبل توقع سے زیادہ تیزی سے آتا ہے، قومی حکام 2026 میں اور 2027 میں اپنے پہلے نفاذ اقدامات جاری کرتے ہیں۔ جو شروع سے مشترکہ تعمیل بناتے ہیں انہیں پتہ چلے گا کہ ڈھانچہ فائدہ لوٹاتا ہے: AI Act کی شفافیت کی ذمہ داریاں، اچھی طرح نافذ ہونے پر، GDPR رضامندی اور اعتماد کی کہانی کو بھی مضبوط کرتی ہیں، اور زندہ AI انوینٹری برقرار رکھنے کا آپریشنل نظم و ضبط ریگولیٹری تعمیل سے کہیں آگے مفید ثابت ہوتا ہے۔