Требования к экосистеме India AI Governance

Требования к экосистеме фреймворка India AI Governance — это формализованные обязательства для ключевых участников (разработчиков, операторов, платформ и регуляторов), которые переводят принципы в проверяемые действия через контроли, процессы и артефакты доказательств. Они охватывают базовый комплаенс (соблюдать законы и уметь доказывать соответствие), управление рисками через добровольные меры, техно‑правовой подход (compliance-by-design), а также специальные обязательства для контекстов с высоким уровнем риска: проверка родословной/аутентификация контента и гарантии (safeguards) от потери контроля (HITL, circuit breakers, мониторинг, audit trails). Для подотчётности, требования определяют механизмы прозрачности (публичные отчёты с конфиденциальным раскрытием при чувствительности), контуры жалоб (жалобы отдельно от базы инцидентов), контуры инцидентов (репортинг, таксономия угроз, обзоры инцидентов), создавая обратную связь «вред → анализ → обновление контролей». Регуляторные требования дополняют экосистему принципом гибкого управления с периодическим пересмотром, а также требованием избегать избыточных комплаенс‑режимов, концентрируясь на реальном и актуальном вреде.

В сумме фреймворк India AI Governance определяет 8 требований для индустрии (IND_001-008) и 3 требования для регуляторов (REG_001-REG_003).

Требования для индустрии

IND-001. Соблюдать применимые законы (Comply with applicable laws)

• Назначение:
  • Обеспечить соблюдение применимых законов и регуляторных норм при разработке, внедрении и эксплуатации AI‑систем, с поддержанием управляемой связи «норма → обязательство → контроль → доказательства».​
• Связанные функциональные слои:
  • Регулирование (Regulation) — правила, обязательства и применимость правовых режимов.​
  • Надзор (Oversight) — проверяемость, аудит и подотчётность исполнения.​
• Связанные роли:
  • Разработчик (Developer) — создаёт модель/систему и внедряет меры соответствия.​
  • Внедряющий оператор (Deployer) — эксплуатирует систему и несёт ответственность за безопасное применение.​
  • Провайдер платформы (Platform/Service provider) — предоставляет AI‑сервис и обеспечивает комплаенс в платформенных процессах.​
• Связанные организационные механизмы:
  • Политика и регулирование (Policy & Regulation) — задаёт обязательность и применимость требований.​
  • Подотчётность (Accountability) — требует доказуемости соответствия.​
• Связанные риски:
  • В данном требовании категории рисков явно не перечислены.​
• Связанные процессы:
  • Принятие добровольных фреймворков (Voluntary framework adoption) — внедрение мер и генерация доказательств для демонстрации соответствия.​
• Связанные контроли:
  • Сопоставление правовых требований (Legal compliance mapping) — карта «нормы/обязательства → контроли → доказательства».​
• Связанные артефакты доказательства:
  • Матрица соответствия (Compliance matrix) — связывает обязательства с контролями и доказательствами.​
  • Процесс законного владения и ответов на запросы регулятора (Legal hold & regulatory request process) — порядок сохранения/предоставления доказательств.​
• Связанные политики исполнения:
  • Правоприменение действующих законов (Enforcement of existing laws) — исполнение через существующие нормы при своевременном правоприменении.​
  • Целевые правовые поправки (Targeted legal amendments) — закрытие выявленных пробелов точечными изменениями.​

IND-002. Демонстрировать соответствие по запросу (Demonstrate compliance when called upon)

• Назначение:
  • Обеспечить способность быстро и убедительно подтверждать соответствие требованиям по запросу регуляторов/агентств, используя структурированные артефакты и трассируемые контроли.​
• Связанные функциональные слои:
  • Надзор (Oversight) — механизмы подтверждения, проверки и аудита.​
• Связанные роли:
  • Разработчик (Developer) — готовит технические доказательства и поддерживает трассируемость решений.​
  • Внедряющий оператор (Deployer) — подотчетность за предоставление доказательств при проверках.​
  • Провайдер платформы (Platform/Service provider) — обеспечивает наличие доказательств в операционных контурах.​
• Связанные организационные механизмы:
  • Подотчётность (Accountability) — формирует требование предъявляемых доказательств.​
• Связанные риски:
  • В данном требовании категории рисков явно не перечислены.​
• Связанные процессы:
  • Принятие добровольных фреймворков (Voluntary framework adoption) — поддерживает пакет доказательств для внешних запросов.​
• Связанные контроли:
  • Сопоставление правовых требований (Legal compliance mapping) — обеспечивает связь требований с доказательствами.​
• Связанные артефакты доказательства:
  • Матрица соответствия (Compliance matrix) — удобная форма предъявления покрытий контролями.​
  • Процесс законного владения и запросов регулятора (Legal hold & regulatory request process) — регламентирует ответы и сохранность данных.​
• Связанные политики исполнения:
  • Правоприменение действующих законов (Enforcement of existing laws) — делает демонстрацию соответствия практической обязанностью.​

IND-003. Внедрять добровольные меры пропорционально риску (Adopt voluntary measures proportionate to risk)

• Назначение:
  • Внедрять добровольные организационные и технические меры (privacy/security, fairness/inclusivity, non‑discrimination, transparency) пропорционально уровню риска, с возможным переходом к обязательным базовым требованиям со временем.​
• Связанные функциональные слои:
  • Регулирование (Regulation) — задаёт ожидание добровольных мер и их эволюцию.​
• Связанные роли:
  • Разработчик (Developer) — реализует меры и тестирование на уровне моделей/систем.​
  • Внедряющий оператор (Deployer) — подотчетность за выбор мер и внедрение в контекст.​
  • Провайдер платформы (Platform/Service provider) — обеспечивает применение мер в сервисе и взаимодействиях.​
• Связанные организационные механизмы:
  • Снижение рисков (Risk Mitigation) — требует пропорциональности мер уровню риска.​
• Связанные риски:
  • Смещение и дискриминация (Bias and discrimination) — риск несправедливых решений из‑за данных/модели.​
  • Провалы прозрачности (Transparency failures) — риск недостаточных раскрытий и нарушения ожиданий.​
  • Злоупотребления (Malicious uses) — риск использования для deepfakes, атак, отравления данных.​
• Связанные процессы:
  • Принятие добровольных фреймворков (Voluntary framework adoption) — выбор, внедрение, аудит/самооценка и раскрытие доказательств.​
• Связанные контроли:
  • Принятие добровольных фреймворков (Voluntary framework adoption) — контроль внедрения добровольных мер.​
• Связанные артефакты доказательства:
  • Обоснование выбора фреймворка (Voluntary framework selection rationale) — почему меры выбраны для risk tier.​
  • Отчёт самооценки (Self-assessment report) — внутренняя оценка соответствия фреймворкам.​
  • Отчёт независимого аудита (Third-party audit report) — внешнее подтверждение при необходимости.​
• Связанные политики исполнения:
  • Добровольные фреймворки (Voluntary frameworks) — основной инструмент исполнения через коды/стандарты/аудиты.​

IND-004. Публиковать отчёты о прозрачности (Publish transparency reports, with confidential sharing when sensitive)

• Назначение:
  • Публиковать отчёты о рисках вреда и мерах их снижения в локальном контексте, а чувствительные детали — раскрывать конфиденциально регуляторам при необходимости.​
• Связанные функциональные слои:
  • Надзор (Oversight) — обеспечивает подотчётность и проверяемость через публичные/конфиденциальные раскрытия.​
• Связанные роли:
  • Внедряющий оператор (Deployer) — подотчетность за выпуск отчётности и соблюдение условий раскрытия.​
  • Провайдер платформы (Platform/Service provider) — ответственность за подготовку и публикацию отчётов.​
• Связанные организационные механизмы:
  • Подотчётность (Accountability) — превращает прозрачность в проверяемую практику.​
• Связанные риски:
  • Провалы прозрачности (Transparency failures) — риск недостаточных раскрытий и скрытых воздействий.​
  • Системные риски (Systemic risks) — риск масштабных внешних эффектов и сбоев цепочек.​
• Связанные процессы:
  • Отчётность о прозрачности (Transparency reporting) — сбор доказательств, компиляция, публикация, контролируемое раскрытие конфиденциальной информации.​
• Связанные контроли:
  • Контроль отчёта о прозрачности (Transparency report control) — управляет выпуском и содержанием отчётов.​
• Связанные артефакты доказательства:
  • Отчёт о прозрачности (Transparency report) — опубликованный отчёт с доказательствами смягчения последствий.​
  • Резюме оценки рисков (Risk assessment summary) — риски, уровни и выбранные смягчения последствий.​
  • Резюме red teaming (Red teaming summary) — результаты adversarial‑тестирования (без чувствительных деталей).​
• Связанные политики исполнения:
  • Разрешение жалоб (Grievance redressal) — дополняет прозрачность каналом обратной связи о вреде.​

IND-005. Обеспечить механизм рассмотрения жалоб отдельно от базы инцидентов (Provide grievance redressal mechanisms)

• Назначение:
  • Создать доступный механизм рассмотрения жалоб о вреде от ИИ (мультиязычные, разумные сроки), с контуром улучшений продукта, отделённый от базы AI‑инцидентов.​
• Связанные функциональные слои:
  • Надзор (Oversight) — обеспечивает подотчётность через жалобы и улучшения.​
• Связанные роли:
  • Внедряющий оператор (Deployer) — подотчетность за работоспособность grievance‑механизма.​
  • Провайдер платформы (Platform/Service provider) — ответственность за обработку жалоб и обратную связь в улучшения.​
• Связанные организационные механизмы:
  • Подотчётность (Accountability) — делает жалобы и реакции измеримыми.​
• Связанные риски:
  • Злоупотребления (Malicious uses) — вред от злоупотреблений, включая дипфейки (deepfakes) и атаки.​
  • Смещение и дискриминация (Bias and discrimination) — вред от несправедливых решений.​
  • Провалы прозрачности (Transparency failures) — вред из‑за недостаточной информации/раскрытий.​
• Связанные процессы:
  • Разрешение жалоб (Grievance redressal) — приём, расследование, решение, закрытие, улучшения.​
• Связанные контроли:
  • Механизм рассмотрения жалоб (Grievance redressal mechanism) — каналы, сроки, контуры обратной связи (feedback loops); отдельно от инцидентов.​
• Связанные артефакты доказательства:
  • Политика жалоб (Grievance policy) — правила регистрации, сроки, языки, эскалации.​
  • Журнал жалоб (Grievance ticket log) — записи жалоб, действий и отметок времени с гарантиями конфиденциальности (privacy safeguards).​
  • Журнал корректирующих действий (Remediation actions log) — след улучшений по итогам жалоб.​
  • Метрики SLA (SLA metrics dashboard) — доказательства соблюдения сроков реакции.​
• Связанные политики исполнения:
  • Разрешение жалоб (Grievance redressal) — основной инструмент исполнения через специальный контур жалоб.​

IND-006. Применять техно-правовые решения для снижения рисков (Explore and apply techno-legal solutions)

• Назначение:
  • Поощрять и внедрять техно‑правовые решения (PETs, machine unlearning, algorithmic auditing, автоматическое выявление смещения/bias) для снижения рисков и построения решений со встроенным соответствием нормам (compliance-by-design).​
• Связанные функциональные слои:
  • Регулирование (Regulation) — задаёт ожидание применения техно‑правовых подходов.​
• Связанные роли:
  • Разработчик (Developer) — ответственность за реализацию техно‑правовых мер в системе.​
  • Внедряющий оператор (Deployer) — подотчетность за применение мер в контексте эксплуатации.​
• Связанные организационные механизмы:
  • Снижение рисков (Risk Mitigation) — использует инженерные меры как механизмы смягчения последствий (mitigations).​
• Связанные риски:
  • Смещение и дискриминация (Bias and discrimination) — снижение риска через тесты и аудиты.​
  • Провалы прозрачности (Transparency failures) — снижение риска через проверяемые протоколы и раскрытия.​
  • Злоупотребления (Malicious uses) — снижение риска через технические ограничения и проверки.​
• Связанные процессы:
  • Техно-правовое проектирование (Techno-legal design, compliance-by-design) — встраивание требований в архитектуру систем и протоколов.​
• Связанные контроли:
  • Техно-правовые меры (Techno-legal measures) — реализация встроенных в систему норм через архитектуру и протоколы.​
• Связанные артефакты доказательства:
  • Запись архитектурного решения (Architecture decision record, ADR) — обоснование встроенных контролей.​
  • Результаты соответствия стандартам (Protocol/standard conformance results) — проверка соответствия протоколам.​
  • Спецификация audit trails (Audit trail specification) — определение логирования для governance.​
• Связанные политики исполнения:
  • Техно-правовой подход (Techno-legal approach) — инструмент исполнения через встраивания соответствия нормам в архитектуру систем и протоколов.​
  • Общие стандарты и бенчмарки (Common standards and benchmarks) — опора на стандарты для проверяемости.​

IND-007. Внедрять аутентификацию и паспортизацию контента, где релевантно (Implement content authentication and provenance measures)

• Назначение:
  • В высокорисковых сценариях (например, массовое распространение AI‑медиа и риск deepfakes) внедрять меры паспортизации/аутентификации контента и выравнивание со стандартами, чтобы снижать злоупотребления и укреплять доверие.​
• Связанные функциональные слои:
  • Регулирование (Regulation) — задаёт контекст обязательности мер паспортизации контента.​
• Связанные роли:
  • Провайдер платформы (Platform/Service provider) — подотчетность за разработку мер паспортизации при распространении контента.​
  • Внедряющий оператор (Deployer) — ответственность за внедрение и эксплуатацию контуров паспортизации контента.​
• Связанные организационные механизмы:
  • Снижение рисков (Risk Mitigation) — фокус на злоупотреблениях и безопасности.​
• Связанные риски:
  • Злоупотребления (Malicious uses) — дипфейки (deepfakes), дезинформация и другие сценарии злоупотреблений.​
  • Национальная безопасность (National security) — угрозы общественному порядку и инфраструктуре.​
• Связанные процессы:
  • Техно-правовое проектирование (Techno-legal design, compliance-by-design) — встраивание проверки паспорта качества данных в архитектуру и протоколы.​
• Связанные контроли:
  • Аутентификация и паспортизация контента (Content authentication & provenance) — маркировка и идентификация, форензика, выравнивание со стандартами.​
• Связанные артефакты доказательства:
  • Политика паспортизации качества (Provenance policy) — правила прослеживаемости и контролиируемого раскрытия приватности (privacy trade-offs).​
  • Дизайн маркировки/ID (Watermarking/identifier design document) — дизайн и ограничения маркировки.​
  • Заявление о соответствии C2PA (C2PA alignment statement) — фиксирует выравнивание со стандартом C2PA.​
  • Форензик-ранбук атрибуции (Forensic attribution runbook) — процедура расследования дипфейков (deepfakes).​
• Связанные политики исполнения:
  • Общие стандарты и бенчмарки (Common standards and benchmarks) — стандартизация подходов паспортизации контента.​
  • Техно-правовой подход (Techno-legal approach) — реализация через протоколы и архитектуру.​

IND-008. Снижать риск потери контроля (Mitigate loss-of-control risks)

• Назначение:
  • Для контекстов с высоким риском снижать риск потери контроля над AI‑системами через HITL, аварийные выключатели, мониторинг, тестирование и журналы аудита; особенно в высокоскоростных сценариях и критической инфраструктуре.​
• Связанные функциональные слои:
  • Регулирование (Regulation) — задаёт контекст обязательности ограничений.​
• Связанные роли:
  • Внедряющий оператор (Deployer) — ответственность за ограничения и их измеряемую эффективность.​
  • Разработчик (Developer) — ответственность за реализацию механизмов контроля в системе.​
• Связанные организационные механизмы:
  • Снижение рисков (Risk Mitigation) — снижает риск потери управления и связанные угрозы.​
• Связанные риски:
  • Потеря контроля (Loss of control) — непредсказуемое поведение и угрозы безопасности.​
  • Национальная безопасность (National security) — риск воздействия на общественный порядок/инфраструктуру.​
• Связанные процессы:
  • Меры против потери контроля (Loss-of-control safeguards) — HITL, аварийные выключатели, мониторинг, журналы аудита, отчётность.​
• Связанные контроли:
  • Меры против потери контроля (Loss-of-control safeguards) — HITL/аварийные выключатели/мониторинг/журналы аудита​.
• Связанные артефакты доказательства:
  • Спецификация человеческого надзора (Human oversight design specification) — точки HITL и эскалации.​
  • Спецификация аварийного выключателя (Circuit breaker specification) — автоматические ограничения в высоко интенсивных средах.​
  • План мониторинга и тестирования (Monitoring and testing plan) — регулярные проверки и ранние сигналы.​
  • Журналы audit trails (Audit trails logs) — логи трассируемости для аудита.​
• Связанные политики исполнения:
  • Национальная система AI-инцидентов (National AI incident system) — обратная связь из инцидентов в гарантии.​
  • Техно-правовой подход (Techno-legal approach) — встраивание соответствия нормам в архитектуру систем и протоколов для управляемости.​

Требования для регуляторов

REG-001. Поддерживать гибкое управление с периодическим пересмотром (Maintain agile, flexible governance with periodic review)

• Назначение:
  • Для регуляторов обеспечивать гибкий и адаптивный режим управления ИИ с регулярным пересмотром и перекалибровкой, чтобы реагировать на изменения технологий и рисков без излишней регуляторной инерции.​
• Связанные функциональные слои:
  • Регулирование (Regulation) — дизайн правил и механизмов их обновления.​
• Связанные роли:
  • Регулятор (Regulator) — ответственность за пересмотр и настройку режимов в секторе.​
  • Нодальное министерство (Nodal ministry) — подотчетность за координацию подхода (MeitY).​
• Связанные организационные механизмы:
  • Политика и регулирование (Policy & Regulation) — обеспечивает периодический пересмотр правил.​
• Связанные риски:
  • В данном требовании категории рисков явно не перечислены.​
• Связанные процессы:
  • Принятие добровольных фреймворков (Voluntary framework adoption) — используется как адаптивный инструмент между ревизиями.​
• Связанные контроли:
  • Программа развития компетенций (Capacity building program) — обучение и информирование стейкхолдеров.​
• Связанные артефакты доказательства:
  • Учебная программа (Training curriculum) — материалы по AI‑грамотности и безопасности.​
  • Записи участия в обучении (Training attendance records) — покрытие целевых групп.​
  • Результаты оценки компетенций (Competency assessment results) — измеримый эффект обучения.​
• Связанные политики исполнения:
  • Целевые правовые поправки (Targeted legal amendments) — механизм обновления рамок по результатам ревизий.​

REG-002. Избегать «тяжёлых» комплаенс-режимов без необходимости (Avoid compliance-heavy regimes unless necessary)

• Назначение:
  • Для регуляторов применять наименее обременительные инструменты управления (без обязательного лицензирования/предварительных approvals, если не требуется), чтобы сохранять инновации при управляемом риске.​
• Связанные функциональные слои:
  • Регулирование (Regulation) — выбор инструмента регулирования с минимальной нагрузкой.​
• Связанные роли:
  • Регулятор (Regulator) — выбирает инструменты, условия и пороги обязательности.​
• Связанные организационные механизмы:
  • Политика и регулирование (Policy & Regulation) — задаёт принцип минимальной обременительности.​
• Связанные риски:
  • В данном требовании категории рисков явно не перечислены.​
• Связанные процессы:
  • Принятие добровольных фреймворков (Voluntary framework adoption) — основной “мягкий” контур исполнения.​
• Связанные контроли:
  • Принятие добровольных фреймворков (Voluntary framework adoption) — опора на коды/стандарты/аудиты.​
• Связанные артефакты доказательства:
  • Обоснование выбора фреймворка (Voluntary framework selection rationale) — подтверждает пропорциональность и выбор инструмента.​
  • Отчёт независимого аудита (Third-party audit report) — внешнее подтверждение вместо жёстких approvals.​
• Связанные политики исполнения:
  • Добровольные фреймворки (Voluntary frameworks) — инструмент снижения нагрузки при сохранении доверия.​
  • Регуляторная песочница (Regulatory sandbox) — безопасные испытания вместо преждевременных жёстких режимов.​

REG-003. Приоритизировать вмешательства при реальном и актуальном вреде (Prioritize interventions where real and present harm exists)

• Назначение:
  • Для регуляторов концентрировать меры на кейсах реального и текущего вреда или угроз жизни/благополучию, используя инцидентные данные и обратную связь в контроли.​
• Связанные функциональные слои:
  • Надзор (Oversight) — приоритизация вмешательств через наблюдение фактического вреда.​
• Связанные роли:
  • Регулятор (Regulator) — ответственность за приоритизацию и применение мер.​
• Связанные организационные механизмы:
  • Снижение рисков (Risk Mitigation) — фокус на предотвращении реального вреда.​
• Связанные риски:
  • В данном требовании категории рисков явно не перечислены.​
• Связанные процессы:
  • Отчётность об AI-инцидентах (AI incident reporting) — сбор данных о вреде и трендах.​
• Связанные контроли:
  • Участие в отчётности об инцидентах (AI incident reporting participation) — протоколы репортинга и тренд‑анализ.​
• Связанные артефакты доказательства:
  • Запись отчёта об инциденте (Incident report record) — структурированная запись о вреде.​
  • Карта таксономии инцидентов (Incident taxonomy mapping) — классификация по рискам/сектору.​
  • Обзор инцидентов (Post-incident review) — RCA и обновление контролей.​
• Связанные политики исполнения:
  • Национальная система AI-инцидентов (National AI incident system) — централизованный контур анализа и обратной связи.​
  • Правоприменение действующих законов (Enforcement of existing laws) — применение мер при выявленном вреде.​