قانون AI اتحادیه اروپا ریسک بیومتریک را بر اساس «هدف استفاده» تعریف کرد

اگر امروز برنامه‌ای می‌نویسید که چهره‌ها را با هم مقایسه می‌کند، یک تغییر کوچک در نحوه استقرار آن می‌تواند تفاوت بین یک ابزار قانونی و یک جریمه سنگین باشد. در قانون جدید AI اتحادیه اروپا، دیگر کدنویسی اولیه تعیین‌کننده نیست، بلکه «هدف استفاده» است که ریسک قانونی یک الگوریتم بیومتریک را مشخص می‌کند.

این تغییر، مرزی سخت بین تأیید هویت ساده و ابزارهای نظارت جمعی ایجاد می‌کند. به زبان ساده، یک سیستم که فاصله اقلیدسی (Euclidean distance) بین دو چهره را حساب می‌کند، بسته به اینکه کجا نصب شود، یا یک ابزار کم‌ریسک است یا یک بدهی قانونی خطرناک. همان‌طور که در تحلیل‌های پیشین ما درباره‌ی حریم خصوصی در مدل‌های تولیدی اشاره کردیم، تمرکز قانون‌گذاران از عملکرد مدل (مثل امتیاز F1) به سمت بازرسی معماری استقرار تغییر کرده است. در این راستا، باید توجه داشت که صرفاً بررسی مدل برای تطبیق با استانداردهای قانونی کافی نیست و کل زنجیره تأمین داده و استقرار باید مورد ارزیابی قرار گیرد.

طبق گزارشی که در ۲۱ ژوئن ۲۰۲۶ در وب‌سایت dev.to منتشر شد، این قانون سیستم‌ها را به دو دسته اصلی تقسیم می‌کند:

• تأیید هویت (۱:۱): مقایسه یک تصویر با تصویری دیگر برای تأیید هویت کاربر. این حالت کم‌ریسک است و بار قانونی سبک‌تری دارد.
• شناسایی (۱:N): اسکن یک تصویر در مقابل یک پایگاه‌داده بزرگ. این مورد طبق ضمیمه III «پرریسک» شناخته شده و نیاز به مستندات فنی شدید دارد.

بر اساس مستندات اتحادیه اروپا، توسعه‌دهندگان سیستم‌های ۱:N باید ثبت وقایع (Logging) دقیق و نقاط بازرسی با نظارت انسانی (Human-in-the-loop) — شبیه به داشتن یک ناظر انسانی که در لحظات حساس ترمز سیستم را می‌گیرد — پیاده کنند. کمیسیون اروپا همچنین یک راه گریز رایج را بست: خرد کردن سیستم به چندین میکروسرویس، آن را از قانون معاف نمی‌کند. اگر حتی یک جزء از پشتهٔ نرم‌افزاری پرریسک باشد، کل سیستم با همان سطح سخت‌گیرانه ارزیابی می‌شود.

شرکت‌هایی مانند CaraComp در حال حاضر روی فضای تأیید هویت تمرکز کرده‌اند. آن‌ها با ارائه تحلیل‌های سطح سازمانی برای کارآگاهان خصوصی، هزینه‌ها را به یک بیست‌ و سومِ سیستم‌های شناسایی نظارتی کاهش داده‌اند.

این رویکرد به نفع شرکت‌های کوچک و کارآگاهان مستقل است که نمی‌توانند هزینه‌های کلان تطبیقی ابزارهای نظارتی دولتی را پرداخت کنند. با این حال، این تغییر مدل‌ها را از تصمیمات «جعبه سیاه» به سمت خروجی‌های «آماده برای دادگاه» می‌برد که معیارهای تفسیرپذیر، مثل درصد شباهت، ارائه می‌دهند.

سررسید اجرای الزامات ضمیمه III، تاریخ ۲ دسامبر ۲۰۲۷ است. این مهلت ۱۸ ماهه به دلیل دشواری فنیِ پیاده‌سازی بازرسی‌های سوگیری (Bias Auditing) و گزارش‌های شفافیت در نظر گرفته شده است.

گام بعدی شما

• بررسی کنید آیا گردش‌کار بیومتریک فعلی شما امکان جست‌وجو در پایگاه‌های داده انبوه را دارد یا خیر.
• برای سیستم‌های شناسایی، مکانیزم نظارت انسانی را در لایه استقرار (Deployment) تعریف کنید.
• مستندات فنی خود را از تمرکز بر دقت (Accuracy) به سمت تفسیرپذیری خروجی‌ها تغییر دهید.

اما داستان سخت‌افزاری این تحول حتی شگفت‌انگیزتر است؛ بررسی کنید که تراشه‌های نسل جدید چگونه پردازش‌های محلی را برای دور زدن این قوانین تسهیل می‌کنند و چرا ممکن است معماری سرورهای احراز هویت شما تا سال ۲۰۲۷ منسوخ شود.