EU AI 법 12조: 로깅 및 감사 추적 요구 사항

12조에서 요구하는 사항

고위험 AI 시스템은 시스템 수명 동안 이벤트('로그')를 자동으로 기록할 수 있도록 설계되어야 합니다. 로그는 시장 출시 후 모니터링, 규제 검사 및 14조에 따른 인간 감독을 위한 충분한 추적성을 제공해야 합니다.

12조는 프로세스 문서만 요구하는 것이 아니라 기술적 기능을 요구하는 EU AI 법의 몇 안 되는 의무 사항 중 하나입니다. AI 시스템은 실제로 작동하는 동안 이러한 기록을 생성해야 합니다.

감사 추적에 반드시 포함해야 하는 사항

12조 로그에는 의사 결정이 어떻게 이루어졌는지, 그리고 그 이유는 무엇인지 재구성할 수 있을 만큼 충분한 세부 정보가 포함되어야 합니다.

• 신뢰할 수 있는 타임스탬프가 있는 이벤트 수준 로깅
• AI 시스템에 의해 수신된 입력 및 생성된 출력
• 내부 프로세스 단계(토론, 중간 결정, 정책 평가)
• 인간의 개입 작업: 승인, 재정의, 에스컬레이션
• 의사 결정 컨텍스트를 재현하기에 충분한 시스템 상태 데이터
• 이상 이벤트 및 해당 처리

기술적 요구 사항

규정은 로깅 인프라가 충족해야 하는 여러 기술적 속성을 명시합니다.

• 자동 로깅 - 수동 로그 항목은 12조를 충족하지 않습니다.
• 신뢰할 수 있고 완전한 이벤트 기록
• 변조 방지, 안전한 저장
• 의도된 목적 및 위험 프로필에 비례하는 보관 기간
• 규제 검토에 적합한 형식으로 내보낼 수 있음

일반적인 규정 준수 미흡 사항

기업 AI 팀과의 협업을 바탕으로, 가장 흔한 12조 규정 준수 미흡 사항은 다음과 같습니다.

• 출력만 로깅하고, 해당 출력을 생성한 추론 과정은 로깅하지 않음
• 누락되거나 불완전한 인간 재정의 기록
• 변조 방지 요구 사항을 충족하지 않는 변경 가능한 로그 저장소
• 규제 검사에 필요한 기간보다 짧은 보관 기간
• 구조화된 내보내기 기능이 없어 임시 데이터베이스 쿼리만 수행

11조 + 부록 IV 기술 문서

11조는 12조 로그와 함께 규정 준수를 입증하는 기술 문서를 요구합니다.

부록 IV는 시스템 설명, 의도된 목적, 설계 선택, 교육 및 테스트 데이터, 검증 절차, 모니터링 및 로그 자체를 포함하는 구조를 명시합니다. 이 두 가지를 하나의 작업 흐름으로 취급하십시오.