ES DI akto prievolės draudimo srities DI sistemoms: aktuariniai modeliai, draudimo rizikos vertinimas, žalų įvertinimas ir fizinių asmenų kainodaros DI. Apima Annex III 5(b) punktą ir sąveiką su „Solvency II".
Draudimas ir ES DI aktas — aktuarinis iššūkis
ES DI aktas (Reglamentas (ES) 2024/1689) nustato didžiausią reikalavimų laikymosi naštą DI sistemoms, turinčioms įtakos fizinių asmenų galimybei gauti esmines paslaugas ir finansinius produktus. Draudimas yra šio susirūpinimo centre. DI sistemos, nustatančios, ar fizinis asmuo gali gauti automobilio, sveikatos, gyvybės ar turto draudimą — ir kokia kaina — daugeliu konfigūracijų yra didelės rizikos DI sistemos pagal Annex III 5(b) punktą.
Pagrindinis iššūkis draudimo sektoriui yra aktuarinio pobūdžio. Daugiau nei šimtmetį draudimo kainodara buvo grindžiama statistiniu rizikos modeliavimu populiacijų grupėse. ES DI aktas nedraudžia aktuarinės diferenciacijos, tačiau nustato esmines prievoles DI sistemoms, per kurias tokia diferenciacija vykdoma, kai tos sistemos veikia atskirų fizinių asmenų lygmeniu. Perėjimas nuo tradicinių telkimo modelių prie DI pagrįsto individualios rizikos vertinimo — kurį lemia telematika, sveikatos duomenų srautai ir elgsenos analizė — yra būtent tai, kas suaktyvina Akto didelės rizikos tvarką.
Todėl ES veikiantys draudikai privalo atlikti sisteminę klasifikacijos analizę: kurios iš jų DI sistemų generuoja individualizuotas išvestis, nulemiančias arba reikšmingai veikiančias draudimo priimtinumo sprendimus fiziniams asmenims? Ši klasifikacijos analizė nėra vien formalumas reikalavimų laikymosi tikslais. Jos rezultatas lemia, ar draudikas kaip diegėjas pagal Art. 26 (arba tiekėjas pagal Art. 16) prisiima prievoles, susijusias su duomenų valdymu, technine dokumentacija, žmogaus priežiūra, atitikties vertinimu ir registracija ES didelės rizikos DI duomenų bazėje.
Akto taikymas draudimui dar labiau apsunkinamas dėl sektoriui jau taikomų tankių reguliavimo sluoksnių. „Solvency II" direktyva (2009/138/EB), Draudimo paskirstymo direktyva (IDD) (ES) 2016/97, GDPR ir EIOPA principų pagrindu parengtos DI gairės (2021) kiekviena nustato reikalavimus aktuariniam modeliavimui, klientų elgsenai ir duomenų naudojimui. Šios sistemos sutampa su ES DI akto prievolėmis, tačiau jų nekeičia. Reikalavimų laikymosi programos turi vienu metu spręsti visus klausimus.
Didelės rizikos DI naudojimo atvejai draudime
Aktuariniai kainodaros modeliai fiziniams asmenims
ES DI akto Annex III 5(b) punktas kaip didelės rizikos klasifikuoja bet kurią DI sistemą, naudojamą fizinių asmenų kreditingumui vertinti arba fiziniams asmenims klasifikuoti pagal jų rizikos profilį, siekiant suteikti prieigą prie draudimo paslaugų. Tai apima aktuarines DI sistemas, kurios:
- Generuoja individualų rizikos balą, naudojamą vardu nurodyto draudėjo automobilio draudimo įmokai nustatyti
- Klasifikuoja fizinio asmens sveikatos būklę ar mirtingumo riziką, siekiant nustatyti gyvybės draudimo draudimo priimtinumą ar įmoką
- Generuoja turto draudimo kainodaros sprendimą, pagrįstą DI įvertintais rizikos veiksniais, priskiriamais konkrečiam fiziniam asmeniui
Esminis slenkstis yra individualaus fizinio asmens poveikis. Aktuarinė DI, taikoma juridiniams asmenims — įmonių civilinei atsakomybei, komerciniam kroviniui, pramoniniam turtui — nesuaktyvina Annex III 5(b), nebent fiziniai asmenys paveikti iš esmės lygiaverčiu būdu. Draudikai, rašantys ir asmeninio, ir komercinio draudimo polisus, privalo kiekvieną DI sistemą klasifikuoti pagal populiaciją, kuriai ji taikoma.
Automobilio draudimo telematika ir pay-as-you-drive sistemos
Telematika pagrįstos draudimo kainodaros sistemos, renkančios vairavimo elgsenos duomenis — greitį, pagreitį, stabdymo tendencijas, naudojimo laiką — ir naudojančios DI modelius individualiai įmokai vardu nurodytam fiziniam asmeniui generuoti, yra paradigminis didelės rizikos draudimo DI naudojimo atvejis. Šios sistemos atitinka visus Annex III 5(b) elementus: jos vertina atskirus fizinius asmenis, generuoja išvestis, nulemiančias prieigą prie draudimo ir jo kainodarą, o jų DI pagrįstas individualizavimas yra būtent tai, kas jas skiria nuo tradicinių aktuarinių telkimo modelių.
Telematikos vertinimo sistemų tiekėjai — nesvarbu, ar sukurtų pačios įmonės, ar licencijuotų iš trečiųjų šalių tiekėjo — privalo laikytis Art. 9 (rizikos valdymas), Art. 10 (mokymo ir patvirtinimo duomenų rinkinių duomenų valdymas), Art. 11 kartu su Annex IV (techninė dokumentacija), Art. 12 (žurnalas), Art. 13 (skaidrumas), Art. 14 (žmogaus priežiūra) ir Art. 15 (tikslumas, patikimumas, kibernetinis saugumas).
Gyvybės ir sveikatos draudimo rizikos vertinimo DI
DI sistemos, naudojamos gyvybės draudimo rizikos vertinimui, siekiant įvertinti atskirų pareiškėjų ilgaamžiškumo ar mirtingumo riziką — sprendžiant, ar siūloma draudimo apsauga ir kokia įmoka — pagal Annex III 5(b) yra didelės rizikos, kai jos generuoja individualizuotus vertinimus fiziniams asmenims. Tai apima DI sistemas, apdorojančias sveikatos klausimyno atsakymus, medicininius įrašus (kai teisėtai pasiekiami) arba nešiojamų prietaisų duomenų srautus, siekiant generuoti rizikos balą, darantį įtaką draudimo rizikos vertinimo sprendimams.
Sveikatos draudimo DI, segmentuojanti atskirus pareiškėjus pagal sveikatos rizikos profilį kainodaros ar priimtinumo nustatymo tikslais, yra klasifikuojama taip pat. Draudikai privalo atkreipti dėmesį į GDPR Art. 9 (sveikatos duomenys kaip specialių kategorijų duomenys) ir DI akto Art. 10 duomenų valdymo reikalavimų sankirtą: mokymo duomenų rinkiniai, kuriuose yra sveikatos duomenų, reikalauja aiškaus GDPR Art. 9(2) teisinio pagrindo, o šis pagrindas turi būti dokumentuotas Annex IV reikalaujamoje techninėje dokumentacijoje.
Žalų vertinimo ir atsiskaitymo DI
Žalų DI klasifikacija priklauso nuo jos funkcinio vaidmens žalų sprendimo procese. Reikia atskirti du scenarijus:
- DI, reikšmingai veikianti žalos rezultatą fiziniam asmeniui: kai DI sistema vertina žalą ir jos išvestis tiesiogiai lemia draudimo išmokos fiziniam asmeniui sumažinimą, atmetimą ar sąlyginį mokėjimą — net jei nominaliai peržiūrima žmogaus — sistema greičiausiai yra didelės rizikos pagal Annex III 5(b), nes ji iš esmės nulemia fizinio asmens prieigą prie draudimo išmokų.
- DI, pažyminčia žalas žmogaus tyrimui: kai DI išvestis yra vienas iš kelių žalų nagrinėtojo, priimančio savarankišką esminį sprendimą, atsižvelgiamų veiksnių, o nagrinėtojas turi įgaliojimus ir informaciją nukrypti nuo DI vertinimo — sistema gali nepriklausyti didelės rizikos kategorijai. Šis skirtumas turi būti dokumentuotas ir operatyviai tikras, o ne nominalus.
Draudimo sukčiavimo aptikimas
DI sistemos, naudojamos potencialiai apgaulingoms žaloms aptikti, užima svarbią ribinę zoną. Kai sukčiavimo aptikimo DI suaktyvina automatinį neigiamą veiksmą — mokėjimo sustabdymą, poliso nutraukimą — paveikiantį fizinį asmenį be esmingos žmogaus peržiūros, ji greičiausiai yra didelės rizikos. Kai DI generuoja tik sukčiavimo rizikos žymę, kurią vėliau tiria specialistas nagrinėtojas, išlaikantis visą sprendimų priėmimo įgaliojimą, ji gali tokia nebūti. Draudikai turėtų išsamiai dokumentuoti sukčiavimo DI procesą ir įvertinti, ar operatyvinė žmogaus priežiūra yra esminė, ar nominali.
Tiekėjas ar diegėjas draudime
Vaidmenų atskyrimas
ES DI aktas nustato skirtingus prievolių rinkinius priklausomai nuo to, ar organizacija yra tiekėjas (kuria ir pateikia DI rinkai) ar diegėjas (naudoja trečiosios šalies DI sistemą profesiniame kontekste). Draudikams šis skirtumas yra komerciškai reikšmingas:
- Draudikas, kuriančios savo telematikos vertinimo sistemą ar aktuarinę kainodaros DI, yra tiekėjas pagal Art. 3(3) ir prisiima visas tiekėjo prievoles pagal Art. 16: kokybės valdymo sistema, techninė dokumentacija, ES atitikties deklaracija, CE ženklinimas, registracija ES duomenų bazėje ir stebėsena po pateikimo rinkai.
- Draudikas, licencijuojantis aktuarinę DI programinę įrangą iš tiekėjo, yra diegėjas pagal Art. 3(4) ir prisiima diegėjo prievoles pagal Art. 26: diegimas laikantis tiekėjo instrukcijų, žmogaus priežiūra, žurnalų tvarkymas ir pranešimas apie incidentus.
- Draudikas, modifikuojantis licencijuotą DI sistemą taip, kad pakeičia jos numatytą paskirtį — pavyzdžiui, taikant telematikos modelį draudėjų populiacijai, kuri nėra patvirtinta taikymo sritis — gali būti iš naujo klasifikuotas kaip tiekėjas pagal Art. 25(1) su visomis tiekėjo prievolėmis.
Diegėjo išsamūs patikrinimai dėl aktuarinės tiekėjų DI
Draudikai, diegiantys trečiųjų šalių aktuarines DI sistemas, prieš ir po diegimo privalo atlikti struktūruotą išsamų patikrinimą:
Prieš diegimą: Patikrinkite, ar DI sistema yra registruota ES didelės rizikos DI duomenų bazėje pagal Art. 49, turi CE ženklą ir ją lydi ES atitikties deklaracija. Paprašykite ir peržiūrėkite techninės dokumentacijos santrauką, įskaitant tikslumo ir šališkumo rodiklius, patvirtintos naudojimo atvejo taikymo sritį ir numatytos paskirties pareiškimą.
Sutartinė apsauga: Pirkimo sutartyse su DI tiekėjais turėtų būti nurodyta: tiekėjo prievolė pranešti draudikui apie reikšmingus atnaujinimus ar pervertinimus; tiekėjo prievolė pateikti atnaujintus stebėsenos po pateikimo rinkai duomenis paprašius; ir leidžiamos diegimo taikymo srities ribos — su aiškiu mechanizmu, leidžiančiu draudikui prašyti taikymo srities išplėtimo vertinimo, o ne imtis vienašalių veiksmų.
Nuolatinė stebėsena: Pagal Art. 26(5) diegėjai privalo stebėti didelės rizikos DI sistemų veikimą jų operatyviniame kontekste. Aktuarinei DI tai reiškia modelio veikimo sekimą pagal faktinius žalų rezultatus, paskirstymo pokyčių tarp mokymo populiacijos ir gyvosios draudėjų populiacijos stebėjimą bei esminių nukrypimų perduodamą tiekėjui tyrimui.
Sąveika su „Solvency II", IDD ir GDPR
„Solvency II" — valdymo sistema ir ORSA
„Solvency II" direktyvos II ramsčio reikalavimai nustato valdymo sistemą aktuarinių ir rizikos valdymo funkcijų srityje. Nuosavos rizikos ir mokumo vertinimas (ORSA) reikalauja dokumentuoto rizikos identifikavimo, testavimo nepalankiomis sąlygomis ir vidinio modelio valdymo. Šie reikalavimai iš esmės sutampa su ES DI akto Art. 9 rizikos valdymo sistema ir Annex IV techninės dokumentacijos modelio patvirtinimo sudedamosiomis dalimis.
Draudikai turėtų atlikti struktūruotą spragų analizę, siekdami nustatyti, kurie „Solvency II" valdymo dokumentai gali būti panaudoti DI akto reikalavimų laikymosi tikslais ir kurios spragos lieka. Pagrindinės spragos dažniausiai apima: specifinį DI šališkumo testavimą ir sąžiningumo vertinimą (neaptartas „Solvency II"); Art. 10 duomenų rinkinio dokumentaciją mokymo ir patvirtinimo duomenims (kuri viršija „Solvency II" modelio patvirtinimo taikymo sritį); Art. 12 automatinį DI sistemos veikimo žurnalo sudarymą; ir Art. 14 žmogaus priežiūros mechanizmo projektavimą. Kai pagal „Solvency II" patvirtintame vidiniame modelyje yra DI komponentų, to modelio valdymo sistema turi būti išplėsta, siekiant įvykdyti DI akto prievoles, prieš teisėtai diegiant sistemą didelės rizikos tvarkoje.
Draudimo paskirstymo direktyva — sąžiningumas ir skaidrumas
IDD (ES) 2016/97 reikalauja, kad draudimo paskirstymas būtų vykdomas klientų interesais, o informacija pateikiama suprantamu būdu. Kai DI naudojama paskirstymo procese — pavyzdžiui, skaitmeninėje platformoje, generuojančioje personalizuotas produktų rekomendacijas ar įmokų pasiūlymus — IDD sąžiningumo ir atskleidimo prievolės sutampa su ES DI akto Art. 13 skaidrumo reikalavimais. Draudikai turėtų integruoti DI akto atskleidimo prievoles į IDD produkto atskleidimo dokumentus (IPID) ir pagrindinės informacijos dokumentus, užtikrindami, kad DI vaidmuo paskirstymo ar kainodaros sprendime būtų perteikiamas draudėjui suprantama kalba.
GDPR — specialių kategorijų duomenys ir automatizuotas sprendimų priėmimas
GDPR Art. 9 klasifikuoja sveikatos duomenis, genetinius duomenis ir duomenis apie asmens fizinę ar psichinę sveikatos būklę kaip specialių kategorijų duomenis, kurių tvarkymas draudžiamas be specialios išimties. Gyvybės ir sveikatos draudikai, naudojantys tokius duomenis DI mokymui ar vertinimui, privalo kiekvienai duomenų kategorijai ir tvarkymo tikslui nustatyti ir dokumentuoti tinkamą Art. 9(2) teisinį pagrindą — dažniausiai aiškų sutikimą pagal Art. 9(2)(a) arba valstybės narės teisės nukrypimo leidimą pagal Art. 9(2)(b).
GDPR Art. 22 riboja vien automatizuotus sprendimus, turinčius teisinį ar panašiai reikšmingą poveikį fiziniams asmenims. DI draudimo rizikos vertinimo sprendimas, automatiškai atmetantis draudimo paraiškos, ar DI žalos sprendimas, automatiškai sumažinantis išmokos mokėjimą, be žmogaus dalyvavimo yra vien automatizuotas sprendimų priėmimas pagal Art. 22. Duomenų subjektas turi teisę į: žmogaus atliekamą sprendimo peržiūrą; paaiškinimą apie pagrindinius automatizuotą sprendimą lemiančius veiksnius; ir teisę ginčyti rezultatą. Draudikai privalo integruoti šias teises į klientams skirtas procedūras ir užtikrinti, kad vidiniai peržiūros mechanizmai veiktų iš esmės.
EIOPA DI gairės
EIOPA principų pagrindu parengtos DI naudojimo draudime gairės (2021) nustatė sektoriaus lūkesčius skaidrumo, nediskriminavimo, duomenų kokybės ir modelio paaiškiamumo srityse iki DI akto įsigaliojimo. EIOPA rengia sektorinį DI akto įgyvendinimo vadovą, todėl draudikai turėtų atidžiai stebėti EIOPA leidinius. Nacionalinės priežiūros institucijos — ACPR (Prancūzija), BaFin (Vokietija), IVASS (Italija), DNB (Nyderlandai) — įgyvendins priežiūros lūkesčius laikydamosi EIOPA gairių, o akto įgyvendinimo laikotarpiu tikimasi sektoriui skirtų klausimų ir atsakymų leidinių.
Vykdymas — EIOPA ir nacionalinės priežiūros institucijos
EIOPA priežiūros vaidmuo
EIOPA (Europos draudimo ir profesinių pensijų institucija) neturi tiesioginių vykdymo įgaliojimų pagal ES DI aktą, kuris pagal Art. 70 kaip kompetentingas institucijas nurodo nacionalines priežiūros institucijas. Vis dėlto EIOPA koordinuoja priežiūros konvergenciją ES draudimo reguliuotojų tarpe ir leidžia privalomus bei neprivalomą techninį standartus. EIOPA DI valdymo lūkesčiai — išreikšti per gaires, nuomones ir priežiūros pareiškimus — formuos, kaip nacionalinės priežiūros institucijos įgyvendins DI akto reikalavimus draudimo kontekste. Draudikai turėtų traktuoti EIOPA leidinius kaip autoritetingus sektoriaus gaires, net jei jie nėra teisiškai privalomi.
Nacionalinės draudimo priežiūros institucijos kaip DI kompetentingos institucijos
Pagrindinių ES rinkų nacionalinės draudimo priežiūros institucijos yra pasirengusios vykdyti DI akto kompetentingų institucijų funkcijas draudimo DI sistemų atžvilgiu:
- ACPR (Autorité de contrôle prudentiel et de résolution) Prancūzijoje, paskelbusi priežiūros lūkesčius DI finansinėse paslaugose
- BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) Vokietijoje, turinti algoritminio sprendimų priėmimo priežiūros patirtį
- IVASS (Istituto per la Vigilanza sulle Assicurazioni) Italijoje
- DNB (De Nederlandsche Bank) Nyderlanduose
Šios institucijos pagal Art. 74 ir Art. 75 turi įgaliojimus reikalauti prieigos prie mokymo duomenų, techninės dokumentacijos ir žurnalų; atlikti patikrinimus vietoje; nurodyti taisomąsias priemones; ir rekomenduoti finansines sankcijas už reikalavimų nesilaikymą. Baudos už neatitinkančios reikalavimų didelės rizikos DI pateikimą rinkai gali siekti 30 mln. EUR arba 6 % pasaulinės metinės apyvartos — atsižvelgiant į tai, kuri suma didesnė.
Dviguba priežiūra: DI aktas ir sektorinis reguliavimas
Draudimo priežiūros institucijos, vykdydamos DI aktą, tai darys platesnio riziką ribojančio ir elgesio priežiūros mandato kontekste. DI akto tyrimas dėl šališko aktuarinio kainodaros modelio gali vienu metu suaktyvinti „Solvency II" III ramsčio atskaitomybės prievoles, IDD elgesio reikalavimus ir duomenų apsaugos institucijos GDPR vykdymą. Draudikai turėtų priimti, kad priežiūros intervencijos bus tarpsektorinius ir atitinkamai suprojektuoti savo reikalavimų laikymosi programas.
Reikalavimų laikymosi veiksmų planas draudikams
1 žingsnis: DI sistemų inventorizacija ir klasifikacija
Atlikite išsamią visų DI sistemų, naudojamų šiose srityse, inventorizaciją: įmokų kainodara; draudimo rizikos vertinimo priimtinumas ar atmetimas; žalų vertinimas ar apmokėjimas; sukčiavimo aptikimas; klientų rizikos vertinimas; ir paskirstymas ar produktų rekomendavimas. Kiekvienai sistemai įvertinkite, ar ji generuoja išvestis, nulemiančias ar reikšmingai veikiančias rezultatus atskiriems fiziniams asmenims. Sistemos, atitinkančios šį slenkstį, reikalauja klasifikacijos vertinimo pagal Annex III 5(b).
2 žingsnis: Tiekėjo/diegėjo statuso nustatymas
Kiekvienai didelės rizikos DI sistemai nustatykite, ar draudikas yra tiekėjas, diegėjas ar — svarbiausia — ar naudojimas, viršijantis tiekėjo patvirtintą taikymo sritį, sukėlė iš naujo klasifikavimą kaip tiekėją. Pasikonsultuokite su teisininku dėl ribinių konfigūracijų vertinimo, ypač kai pačios įmonės duomenys ar draudėjų populiacijos buvo naudojami tiksliai sureguliuoti ar išplėsti licencijuotą modelį.
3 žingsnis: Spragų analizė pagal DI akto prievoles
Atvaizduokite esamus „Solvency II" valdymo dokumentus, ORSA dokumentaciją ir vidinio modelio patvirtinimo procesus pagal DI akto reikalavimus pagal Art. 9 (rizikos valdymas), Art. 10 (duomenų valdymas), Art. 11 ir Annex IV (techninė dokumentacija), Art. 12 (žurnalas), Art. 13 (skaidrumas), Art. 14 (žmogaus priežiūra) ir Art. 15 (tikslumas, patikimumas, kibernetinis saugumas). Dokumentuokite nustatytas spragas ir priskirkite atsakomybę už jų šalinimą.
4 žingsnis: Duomenų valdymas ir GDPR suderinimas
Kiekvienai didelės rizikos DI sistemai atlikite mokymo ir patvirtinimo duomenų rinkinių auditą. Dokumentuokite duomenų kilmę, rinkimo metodus, reprezentatyvumą atitinkamose draudėjų demografinėse grupėse ir žinomus apribojimus. Užtikrinkite, kad GDPR teisiniai pagrindai būtų nustatyti visiems asmens duomenims ir, kai taikoma, specialių kategorijų duomenims. Integruokite Art. 10 dokumentaciją į Annex IV techninę bylą.
5 žingsnis: Žmogaus priežiūros mechanizmo projektavimas
Kiekvienam didelės rizikos DI diegimui suprojektuokite operatyviai realistiškus žmogaus priežiūros mechanizmus. Draudimo rizikos vertinimo DI atveju tai reiškia, kad kvalifikuotas draudikas turės informacijos, įgaliojimų ir darbo eigos laiko peržiūrėti ir nukrypti nuo DI rekomendacijos prieš tai, kai ji paveiks draudėją. Žalų DI atveju tai reiškia, kad žalų nagrinėtojas turi esminę peržiūros valdžią — o ne nominalią pritarimo funkciją. Dokumentuokite priežiūros projektą ir įtraukite jį į techninę dokumentaciją.
6 žingsnis: Tiekėjų išsamūs patikrinimai ir sutarčių peržiūra
Trečiųjų šalių aktuarinėms DI sistemoms įgyvendinkite aukščiau aprašytą išsamaus patikrinimo prieš diegimą procesą ir peržiūrėkite esamas tiekėjų sutartis. Jei sutartyse trūksta nuostatų, įpareigojančių tiekėją tvarkyti DI akto atitikties dokumentaciją, pranešti draudikui apie reikšmingus pokyčius ir leisti DI sistemos veikimo auditą — tokias sutartis pataisykite ar iš naujo derėkitės. Sukurkite vidines procedūras DI sistemos veikimo stebėsenai gyvoje draudėjų populiacijoje ir esminių nukrypimų pranešimui tiekėjams bei, kai reikalaujama, priežiūros institucijoms.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Automobilio draudimo kainodaros algoritmas greičiausiai priskiriamas didelės rizikos sistemoms pagal Annex III 5(b) punktą, jei jis vertina atskirų fizinių asmenų kreditingumą ar rizikos profilį, siekdamas nustatyti įmokų dydį arba draudimo priimtinumą. Telematika pagrįstos pay-as-you-drive sistemos, kurios vertina individualų vairuotojo elgesį ir pagal šį vertinimą nustato įmokas vardu nurodytiems draudėjams, neabejotinai patenka į šią kategoriją. Tradiciniai aktuariniai telkimo modeliai, priskiriantys asmenis aktuarinėms klasėms be DI pagrįsto individualaus vertinimo, yra pilkesnėje zonoje, tačiau bet kuri DI sudedamoji dalis, generuojanti individualizuotą balą, naudojamą fizinio asmens draudimo poliso kainai nustatyti ar jo priėmimui, turėtų būti vertinama pagal Art. 6(2) kartu su Annex III 5(b) punktu.
Ne, tačiau yra reikšmingų sutapimų, kuriais reikėtų pasinaudoti. ES DI akto Art. 9 reikalauja rizikos valdymo sistemos, kuri visame DI sistemos gyvavimo cikle identifikuotų, analizuotų ir mažintų numatomą riziką. „Solvency II" II ramsčio nuosavos rizikos ir mokumo vertinimo (ORSA) bei valdymo sistemos reikalavimai numato dokumentuotą rizikos identifikavimą ir vidinio modelio valdymą aktuarinių bei kainodaros procesų srityje. „Solvency II" tikslais sukurtos valdymo struktūros, dokumentuoti rizikos vertinimai ir modelio patvirtinimo procedūros gali tapti ES DI akto reikalavimų laikymosi pagrindu, tačiau jas būtina papildyti sprendžiant specifines DI prievoles: šališkumo testavimą, duomenų valdymą pagal Art. 10, automatinį žurnalo sudarymą pagal Art. 12 ir žmogaus priežiūrą pagal Art. 14. Būtina atlikti spragų analizę pagal Annex IV techninės dokumentacijos reikalavimus.
Kai didelės rizikos DI sistema naudojama priimti ar reikšmingai daryti įtaką sprendimui, turinčiam įtakos fiziniam asmeniui — įskaitant draudimo draudimo priimtinumą, atmetimą ar kainodarą — diegėjas privalo pateikti fiziniam asmeniui prasmingą informaciją pagal ES DI akto Art. 26(6) ir, kai taikomas automatizuotas sprendimų priėmimas pagal GDPR Art. 22, — duomenų subjekto teises pagal GDPR Art. 13–15 ir 22. Draudėjai turi teisę gauti paaiškinimą apie automatizuotų sprendimų logiką, teisę prašyti žmogaus atliekamos peržiūros ir teisę ginčyti rezultatą. Todėl draudikai, naudojantys DI draudimo rizikos vertinimo įrankius, privalo sukurti klientams skirtas atskleidimo procedūras ir įdiegti žmogaus peržiūros mechanizmus, kurie yra tikrai prieinami — o ne sąlygojami specialių žinių turėjimo.
Nebūtinai automatiškai. Sukčiavimo aptikimo DI, kuri pažymi žalų bylas žmogaus atliekamam tyrimui — kai tyrėjas priima galutinį sprendimą, ar mokėti, sumažinti ar atmesti žalą — gali nepasiekti didelės rizikos klasifikacijos pagal Annex III 5(b) ribos, nes DI savarankiškai nesprendžia fizinių asmenų prieigos prie draudimo. Tačiau jei sukčiavimo aptikimo sistemos rezultatas tiesiogiai sukelia automatinį žalos išmokos sumažinimą, sustabdymą ar atsisakymą fiziniam asmeniui be esmingos žmogaus peržiūros, sistema greičiausiai yra didelės rizikos. Draudikai turėtų tiksliai dokumentuoti, kaip sukčiavimo DI rezultatai naudojami žalų nagrinėjimo procese, ir užtikrinti, kad, kai fiziniai asmenys yra paveikti, prieš jiems netenkant naudos įsiterptų prasminga žmogaus priežiūra.
Draudikai, diegiantys trečiųjų šalių aktuarinės DI įrankius, turėtų sutartimi reikalauti šių dokumentų: ES atitikties deklaracijos ir CE ženklinimo dokumentacijos didelės rizikos sistemoms; techninės dokumentacijos pagal Annex IV, įskaitant numatytos paskirties pareiškimą, mokymo duomenų rinkinių aprašymus, patvirtinimo ir testavimo rezultatus (įskaitant šališkumo ir tikslumo rodiklius skirtingose demografinėse grupėse) ir rizikos valdymo bylą; naudojimo instrukcijų, skirtų diegėjui; rinkos stebėjimo po pateikimo duomenų ir incidentų ataskaitų; ir sistemos patvirtintų parametrų bei sąlygų, įskaitant bet kokius naudojimo atvejų ar draudėjų populiacijų apribojimus. Diegimas, viršijantis tiekėjo naudojimo instrukcijų taikymo sritį, gali iš naujo klasifikuoti draudiką kaip tiekėją su visomis tiekėjo prievolėmis pagal Art. 16.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.