एआइ के नियमन के लिए कानून बने

-डॉ पवन दुग्गल-

Regulate AI : एंथ्रोपिक ने जिस क्लॉड माइथोस प्रीव्यू को जारी किया, वह एक ऐसा एआइ मॉडल है, जिसे उसके अपने इंजीनियरों ने अत्यधिक खतरनाक बताया था. लिहाजा इसे सीमित, सत्यापित भागीदारों तक ही उपलब्ध कराया गया. लेकिन इसकी घोषणा के दिन अनधिकृत उपयोगकर्ताओं ने इसे एक्सेस कर लिया. यह मॉडल स्वतः ही कमजोरियों की खोज करता है, विभिन्न सिस्टमों में एक्सप्लॉइट्स को जोड़ता है और अपने निशान मिटा देता है. इसने खतरनाक एआइ क्षमताओं को मापने के लिए बनाये गये हर मानक को पार कर लिया है. यानी नियंत्रण व्यवस्था शुरू होने से पहले ही विफल हो गयी.

यह कोई काल्पनिक स्थिति नहीं है. यह एक वास्तविक क्षमता विफलता है, जिसके लिए पृथ्वी के किसी भी क्षेत्राधिकार में कोई कानूनी उपाय मौजूद नहीं है. किसी पर भी आरोप नहीं लगाया गया है. किसी नियामक ने हस्तक्षेप नहीं किया है. इस लीक से सक्षम किसी हमले के भविष्य के किसी भी पीड़ित के पास आज कोई स्पष्ट कानूनी उपाय उपलब्ध नहीं है.

यही वह समस्या है, जिसे अब कानून को संबोधित करना होगा-सामान्य रूप से एआइ को नहीं, बल्कि विफलता के इस विशिष्ट पैटर्न और उससे जुड़े कानूनी शून्य को. पहली खामी है स्वायत्त एआइ से होने वाले नुकसान के लिए कठोर उत्तरदायित्व का अभाव. वर्तमान नागरिक दायित्व ढांचे में वादी को यह साबित करना पड़ता है कि किसी विशिष्ट प्रतिवादी ने किसी विशिष्ट लापरवाही के माध्यम से नुकसान पहुंचाया. जब माइथोस स्वयं ही हमलों की शृंखला बनाता है-लक्ष्य चुनता है, हमला तैयार करता है, और पहचान से बचता है-तो कारण-परिणाम की शृंखला किसी भी मानव निर्णय से अलग हो जाती है.

किसी डेवलपर ने उस विशेष हमले को अधिकृत नहीं किया, किसी तैनातकर्ता ने उसे निर्देशित नहीं किया. नुकसान वास्तविक है, पर कानूनी उपाय अनुपस्थित है. जाहिर है, अब कानून को स्वायत्त आक्रामक एआइ क्षमता के डेवलपर्स के लिए कठोर उत्तरदायित्व स्थापित करना होगा. यह उत्तरदायित्व लापरवाही या दोष आधारित नहीं होना चाहिए, बल्कि तैनाती के बिंदु पर लागू होना चाहिए, न कि नुकसान के साबित होने पर. इसके लिए स्पष्ट विधायी भाषा की आवश्यकता है-सिर्फ सिद्धांत या दिशा-निर्देश नहीं, बल्कि ऐसा दायित्व नियम, जिसे अदालतें लागू कर सकें. दूसरी खामी यह है कि पर्याप्त नियंत्रण (कंटेनमेंट) के लिए कोई कानूनी मानक नहीं है.

एंथ्रोपिक ने नियंत्रण की कोशिश की, लेकिन कुछ ही घंटों में अंदरूनी एक्सेस के माध्यम से यह विफल हो गया. किसी भी क्षेत्राधिकार में ऐसा कोई कानून नहीं है, जो यह निर्धारित करे कि खतरनाक एआइ मॉडल के लिए पर्याप्त नियंत्रण क्या होता है. एंथ्रोपिक के उपायों का मूल्यांकन करने के लिए कोई कानूनी मानक नहीं है. रिलीज से पहले इन्हें प्रमाणित करने के लिए कोई नियामक नहीं है. और नियंत्रण विफलता के लिए कोई दंड भी नहीं है, जब तक कि वास्तविक नुकसान साबित न हो. अब कानून को यह अनिवार्य करना होगा कि एक निश्चित क्षमता सीमा से ऊपर के एआइ सिस्टमों के लिए रिलीज से पहले कंटेनमेंट प्रमाणन जरूरी हो. यह सीमा स्वयं-रिपोर्टेड प्रदर्शन पर नहीं, बल्कि स्वतंत्र तकनीकी ऑडिट पर आधारित होनी चाहिए-जैसे स्वायत्त कमजोरियों की खोज, एक्सप्लॉइट चेनिंग और पहचान से बचने की क्षमता. यह प्रमाणन ऐसे निकाय द्वारा होना चाहिए, जिसका डेवलपर से कोई वित्तीय संबंध न हो.

कंटेनमेंट विफलता पर स्वतः नियामकीय जांच शुरू होनी चाहिए, जिसमें डेवलपर की जिम्मेदारी का अनुमान लगाया जाये, जिसे केवल स्पष्ट और ठोस प्रमाण से ही खंडित किया जा सके. खामी नंबर तीन है अंतर-क्षेत्राधिकार प्रवर्तन तंत्र का अभाव. जैसे ही माइथोस को अनधिकृत उपयोगकर्ताओं ने एक्सेस किया, वे विभिन्न देशों में सक्रिय हो गये. यह क्षमता अब अनियंत्रित रूप से फैल चुकी है. यूरोपीय संघ का एआइ अधिनियम यहां लागू नहीं हो सकता. अमेरिका के पास सीमा-पार तंत्र नहीं है. भारत के पास कोई उपयुक्त कानून नहीं है. वैश्विक दक्षिण के पास तो कुछ भी नहीं है.

इसके लिए एक बाध्यकारी वैश्विक व्यवस्था की आवश्यकता है, जिसमें तीन तत्व हों- पहला : अनिवार्य सूचना दायित्व-यानी किसी भी कंटेनमेंट विफलता की स्थिति में 24 घंटे के भीतर एक निर्धारित अंतरराष्ट्रीय निकाय को पूरी तकनीकी जानकारी के साथ सूचित करना. दूसरा है समन्वित प्रतिक्रिया तंत्र- यह निकाय सदस्य देशों में महत्वपूर्ण अवसंरचना संचालकों के साथ तुरंत जानकारी साझा कर सके. और तीसरा है सीमा-पार उत्तरदायित्व-यानी किसी सदस्य देश में पंजीकृत डेवलपर अन्य सदस्य देशों में हुए नुकसान के लिए भी जिम्मेदार हो, और न्यायिक निर्णयों की पारस्परिक मान्यता के माध्यम से इसे लागू किया जा सके. यह उस कानूनी खामी को समाप्त करेगा, जिसमें खतरनाक तकनीक को ढीले नियमों वाले देशों से संचालित किया जाता है, जबकि नुकसान अन्य जगहों पर होता है.

एआइ-सक्षम साइबर हमलों के लिए सबसे अधिक संवेदनशील अवसंरचना सैनफ्रांसिस्को या ब्रसेल्स में नहीं है, बल्कि उन क्षेत्रों में है, जहां पुरानी प्रणालियां हैं, सीमित संसाधन हैं और कोई एआइ दायित्व ढांचा नहीं है-जैसे भारत के मध्यम शहरों के जल संयंत्र, उप-सहारा अफ्रीका के पावर ग्रिड, या दक्षिण-पूर्व एशिया की बैंकिंग प्रणाली. ये हमलों के लिए आसान लक्ष्य हैं क्योंकि कानूनी रोकथाम कमजोर है और तकनीकी सुरक्षा भी सीमित है. उपरोक्त तीनों कानूनी नियम इन क्षेत्रों पर भी उतनी ही शक्ति से लागू होने चाहिए, जितनी जर्मनी या कैलिफोर्निया पर. वैश्विक दक्षिण को यह मांग अभी उठानी होगी-एक अनिवार्य शर्त के रूप में. ये नियम या तो सार्वभौमिक होंगे या अपर्याप्त-तीसरा कोई विकल्प नहीं है.

निष्कर्ष यह है कि माइथोस ने इन कानूनी खामियों को पैदा नहीं किया, बल्कि उन्हें स्पष्ट कर दिया. इसने सैद्धांतिक जोखिम और वास्तविक खतरे के बीच की दूरी को कुछ घंटों में समाप्त कर दिया. हमने दशकों तक ढांचे, समझौते, सिद्धांत और संवाद तैयार किये हैं. वे आवश्यक थे, लेकिन अब पर्याप्त नहीं हैं. उन्होंने बाध्यकारी दायित्व, लागू करने योग्य उत्तरदायित्व या ऐसा कानूनी ढांचा नहीं बनाया जो आज माइथोस जैसी विफलताओं को रोक सके या उनके परिणामों का समाधान कर सके. अब आवश्यकता है तीन नियमों- यानी स्पष्ट भाषा, बाध्यकारी शक्ति और सार्वभौमिक अनुप्रयोग की. कानूनी समुदाय को यह तय करना होगा कि वह इसे लागू करेगा या फिर समस्या पर एक और प्रभावशाली दस्तावेज तैयार करेगा.
(ये लेखक के निजी विचार हैं.)