AI Act: що ЄС думає про штучний інтелект

Використання штучного інтелекту вже досить давно стало реальністю в багатьох сферах людського життя. Деякі задачі, що раніше вимагали залучення людських розумових ресурсів, наразі можуть бути виконані комп’ютерними системами, як, наприклад, переклад мов або налаштування рекомендацій під конкретного користувача. З поширенням використання технологій штучного інтелекту законодавці багатьох країн намагаються розробити нормативно-правову базу (якщо просто – закони) у цій сфері. Врегулювання використання технологій artificial intelligence може вплинути і на застосування інших законів. Наприклад, це може стосуватись GDPR, який надає суб’єктам даних право не підпадати під рішення, засноване виключно на автоматизованій обробці, включаючи профайлінг, яке створює юридичні наслідки для особи або іншим чином істотно впливає на суб’єкта даних. Однією з ініціатив у сфері регулювання штучного інтелекту є Artificial Intelligence Act (або Регламент про штучний інтелект) – пропозиція регламенту від Європейської Комісії щодо регулювання використання штучного інтелекту, про який ми розкажемо в цій статі. 

Штучний інтелект може використовуватись у таких галузях, як зміна клімату, навколишнє середовище, здоров’я, державний сектор, фінанси, мобільність, внутрішні справи, сільське господарство. Пояснюючи необхідність прийняття регламенту для регулювання ШІ, Європейська Комісія наголошує, що елементи та методи використання штучних технологій можуть спричинити нові ризики або мати негативні наслідки для окремих людей або суспільства в цілому. Що стосується контексту самого регламенту, Європейська Комісія виділила наступні цілі, яких намагається досягти прийняттям цього закону: 

  • гарантувати, що системи штучного інтелекту, що розміщуються та використовуються на ринку ЄС, є безпечними та поважають чинне законодавство, що стосуються захисту основних прав, та цінності Євросоюзу;
  • забезпечення правової визначеності для сприяння інвестиціям та інноваціям у сфері штучного інтелекту;
  • покращити управління та ефективне забезпечення виконання чинного законодавства про основні права та вимоги безпеки, що застосовуються до систем штучного інтелекту;
  • сприяти розвитку єдиного ринку для законних, безпечних та надійних програм, що використовують штучний інтелект, та запобігти фрагментації ринку.

Якщо говорити про конкретні кроки, то Єврокомісія пропонує заборонити деякі особливо шкідливі практики використання штучного інтелекту, які суперечать цінностям Євросоюзу, тоді як пропонуються спеціальні обмеження та запобіжні заходи щодо певного використання систем дистанційної біометричної ідентифікації з метою їхнього використання правоохоронними органами. Пропозиція регламенту також містить в собі методологію визначення «високо ризикованих» систем штучного інтелекту, що повинні виконувати певні обов’язкові вимоги та процедури. Ці вимоги будуть запроваджені через системи управлінь на рівні держав-членів ЄС, використовуючи структури, що вже функціонують, також планується створення органу EAIB (European Artificial Intelligence Board), що буде відповідальним за імплементацію цього закону. Також пропонується створення регуляторів на національному рівні. Нагадаємо, що схожа стратегія з заснуванням окремого органу та національних регуляторів була обрана законодавцем під час прийняття GDPR: тоді для більш ефективної імплементації GDPR законодавець також створив відповідальний орган EDPB (European Data Protection Board), а в кожній країні ЄС були призначені національні органи.

Що регулюватиме AI Act 

Розглянемо, з чого складається AI Act. Пропозиція регламенту містить 12 розділів (titles) та 85 статей в них. Розкажемо про кожний з них:

Перший розділ описує предмет регламенту, межі застосування та основні визначення, що використовуються у тексті закону. Пропонується, щоб цей регламент мав екстериторіальний характер, тобто міг бути застосований до компаній, які знаходяться за межами території Євросоюзу. 

Другий розділ містить заборонені практики використання штучного інтелекту, що описані в статті 5 регламенту. Одним із прикладів таких заборонених практик є користування системами, що використовують будь-яку вразливість певної групи осіб через їхній вік, фізичні чи розумові вади з метою спотворення поведінки такої особи, що може завдати фізичної чи психологічної шкоди цій або іншій особі. 

Третій розділ є найбільш об’ємним та присвячений high-risk системам штучного інтелекту. Він складається з п’яти підрозділів (chapters), які встановлюють, у яких випадках система штучного інтелекту буде вважатись високо ризикованою, вимоги до таких систем (управління ризиками, керування даними, складання технічної документації, запис подій (логів), прозорість та надання інформації користувачам, нагляд людини, точність, надійність, безпека), обов’язки постачальників та користувачів високо ризикованих систем і інших сторін, положення щодо notifying authorities та notified bodies та такі інструменти як стандарти, оцінка відповідності, сертифікати та реєстрація.

Четвертий розділ стосується зобов’язань щодо прозорості для деяких систем штучного інтелекту. Зокрема, в ньому описується використання технології «діпфейк» (deepfake AI). Так, за статтею 52 AI Act,  користувачі системи штучного інтелекту, яка генерує або маніпулює зображення, аудіо- чи відеоконтент, який помітно нагадує існуючих осіб, об’єкти, місця чи інші об’єкти чи події та може здатися особі автентичним або правдивим, повинні розкрити інформацію про те, що такий контент був штучно створений або маніпульований.

П’ятий розділ містить заходи на підтримку інновацій та описує регуляторні пісочниці зі штучного інтелекту. Мета створення таких пісочниць полягає в тому, щоб розробники у сфері штучного інтелекту та регулятори мали змоги співпрацювати у контрольованому просторі. Пілотний проект першої регуляторної пісочниці зі штучного інтелекту був представлений в червні 2022 році в Брюсселі спільно урядом Іспанії та Єврокомісією.

Шостий розділ присвячений питанням управління. Статті 56-58 стосуються European Artificial Intelligence Board (Європейської ради з питань штучного інтелекту), а саме її створення, структура та завдання. Стаття 59 описує процес призначення національних компетентних органів (national competent authorities).   

Сьомий розділ складається з однієї статі 60, що описує створення та підтримку бази даних Євросоюзу для автономних високоризикованих систем штучного інтелекту. Це завдання покладається на Єврокомісію, що діє у співпраці з країнами-членами ЄС. 

Восьмий розділ складається з трьох підрозділів. В першому описується постмаркетинговий моніторинг (аналіз досвіду використання систем ШІ, що розміщуються на ринку) провайдерами та постмаркетинговий моніторинг високо ризикованих систем штучного інтелекту. В другому описуються зобов’язання щодо обміну інформацією про інциденти та несправності в системах. Третій підрозділ присвячений виконанню регламенту, а саме ринковому нагляду та контролю систем штучного інтелекту на ринку Євросоюзу, доступу до даних та документації, процедурі роботи з системами штучного інтелекту, що представляють ризик на національному рівні та іншим питанням, що врегульовані статтями 63-68 регламенту. 

Дев’ятий розділ містить 69 статтю та присвячений питанням створення Codes of conduct (кодексу поведінки), а десятий розділ описує конфіденційність та штрафи, що можуть бути накладені на компанії. Так, регламент передбачає три рівні штрафів:

  • штраф у розмірі до 30 мільйонів євро або до 6 відсотків від загального світового річного обороту компанії за попередній фінансовий рік, залежно від того, що більше, за порушення статей 5 та 10 AI Act. 
  • за порушення інших вимог та зобов’язань регламенту передбачений штраф у розмірі до 20 мільйонів євро або до 4 відсотків від загального світового річного обороту компанії за попередній фінансовий рік, залежно від того, що більше. 
  • передбачається штраф у розмірі до 10 мільйонів євро або до 2 відсотків від загального світового річного обороту компанії за попередній фінансовий рік, залежно від того, що більше, якщо компанія надала невірну, неповну або оманливу інформації уповноваженим органам та національним компетентним органам у відповідь на запит. 

Адміністративні штрафи також можуть бути накладені на інституції, агенції та органи ЄС, суми штрафів визначені в статті 72.

Одинадцятий розділ описує делегування повноважень та порядок діяльності комітету, а у дванадцятому розділі зазначені прикінцеві положення.

Що далі?

Наразі законодавці ЄС активно обговорюють положення регламенту та пропонують зміни. Так, 6 грудня 2022 року Рада ЄС ухвалила спільну позицію (“загальний підхід”) щодо AI Act. Це дозволить перейти до перемовин з Європарламентом після прийняття останнім власної позиції. Пропозиція стане законом тільки після того, як Рада ЄС та Європарламент узгодять спільну версію тексту закону

Окрім регулювання штучного інтелекту в ЄС, варто також слідкувати за розвитком законодавства в інших країнах. Так, наприклад, в Канаді пропонується прийняття Artificial Intelligence and Data Act (AIDA), що може запровадити нові правила розробки та розгортання систем штучного інтелекту. Схожі ініціативи розглядаються також в США, Бразилії та інших країнах.

Оскільки закон станом на початок 2023 року ще не прийнятий, для того, щоб точно орієнтуватись в тому, яким чином буде побудоване законодавство навколо використання штучного інтелекту, варто дочекатись фінальної версії AI Act. Проте розуміючи напрямок розвитку ШІ та його законодавчого врегулювання та маючи текст пропозиції, компанії вже зараз можуть починати робити перші кроки для відповідності цьому акту в майбутньому, наприклад, скласти дорожню карту або провести оцінку ризиків.

2023-01-31

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)