HUDERIA та чому її не варто ігнорувати

ШІ по-європейськи: HUDERIA 

Оцінка ризиків та впливу систем штучного інтелекту з точки зору прав людини, демократії та верховенства права (“HUDERIA”) — це керівництво, яке пропонує компаніям гнучкий інструмент для виявлення та усунення ризиків, пов’язаних із застосуванням ШІ-систем, та мінімізації негативних наслідків на всіх етапах життєвого циклу таких систем.

Як це працює на практиці: від ризиків до рішень

HUDERIA має дворівневу структуру, що поєднує загальні принципи з конкретними інструментами та водночас залишає простір для адаптації під потреби різних організацій.

1. Методологія HUDERIA описує ключові концепти, процеси та елементи, які повинні спрямовувати діяльність з оцінки ризиків та впливу ШІ-систем на права людини, демократію та верховенство права.
2. Модель HUDERIA включатиме додаткові матеріали, практичні інструменти та приклади, які можна застосовувати на різних етапах оцінки ризиків, а також рекомендації для ефективного впровадження методології у практику.

На сьогодні Методологія HUDERIA вже ухвалена Комітетом з питань штучного інтелекту Ради Європи, тоді як Модель HUDERIA ще перебуває в розробці. Тому у цій статті ми зосередимося насамперед на змісті Методології та її практичному застосуванні.

Читайте більше: Комплаєнс з AI Act: покроковий гайд для бізнесу

COBRA: розкриваємо приховані ризики

Першим етапом оцінки за Методологією HUDERIA є аналіз ризиків у контексті (“COBRA”). Його завдання — допомогти виявити чинники, які можуть підвищувати ймовірність настання негативних наслідків від використання ШІ.

COBRA складається з чотирьох ключових кроків:

1. Попередня оцінка. Базове дослідження, яке має стати фундаментом для подальших кроків. Включає в себе визначення призначення ШІ-системи, контекстів її застосування, рівня людського контролю, аналіз даних, які ШІ-система оброблятиме чи на яких навчатиметься тощо. 
2. Аналіз факторів ризику. Збір інформації про ризики у трьох ключових вимірах.

• Застосування ШІ-системи: сектор і домен використання, правове та регуляторне середовище, мета функціонування, та інші релевантні деталі.
• Розробка та дизайн: технічні характеристики та особливості збору, зберігання, використання та вилучення даних. 
• Розгортання: фактори, які впливають на прояв і управління ризиками на практиці, наприклад, заходи захисту приватності, зменшення упередженості, навчання користувачів, запобігання небажаним сценаріям використання тощо.

3. Мапінг потенційних впливів. Використовуючи зібрану інформацію, необхідно визначити, чи може ШІ-система напряму впливати на людей, сформувати попередній перелік потенційних ризиків для прав людини, демократії чи верховенства права та описати характер і масштаб впливу з урахуванням вразливості окремих груп та контексту.
4. Прийняття рішення. На основі проведеного аналізу ухвалюється одне з трьох рішень:

• ризик відсутній або мінімальний чи малоймовірний → подальша оцінка не потрібна;
• ШІ-система несумісна з принципами прав людини, демократії та верховенства права → її розробку чи впровадження слід негайно припинити;
• ризик серйозний → необхідно переходити до наступного етапу оцінки.

SEP: залучаємо потрібних людей у потрібний час

Процес залучення зацікавлених сторін (“SEP”) у межах Методології HUDERIA може мати різні форми та рівні участі. Його масштаб залежить від ризиків і негативних впливів, визначених на попередньому етапі оцінки.

SEP включає п’ять послідовних кроків:

1. Аналіз зацікавлених сторін. Спершу визначаються групи осіб, які можуть впливати на діяльність ШІ-системи або зазнати її впливу. При цьому важливо враховувати інтереси, права, рівень вразливості таких груп та значущість їхнього впливу чи залежності. Особливу увагу слід приділяти включенню думок тих, хто є непропорційно вразливим до ризиків, може зазнати особливої шкоди або має обмежені можливості впливати на застосування ШІ-системи.
2. Рефлексія позиційності. Команда, що проводить оцінку, має усвідомити власну перспективу та її обмеження. Це допоможе побачити, яких точок зору бракує. Для цього необхідно дати відповіді на питання:

• як особисті характеристики членів команди (освіта, досвід, інституційний контекст) створюють переваги чи обмеження?
• чи не впливає це на здатність правильно ідентифікувати стейкхолдерів і зрозуміти реальні наслідки використання ШІ-системи?

3. Встановлення цілей взаємодії. Чітко сформульовані цілі визначають, навіщо і як залучаються зацікавлені сторони. Це забезпечує змістовність процесу та гарантує, що участь буде не формальною, а реальною.
4. Вибір методу взаємодії. Методи залучення мають відповідати потребам стейкхолдерів і ґрунтуватися на принципах рівності та недискримінації, прозорості, активності, розширення можливостей і підзвітності.
5. Реалізація. Останній крок — практична організація процесу: від проведення зустрічей чи консультацій до збору відгуків та спільного вироблення рішень. Важливо, щоб реалізація відповідала цілям і методам взаємодії, а результати були належно задокументовані для прозорості та подальшого використання.

Розглядаємо ризики під мікроскопом

У Методології HUDERIA оцінка ризиків та їхніх можливих впливів відбувається у два етапи. Спершу визначаються потенційні негативні впливи та способи, у які вони можуть реалізуватися. Далі оцінюються ключові змінні кожного ризику, зокрема:

Змінна ризику	Суть	Ключові питання
Масштаб	Відображає серйозність можливих наслідків. Важливо враховувати, що шкода може проявлятися по-різному для різних груп та рівнів суспільства.	– Чи є групи, більш уразливі до негативного впливу? Які саме?– Хто може зазнати найтяжчих наслідків?– Чи відрізняється інтенсивність шкоди для різних груп?
Охоплення	Визначає, скільки людей і протягом якого часу може постраждати. Важливо також враховувати можливий накопичувальний ефект негативного впливу.	– Які групи можуть бути більш уразливими до масштабного впливу?– Яким є часовий горизонт негативного впливу?– Чи можуть наслідки посилюватися у поєднанні з іншими ШІ-системами?– Чи здатна ШІ-система відтворювати, чи поглиблювати історично закріплені форми дискримінації?– Чи можливі додаткові сукупні наслідки (наприклад, для довкілля чи громадського здоров’я)?
Зворотність	Визначає, наскільки можливо компенсувати чи виправити завдану шкоду. Оцінка цього параметру залежить від контексту і від рівня стійкості постраждалих груп.	– Які зусилля потрібні для подолання наслідків?– Чи відрізняється здатність до відновлення у різних соціальних груп?
Ймовірність	Відображає шанс того, що виявлений ризик справді реалізується.	– Наскільки високою є ймовірність настання шкоди?– Який рівень даних чи доказів доступний для оцінки?

Мінімізуємо ризики ефективно

Після виявлення та оцінки негативних наслідків слід розробити план пом’якшення ризиків та, за потреби, забезпечити доступ постраждалим особам до ефективних засобів правового захисту.

Визначення обсягу та пріоритизація.  Перший крок — ретельно визначити обсяг ризиків та пріоритезувати дії. Для цього необхідно опрацювати кожний негативний вплив, визначити взаємозв’язки між ними та врахувати соціальні та контекстні фактори. Пріоритизація дій має ґрунтуватися на ймовірності та серйозності впливу, особливо якщо час реагування обмежений або окремі групи є особливо вразливими.

Юридичні зобов’язання. План пом’якшення обов’язково має враховувати юридичні вимоги щодо прав людини, демократії та верховенства права, передбачені міжнародним і національним законодавством.

Ієрархія пом’якшення ризиків. При виборі заходів необхідно застосовувати так звану  “ієрархію пом’якшення”:

Опція	Що передбачає
Уникнення	Внесення змін у проєктування, розробку чи впровадження ШІ-системи для запобігання негативному впливу. Важливо: уникнення ≠ ігнорування ризиків.
Пом’якшення	Дії, спрямовані на мінімізацію наслідків негативного впливу під час проєктування чи впровадження ШІ-системи.
Відновлення	Відновлення постраждалих осіб до стану, близького до того, що існував до негативного впливу.
Компенсація	Надання матеріальної або іншої компенсації, коли інші підходи неможливі або неефективні.

Слід пам’ятати, що на ранніх етапах життєвого циклу ШІ-системи найбільш актуальними опціями є уникнення та пом’якшення. Пізніше необхідно застосовувати також відновлення та компенсацію.  Завжди доцільно поєднувати декілька опцій.

Результатом цього етапу має стати чіткий опис заходів та дій для пом’якшення ризиків, ролей і відповідальності всіх учасників, а також зрозумілий опис доступних механізмів захисту для постраждалих осіб.

Читайте більше: Тренування моделі штучного інтелекту персональними даними та GDPR: що сказав EDPB?

HUDERIA без «стоп-кнопки»

Життєвий цикл ШІ-системи ніколи не є статичним. Кожне рішення, ухвалене під час її проєктування, розробки чи використання, може зумовлювати перегляд попередніх оцінок і рішень, зокрема тих, що були прийняті у рамках Методології HUDERIA. 

Зміни у технологіях, методах інтеграції чи безпеці, а також непередбачувані події чи наслідки, часто змушують повертатися до раніше зроблених висновків. Додатковим чинником стають трансформації соціального, правового чи політичного середовища, які впливають на те, як система працює та яким чином вона торкається прав і свобод людей.

Методологія HUDERIA виходить із принципу безперервності: жодна оцінка не є «остаточною». Вона має регулярно оновлюватися, охоплюючи весь життєвий цикл системи — від розробки до виведення з експлуатації. Процеси перегляду повинні залишатися гнучкими й чутливими до взаємодії ШІ із середовищем та користувачами, враховувати можливість появи нових сценаріїв використання чи ризиків. У динамічних умовах, коли технології та контексти змінюються особливо швидко, перегляд і коригування мають здійснюватися частіше, щоб зберігати актуальність.

HUDERIA для бізнесу: вигоди понад обов’язки

У самій Методології HUDERIA прямо зазначено: «HUDERIA є самостійним, юридично не зобов’язуючим керівництвом, яке не має юридичної сили». На перший погляд, це може викликати спокусу закрити документ і забути про нього. Адже якщо вимога не є обов’язковою — то навіщо витрачати ресурси?

Втім, ігнорувати HUDERIA було б стратегічною помилкою. Є безліч причин, чому бізнесу варто звернути увагу на цей інструмент уже зараз:

1. «Прихована» обов’язковість

Методологія HUDERIA хоч і не має юридичної сили, але напряму пов’язана з Рамковою конвенцією про штучний інтелект від Ради Європи — першою міжнародною юридично обов’язковою угодою у сфері регулювання ШІ.

Згідно зі статтею 16, країни-учасниці (Україна підписала конвенцію 15 травня 2025 року) зобов’язані впровадити: «заходи з виявлення, оцінки, запобігання та зменшення ризиків, пов’язаних із системами штучного інтелекту, з урахуванням фактичного та потенційного впливу на права людини, демократію та верховенство права». Більше того, частина 2 цієї ж статті фактично повторює підхід HUDERIA до оцінки ризиків та негативного впливу. 

Це означає, що при розробці національних методик держави майже напевно візьмуть за основу саме HUDERIA — повністю чи з мінімальними змінами. Для бізнесу це створює просту логіку: робота з HUDERIA сьогодні — це підготовка до обов’язкового комплаєнсу завтра.

2. Сумісність з іншими інструментами

Методологія HUDERIA не є ізольованим документом. Вона органічно поєднується з міжнародними фреймворками управління ризиками, такими як NIST AI Risk Management Framework, а також з підходами ЄС у межах AI Act. 

Для компаній, які працюють на кількох ринках одночасно, це дає можливість мати єдиний, зрозумілий інструмент замість безлічі розрізнених процедур. HUDERIA стає своєрідною «універсальною мовою» управління ризиками у сфері ШІ.

Читайте більше: Комплаєнс з AI Act: покроковий гайд для бізнесу. 

3. Перетин із GDPR

Методологія HUDERIA має багато спільного з практиками, уже добре знайомими бізнесу, зокрема з GDPR.

GDPR передбачає проведення DPIA у випадках, коли обробка даних може створити високий ризик для прав і свобод людини. HUDERIA дозволяє зробити цей аналіз ширшим та комплекснішим, оскільки охоплює не лише приватність, а й інші права людини. Те саме стосується LIA, адже відповідно до ст. 6(1)(f) GDPR, контролер зобов’язаний враховувати не лише право на приватність, а й інші фундаментальні права та інтереси суб’єкта даних. Це підтверджують і Guidelines 1/2024, де прямо зазначено, що спектр прав і свобод значно ширший. 

Таким чином, HUDERIA не дублює, а підсилює існуючі механізми, роблячи їх більш зрозумілими.

4. Стратегічна цінність

Використання HUDERIA може стати відчутною конкурентною перевагою: бізнес, який демонструє готовність дбати про права людини та прозоро управляти ризиками ШІ, виглядає надійнішим партнером для клієнтів, інвесторів і регуляторів, зміцнюючи свою репутацію, яка у сучасному світі часто не менш важлива, ніж технології. 

Водночас HUDERIA допомагає знизити не лише регуляторні, а й операційні ризики: своєчасна оцінка ризиків дає змогу уникати некоректної роботи ШІ-систем та запобігати фінансовим, чи юридичним втратам. Це робить HUDERIA не додатковим тягарем, а практичним інструментом стабільності та довгострокової стійкості бізнесу.

Отже, HUDERIA може і не бути юридично обов’язковою прямо зараз, але її роль у формуванні правил гри на ринку ШІ вже очевидна. Для бізнесу це шанс діяти на випередження, отримати конкурентну перевагу та уникнути майбутніх витрат. 

Інакше кажучи, HUDERIA — це не про обов’язок, а про вигоду.

Хто може допомогти з впровадженням HUDERIA в компанії?

Лігал Айті Груп (Legal IT Group) допомагають бізнесу інтегрувати HUDERIA у власні процеси управління ризиками та комплаєнсу. Legal IT Group готують повний пакет ШІ-документації та розробляють AI Compliance Program, що враховує вимоги AI Act, GDPR та міжнародних стандартів. Legal IT Group мають досвід у розробці data protection impact assessment, human rights impact assessment, privacy policy та іншої документації. Legal IT Group проводять оцінки відповідності (gap assessment) й допомагають компаніям мінімізувати правові, репутаційні та операційні ризики.