Комплаєнс з AI Act: покроковий гайд для бізнесу

AI Act – що це?

AI Act (Regulation 2024/1689) — перший у світі всеохоплюючий нормативний акт, який встановлює єдині правила для розробки, впровадження та використання систем штучного інтелекту в межах Європейського Союзу.

Щоб уникнути багатомільйонних штрафів, зберегти репутацію та довіру клієнтів, компаніям варто вже сьогодні визначити, чи поширюються на них вимоги AI Act, і розробити чіткий план дій для відповідності новим правилам.

Чи підпадаєте ви під дію AI Act?

Даючи відповідь на це питання, потрібно врахувати кілька моментів: чи ваш продукт взагалі вважається ШІ-системою (AI system) у розумінні AI Act, яку роль ви відіграєте в його життєвому циклі та де саме і як ви його розробляєте чи використовуєте.

Чи має місце ШІ-система?

Розбираючись в цьому питанні, варто звернутися не тільки до визначення, наведеного в AI Act, а й до додаткових документів — зокрема, до “Guidelines on the definition of AI System”. 

Узагальнивши ці джерела, можна сказати, що для того, щоб створена вами система вважалася ШІ-системою та підпадала під регулювання AI Act, вона повинна:

• Бути машинною системою — тобто існувати використовуючи програмне забезпечення, технічне обладнання та керуватися їх обчислювальними потужностями.
• Мати певний рівень автономії — бути здатною діяти незалежно від людини та виконувати поставлені завдання без її прямого втручання.
• Мати здатність до адаптації — система може мати змогу вчитися, тобто змінювати себе та свою поведінку в процесі її використання шляхом взаємодії з вхідними даними. Важливо: згідно із визначенням ця ознака НЕ є обов’язковою. 
• Працювати для досягнення явних та неявних цілей — тобто реалізовувати чітко поставлені людиною задачі.
• Уміти робити висновки на основі вхідних даних — система повинна аналізувати отриману вхідну інформацію (inputs) та формувати на її основі результати (outputs).
• Генерувати різні типи результатів — створювати прогнози, текстовий, аудіо та відео контент, рекомендації або ухвалювати рішення.
• Впливати на фізичне чи віртуальне середовище — змінювати стан речей у реальному світі або цифрових просторах. 

Особливе місце серед ШІ-систем займають загальноцільові ШІ-системи (General-purpose AI systems) тобто ті, що працюють на основі загальноцільової ШІ-моделі та здатні виконувати широкий спектр завдань: як безпосередньо, так і будучи вбудованими в інші системи.  Їх головна ознака — універсальність. Тому, якщо ваша система створена лише для виконання однієї функції, наприклад генерації відео, то вона не належить до цієї категорії. 

До прикладів загальноцільових ШІ-моделей можна віднести більшість моделей від OpenAI, Google та інших ШІ провайдерів. Слід зазначити, що у певних випадках (ст. 51) такі моделі можуть бути віднесені до таких, що створюють системний ризик.

Читайте більше: Fair Use та тренування AI: як судове рішення може встановити правила гри

Яка ваша роль?

AI Act визначає кілька ключових ролей, які може виконувати ваша компанія використовуючи штучний інтелект, зокрема: 

Роль	Опис
Провайдер	Це компанія, яка самостійно розробила ШІ-систему або загальноцільову ШІ-модель, або ж для якої ця система або модель були розроблені іншими особами та розміщує її на ринку ЄС чи вводить її в експлуатацію під своїм ім’ям чи торговою маркою — незалежно від того, чи це здійснюється за плату, чи безплатно. Для детальнішого розуміння визначення необхідно також звернутися до п. 9–11 ст. 3 AI Act.
Деплоєр	Це організація, яка використовує ШІ-систему у своїй діяльності під своїм керівництвом, за винятком випадків, коли така система застосовується виключно для особистих непрофесійних цілей.
Імпортер	Компанія, яка розташована або зареєстрована в ЄС, та яка виводить на ринок ШІ-систему, що має назву або торгову марку фізичної чи юридичної особи, зареєстрованої у третій країні.
Дистриб’ютор	Учасник ланцюга постачання (крім провайдера чи імпортера), який робить ШІ-систему доступною на ринку ЄС.
Провайдер нижчого рівня	Провайдер ШІ-системи, в тому числі загальноцільової ШІ-системи що інтегрує ШІ-модель — незалежно від того, чи ця модель розроблена власноруч, чи отримана від іншої організації за договором.

Щодо усіх перелічених вище ролей AI Act також використовує поняття оператор.

Важливо: як зазначено в “Guidelines on prohibited artificial intelligence practices“, одна особа може виконувати одночасно кілька ролей щодо однієї ШІ-системи. Наприклад, якщо компанія розробляє власну систему і потім сама ж її використовує — вона буде і провайдером, і деплоєром. При цьому цю систему можуть також використовувати інші деплоєри, яким її передали чи продали.

Межі застосування та винятки

Після того як ви визначили свою роль і чи ваша система підпадає під визначення ШІ-системи, наступний крок — зрозуміти, чи діє AI Act у вашому випадку, тобто чи охоплює він вашу компанію територіально та за сферою застосування.

AI Act застосовується до вас, якщо ви:

1. Провайдер, який виводить на ринок або вводить в експлуатацію ШІ-систему або загальноцільову ШІ-модель на території ЄС, незалежно від того, чи розташовані ви в ЄС, чи в третій країні.
2. Деплоєр ШІ-системи, який розташований або створений в ЄС.
3. Провайдер або деплоєр ШІ-системи, що розташовані в третій країні, але результати роботи таких системи використовуються на території ЄС.
4. Імпортер або дистриб’ютор ШІ-систем.
5. Виробник продуктів, який виводить на ринок ЄС або вводить в експлуатацію ШІ-систему разом зі своїм продуктом під власним ім’ям або брендом.
6. Або якщо особи, на яких впливають ШІ-системи, знаходяться на території ЄС.

Водночас існують випадки, коли AI Act не застосовується, зокрема коли ШІ-система використовується для наукових досліджень та розробок; коли здійснюється її розробка, дослідження та тестування до виходу на ринок, поза реальними умовами; використання ШІ для виключно особистих, непрофесійних цілей фізичними особами та коли ШІ-система реалізована як open-source рішення та не є високоризикованою, забороненою або такою, що взаємодіє з користувачем.

Рівень ризику вашої системи

Фінальний крок — це оцінка рівня ризику вашої системи. AI Act класифікує ШІ-системи на чотири основні категорії ризику:

1. Заборонені ШІ-системи

Повністю заборонено створювати та використовувати системи, перелічені у ст. 5 AI Act (наприклад, системи для біометричної категоризації людей, системи для соціального скорингу та інші).

2. Високоризикові ШІ-системи

Ваша система вважатиметься високоризиковою, якщо вона:

• використовується як компонент безпеки або є частиною продукту, що підпадає під регулювання ЄС згідно з Додатком I до AI Act та вимагає незалежної оцінки відповідності;
• використовується у сценаріях, наведених у Додатку III, за винятком випадків, передбачених ст. 6 AI Act;
• застосовується для профілювання фізичних осіб.

3. ШІ-системи, що потребують прозорості

Ваша система вважатиметься такою якщо вона:

• взаємодіє безпосередньо з людьми (наприклад, чат-боти, віртуальні асистенти); 
• генерує синтетичний контент (текст, аудіо, зображення, відео); 
• здійснює інші дії, описані у ст. 50 AI Act.

4. Низькоризикові ШІ-системи 

Системи, які не підпадають під жодну з вищезгаданих категорій, вважаються низькоризиковими. Вони не регулюються AI Act напряму, хоча компанії можуть добровільно впроваджувати етичні стандарти та безпечні практики.

Читайте більше: Як авторське право захищає штучний інтелект?

Що треба зробити, щоб спати спокійно?

Ваша роль та рівень ризику ШІ-системи визначають, які саме обов’язки накладає на вас AI Act. 

Так, значна частина регулювання присвячена високоризиковим ШІ-системам та обов’язкам їхніх провайдерів, імпортерів, дистриб’юторів і деплоєрів (Розділ III), а окремо описані вимоги до провайдерів загальноцільових ШІ-моделей.

Більшість компаній, що інтегрують ШІ у свої продукти, не потрапляють під жорсткі вимоги для високоризикових систем. Найімовірніше, що вони, зокрема і ваша компанія, будуть провайдерами ШІ-систем, які включають загальноцільову модель і потребують забезпечення прозорості відповідно до статті 50 AI Act. 

Якщо ШІ-система безпосередньо взаємодіє з людьми, то вона має бути розроблена так, щоб користувачі могли чітко зрозуміти, що спілкуються з ШІ. Ця інформація повинна надаватися чітко та однозначно не пізніше моменту першої взаємодії або першого показу результату. Прикладом дотримання цього правила є Intercom Fin AI, який у відповідях користувачам завжди зазначає, що вони сформовані штучним інтелектом. 

Водночас існує виняток: інформування не потрібне, якщо факт взаємодії з ШІ є очевидним для “розумно поінформованої, уважної та обережної” особи з урахуванням контексту використання. Це можна побачити у ChatGPT від OpenAI або Claude від Anthropic, де інтерфейс і бренд чітко асоціюються з ШІ, тож додаткові попередження під час взаємодії не потрібні.

Провайдери таких систем також зобов’язані маркувати ШІ-контент у машиночитабельному форматі, щоб можна було однозначно визначити, що він створений або змінений ШІ. Ця вимога не поширюється на випадки, коли система виконує допоміжну функцію для стандартного редагування або не суттєво змінює вхідні дані.  Наприклад, OpenAI вбудовує в згенеровані зображення метадані, які дозволяють при перевірці встановити, що контент був створений за допомогою ШІ, а YouTube зобов’язує контент мейкерів позначати свій контент як такий, що був створений чи змінений ШІ. 

Стаття 50 також передбачає окремі вимоги для деплоєрів систем розпізнавання емоцій, біометричної категоризації, deepfake-контенту, а також текстів, що публікуються з метою інформування громадськості з питань суспільного значення. Наприклад, Meta вже маркує deepfake-контент у Facebook та Instagram, а BBC зобов’язує редакторів повідомляти читачів про використання ШІ в матеріалах. 

Штрафи і погані заголовки в новинах

AI Act передбачає значні фінансові санкції за порушення його вимог, які залежать від характеру та тяжкості порушення.

Найсуворіші штрафи — до 35 млн євро або 7% від загального світового річного обороту (залежно від того, що більше) — застосовуються за використання заборонених ШІ систем, визначених у ст. 5.

За невиконання обов’язків, передбачених для провайдерів, уповноважених представників, імпортерів, дистриб’юторів, деплоєрів високоризикових ШІ-систем, а також вимог щодо сповіщення контролюючих органів і зобов’язань щодо систем, що потребують прозорості, врегульованих ст. 50, штрафи можуть сягати 15 млн євро або 3% від обороту.

Надання неправильних, неповних або оманливих відомостей компетентним органам у відповідь на запит карається штрафом до 7,5 млн євро або 1% від обороту.

Слід зазначити, що для кожної категорії порушень нижча межа встановлюється для малих і середніх підприємств (SMEs), а вища — для інших компаній.

Коли все це почне діяти?

AI Act набув чинності 1 серпня 2024 року і буде повністю застосовуватися через два роки, за винятком п.1 ст. 6 та відповідних зобов’язань, які почнуть діяти 2 серпня 2027 року.

Нові правила AI Act вже набрали чинності. Не дозволяйте хвилям вимог вас потопити — звертайтеся до Legal IT Group, і ми станемо вашим маяком, що проведе вас безпечним шляхом до ШІ-комплаєнсу.

Хто може допомогти з розробкою AI Compliance Program для компанії?

Лігал Айті Груп (Legal IT Group) можуть підготувати ШІ-документи та розробити AI Compliance Program для Вашої компанії. Legal IT Group мають досвід у розробці data protection impact assessment, human rights impact assessment, privacy policy та іншої документації. Legal IT Group проводять оцінки відповідності AI Act (gap assessment) та супроводжують процес приведення документів і процесів компанії до відповідності з законодавством.