У світі, де штучний інтелект швидко стає не лише частиною нашого щоденного життя, але і ключовим елементом розвитку бізнесу та технологій, регулювання його використання стає критичним завданням для правників і законодавців. Так, у травні цього року Рада ЄС схвалила перший у світі законодавчий акт про штучний інтелект — Регламент про штучний інтелект, або як його ще називають АІ-акт.

Фахівці Barbashyn Law Firm розповідають про основні положення регламенту та надають практичні рекомендації для бізнесу щодо підготовки до набуття чинності цього законодавства.

Регламент покликаний встановити стандарти для розробки, впровадження та використання систем штучного інтелекту з метою забезпечення етичного, справедливого та безпечного використання цієї технології.

Де та на кого буде діяти новий закон

Ухвалення ШІ-акта в Європейському Союзі має далекосяжні наслідки, які не обмежуються територіальними межами ЄС. Одна з ключових особливостей — його екстериторіальна дія. Так, він буде застосовуватись до всіх осіб чи компаній, які вводять в експлуатацію або розміщують на ринку ЄС ШІ-продукти незалежно від того, де ці компанії перебувають. Наприклад, якщо АІ чат-бот розроблений компанією зі США, але частина його користувачів перебувають у ЄС, то компанія має виконувати вимоги регламенту. Зокрема тому акт іноді називають GDPR 2.0.

Також важливо зазначити, що ШІ-акт містить норми, які застосовуються не лише до розробників ШІ-систем, але й до імпортерів і дистриб’юторів, які надають доступ до таких систем на ринку ЄС.

Крім того, акт також містить норми, спрямовані на користувачів, які використовують ШІ у своїй професійній діяльності. Наприклад, як постачальники, так і користувачі систем ШІ повинні забезпечити, щоб їхній персонал та всі, хто працює із цими системами від їх імені, мали достатні знання про АІ.

На що звертати увагу бізнесу

Ми розібралися, до кого буде застосовуватись акт, а тепер розглянемо основні нововведення, які він принесе.

ШІ-акт визначає нові стандарти та вимоги, які будуть застосовуватися до систем штучного інтелекту залежно від масштабу ризиків, які вони несуть. Розгляньмо окремі норми акта та розберімося, які конкретні зміни та нововведення.

1. Які системи заборонені

Акт містить перелік практик у галузі ШІ, які будуть заборонені у зв’язку з тим, що вони несуть невиправдану загрозу для основоположних прав людини. Так заборонено використання систем ШІ, які умисно маніпулюють або вводять в оману з метою значного впливу на здатність людини ухвалювати обґрунтовані рішення. Наприклад, компанія випускає мобільний застосунок, який використовує штучний інтелект для персоналізації рекламних повідомлень. Цей додаток використовує підсвідомі ШІ-техніки, які змушують користувачів надмірно витрачати час або здійснювати покупки, яких вони насправді не потребують. Це може значно вплинути на їхню здатність ухвалювати обґрунтовані рішення і завдати як фінансову, так і емоційну шкоду.

Під заборону підпадають також системи ШІ-розпізнавання емоцій (EAI) на робочому місці або в навчальних закладах, за винятком випадків, коли використання цієї системи призначене для медичних чи безпекових цілей. Наприклад, компанія використовує систему ШІ, яка автоматично аналізує вираз обличчя, тон голосу або навіть рухи, щоб визначити психологічний стан працівників. Хоча дана система може допомагати компаніям вчасно реагувати та запобігати негативним наслідкам для здоров’я та продуктивності, однак у той же час це є втручанням в особистий простір працівників і порушенням їхньої приватності.

2. Що таке високий ризик

Акт також передбачає вимоги для систем ШІ високого ризику. До таких систем належить штучний інтелект, що використовується в критично-важливих галузях: медицина, освіта, правоохоронна, судова, політична діяльність.

ШІ-акт встановлює особливі вимоги до постачальників цих систем. Як приклад, перед тим як випустити на ринок або ввести в експлуатацію систему ШІ високого ризику, необхідно скласти технічну документацію. Крім того, дана документація має постійно оновлюватись відповідно до змін, що вносяться в системі протягом її життєвого циклу.

Акт також містить обов’язки і для користувачів ШІ-систем, які використовують їх у професійній діяльності. Перед тим як використовувати високоризикову систему штучного інтелекту на робочому місці, роботодавці повинні повідомити про це працівників.

3. Прозорість використання

Акт також містить особливі вимоги щодо прозорості, що важливо для уникнення негативних наслідків використання штучного інтелекту.

Так, системи штучного інтелекту високого ризику повинні бути створені та розроблені так, щоб їхня робота була зрозумілою для тих, хто ними користується. Тож користувачі зможуть адекватно розуміти дані, які вони отримують від системи, і використовувати їх належним чином.

Крім того, постачальники систем ШІ, які призначені для безпосередньої взаємодії з фізичними особами, мають забезпечити, щоб ці особи знали, що вони контактують зі штучним інтелектом, якщо це не очевидно. Наприклад, якщо ви розмістили на своєму сайті чат-бот для спілкування з клієнтами, ви маєте повідомляти їх перед початком спілкування, що відповіді генеруються ШІ.

Результати роботи ШІ, наприклад, зображення, відео чи текст мають бути позначені як такі, щоб користувачі знали їхнє походження. Наприклад, якщо редакція журналу використовує штучний інтелект для створення статті та зображень до неї, то під час публікації потрібно вказати, що ці матеріали були згенеровані ШІ.

4. Генеративний АІ

Не оминув акт і розробників та користувачів генеративних моделей ШІ, як-от Ghat GPT чи Gemini. Однією з ключових вимог до них є не лише розробка, але й постійне оновлення технічної документації, включаючи інформацію про навчання, тестування та результати оцінки генеративної моделі. Крім того, розробники мають публікувати детальний звіт про контент, що використовується для навчання генеративної моделі штучного інтелекту.

Цей підхід допомагає забезпечити високий рівень довіри до продуктів і розробників генеративних моделей і захистити авторські права осіб, які надають матеріали для навчання генеративних моделей ШІ, сприяючи розвитку етичного та відповідального використання ШІ в сучасному світі.

5. Deep fake

Розвиток технології deep fake надає можливість створювати відео та фотографії, які майстерно імітують реальність, що складно відрізнити оригінальний контент від штучно згенерованого. Це створює серйозні загрози, такі як порушення особистої приватності та інших основоположних прав людини.

Відповідно до норм акта, особи, які поширюють програми ШІ, які генерують або змінюють фото, відео або аудіо за допомогою технології deep fake, повинні зазначати, що цей контент згенерований штучним інтелектом. Порушення цієї норми може призвести до значних штрафів. Такий підхід дозволяє забезпечити прозорість і відповідальність у використанні технології deep fake, зменшуючи ризик зловживання цією технологією.

Відповідальність

За актом, кожна країна-член Європейського Союзу самостійно встановлює правила про штрафні санкції та інші заходи, що застосовуються до осіб чи організацій, які порушують вимоги цього документа. Серед таких заходів можуть бути попередження та негрошові санкції, встановлені з урахуванням конкретних обставин порушення.

Однак в акті надаються рекомендації щодо розміру штрафів, які можуть бути встановлені. Зокрема, невиконання норм щодо заборонених практик штучного інтелекту може призвести до штрафів у розмірі до €35 000 000. Водночас невиконання вимог, що застосовуються до систем високого ризику, може призвести до накладення штрафів у розмірі до €15 000 000.

Штрафні санкції, які можуть сягати значних сум, покликані забезпечити високий рівень відповідальності та стимулювати дотримання принципів безпеки та етичності в розробці та використанні штучного інтелекту.

Коли норми почнуть застосовувати

21 травня цього року ШІ-акт був схвалений Радою ЄС. Після підписання головами Європарламенту та Ради ЄС він буде опублікований в Офіційному журналі ЄС. Однак він набуде чинності через 20 днів після цієї публікації.

Акт буде застосований через 24 місяці після набуття чинності, але передбачаються деякі винятки. Зокрема, зобов’язання для систем із високим ризиком будуть застосовуватися через 36 місяців після набуття чинності. Це дозволить бізнесу мати достатньо часу для ретельної підготовки до нових вимог і забезпечення відповідності.

Підготовка бізнесу до введення в дію ШІ-акта

Перш ніж ШІ-акт буде застосовано, важливо визначити, наскільки ваш бізнес готовий до нових регуляторних вимог. Чим раніше ви почнете готуватися, тим легше буде адаптуватися до нових вимог.

1. Проведіть детальний аналіз, щоб з’ясувати, які аспекти вашого бізнесу можуть потребувати адаптації до нових правил. Ретельно проаналізуйте, які саме продукти ШІ використовуються у вашому бізнесі. Можливо, це системи високого ризику, або генеративний ШІ, або ж взагалі системи, які будуть під забороною після набуття чинності акта.
2. Після того як ви визначите, які саме системи ШІ використовуються, переконайтеся, що вони відповідають новим стандартам безпеки та етики. Це може включати оновлення алгоритмів роботи для покращення ефективності та безпеки системи, збільшення прозорості роботи штучного інтелекту для кінцевого користувача, а також розробку механізмів контролю, які дозволять вчасно виявляти та усувати потенційні проблеми в роботі ШІ. Також важливо забезпечити етичне використання системи, уникнення дискримінації та захисту приватності користувачів. Регулярні аудити безпеки та відповідності допоможуть переконатися у відповідності системи встановленим стандартам, а навчання персоналу забезпечить ефективне користування та управління AI, а також своєчасну реакцію на можливі проблеми та ризики.
3. Крім того, для прозорого та безпечного використання систем AI важливо розробити умови, політики та інструкції, які чітко визначатимуть принципи роботи системи, її функції, можливості та обмеження й інші аспекти.
   
   Як приклад, постачальники систем штучного інтелекту високого ризику повинні розробити систему управління якістю. Цю систему слід задокументувати у вигляді письмових політик, процедур та інструкцій, які будуть структуровані та легкі для розуміння. Дані документи, зокрема, мають містити інформацію про методи та процедури, які будуть використовуватися для розробки, контролю якості та забезпечення якості системи штучного інтелекту.
   
   Крім того, постачальники систем штучного інтелекту високого ризику повинні забезпечити користувачів інструкціями, які містять коротку, повну, правильну та чітку інформацію, яка є актуальною, доступною та зрозумілою. У таких інструкціях, зокрема, має бути надана контактна інформація розробника та характеристики, можливості та обмеження системи ШІ.
4. Під час створення систем штучного інтелекту важливо також пам’ятати не лише про відповідність вимогам, а і про власний захист. Оскільки розробка та використання таких систем включає багато учасників, виникають різні правові питання, які потрібно узгоджувати. Наприклад, важливо визначити, у якому обсязі розробнику та користувачу належать права на систему ШІ чи на згенерований нею контент, хто несе відповідальність за помилки в роботі ШІ та неправильну інтерпретацію результатів її роботи. Ці та інші аспекти можуть бути регульовані письмовими угодами, які допоможуть забезпечити стабільність у відносинах між усіма сторонами та уникнути можливих конфліктів у майбутньому.

Висновок

ШІ-акт є важливим кроком у розвитку регулювання штучного інтелекту. Він встановлює вимоги щодо безпеки, прозорості та етичності використання штучного інтелекту, включаючи заборону певних практик ШІ, що порушують права людини, вимоги щодо систем високого ризику, які використовуються в критично-важливих сферах і до General-Purpose AI. Нові норми будуть застосовуватися не лише до розробників, а й до користувачів, імпортерів і дистриб’юторів систем ШІ, які вводять в експлуатацію або розміщують на ринку ЄС АІ продукти, незалежно від їхнього місцерозташування.

Враховуючи складність та об’єм нових вимог, які встановлює ШІ-акт, процес адаптації може бути тривалим. Отже, важливо розпочати адаптацію до нових правил уже зараз. Це може включати аналіз стану готовності до нових стандартів, перегляд та оновлення внутрішніх процесів роботи, політик, інструкцій, навчання персоналу та постійне відстеження змін. Такий підхід дозволить бізнесу максимізувати переваги, які можуть принести зміни.

Введення нового регулювання певною мірою може бути викликом для бізнесу, але також відкриває можливості для безпечного розвитку інновацій і підвищення довіри споживачів до технології.