Цифрова трансформація: векторний розвиток Європейського Союзу
Для ЄС це величезний стрибок вперед, як через пандемію, що прискорила цифрову трансформацію до нового рівня економічного простору - цифрової економіки, встановлюючи нові стандарти AML/CFT, так і через створення величезної кількості віртуальних платіжних засобів, що прискорило створення регулятора по регулювання ринку крипто активів (MICA), та й, зокрема, на підґрунті появи такої стрімкої цифровізації, в ЄС було ухвалено закон про Дані (Data Act) від 27.11.2023 року.
Якщо коротко по кожному з вищезазначених нормативних-актів, то можна визначити наступне:
Стандарти AML/CFT, або, інакше кажучи, правила щодо протидії відмивання доходів та фінансуванню тероризму – це три нові Директиви, що були прийняті 28 березня 2023 року. Їх мета полягає у випрозорюванні будь-яких та всіх операцій, що мають статус потенційно ризикових та таких, що несуть пряму загрозу у відповідності до рівня ризику в межах ЄС. При цьому кожна держава-член ЄС має створити підрозділ фінансової розвідки (ПФР) для запобігання, звітування та боротьби з відмиванням грошей і фінансуванням тероризму. Крім того, організації, такі як банки, менеджери активів і криптоактивів, агенти з нерухомості та віртуальної нерухомості та інші організації високого рівня ризику, будуть зобов’язані перевіряти та встановлювати особу своїх клієнтів, чим вони володіють та хто контролер юридичної особи. Організації також повинні будуть встановити детальні типи ризиків відмивання коштів та фінансування тероризму у своїй сфері діяльності та передавати відповідну інформацію до центрального реєстру кінцевих бенефіціарних власників (англ. CentralRegister of Ultimate Beneficial Owner, скороч. CRUBO). Це один з кроків, що ЄС робить для покращення боротьби зі злочинністю та тероризмом, а також забезпечення стабільності та безпеки фінансової системи в державах-членах ЄС та, загалом, для вимірювання поточного ставлення ЄС до простору цифрових активів. Хоча остаточне обговорення щодо регулювання ринків крипто активів (MiCA), так само, як і доопрацювання Європейським парламентом пакету AML/CFT все ще розглядається, можна впевнено сказати, що вони вже на своєму фінальному етапі узгодження.
Закон про ринок крипто активів (MiCA regulation) – це найперший прописаний регулятор діяльності крипто ринку, в основу якого покладено контролювання діяльності постачальників віртуальних активів, визначення основних умов та вимог для ведення такої діяльності, а також відповідальність за їх недотримання, контроль за якими буде вестись через компетентні національні органи держав-членів та подаватимуться звіти до Європейського банківського органу (EBA) та Європейського органу з цінних паперів і ринків (ESMA). Завдяки єдиному ліцензуванню постачальників криптоактивів, тим самим їх повної перевірки компетентними органами, бізнес зможе підвищити довіру перед фінансовими установами, зокрема перед банками, випрозоривши свою економічну діяльність. Очікується, що даний закон почне діяти з кінця 2024 року, а повністю вступить в дію з усіма доповненнями з 2025 року.
Закон про Дані (Data Act) – це наступний крок по регулюванню даних у мережі, зумовлений зобов’язанням щодо обміну даними власників таких даних, зокрема це стосується як «бізнес для споживача» («B2C»), так і «бізнес для бізнесу» («B2B»), зокрема, й «бізнес до держави» («B2G»). Після прийняття Закону про Управління даними, закон про Дані сприятиме добровільному обміну даними між підприємствами (окремими особами та державним сектором). В цьому контексті закон про Дані є другим ключовим законодавчим актом, що має на меті зробити згенеровані дані більш доступними для повторного використання користувачами. Мета цього проекту полягає у підвищенні конкурентоспроможності бізнесу, розробці інновацій, що генеруються ними, та заохочення більшої кількості учасників до ринку даних (інформації). Не дивлячись на те, що цей закон поширюється на тільки на неособисті дані, а й на персональні, він жодним чином не порушує регламент щодо захисту персональних даних GDPR (та інші національні закони та закони ЄС про захист персональних даних і конфіденційності), включаючи повноваження та компетенцію наглядових органів і права суб'єктів даних. Якщо персональні дані генеруються за допомогою пов’язаних продуктів або пов’язаних послуг, мають бути дотримані вимоги як Закону про дані, так і GDPR. За прогнозами, даний закон має набути чинності вже у 2026 році.
Окрім того, нещодавно було прийнято Закон про Штучний інтелект (ШІ)(посилання), відповідно до якого визначено пріоритет забезпечення того, щоб усі системи ШІ, розроблені, розгорнуті та використовувані в ЄС, були безпечними, прозорими, доступними для відстеження та недискримінаційними. Регулювання ШІ та забезпечення людського контролю за системами ШІ є частиною цифрової стратегії ЄС. У європейській законодавчій схемі термін «система штучного інтелекту» займає центральне місце. Його юридичне визначення можна знайти у нашій попередній статті, про висвітлення нового закону про ШІ, запропонованому Європейською комісією з посиланням на загальновідоме визначення Організації економічного співробітництва та розвитку (ОЕСР): «машинна система, розроблена для роботи з різними рівнями автономності, яка може демонструвати адаптивність після розгортання та яка, для явних або неявних цілей, робить висновок на основі вхідних даних, які вона отримує, як генерувати результати, такі як прогнози, вміст, рекомендації або рішення, які можуть впливати на фізичне або віртуальне середовище».
Відповідно, Закон про ШІ має на меті збалансувати інновації, забезпечивши захист прав і безпеки громадян в ЄС. Для цього Закон пропонує класифікувати системи ШІ за категоріями ризику, встановлюючи вимоги до них відповідно до рівня ризику систем ШІ, забороняє певні практики ШІ, що потенційно можуть нести пряму загрозу правам та безпеки громадян (користувачів), а також встановлює регуляторний нагляд, що передбачає покарання за недотримання вимог Закону. Закон проШІвідносно частково є формою законодавства про безпеку продукції. Таке законодавство спрямоване на запобігання та зменшення ризиків шляхом встановлення стандартів безпеки. Однією з його основних цілей є мінімізація ризиків, пов’язаних із системами ШІ, перш ніж вони будуть розміщені на ринку або розгорнуті для використання в мережі. Законодавство про безпеку продукції зазвичай супроводжується законодавством про відповідальність. Не всі ризики, що виникають при використанні продукту, можна уникнути, і тому законодавство про відповідальність спрямоване на те, щоб постраждалі мали можливість отримати відповідну компенсацію.
Даний закон розглядається не як єдина нормативна база по регулюванню ШІ. В контексті підходу до забезпечення ефективного регулювання нових технологій Європейською Комісією було запропоновано удосконалити закон двома директивами, у зв’язку з тим, що Комісія виявила потенційну прогалину в системі законодавства про відповідальність, а саме відсутність можливості отримання потерпілим ефективної компенсації у разі виникнення шкоди, спричиненою ШІ. Саме тому було вирішено приєднати директиву з правками про відповідальність за продукцію (PLD) та нову директиву про відповідальність заШІ(AILD). Обидві ці директиви спрямовані на гармонізацію та посилення режиму відповідальності за продукцію, мета яких полягає в тому, щоб забезпечити належну компенсацію особам, які зазнали шкоди, спричиненої використанням систем ШІ. Це питання має велике значення, оскільки воно гарантує, що кінцеві користувачі системШІбудуть більш впевнені у використанні технології, знаючи, що вони мають право на певні базові засоби захисту в разі шкоди. Це також забезпечить більшу впевненість для компаній, що займаються постачанням або розгортанням систем ШІ, оскільки вони будуть знати, з якими ризиками відповідальності вони стикаються.
Директива відповідальності за ШІ (англ. AI liability directive, скороч. AILD)
У той час як закон проШІспрямований на запобігання шкоди, заподіяної ШІ, директива AILD спрямована на регулювання компенсації за шкоду, завдану ШІ, шляхом застосування законодавства про відповідальність.
За допомогою директиви AILD Комісія ЄС прагне врегулювати компенсацію за шкоду, заподіяну навмисно або з необережності системами ШІ. Як зазначається Комісією ЄС, що навіть якщо з моменту набуття чинності Закону проШІзменшиться ризик для безпеки та основних прав людей,ШІне припинить використання та обробку інформації, що отримує, а отже, залишковий ризик потенційної шкоди (опосередковано чи прямо), спричиненоїШІ, продовжуватиме існувати. Таким чином, Комісія прагне встановити спільні правила щодо цивільної відповідальності за шкоду, спричинену використанням систем ШІ.
AILD має екстериторіальну дію, оскільки застосовується до постачальників та/або користувачів систем ШІ, доступних або діючих на ринку Європейського Союзу. Ці правила відповідальності матимуть важіль впливу для сприяння роботи надійногоШІта повного використання його переваг на внутрішньому ринку. Така дія гарантуватиме, що захист від шкоди, спричиненої ШІ, матиме такий самий рівний захист, як і від шкоди, заподіяної будь-якими іншими технологіями. AILD створить спростовану презумпцію причинного зв’язку, тим самим зменшивши тягар доведення для потерпілої особи, якій спричинено шкоду.
Крім того, AILD регулюватиме повноваження національних судів вимагати розкриття «темного боку» системШІвисокого ризику з метою отримання доказів. Дана директива обмежується претензійною роботою. У разі якщо пошкодження було спричинено системоюШІабо нездатністю системиШІстворити певний результат, потерпілою стороною подається претензія. Для забезпечення узгодженості його визначення AILD складається з двох ключових процедурних пристроїв.
Перше стосується можливості потерпілих сторін отримати доступ до відповідних доказів. Позивачі можуть вимагати від національних судів розпорядження про розкриття або збереження доказів від відповідних сторін у випадку системШІз високим рівнем ризику, підозрюваних у завданні шкоди. На сторони, які не виконують вимог, поширюється презумпція невиконання, що полегшує процедуру для позивача та заохочує відповідні сторони виконувати накази.
Друга процедурна зміна, яку запроваджує AILD, полегшить доведення причинно-наслідкового зв’язку між провиною відповідної сторони та результатом роботи системиШІшляхом введення ряду спростовуваних презумпцій.
Дія цих правил дає потерпілим сторонам процесуальну перевагу у доведенні своєї правоти. Однак їм все одно доведеться довести всі істотні елементи своєї вимоги відповідно до законодавства кожної держави-члена.
Після прийняття Закону проШІта AILD, вони стануть першими в світі правилами щодо ШІ. Після набуття їх чинності організації, що використовують та виробляють системи ШІ, матимуть 24 місяці, щоб виконати усі вимоги та їх запровадити.
Директива відповідальності за продукцію (англ. Product Liability Directive, скороч. PLD)
Дана директива PLD, як і попередня AILD, є невід’ємною частиною нормативної бази щодо регулюванняШІв поєднанні з Законом про ШІ.
На відміну від нової директиви AILD, PLD був прийнятий у 1985 році та запроваджував суворий режим відповідальності за матеріальні збитки, заподіяні через використання дефектної продукції. Проте, час плине, й необхідність оновити директиву для цифрової ери вже настав. Відтак, у грудні минулого року було запропоновано реформування цієї директиви, виходячи за рамки простого оновлення для врахування технології ШІ. Ці зміни передбачають загальне розширення сфери застосування, включаючи ширше визначення продуктів і відповідальних сторін. Серед таких реформ, можна визначити наступні:
- чітке визнання того, що системиШІпідпадають під дію PLD через включення «програмного забезпечення» у визначення «продукту». Відповідно до цієї розширеної сфери застосування постачальники системШІпотенційно будуть нести відповідальність за будь-які дефектні системи ШІ, розміщені на ринку. Директива також охоплює будь-які системи ШІ, інтегровані в продукти, стираючи традиційну різницю між матеріальними та нематеріальними продуктами;
- незважаючи на те, що PLD не поширюватиметься на безкоштовне програмне забезпечення з відкритим кодом, яке постачається поза комерційною діяльністю, виробники, які інтегрують будь-яке безкоштовне програмне забезпечення з відкритим кодом у свої продукти, потенційно будуть нести відповідальність за будь-які дефекти, що виникнуть в результаті;
- директива PLD передбачає відшкодування будь-яких матеріальних збитків, спричинених дефектом продукту, тоді як компенсація нематеріальних збитків підпадає під дію законодавства кожної держави-члена;
- концепція «шкоди» в PLD розширена кількома способами. Втрату або пошкодження даних тепер можна відновити, але не в разі використання даних у професійних цілях. Знищення або пошкодження даних не призводить автоматично до матеріальних збитків, якщо потерпіла сторона все ще може отримати дані безкоштовно. Пошкодження будь-якого майна, яке не використовується в професійних цілях, як і раніше не підлягає відновленню;
- оновлена концепція дефектності в PLD для врахування систем ШІ. Продукти також можна вважати «дефектними» через вразливість кібербезпеки, що буде особливо актуально в контексті використання та розгортання систем ШІ. В оновленому тексті зазначається, що виробники, які розробляють продукти зі здатністю розвивати несподівану поведінку, залишаються відповідальними за поведінку, яка завдає шкоди. У контексті системШІце означатиме, що здатності системи діяти буде недостатньо, щоб розробник звільнився від відповідальності. Дії чи бездіяльність третіх сторін також не звільняють постачальників системШІвід відповідальності за наявність дефекту в продукті. Це може бути у випадку, коли третя сторона використовує вразливість кібербезпеки в системі ШІ, що призводить до заподіяної шкоди. І навпаки, відповідальність постачальниківШІможе бути зменшена або скасована, якщо потерпіла сторона сама сприяла збитку, наприклад, не встановила оновлення у застосунку (програмі) або оновлення системи ШІ;
- традиційний захист відповідно до директиви PLD щодо дефекту у продукті, що виник після розміщення на ринку, має нове виключення, яке пояснює той факт, що продукти все ще можуть перебувати під контролем виробника після розміщення на ринку. Це означає, що постачальники системШІне зможуть покладатися на цей захист, якщо дефект системиШІспричинений певним аспектом продукту, який залишився під їхнім контролем, включаючи надання оновлень чи оновлень програмного забезпечення або будь-яких суттєвих модифікацій.
Дане реформування передбачає 24-місячний адаптивний період, як і для попередньої директиви, для держав-членів, щоб імплементувати її в національне законодавство. Це означає, що компанії та фізичні особи повинні очікувати впровадження місцевих законів приблизно у 2026 році (якщо PLD набуде чинності цього року). Цей термін відповідатиме Закону про ШІ, який також становить 24 місяці після набрання ним чинності.
Треба зауважити, що узгодження директив, що готуються до виконання Закону про ШІ, повинні будуть переноситись на місцевий рівень кожної держави-учасниці, тоді як закон про ШІ, як Регламент, застосовуватиметься безпосередньо при його запуску.
Останнім часом ШІ в Європейському Союзі набуває все більшого значення оскільки технології продовжують розвиватися швидкими темпами. ЄС визнав потенційні переваги та виклики, які ШІ може принести в різні сектори суспільства. Від охорони здоров'я до транспорту, від фінансів до сільського господарства - штучний інтелект все більше інтегрується в повсякденну діяльність, стимулюючи інновації, підвищуючи ефективність і конкурентоспроможність.
Загалом, згідно тексту Закону про Штучний інтелект,системиШІможна використовувати в наступній діяльності:
1) Критична інфраструктура: компоненти безпеки в управлінні та експлуатації критичної цифрової інфраструктури, дорожнього руху та постачання води, газу, опалення та електроенергії.
Однією з ключових сфер, де ШІ має значний вплив в ЄС, є охорона здоров'я. Інструменти та додатки на основі штучного інтелекту розробляються, щоб допомогти медичним працівникам у діагностиці захворювань, прогнозуванні результатів лікування та персоналізації планів лікування. Використовуючи ШІ, медичні працівники можуть покращити догляд за пацієнтами, зменшити кількість медичних помилок та оптимізувати розподіл ресурсів.
У транспортному секторі штучний інтелект використовується для підвищення безпеки, ефективності та сталого розвитку. Автономні транспортні засоби, що працюють на алгоритмах штучного інтелекту, випробовуються і впроваджуються в різних країнах ЄС для підвищення безпеки дорожнього руху і зменшення заторів на дорогах. Крім того, штучний інтелект використовується для оптимізації систем громадського транспорту, прогнозування маршрутів і впровадження розумних рішень для управління дорожнім рухом.
2) Освіта та професійна підготовка: розробка системШІдля визначення доступу, вступу або призначення до навчальних закладів усіх рівнів. Оцінювання результатів навчання, включаючи їх використання для керування процесом навчання студентів. Визначення рівня освіти особи. Контроль та виявлення забороненої поведінки учнів під час контрольних робіт.
3) Працевлаштування: системиШІвикористовуються для найму та відбору працівників, особливо у цільових оголошеннях про роботу, аналізу та фільтрації заявок та оцінки кандидатів. Також вони використовуються для підвищення по службі та розірвання контрактів, розподілу завдань на основі особистих рис або характеристик і поведінки, а також для контролю і оцінки продуктивності працівників.
4) Державні послуги: системи ШІ, які використовуються державними органами для визначення права на отримання пільг і послуг, включаючи їх розподіл, скорочення, скасування або відновлення. Визначення кредитоспроможності, за винятком виявлення фінансового шахрайства. Аналіз та класифікація екстрених викликів, включаючи встановлення пріоритетів для диспетчерів поліції, пожежних, медичної допомоги та термінових служб сортування пацієнтів. Оцінка ризиків і формування цін в страхуванні здоров'я та життя. Оцінка нелегальної міграції або ризиків для здоров'я. Розгляд заявок на отримання притулку, візи та дозволу на проживання, а також пов’язаних скарг щодо відповідності вимогам. Виявлення, розпізнавання або ідентифікація осіб, крім перевірки проїзних документів.
5) Правоохоронні органи: системиШІдля оцінки ризику того, що особа може стати жертвою злочину. Також вони використовують поліграфи для оцінки достовірності доказів під час кримінального розслідування або судового переслідування. Оцінка індивідуального ризику вчинення правопорушення або повторного вчинення злочину здійснюється не тільки на основі профілювання чи оцінки особистісних рис чи злочинної поведінки в минулому. Також проводиться профілювання під час виявлення злочинів, розслідування чи судового переслідування. Незаборонена біометрія вказує на системи дистанційної біометричної ідентифікації, які дозволяють встановлювати особистість людини, враховуючи винятки з біометричної перевірки, що підтверджує, що особа є тим, ким вона стверджує. Крім того, це також охоплює біометричні системи категоризації, що визначають конфіденційні, або захищені атрибути, або характеристики, а також системи розпізнавання емоцій.
6) Правосуддя: застосуванняШІдля забезпечення справедливості та демократичних процесів полягає у використанні систем для аналізу та інтерпретації фактів, застосування Закону до конкретних ситуацій, а також для пошуку альтернативних шляхів вирішення конфліктів. Це також може впливати на результати виборів, референдумів та на поведінку під час голосування, за винятком ситуацій, які не взаємодіють безпосередньо з людьми, наприклад, інструменти для оптимізації політичних кампаній.
7) Фінанси: у фінансовій галузі ШІ трансформує спосіб надання банківських та інвестиційних послуг. Чат-боти та віртуальні асистенти на основі ШІ використовуються для персоналізованого обслуговування клієнтів, а алгоритми машинного навчання застосовуються для виявлення шахрайства, оцінки кредитного ризику та автоматизації торгових стратегій. Використовуючи можливості штучного інтелекту, фінансові установи в ЄС можуть оптимізувати операції, поліпшити процес прийняття рішень і підвищити якість обслуговування клієнтів.
8) Агро сектор: революція у використанні систем ШІ уможливлює точне та ефективне землеробство. Аналізуючи дані з датчиків, дронів і супутників, алгоритми штучного інтелекту можуть надати фермерам цінну інформацію про стан посівів, ґрунту та погодні умови. Такий підхід, заснований на даних, дозволяє фермерам оптимізувати врожайність, зменшити втрати ресурсів і мінімізувати вплив на навколишнє середовище.
Впровадження ШІ в ЄС відкриває численні можливості для економічного зростання та суспільного розвитку, але водночас викликає занепокоєння щодо етики, конфіденційності та регулювання. ЄС активно працює над вирішенням цих проблем, розробляючи керівні принципи та правила для забезпечення етичного та відповідального використання технологій штучного інтелекту. Європейська комісія випустила "Керівні принципи етики для надійного ШІ", щоб сприяти розвитку ШІ, орієнтованого на людину, який поважає фундаментальні права, цінує різноманітність і забезпечує прозорість і підзвітність.
Закон ЄС про захист персональних даних, приватності та конфіденційності комунікацій застосовуватиметься до обробки персональних даних у зв’язку з Законом про ШІ, що прямо не впливатиме на GDPR. Однією з головних відмінностей між законом проШІта GDPR є сфера їх застосування. Закон проШІзастосовується до постачальників, користувачів та інших учасників ланцюжка створення вартості системШІ(наприклад, імпортерів і дистриб'юторів), розміщених на ринку ЄС або використовуваних на ньому, незалежно від їхнього місцезнаходження. На відміну від Закону, GDPR застосовується до контролерів і процесорів, які обробляють персональні дані в контексті діяльності установи контролера або процесора в ЄС, або які пропонують товари чи послуги, або контролюють поведінку суб'єктів даних в ЄС. Це означає, що системи ШІ, що не обробляють або навпаки обробляють персональні дані суб'єктів даних, які не є громадянами ЄС, можуть підпадати під дію Закону про ШІ, але не під дію GDPR. Крім того, GDPR ґрунтується на фундаментальному праві на недоторканність приватного життя. Суб'єкти даних можуть реалізовувати свої права проти сторін, які обробляють їхні персональні дані. З іншого боку, закон зосереджується наШІяк на продукті, і при цьому прагне впровадити "людиноцентричний підхід", регулюючиШІчерез концепцію регулювання продукту. Це означає, що люди опосередковано захищені від несправних системШІі не мають чітко визначеної ролі в законі про ШІ. Іншими словами, зупинка незаконної системи ШІ, яка використовує персональні дані, здійснюється відповідно до Закону про ШІ, але реалізація прав суб'єктів даних щодо їхніх персональних даних здійснюється відповідно до GDPR. Іншою відмінністю між Законом проШІі GDPR є вимога до постачальників запроваджувати інструменти інтерфейсу людського нагляду, щоб уможливити нагляд з боку людини, а також необхідно вжити заходів для забезпечення нагляду з боку людини. Проте в Законі про ШІ конкретно не визначено, які заходи слід вжити, та, зокрема, відсутні додаткові вказівки щодо цього аспекту. Люди, які приймають рішення, повинні отримати чіткі інструкції та навчання, наприклад, як саме працює система ШІ, які дані будуть використовуватися для введення, якого результату слід очікувати, та як оцінити рекомендації системи ШІ. Варто врахувати, що провайдери зобов’язані надавати своїм користувачам інструкції щодо роботи систем ШІ, а також зобов’язання користувачів інформувати та навчати своїх людей, які приймають рішення щодо елементів системиШІ. Це потребується для того, щоб люди, які приймають рішення, могли приймати значущі, обґрунтовані рішення та уникати (автоматизованої) упередженості. Якщо нагляд з боку людини не має певного ступеня визначеності через відсутність відповідної підготовки осіб, які приймають рішення, то це може призвести до того, що системаШІне вважатиметься частково автоматизованою, і, таким чином, GDPR та відповідні його зобов’язання мають застосовуватись.
Загалом, ШІ в ЄС готовий трансформувати різні сектори суспільства, стимулюючи інновації, покращуючи ефективність та підвищуючи конкурентоспроможність.
Згідно до прес-релізу Європарламенту, закон проШтучний Інтелект (надалі - ШІ) був схвалений 523 позитивними голосами. Остаточне погодження прийняття Закону було досягнуто після попередньої домовленості - Пакту, за рішенням Європейського Парламенту та Ради в грудні місяці (CPR, 11 грудня 2023 року). Відповідно до даної політичної домовленості між Європарламентом та Радою ЄС головною метою співпраці було зосередження уваги, із урахуванням усіх можливих ризиків, у забезпеченні юридичної визначеності та прозорості у відкритті новітніх інноваційних технологій на базі ШІ. Цим проєктом-домовленістю реалізовано адаптаційний період для всіх бажаючих та зацікавлених прийняти участь в процесі прискореного навчання у використанні ШІ. За даним Пактом, було погоджено підтримувати стартапи у розробціШІта виділити понад 1 мільярд євро інвестицій із програм Horizon Europe та Digital Europe у дослідження та інновації системи ШІ.
Впроваджуючи технології штучного інтелекту, дотримуючись етичних стандартів і нормативно-правової бази, ЄС може використати весь потенціал штучного інтелекту для створення більш стійкого та інклюзивного майбутнього для своїх громадян.