13 березня Європейський Парламент ухвалив, знаковий для людства, перший нормативно-правовий акт по регулюванню “цифрової свідомості”.
Перш за все, хотілося б надати конкретну термінологію, що є таке насправді ШІ?
Якщо звернутись до відомих програмістів, на кшталт IBM (англ. International Business Machines), то за їх простим визначенням терміну,
ШІ - це технологія, що дозволяє комп’ютерам та машинам за допомогою нескладних алгоритмічних дій імітувати людський інтелект, використовуючи нейронну багаторівневу мережу для циклічного (безперервного) навчання системи, при цьому їх здатність вирішувати завдання будь-якого масштабу значно перевершує людський мозок в рази. Складно?
Перш за все, хотілося б надати конкретну термінологію, що є таке насправді ШІ?
Якщо звернутись до відомих програмістів, на кшталт IBM (англ. International Business Machines), то за їх простим визначенням терміну,
ШІ - це технологія, що дозволяє комп’ютерам та машинам за допомогою нескладних алгоритмічних дій імітувати людський інтелект, використовуючи нейронну багаторівневу мережу для циклічного (безперервного) навчання системи, при цьому їх здатність вирішувати завдання будь-якого масштабу значно перевершує людський мозок в рази. Складно?
Інший, альтернативний, варіант, узгоджений на базі визначення Організації економічного співробітництва та розвитку (ОЕСР), що закріплений в тексті Закону про ШІ.
Система ШІ означає машинну систему, яка для досягнення явних або неявних цілей робить висновки на основі вхідних даних, які вона отримує, про те, як генерувати вихідні дані, такі як прогнози, контент, рекомендації або рішення, що можуть впливати на фізичне або віртуальне середовище. Різні системи ШІ відрізняються за рівнем автономності та адаптивності після розгортання.
Дане визначення фокусується на двох ключових моментах: ШІ працює із різними рівнями автономності (автоматичне оброблення даних різного об’єму) та робить висновок на основі вхідних даних (навчається самостійно на постійній основі), які отримує, для генерування результатів.
Принципово саме таку позицію визначення ШІ було розміщено в тексті Закону про ШІ, адже здатність системи ШІ робити висновки виходить за межі базової обробки даних, уможливлюючи навчання, міркування або моделювання. Проте, текст також містить умови, за яких дозволяється використання певних ШІ, зокрема, усі системи ШІ, що розроблені, розповсюджені та використовувані в ЄС, мають бути безпечними, прозорими, доступними для відстеження, недискримінаційними так екологічно чистими.
Регулювання ШІ та забезпечення людського нагляду за системами ШІ є частиною цифрової стратегії ЄС.
Перейдемо до самого тексту Закону для визначення, що саме він регулюватиме.
ПРЕДМЕТ ЗАКОНУ
Даним законом регламентується для всіх держав-членів ЄС виконати основні умови, визначені текстом, а саме:
СФЕРА ЗАСТОСУВАННЯ ЗАКОНУ ПОШИРЮЄТЬСЯ
Отже, можна зробити висновок, що закон про ШІ має екстериторіальний вплив на більшість суб'єктів, на яких він поширюється, проте його основна дія спрямована саме на територію ЄС, де використовуються вихідні дані системи ШІ.
ЗАБОРОНИ
v не поширюється на ШІ, спеціально розроблені та введені в експлуатацію виключно з метою наукових досліджень і розробок;
Отже, з цього випливає, що законом обмежується використання ШІ з етичних міркувань, забороняючи дії, які порушують права громадян, такі як збір біометричних даних без дозволу та використання розпізнавання облич для створення баз даних. Також зазначається, що не допускається використання ШІ для розпізнавання емоцій, соціальної оцінки або маніпулювання поведінкою людей. Ці обмеження спрямовані на захист приватності та прав громадян у контексті розвитку та застосування ШІ.
Проте, законом визначено можливість використання біометричних систем ідентифікації правоохоронними органами лише у виняткових ситуаціях за дозволом суду із обмеженнями за часом та місцем. Розгортання ШІ в реальному часі допускається лише за важливими причинами, як пошук зниклих осіб або запобігання терористичним нападам. Використання біометричних систем ідентифікації через ШІ вважається високим ризиком і потребує судового дозволу при пов'язаності з кримінальними діями.
РИЗИК-ОРІЄНТОВАНИЙ ПІДХІД
Закон про ШІ використовує підхід, заснований на оцінці ризику, що класифікує програми ШІ за різними рівнями ризику, визначаючи ступінь необхідного регуляторного нагляду. Відтак, законом запроваджується чотирирівнева структура класифікації ризиків ШІ:
Неприйнятний ризик. Класифіковані як неприйнятні ризики, це системи, певні методи ШІ, які вважаються явною загрозою безпеці, засобам існування та правам людей, що будуть обов’язковим чином заборонені. Відповідний перелік у Законі про ШІ включає системи ШІ, які маніпулюють людською поведінкою або використовують вразливі місця людей (наприклад, вік або інвалідність) з метою або результатом спотворення їх поведінки. Інші приклади забороненого ШІ включають біометричні системи, такі як системи розпізнавання емоцій на робочому місці або категоризація людей у реальному часі. Класифіковані як неприйнятні ризики, це системи, які вважають явною загрозою безпеці, засобам існування та правам людей, що будуть заборонені. Такі приклади варіюються від соціальних оцінок урядів до іграшок із використанням голосової допомоги, які заохочують до небезпечної поведінки.
Правове регулювання: Заборонено.
Високий ризик. Системи ШІ, визначені як високоризикові, повинні будуть відповідати суворим вимогам, включаючи системи зниження ризиків, високоякісні набори даних, журнал активності, детальну документацію, чітку інформацію для користувачів, людський нагляд і високий рівень надійності, точності та кібербезпека. З огляду на їх цільове призначення становлять високий ризик шкоди здоров’ю та безпеці або основним правам людей, беручи до уваги як тяжкість можливої шкоди, так і ймовірність його виникнення, і вони використовуються в ряді спеціально визначених областей. Приклади систем ШІ з високим ризиком включають критичні інфраструктури, такі як енергетика та транспорт; медичні вироби; і системи, які визначають доступ до навчальних закладів або робочих місць, інструмент сканування резюме, який ранжує претендентів на роботу на основі автоматизованих алгоритмів або віддалені системи біометричної ідентифікації.
Правове регулювання: Дозволено після проведення оцінки ризиковості до та після виходу на ринок.
Обмежений ризик. Системи, які становлять обмежений ризик для окремих осіб, і тому вони зобов’язані виконувати лише певні зобов’язання щодо прозорості. Постачальники повинні переконатися, що системи ШІ, призначені для безпосередньої взаємодії з фізичними особами, розроблені та запрограмовані таким чином, щоб люди були поінформовані про те, що вони взаємодіють із системою ШІ. Приклади включають чат-ботів, що означає, що користувач повинен бути проінформований про те, що він взаємодіє з машиною, а не з людиною. Як правило, розробники систем ШІ, які генерують або маніпулюють дипфейками (англ. Deepfake), повинні розкривати, що контент був штучно створений або маніпульований.
Правове регулювання: Дозволено з мінімальними вимогами прозорості.
Мінімальний ризик. Системи ШІ без ризиків або з мінімальними ризиками – це системи, які не матимуть додаткових зобов’язань щодо цих систем ШІ, таких як відеоігри з підтримкою ШІ або фільтри спаму. Комісія ЄС заявила, що більшість систем ШІ підпадають під цю категорію. Наприкладі, генеративний ШІ (типу ChatGPT). Немає обмежень для систем ШІ з мінімальним ризиком, таких як відеоігри з підтримкою ШІ або фільтри спаму. За бажанням, організації можуть прийняти власні добровільні кодекси поведінки.
Правове регулювання: Дозволено без зобов’язань.
ОРГАН УПРАВЛІННЯ
У лютому 2024 року був створений Офіс ШІ, який контролює виконання та впровадження Закону про ШІ разом із державами-членами. Офіс спрямований на створення середовища, де технології ШІ поважають права та гідність людини. Також він сприяє співпраці, інноваціям і дослідженням у сфері ШІ серед зацікавлених сторін. Крім того, він бере участь у міжнародному діалозі та співпраці з питань ШІ, визнаючи необхідність глобального узгодження управління цими технологіями.
Офіс ШІ у ролі наглядача за виконанням Закону буде виступати у складі Комісії для моніторингу ефективного впровадження та дотримання вимог.
Усі скарги, претензії та пропозиції, щодо порушень виконання умов Закону або рекомендацій щодо внесення змін та/або удосконалення регулятора подаються до Офісу ШІ.
До компетенції Офісу ШІ також відноситься проведення оцінки системи ШІ, зокрема:
- оцінка відповідності вимогам, у разі якщо інформація, що зібрана відповідно до його повноважень для запиту інформації, є недостатньою (таким чином офіс перевіряє чи відповідає зібрана інформація вимогам, встановленим для запиту інформації);
- додаткове дослідження системних ризиків (проводиться після кваліфікованого звіту наукової групи незалежних експертів, Офіс проводить аналіз можливих небезпек для системи).
Судові процеси можуть делегуватися на національному рівні кожної держави-члена ЄС, відповідно до якої потерпілий або порушник являється громадянином.
ШТРАФИ
За порушення заборонених додатків ШІ накладатимуться штрафи у розмірі від 35 мільйонів євро або 7% світового річного обороту (відповідно до тексту зазначено примітку до пункту, - “залежно від того, що більше”).
Надання невірної інформації будь-якою особою про системи ШІ може призвести до штрафу у розмірі 7,5 мільйонів єро або 1,5% світового річного обороту (відповідно до тексту зазначено примітку до пункту, - “залежно від того, що більше”).
Невідповідність систем ШІ можуть призвести до штрафів у розмірі 15 мільйонів євро або 3% світового річного обороту(відповідно до тексту зазначено примітку до пункту, - “залежно від того, що більше”), серед яких:
Також, закон передбачає штрафи для малих і середніх підприємств, та стартапів, які порушують законодавство про ШІ. Штрафи визначатимуться таким же чином відповідно до трьох попередніх абзаців але у протилежному порядку (відповідно до тексту зазначено примітку до пункту, - “залежно від того, що менше”).
Крім того, законом визначається можливість розгляду адміністративного стягнення зі зміною його розміру по кожному окремому випадку, враховуючи істотні обставини, що можуть скластись, серед яких:
ЗАСТЕРЕЖЕННЯ ТА РИЗИКИ ЗАСТОСУВАННЯ
Перш за все треба розуміти, що системи ШІ мають відповідати певним вимогам щодо прозорості, включаючи відповідність законодавству Європейського Союзу про авторське право та публікацію детальної інформації про вміст, який використовується для навчання моделей. Наприклад, закон вимагає, щоб системи ШІ, призначені для безпосередньої взаємодії з людьми, були чітко позначені як такі, якщо це не очевидно за обставин. Інші моделі, що можуть створювати системні ризики відповідно до ступеню ризиків, підлягають суворішим вимогам, включаючи виконання оцінки моделі, оцінку та пом’якшення системних ризиків, а також звітування про інциденти. Наприкладі, потужні моделі GPAI повинні враховувати системні ризики і виконувати оцінку моделі, оцінку та пом'якшення ризиків, а також звітувати про інциденти. Додатково, штучні або підроблені контенти повинні бути чітко позначені як "дипфейки". Окрім того, штучні або оброблені зображення, а також аудіо- чи відеоконтент повинні бути чітко позначені, як штучні, створені системою ШІ.
Також, закон передбачає, що регуляторні, так звані “пісочниці”, для тестування в реальному часі, повинні бути створені на національному рівні для розробки та навчання нових інструментів ШІ перед їх розміщенням на ринку.
Щодо суб’єктів, Компанії повинні провести аналіз прогалин у своїх системах ШІ, для їх оцінки, щоб визначити можливі області, над якими потрібно працювати, щоб залишатися сумісними із законом про ШІ.
Організаціям також слід провести належну перевірку своїх систем, щоб переконатися, що вони мають якісні набори даних, та, зокрема, перевірити, чи всі необхідні гарантії, пов’язані із захистом і безпекою даних, розгорнуті належним чином та відповідають основним вимогам законодавства ЄС щодо безпеки даних.
Організації також повинні розподілити обов’язки, пов’язані з дотриманням Закону про ШІ, та визначити окремий департамент щодо діяльності, організації та відповідальності за ШІ.
Щодо розробників, то відповідно до їх зобов’язань, виходячи з рівня ризиковості системи ШІ, мають дотримуватись та виконувати алгоритм дій, визначений в законі. Зокрема, розробники мають зареєструватись в централізованій базі даних ЄС та отримати статус розробника ШІ; вести відповідну документацію та зберігати журнали даних ШІ; проходити оцінку відповідності перед та після розміщення на ринку, та/або у разі якщо вони зберігатимуть за собою ШІ продукт, і під власним ім’ям або торговою маркою; дотримуватися обмежень щодо використання ШІ високого ризику при їх розробці та після при нагляді за ним; забезпечувати відповідність нормативним вимогам і бути готовим продемонструвати таку відповідність на запит.
ВЗАЄМОДІЯ НА ПРАКТИЦІ
Згідно Закону про ШІ, буде створено орган управління Офіс ШІ для забезпечення відповідності, впровадження та виконання цих положень. Громадяни ЄС матимуть можливість подавати скарги на системи ШІ, якщо вони вважатимуть, що постраждали від їхньої дії, та отримувати пояснення щодо рішень, які приймають ці системи.
Окрім того, законом визначена можливість передати повноваження національним судам держав-членів щодо ведення справ з питань порушення прав громадян ЄС.
Теж саме стосується й адміністративних справ щодо стягнень у разі порушення суб’єктами покладених на них за законом обов’язків. Такі справи також мають повноваження вести національні суди держав-членів, що допоможе ефективніше працювати в системі безпеки та охорони прав користувачів.
Щодо іншого, компанії зобов’язуються в подальшому позначити будь-який контент створений на базі ШІ, в тому числі дипфейки, чат-боти, та іншого роду продукти, як контент, що створений за допомогою ШІ, та повідомляти людей-користувачів, які взаємодіють із чат-ботом чи іншою системою ШІ. Окрім того, компанії повинні, при створенні медіафайлів будь-якого типу, значення, формату, позначати їх таким чином, щоб такий продукт можна було виявляти. Це допоможе вирізняти різного роду інформацію серед такої, що дезінформує користувачів, досліджуючи поглиблено вміст контенту.
Також, випрозорюючи свої системи ШІ, компанії мають можливість звільнитись від основних зобов’язань, визначених в законі, щодо безпечності, прозорості, недискримінаційності та ін. Наприкладі, створення системи ШІ на базі протоколів з відкритим вихідним кодом.
СТАДІЇ НАБРАННЯ ЧИННОСТІ
Як зазначалось у прес-службі Європарламенту, даний закон з моменту його набрання чинності, а саме через двадцять днів з моменту його опублікування, буде остаточно введений в дію та почне застосовуватись через 24 місяці, за винятком:
Оскільки закон про ШІ має екстратериторіальну сферу дії, він стосується не лише 27 держав-членів Європейського Союзу, але й будь-якого постачальника ШІ в усьому світі, чиї системи ШІ розміщені на ринку або введені в експлуатацію в ЄС.
Автор: юрист L&M Finance Group, Владислав Горобець
Система ШІ означає машинну систему, яка для досягнення явних або неявних цілей робить висновки на основі вхідних даних, які вона отримує, про те, як генерувати вихідні дані, такі як прогнози, контент, рекомендації або рішення, що можуть впливати на фізичне або віртуальне середовище. Різні системи ШІ відрізняються за рівнем автономності та адаптивності після розгортання.
Дане визначення фокусується на двох ключових моментах: ШІ працює із різними рівнями автономності (автоматичне оброблення даних різного об’єму) та робить висновок на основі вхідних даних (навчається самостійно на постійній основі), які отримує, для генерування результатів.
Принципово саме таку позицію визначення ШІ було розміщено в тексті Закону про ШІ, адже здатність системи ШІ робити висновки виходить за межі базової обробки даних, уможливлюючи навчання, міркування або моделювання. Проте, текст також містить умови, за яких дозволяється використання певних ШІ, зокрема, усі системи ШІ, що розроблені, розповсюджені та використовувані в ЄС, мають бути безпечними, прозорими, доступними для відстеження, недискримінаційними так екологічно чистими.
Регулювання ШІ та забезпечення людського нагляду за системами ШІ є частиною цифрової стратегії ЄС.
Перейдемо до самого тексту Закону для визначення, що саме він регулюватиме.
ПРЕДМЕТ ЗАКОНУ
Даним законом регламентується для всіх держав-членів ЄС виконати основні умови, визначені текстом, а саме:
- гармонізування правил розміщення на ринку, введення експлуатацію та використання систем ШІ в ЄС;
- гармонізування правил прозорості для певних систем ШІ, що класифікуються як потужні;
- заборона практик ШІ (навчання, використання, розробка), що встановлені текстом Закону як заборонені відповідно до класифікатору ризиків;
- визначення особливих вимог до систем ШІ з високим рівнем ризику та зобов’язанням до операторів таких систем на виконання таких умов;
- визначення правил ринкового моніторингу, нагляду та управління;
- виконання заходів на підтримку інновацій у розробці систем ШІ відповідно до вимог тексту Закону.
СФЕРА ЗАСТОСУВАННЯ ЗАКОНУ ПОШИРЮЄТЬСЯ
- на постачальників, тобто організації, що розробляють системи ШІ з метою розміщення їх на ринку або введення в експлуатацію під власним ім’ям або торговою маркою, платно чи безкоштовно;
- на імпортерів і розповсюджувачів систем ШІ в Європейському Союзі;
- на розробників, які визначаються як фізичні або юридичні особи, які використовують ШІ під своїм керівництвом під час своєї професійної діяльності;
- на постачальників, розробників та розгортачів систем ШІ, які мають місцезнаходження або розташовані в третій країні, де результати, вироблені системою ШІ, використовуються в Європейському Союзі;
- на Імпортерів та дистриб'юторів систем ШІ;
- на Виробників продуктів, які розміщують на ринку або вводять в експлуатацію систему ШІ разом зі своїм продуктом і під власним ім’ям або торговою маркою;
- на Уповноважених представників постачальників, які не зареєстровані в Європейському Союзі;
- на Уповноважених органів держав-членів ЄС;
- на ШІ, що відповідають основним вимогам Закону щодо безпечності, прозорості, доступності для відстеження, недискримінаційності так екологічності;
- на ШІ, створеної виключно для військових цілей, оборони чи національної безпеки, проте використовується тимчасово чи постійно для інших цілей, наприклад, цивільних чи гуманітарних цілей, правоохоронних цілей або громадської безпеки;
- на Постраждалих осіб, які знаходяться в Європейському Союзі.
Отже, можна зробити висновок, що закон про ШІ має екстериторіальний вплив на більшість суб'єктів, на яких він поширюється, проте його основна дія спрямована саме на територію ЄС, де використовуються вихідні дані системи ШІ.
ЗАБОРОНИ
v не поширюється на ШІ, спеціально розроблені та введені в експлуатацію виключно з метою наукових досліджень і розробок;
- не поширюється на будь-яку дослідницьку, тестову та розробну діяльність щодо ШІ до виведення на ринок або введення в експлуатацію, але це звільнення не стосується тестування в реальному світі;
- не поширюється на системи, випущені за безкоштовними ліцензіями та ліцензіями з відкритим кодом, якщо такі системи не кваліфікуються як високоризикові, заборонені або генеруючі ШІ;
- не поширюється до систем ШІ, що використовуються виключно для військових цілей, оборони чи національної безпеки, незалежно від типу суб’єкта, що здійснює таку діяльність;
- не поширюється на ШІ, що не відповідають основним вимогам Закону щодо безпечності, прозорості, доступності для відстеження, недискримінаційності так екологічності;
- не поширюється на ШІ, створеної для цивільних чи гуманітарних цілей, правоохоронних цілей або громадської безпеки, проте використовується тимчасово чи постійно для інших цілей, наприклад, військових цілей, оборони чи національної безпеки;
- забороняються певні додатки ШІ, які загрожують правам громадян, включно з системами біометричної категоризації на основі конфіденційних характеристик і нецільового збирання зображень обличчя з Інтернету або записів камер відеоспостереження для створення баз даних розпізнавання облич;
- забороняється розміщення на ринку, введення в експлуатацію або використання певних систем ШІ, призначених для спотворення людської поведінки, що може призвести до фізичної чи психологічної шкоди;
- забороняється розпізнавання емоцій на робочому місці та в школах, соціальна оцінка, прогнозування за участю правоохоронних органів (якщо воно ґрунтується виключно на профілюванні особи чи оцінці її характеристик), а також маніпулювання людською поведінкою або використання вразливих місць людей.
Отже, з цього випливає, що законом обмежується використання ШІ з етичних міркувань, забороняючи дії, які порушують права громадян, такі як збір біометричних даних без дозволу та використання розпізнавання облич для створення баз даних. Також зазначається, що не допускається використання ШІ для розпізнавання емоцій, соціальної оцінки або маніпулювання поведінкою людей. Ці обмеження спрямовані на захист приватності та прав громадян у контексті розвитку та застосування ШІ.
Проте, законом визначено можливість використання біометричних систем ідентифікації правоохоронними органами лише у виняткових ситуаціях за дозволом суду із обмеженнями за часом та місцем. Розгортання ШІ в реальному часі допускається лише за важливими причинами, як пошук зниклих осіб або запобігання терористичним нападам. Використання біометричних систем ідентифікації через ШІ вважається високим ризиком і потребує судового дозволу при пов'язаності з кримінальними діями.
РИЗИК-ОРІЄНТОВАНИЙ ПІДХІД
Закон про ШІ використовує підхід, заснований на оцінці ризику, що класифікує програми ШІ за різними рівнями ризику, визначаючи ступінь необхідного регуляторного нагляду. Відтак, законом запроваджується чотирирівнева структура класифікації ризиків ШІ:
Неприйнятний ризик. Класифіковані як неприйнятні ризики, це системи, певні методи ШІ, які вважаються явною загрозою безпеці, засобам існування та правам людей, що будуть обов’язковим чином заборонені. Відповідний перелік у Законі про ШІ включає системи ШІ, які маніпулюють людською поведінкою або використовують вразливі місця людей (наприклад, вік або інвалідність) з метою або результатом спотворення їх поведінки. Інші приклади забороненого ШІ включають біометричні системи, такі як системи розпізнавання емоцій на робочому місці або категоризація людей у реальному часі. Класифіковані як неприйнятні ризики, це системи, які вважають явною загрозою безпеці, засобам існування та правам людей, що будуть заборонені. Такі приклади варіюються від соціальних оцінок урядів до іграшок із використанням голосової допомоги, які заохочують до небезпечної поведінки.
Правове регулювання: Заборонено.
Високий ризик. Системи ШІ, визначені як високоризикові, повинні будуть відповідати суворим вимогам, включаючи системи зниження ризиків, високоякісні набори даних, журнал активності, детальну документацію, чітку інформацію для користувачів, людський нагляд і високий рівень надійності, точності та кібербезпека. З огляду на їх цільове призначення становлять високий ризик шкоди здоров’ю та безпеці або основним правам людей, беручи до уваги як тяжкість можливої шкоди, так і ймовірність його виникнення, і вони використовуються в ряді спеціально визначених областей. Приклади систем ШІ з високим ризиком включають критичні інфраструктури, такі як енергетика та транспорт; медичні вироби; і системи, які визначають доступ до навчальних закладів або робочих місць, інструмент сканування резюме, який ранжує претендентів на роботу на основі автоматизованих алгоритмів або віддалені системи біометричної ідентифікації.
Правове регулювання: Дозволено після проведення оцінки ризиковості до та після виходу на ринок.
Обмежений ризик. Системи, які становлять обмежений ризик для окремих осіб, і тому вони зобов’язані виконувати лише певні зобов’язання щодо прозорості. Постачальники повинні переконатися, що системи ШІ, призначені для безпосередньої взаємодії з фізичними особами, розроблені та запрограмовані таким чином, щоб люди були поінформовані про те, що вони взаємодіють із системою ШІ. Приклади включають чат-ботів, що означає, що користувач повинен бути проінформований про те, що він взаємодіє з машиною, а не з людиною. Як правило, розробники систем ШІ, які генерують або маніпулюють дипфейками (англ. Deepfake), повинні розкривати, що контент був штучно створений або маніпульований.
Правове регулювання: Дозволено з мінімальними вимогами прозорості.
Мінімальний ризик. Системи ШІ без ризиків або з мінімальними ризиками – це системи, які не матимуть додаткових зобов’язань щодо цих систем ШІ, таких як відеоігри з підтримкою ШІ або фільтри спаму. Комісія ЄС заявила, що більшість систем ШІ підпадають під цю категорію. Наприкладі, генеративний ШІ (типу ChatGPT). Немає обмежень для систем ШІ з мінімальним ризиком, таких як відеоігри з підтримкою ШІ або фільтри спаму. За бажанням, організації можуть прийняти власні добровільні кодекси поведінки.
Правове регулювання: Дозволено без зобов’язань.
ОРГАН УПРАВЛІННЯ
У лютому 2024 року був створений Офіс ШІ, який контролює виконання та впровадження Закону про ШІ разом із державами-членами. Офіс спрямований на створення середовища, де технології ШІ поважають права та гідність людини. Також він сприяє співпраці, інноваціям і дослідженням у сфері ШІ серед зацікавлених сторін. Крім того, він бере участь у міжнародному діалозі та співпраці з питань ШІ, визнаючи необхідність глобального узгодження управління цими технологіями.
Офіс ШІ у ролі наглядача за виконанням Закону буде виступати у складі Комісії для моніторингу ефективного впровадження та дотримання вимог.
Усі скарги, претензії та пропозиції, щодо порушень виконання умов Закону або рекомендацій щодо внесення змін та/або удосконалення регулятора подаються до Офісу ШІ.
До компетенції Офісу ШІ також відноситься проведення оцінки системи ШІ, зокрема:
- оцінка відповідності вимогам, у разі якщо інформація, що зібрана відповідно до його повноважень для запиту інформації, є недостатньою (таким чином офіс перевіряє чи відповідає зібрана інформація вимогам, встановленим для запиту інформації);
- додаткове дослідження системних ризиків (проводиться після кваліфікованого звіту наукової групи незалежних експертів, Офіс проводить аналіз можливих небезпек для системи).
Судові процеси можуть делегуватися на національному рівні кожної держави-члена ЄС, відповідно до якої потерпілий або порушник являється громадянином.
ШТРАФИ
За порушення заборонених додатків ШІ накладатимуться штрафи у розмірі від 35 мільйонів євро або 7% світового річного обороту (відповідно до тексту зазначено примітку до пункту, - “залежно від того, що більше”).
Надання невірної інформації будь-якою особою про системи ШІ може призвести до штрафу у розмірі 7,5 мільйонів єро або 1,5% світового річного обороту (відповідно до тексту зазначено примітку до пункту, - “залежно від того, що більше”).
Невідповідність систем ШІ можуть призвести до штрафів у розмірі 15 мільйонів євро або 3% світового річного обороту(відповідно до тексту зазначено примітку до пункту, - “залежно від того, що більше”), серед яких:
- невідповідність щодо забезпечення Постачальником систем ШІ вимогам високого ризику;
- невиконання обов’язків, покладених на Уповановаженого представника щодо розміщення систем ШІ на ринку;
- невиконання обов’язків, покладених на Імпортера щодо розміщення систем ШІ на ринку;
- невиконання обов’язків, покладених на Дистриб’ютора щодо розміщення систем ШІ на ринку;
- невиконання обов’язків, покладених на Розгортачів ШІ щодо проведення оцінки впливу на захист даних у рамках Директиви (ЄС) 2016/680 для цілей запобігання, розслідування, виявлення або переслідування за скоєння кримінальних злочинів;
- невиконання обов’язків та вимог, покладених на Уповноважених органів (створений на національному рівні кожної країни держави-члена) ;
- невідповідність умовам щодо прозорості для постачальників, розробників і користувачів.
Також, закон передбачає штрафи для малих і середніх підприємств, та стартапів, які порушують законодавство про ШІ. Штрафи визначатимуться таким же чином відповідно до трьох попередніх абзаців але у протилежному порядку (відповідно до тексту зазначено примітку до пункту, - “залежно від того, що менше”).
Крім того, законом визначається можливість розгляду адміністративного стягнення зі зміною його розміру по кожному окремому випадку, враховуючи істотні обставини, що можуть скластись, серед яких:
- характер, серйозність і тривалість порушення та його наслідків, беручи до уваги призначення системи ШІ, а також, у відповідних випадках, кількість постраждалих осіб і рівень завданої їм шкоди;
- чи були вже застосовані адміністративні штрафи іншими органами ринкового нагляду однієї або декількох держав-членів до того самого оператора за те саме порушення;
- чи були вже застосовані адміністративні штрафи іншими органами до того ж оператора за порушення іншого законодавства ЄС або національного законодавства, якщо такі порушення є результатом тієї ж самої діяльності або бездіяльності, що є відповідним порушенням цього Закону;
- розмір, річний оборот і частка ринку оператора, який вчинив порушення;
- будь-який інший обтяжуючий або пом'якшувальний фактор, застосовний до обставин справи, наприклад, отримані фінансові вигоди або збитки, яких вдалося уникнути, прямо чи опосередковано, від порушення;
- будь-які інші обтяжуючі або пом'якшуючі обставини, що застосовуються до обставин справи, такі як отримані фінансові вигоди або збитки, яких вдалося уникнути, прямо чи опосередковано, внаслідок порушення;я
- ступінь співпраці з національними компетентними органами з метою усунення порушення та пом'якшення можливих негативних наслідків порушення;
- ступінь відповідальності оператора з урахуванням вжитих ним технічних та організаційних заходів;
- спосіб, у який про порушення стало відомо національним компетентним органам, зокрема, чи повідомив оператор про порушення, і якщо так, то в якому обсязі;
- навмисний чи необережний характер порушення;
- будь-які дії, вжиті оператором для зменшення шкоди, завданої постраждалим особам.
ЗАСТЕРЕЖЕННЯ ТА РИЗИКИ ЗАСТОСУВАННЯ
Перш за все треба розуміти, що системи ШІ мають відповідати певним вимогам щодо прозорості, включаючи відповідність законодавству Європейського Союзу про авторське право та публікацію детальної інформації про вміст, який використовується для навчання моделей. Наприклад, закон вимагає, щоб системи ШІ, призначені для безпосередньої взаємодії з людьми, були чітко позначені як такі, якщо це не очевидно за обставин. Інші моделі, що можуть створювати системні ризики відповідно до ступеню ризиків, підлягають суворішим вимогам, включаючи виконання оцінки моделі, оцінку та пом’якшення системних ризиків, а також звітування про інциденти. Наприкладі, потужні моделі GPAI повинні враховувати системні ризики і виконувати оцінку моделі, оцінку та пом'якшення ризиків, а також звітувати про інциденти. Додатково, штучні або підроблені контенти повинні бути чітко позначені як "дипфейки". Окрім того, штучні або оброблені зображення, а також аудіо- чи відеоконтент повинні бути чітко позначені, як штучні, створені системою ШІ.
Також, закон передбачає, що регуляторні, так звані “пісочниці”, для тестування в реальному часі, повинні бути створені на національному рівні для розробки та навчання нових інструментів ШІ перед їх розміщенням на ринку.
Щодо суб’єктів, Компанії повинні провести аналіз прогалин у своїх системах ШІ, для їх оцінки, щоб визначити можливі області, над якими потрібно працювати, щоб залишатися сумісними із законом про ШІ.
Організаціям також слід провести належну перевірку своїх систем, щоб переконатися, що вони мають якісні набори даних, та, зокрема, перевірити, чи всі необхідні гарантії, пов’язані із захистом і безпекою даних, розгорнуті належним чином та відповідають основним вимогам законодавства ЄС щодо безпеки даних.
Організації також повинні розподілити обов’язки, пов’язані з дотриманням Закону про ШІ, та визначити окремий департамент щодо діяльності, організації та відповідальності за ШІ.
Щодо розробників, то відповідно до їх зобов’язань, виходячи з рівня ризиковості системи ШІ, мають дотримуватись та виконувати алгоритм дій, визначений в законі. Зокрема, розробники мають зареєструватись в централізованій базі даних ЄС та отримати статус розробника ШІ; вести відповідну документацію та зберігати журнали даних ШІ; проходити оцінку відповідності перед та після розміщення на ринку, та/або у разі якщо вони зберігатимуть за собою ШІ продукт, і під власним ім’ям або торговою маркою; дотримуватися обмежень щодо використання ШІ високого ризику при їх розробці та після при нагляді за ним; забезпечувати відповідність нормативним вимогам і бути готовим продемонструвати таку відповідність на запит.
ВЗАЄМОДІЯ НА ПРАКТИЦІ
Згідно Закону про ШІ, буде створено орган управління Офіс ШІ для забезпечення відповідності, впровадження та виконання цих положень. Громадяни ЄС матимуть можливість подавати скарги на системи ШІ, якщо вони вважатимуть, що постраждали від їхньої дії, та отримувати пояснення щодо рішень, які приймають ці системи.
Окрім того, законом визначена можливість передати повноваження національним судам держав-членів щодо ведення справ з питань порушення прав громадян ЄС.
Теж саме стосується й адміністративних справ щодо стягнень у разі порушення суб’єктами покладених на них за законом обов’язків. Такі справи також мають повноваження вести національні суди держав-членів, що допоможе ефективніше працювати в системі безпеки та охорони прав користувачів.
Щодо іншого, компанії зобов’язуються в подальшому позначити будь-який контент створений на базі ШІ, в тому числі дипфейки, чат-боти, та іншого роду продукти, як контент, що створений за допомогою ШІ, та повідомляти людей-користувачів, які взаємодіють із чат-ботом чи іншою системою ШІ. Окрім того, компанії повинні, при створенні медіафайлів будь-якого типу, значення, формату, позначати їх таким чином, щоб такий продукт можна було виявляти. Це допоможе вирізняти різного роду інформацію серед такої, що дезінформує користувачів, досліджуючи поглиблено вміст контенту.
Також, випрозорюючи свої системи ШІ, компанії мають можливість звільнитись від основних зобов’язань, визначених в законі, щодо безпечності, прозорості, недискримінаційності та ін. Наприкладі, створення системи ШІ на базі протоколів з відкритим вихідним кодом.
СТАДІЇ НАБРАННЯ ЧИННОСТІ
Як зазначалось у прес-службі Європарламенту, даний закон з моменту його набрання чинності, а саме через двадцять днів з моменту його опублікування, буде остаточно введений в дію та почне застосовуватись через 24 місяці, за винятком:
- виключення забороненої практики (через 6 місяців після дати набуття чинності);
- кодекси практики (через 9 місяців після набрання чинності);
- правила ШІ загального призначення, включаючи управління (через 12 місяців після набуття чинності);
- зобов'язання для систем високого ризику, постринковий моніторинг (через 18 місяців після набуття чинності);
Оскільки закон про ШІ має екстратериторіальну сферу дії, він стосується не лише 27 держав-членів Європейського Союзу, але й будь-якого постачальника ШІ в усьому світі, чиї системи ШІ розміщені на ринку або введені в експлуатацію в ЄС.
Автор: юрист L&M Finance Group, Владислав Горобець
