В ЄС прийнято регламент про регулювання штучного інтелекту

13 березня 2024 року Європейський парламент ухвалив довгоочікуваний Регламент про регулювання штучного інтелекту в Європейському Союзі (далі - “Регламент”).

Регламент передбачає створення єдиного правового підходу до регулювання використання штучного інтелекту, незалежно від індустрії або технології. Регламент поширюється на операторів (постачальників, імпортерів, дистриб’юторів і виробників) систем штучного інтелекту (ШІ) в ЄС або за його межами, якщо ШІ використовується на території ЄС.

Невідповідність вимогам Регламенту може мати наслідком застосування високих штрафів, які можуть сягати до 35 млн євро, або 7% від річного обороту.

Регламент запроваджує ризик-орієнтований підхід та розділяє системи ШІ на чотири категорії залежно від групи ризику:

• Неприйнятний ризик (наприклад, системи ШІ, які маніпулюють поведінкою людей, забороняється вводити в експлуатацію, розміщувати на ринку та використовувати).
• Високий ризик (системи ШІ можуть мати вплив на безпеку або фундаментальні права: здебільшого такі системи використовуються в таких сферах як критична інфраструктура, освіта, працевлаштування, охорона здоров’я, банківські послуги, правоохоронна діяльність, управління міграцією та кордонами, правосуддя, виборчий процес).
• Обмежений ризик (системи ШІ з обмеженим впливом для маніпуляцій).
• Мінімальний ризик (системи ШІ, які не віднесені до зазначених вище категорій).

Генеративні системи штучного інтелекту повинні позначати свій результат як штучно створений. Зокрема, будь-який аудіо- або відеоконтент (зокрема і так звані “дипфейки”), зображення, якщо вони створені з використанням ШІ, мають містити відповідні позначення про це. 

Усі системи дистанційної біометричної ідентифікації вважаються високоризиковими та підпадають під суворі вимоги. Використання дистанційної біометричної ідентифікації в загальнодоступних місцях для правоохоронних цілей заборонено, за окремими випадками, передбаченими законом.

Використання систем ШІ з обмеженим або мінімальним ризиком буде здійснюватись за умови відповідності вимогам, встановленим Регламентом. Найбільшого правового регулювання зазнають системи ШІ з високим ризиком. 

До початку використання системи ШІ, які віднесені до високого ризику, оператор має здійснити оцінку впливу на фундаментальні права, тобто, яким чином використання такої системи ШІ потенційно може впливати на основні права постраждалих осіб. 

Оператори систем ШІ з високим рівнем ризику зобов’язані:

• запровадити системи управління ризиками системи ШІ протягом усього життєвого циклу
• забезпечувати релевантність, повноту та репрезентативність наборів даних для навчання, перевірки та тестування системи ШІ, щоб мінімізувати потенційні ризики
• розробити технічну документацію для демонстрації відповідності системи ШІ вимогам Регламенту та провести оцінку відповідності
• впровадити в систему ШІ можливість автоматичної фіксації подій, важливих для визначення ризиків національного рівня та суттєвих модифікацій протягом життєвого циклу системи
• надати інструкції щодо використання системи ШІ в разі інтеграції системи іншими провайдерами, з метою забезпечення відповідності при подальшому розгортанні
• забезпечити належні заходи людського нагляду для мінімізації ризику в разі інтеграції системи ШІ іншими провайдерами
• розробити систему ШІ з високим рівнем ризику, щоб досягти належного рівня точності, надійності та кібербезпеки
• встановити систему управління якістю для забезпечення відповідності.

Окремо Регламент виділяє системи штучного інтелекту загального призначення (GPAI) і його відповідні базові моделі, які є основою для генеративних програм ШІ, таких як ChatGPT. 

Системи GPAI можуть використовуватись як системи ШІ високого ризику або інтегруватись в них. Оператори системи GPAI повинні співпрацювати з такими операторами систем ШІ з високим ризиком, щоб забезпечити комплаєнс з вимогами Регламенту.

Для регулювання GPAI визначено ряд спеціальних вимог. Зокрема, системи GPAI і моделі GPAI, на яких вони базуються, мають відповідати певним вимогам щодо прозорості, включаючи дотримання законодавства ЄС про авторське право та публікувати опис вмісту, який використовується для навчання. Більш потужні моделі GPAI, які можуть створювати системні ризики, мають виконувати додаткові вимоги, включаючи виконання оцінки моделі, оцінку та пом’якшення системних ризиків, а також звітування про інциденти.

Регламент охоплює дуже широку сферу застосування різноманітних систем ШІ, і зміни будуть запроваджуватись поступово після набуття чинності Регламентом:

• в першу чергу, через 6 місяців (приблизно у грудні 2024 р.) - положення щодо заборони систем ШІ з неприйнятним ризиком (соціальна оцінка, поведінкова маніпуляція)
• через 12 місяців (приблизно червень 2025 р.): застосування зобов’язань для систем GPAI
• через 24 місяці (приблизно червень 2026 р.): всі положення Регламенту набудуть чинності, зокрема, вимоги до систем ШІ з високим ризиком
• через 36 місяців (приблизно червень 2027 р.): чинність окремих положень щодо систем ШІ з високим рівнем ризику. 

Значного регулювання зазнає використання систем ШІ з високим ризиком в державному секторі, зокрема, за такими основними напрямками:

• смарт платформи для громадян та інших осіб, які взаємодіють з публічним сектором
• публічні адміністративні процедури державного сектору
• сфера громадської безпеки

Українським компаніям, які розробляють системи ШІ, що в подальшому будуть використовуватись на території ЄС, важливо ще в процесі розробки ШІ визначити категорію ризику ШІ, оцінити можливий вплив такої системи ШІ на безпеку та фундаментальні права, впровадити необхідні безпекові зміни для забезпечення комплаєнсу з європейським законодавством.

Публічний сектор має забезпечити створення організаційних структур державного управління, передбачених Регламентом, зокрема у створенні компетентних органів, таких як реєстраційний орган, органи оцінки відповідності та органи, що розглядатимуть заперечення.

Для України положення Регламенту поки не є обов’язковими, але, зважаючи на євроінтеграційне спрямування, важливо враховувати вимоги Регламенту при розбудові законодавства в сфері штучного інтелекту.

Для отримання консультації з приводу правового регулювання питань, пов’язаних з застосуванням штучного інтелекту, звертайтесь до нашої команди.