«Перший, революційний, історичний». Європейський Закон про штучний інтелект
Довгоочікуваний Закон про ШІ, на який покладено великі сподівання, нарешті остаточно схвалено ЄС. Чому український ринок вже зараз має вивчати його положення? Як європейський законодавець планує регулювати сферу, стрімкий розвиток якої неможливо передбачити? Яких штрафів слід боятися?
До кого дотягнуться «довгі руки» європейського регулятора?
21 травня 2024 Рада ЄС офіційно схвалила Регламент (ЄС) щодо встановлення гармонізованих правил регулювання штучного інтелекту («Закон про ШІ»/ «Закон»). У червні-липні цього року документ має бути опубліковано в Офіційному віснику ЄС. Через 20 днів від дати офіційної публікації Закон про ШІ набуде чинності та, за певними виключеннями, підлягатиме застосуванню через 24 місяців від цієї дати.
Законом визначаються гармонізовані правила розробки, розміщення на ринку та використання ШІ систем у ЄС, при цьому, регулювання є різним (більш жорстким або більш гнучким) в залежності від ступеня ризиків, які становлять такі ШІ системи.
Закон не застосовуватиметься до ШІ систем, які розроблені або використовуються виключно у військових цілях. Виключено із дії Закону також державні органи третіх країн або міжнародні організації, які використовують ШІ системи в межах дії міжнародних угод про співпрацю з ЄС або його країнами-членами у сфері правоохоронної діяльності або юстиції.
Сама Рада ЄС назвала цей Закон революційним, підкресливши, що «він є першим подібним у світі та може встановити міжнародні стандарти для регулювання ШІ».
З огляду на те, що Закон про ШІ прийнятий у формі «регламенту», він матиме пряму дію у всіх 27 країнах-членах ЄС. Поширеною є думка, що, оскільки Україна не є членом ЄС, то положення Закону слід враховувати лише у контексті євроінтеграційних прагнень нашої держави та можливого майбутнього національного законотворення у сфері ШІ. Це може створити враження, що Закон про ШІ наразі не має значення для українських компаній. Втім, з такою позицією категорично не можна погодитися з огляду на положення статті 2 Закону про ШІ.
Так, дія Закону поширюватиметься на операторів (постачальників/розробників, виробників, розповсюджувачів, імпортерів та дистриб’юторів, уповноважених представників), що розміщують на ринку або впроваджують ШІ системи у ЄС, незалежно від того, чи створені ці оператори в межах ЄС чи у третіх країнах. Закон застосовуватиметься також до операторів ШІ систем, що розташовані у третіх країнах, якщо результати діяльності цих систем призначені для використання у ЄС.
Тобто, така екстратериторіальна дія Закону про ШІ безпосередньо вплине на всіх гравців ринку, у тому числі, і в Україні, та вимагатиме встановлення внутрішніх комплайанс процедур. Але що ж конкретно врегульовано Законом про ШІ?
Високі ризики. Високі штрафи
Одним із завдань Закону про ШІ було створення системи регулювання, яка би була гнучкою та могла відповідати майбутнім викликам, що їх створюють ШІ системи, які швидко вдосконалюються та змінюються.
З цією метою ШІ систему, яка регулюється Законом, було визначено як «машинну систему, яка розроблена для роботи з різними рівнями автономності та яка може проявляти адаптивність після розгортання, і яка, для явних або неявних цілей на основі вхідних даних, які вона отримує, робить висновок, як генерувати результати, такі як передбачення, зміст, рекомендації або рішення, які можуть впливати на фізичне або віртуальне середовище».
Як вже зазначалося, Закон обрав ризико-орієнтований підхід до регулювання ШІ систем. Визначено чотири категорії ризиків: (1) неприпустимі; (2) високі; (3) обмежені; та (4) мінімальні. Відповідно, чим вищий ризик системи ШІ, тим більш суворим є регулювання.
«Неприпустимі ризики» стали підставою для визначення статтею 5 Закону переліку заборонених ШІ практик. До них віднесено розміщення на ринку, введення в експлуатацію або використання ШІ систем, що маніпулюють рішеннями людей або використовують їх уразливість, так само як і систем, що оцінюють або класифікують людей в залежності від їх соціальної поведінки або особистих рис, та систем, що передбачають вірогідність скоєння злочину фізичною особою. Заборона відноситься також до ШІ систем, які створюють або розширюють бази даних розпізнавання обличь за допомогою нецільового збирання зображень з інтернету або камер спостереження. ШІ системи, що втручаються у поведінку та емоції на робочому місці чи навчальних закладах, а також категоризують людей в залежності від їх біометричних даних, також заборонені.
Вказана заборона, пов’язана із «неприпустимими ризиками», вводиться у дію через 6 місяців після набрання Законом про ШІ чинності, тобто, ймовірно, вже у грудні 2024 або січні 2025 року.
Порушення заборони використання ШІ систем з неприйнятним ризиком підлягатиме накладенню адміністративного штрафу у розмірі до € 35 млн., або, якщо порушник є компанією - до 7% від загального світового обороту за попередній фінансовий рік.
Більшість статей Закону про ШІ стосується регулювання ШІ систем з «високим ризиком», тобто таких, що можуть завдати значної шкоди здоров’ю, безпеці, основоположним правам, навколишньому середовищу, демократії та верховенству права. Прикладом таких ШІ систем є системи, що застосовуються у критичній інфраструктурі, освіті та професійно-технічній підготовці, працевлаштуванні, критичних приватних та публічних послугах (наприклад, охорона здоров’я або банківська сфера), сфері регулювання міграції та прикордонній службі, сфері юстиції чи виборів.
Єврокомісія має прийняти окремі керівництва та навести приклади ШІ систем, які становлять або не становлять «високий ризик». Поряд з цим, Законом про ШІ визначено зобов’язання провайдерів таких ШІ систем, зокрема, зобов’язання зі встановлення систем управління ризиками та систем управління якістю, ведення технічної документації та звітування, забезпечення «людського нагляду та контролю».
Важливо, що згідно зі ст. 22 Закону провайдери, що створені у третіх країнах, зобов’язані призначити уповноваженого представника з тих, що створені у ЄС, до моменту розміщення у ЄС ШІ системи з «високим ризиком». Крім того, ст. 23 Закону визначено зобов’язання імпортерів перевірити відповідність Закону ШІ системи перед її розміщенням на ринку ЄС.
Говорячи про «обмежений ризик», європейський законодавець пояснює, що такий ризик полягає у відсутності прозорості при використанні ШІ. Тобто, уникнення цього ризику можливе завдяки інформуванню користувачів про те, що вони взаємодіють із ШІ, наприклад, як у випадку з чат ботами, ШІ-генерованими відео чи аудіо тощо. До ШІ систем з «обмеженим ризиком» віднесено системи штучного інтелекту загального призначення (GPAI), якою є, у тому числі, і ChatGPT. Положення, що стосуються GPAI, вводяться у дію через 12 місяців після набрання Законом про ШІ чинності, тобто, в середині 2025 року.
Використання ШІ систем із «мінімальним ризиком» є нерегульованим та дозволеним, що включає, наприклад, спам-фільтри чи відеоігри із підтримкою ШІ.
Порушення положень, що стосуються ШІ систем «нижчих» рівнів ризику, підлягатиме накладенню адміністративного штрафу у розмірі до € 15 млн., або, якщо порушник є компанією - до 3% від загального світового обороту за попередній фінансовий рік.
Крім того, подання неточної, неповної або недостовірної інформації на запит нотифікованих органів або національних уповноважених органів підлягатиме накладенню адміністративного штрафу у розмірі до € 7,5 млн., або, якщо порушник є компанією - до 1% від загального світового обороту за попередній фінансовий рік.
Правила щодо штрафів та інших примусових заходів за порушення положень Закону про ШІ та застосування цих видів покарання встановлюватимуться на національному рівні країнами-членами ЄС, з урахуванням вказаних розмірів, що визначені Законом. Конкретний розмір вказаного штрафу, що застосовується, має визначатися залежно від того, яка із вказаних сум є більшою, за винятком випадків, коли мова йде про малі та середні підприємства, включаючи стартапи, для яких відповідні штрафи мають визначатися залежно від того, яка сума є меншою.
Цікаво також, що окремо передбачені штрафи для інституцій, агенцій та органів ЄС у випадку порушення Закону про ШІ (за порушення заборони використання ШІ систем з неприйнятним ризиком - штраф до € 1,5 млн., а за менш серйозні порушення – до € 750 тис.). Також, окремо Єврокомісії надано право накладати штрафи на провайдерів GPAI у розмірі до € 15 млн. або до 3% від загального світового обороту за попередній фінансовий рік.
Очевидно, що такі «мотивуючі» розміри штрафних санкцій дійсно можуть змусити дотримуватись правил та обмежень, встановлених Законом про ШІ. Залишається ще питання, хто буде за цим всім наглядати?
«Плодіться й розмножуйтеся!»: ШІ та поповнення європейської бюрократії
Розділ VII Закону присвячений визначенню системи регулювання у сфері ШІ. На рівні ЄС визначено завдання Європейського Офісу зі штучного інтелекту (“European Artificial Intelligence Office”/“AI Office”), створено Європейську раду з питань штучного інтелекту (“European Artificial Intelligence Board”/“AI Board”), передбачено функціонування «консультативного форуму» та «наукової групи незалежних експертів», а також визначено обов’язки країн-членів по створенню системи регулювання на національному рівні.
AI Office створено Єврокомісією Рішенням від 24 січня 2024 року як частину адміністративної структури Генерального Директорату Єврокомісії з питань засобів зв’язку, контенту та технологій. Основним завданням AI Office є моніторинг, нагляд та забезпечення виконання вимог Закону про ШІ щодо моделей і систем ШІ загального призначення (GPAI) у 27 країнах-членах ЄС.
AI Board формується із представників кожної з 27 країн-членів ЄС, а також Європейського інспектору із захисту даних зі статусом спостерігача, та має забезпечити послідовність і координацію впровадження Закону про ШІ між національними компетентними органами. При цьому, AI Board має створити дві постійно діючі групи для нагляду за ринком та кооперації між нотифікованими органами.
Консультативний форум створюється з метою надання Єврокомісії та AI Board консультацій та порад з технічних питань. Членами форуму мають стати представники стейкхолдерів, включаючи представників індустрії, стартапів, малих та середніх підприємств, громадянського суспільства та науковців, що має забезпечити збалансоване представництво комерційних та некомерційних інтересів.
Наукова група незалежних експертів має бути створена Єврокомісією з метою підтримки діяльності виконавчої влади при імплементації Закону про ШІ. При цьому, окремі країни-члени ЄС матимуть право звертатися за консультацією до цієї групи, втім, така консультація може бути платною.
При цьому, функції Секретаріату AI Board та його постійно діючих груп виконуватиме AI Office, який також надаватиме адміністративну підтримку роботі Консультативного форуму та Наукової групи незалежних експертів, включаючи організацію засідань та підготовку проектів документів.
На національному рівні, з метою впровадження положень Закону про ШІ, встановлено зобов’язання країн-членів, протягом 12 місяців з дати набрання чинності Законом, створити принаймні один нотифікований орган (орган з оцінки відповідності) та принаймні один наглядовий орган. При цьому, встановлюється вимога забезпечення того, що національні органи повинні мати достатньо кваліфікованого персоналу із компетенціями та глибокими професійними знаннями у сфері ШІ технологій, даних та обчислення даних, захисту персональних даних, кібербезпеки, основоположних прав, ризиків для здоров’я та безпеки, а також про існуючи стандарти та правові вимоги. Про стан фінансування та комплектації персоналу країни-члени зобов’язані відзвітувати після їх створення, а також кожного другого року після цього.
Одразу виникає питання, чи зможе ця громіздка структура відповідати викликам у сфері, яку європейський законодавець хотів зробити незарегульованою? Якщо уявити кількість обговорень, консультацій, звітів, вказівок, яку кожна з цих структур генеруватиме у той час, коли ШІ системи продовжуватимуть стрімко еволюціонувати та змінюватися, то стає ніяково. Однак, висновки, вочевидь, робити зарано.