Європейський Закон про ШІ опубліковано – час пішов
Нещодавно експерти BEPS.space вже готували матеріал про європейський Закон про штучний інтелект, в якому розкрито основні його положення, роз’яснено ризикоорієнтований підхід до регулювання ШІ систем, описані різні види ШІ систем, що регулюються Законом, а також здійснено огляд систем штрафних санкцій.
12 липня 2024 Закон нарешті було опубліковано в Офіційному віснику ЄС. Ця новина є гарним приводом для того, щоб ще раз згадати про Закон та дізнатися точні дати, коли окремі його положення почнуть діяти.
Дати, що їх має занотувати бізнес
Регламент (ЄС) 2024/1689 Європейського Парламенту та Ради щодо встановлення гармонізованих правил регулювання штучного інтелекту («Закон про ШІ»/ «Закон») набирає чинності через 20 днів після його офіційного опублікування, тобто, 1 серпня 2024 року. Закон підлягатиме застосуванню у повному обсязі із 2 серпня 2026 року, за певними винятками.
2 лютого 2025 року починають діяти його загальні положення, так само як і визначена Законом заборона ШІ практик із «неприпустимим ризиком».
Крім того, починає діяти зобов’язання операторів та розробників ШІ систем щодо забезпечення належного рівня ШІ грамотності персоналу та інших осіб, які залучені у роботі та використанні ШІ систем від імені таких операторів та розробників.
Починаючи із 2 серпня 2025 року діятимуть норми Закону щодо спеціальних обмежень для моделей ШІ загального призначення (GPAI). При цьому, Статтею 111 визначено перехідний період, протягом якого провайдери GPAI моделей, що були розміщені на ринку до цієї дати, мають вжити заходів для приведення їх у відповідність із нормами Закону. Цей період закінчується 2 серпня 2027 року.
Іншими словами, якщо бізнес має на меті розмістити на європейському ринку GPAI моделі, вони мають це зробити до 2 серпня 2025, тим самим вигравши ще 2 роки на приведення їх у відповідність із нормами Закону. Будь-які GPAI моделі, розміщені після цієї дати, мають відповідати нормам Закону у момент їх розміщення на ринку.
Тільки із 2 серпня 2026 року застосовуватимуться положення щодо ШІ систем з високим ризиком, тобто такі, що стосуються критичної інфраструктури, біометричних даних, освіти, працевлаштування, доступу до істотних приватних та публічних послуг, правоохоронної діяльності, міграції та прикордонного контролю, здійснення правосуддя тощо.
Важливо, що обмеження Закону будуть застосовуватися до операторів ШІ систем з високим ризиком, що розміщені на ринку або суттєво змінені після вказаної дати.
І, нарешті, з 2 серпня 2027 починають діяти обмеження, що стосуються таких ШІ систем з високим ризиком, що використовуються в іграшках, радіо обладнанні, медичних виробах для діагностики in vitro, безпеці цивільної авіації тощо.
Законом для ШІ систем з високим ризиком також передбачені певні перехідні періоди.
Провайдери та розповсюджувачі ШІ систем з високим ризиком, що використовуються органами влади, мають привести такі ШІ системи у відповідність із нормами Закону до 2 серпня 2030 року.
Для ШІ систем, що є компонентом масштабних ІТ-систем у сфері свободи, безпеки та правосуддя, та були розміщені на ринку до 2 серпня 2027 року, перехідний період закінчується 31 грудня 2030 року.
Під такими масштабними ІТ системами розуміють, наприклад, систему EURODAC (база даних відбитків пальців шукачів притулку), Візова Інформаційна Система/VIS, Шенгенська Інформаційна Система/SIS, Митна Інформаційна Система/CIS, Інформаційна Система Внутрішнього Ринку/IMI.
Водночас преамбула (178) до Закону містить рекомендацію провайдерам ШІ систем з високим ризиком на добровільних засадах почати дотримуватися вимог Закону до вказаної дати. З метою добровільного комплаєнсу, Європейська Комісія ще у листопаді 2023 року ініціювала так званий Пакт про штучний інтелект (‘AI Pact’), що має на меті підтримку його добровільних учасників при напрацюванні політик та практик розробки та використання ШІ систем у спосіб, що відповідає Закону.
Дати, що їх має дотриматись регулятор
До 2 листопада 2024 року всі країни-члени ЄС зобов’язані визначити державний орган або установу, що здійснюватиме нагляд або забезпечуватиме виконання зобов’язань, визначених європейським законодавством у сфері захисту основоположних прав та пов’язаних із використанням ШІ систем з високим ризиком.
До 2 травня 2025 року Офіс зі штучного інтелекту (‘AI Office’) має підготувати кодекси усталеної практики щодо застосування моделей ШІ загального призначення та виконання пов’язаних із ними зобов’язань.
Стаття 53 Закону унормовує, що провайдери моделей ШІ загального призначення можуть покладатися на такі кодекси усталеної поведінки з метою доведення виконання ними своїх зобов’язань за Законом.
До 2 серпня 2025 року Європейська Комісія має опублікувати керівництва щодо виконання зобов’язань зі звітування про «серйозні інциденти».
Під «серйозними інцидентами» Закон розуміє несправність ШІ системи, яка прямо чи опосередковано спричинила смерть фізичної особи, чи серйозну шкоду її здоров’ю, або серйозні чи незворотні порушення в управлінні, чи функціонуванні критичної інфраструктури, або порушення законодавства, спрямованого на захист основоположних прав, або серйозну шкоду майну чи навколишньому середовищу.
Відтак, лише після публікації кодексів усталеної практики та керівництв можливо буде говорити про будь-який комплаєнс.
До 2 лютого 2026 року Європейська Комісія має оприлюднити підзаконні акти, що затвердять зразки планів моніторингу після розміщення на ринку, які мають застосовуватися провайдерами ШІ систем з високим ризиком.
Крім того, до зазначеної дати Європейська Комісія зобов’язана надати керівництва із класифікації ШІ систем в якості ШІ систем з високим ризиком.
До 2 серпня 2026 року країни-члени ЄС зобов’язані впровадити положення щодо правил застосування штрафів та інших заходів покарання за порушення норм Закону.
Крім того, станом на вказану дату у кожній країні-члені ЄС має діяти хоча б одна регуляторна «пісочниця» (‘regulatory sandbox’) зі штучного інтелекту, тобто контрольоване середовище, створене уповноваженим органом, в межах якого провайдерам або майбутнім провайдерам інноваційних ШІ систем надаватиметься можливість протягом обмеженого часу та під контролем регулятора розробляти, тренувати, перевіряти та тестувати інноваційні ШІ системи в умовах реального життя.
