Європа регулює штучний інтелект: що потрібно знати компаніям

Нещодавно Рада Європейського Союзу остаточно схвалила прийнятий у ЄС AI Act. Попри неоднозначну реакцію бізнесу, цей закон не покликаний зробити розробку та постачання продуктів штучного інтелекту більш обтяжливими. Мета закону – регуляція «сірих» зон, щоб зробити ринок ШІ більш привабливим для інвесторів і репутаційним для юзерів. На що бізнесу варто звернути увагу та які практики ШІ опинилися під забороною, розповіли Mind Head of Legal Department в Alcor Оксана Петрусь і Legal Adviser, корпоративний юрист компанії Олександр Сняданко.

Читайте також: У ЄС розробили закони для контролю над штучним інтелектом. Як саме відбуватиметься контроль ШІ в Європі

На кого поширюється EU AI Act і кому варто на нього звернути увагу

EU AI Act застосовується як до розробників, постачальників продуктів ШІ в ЄС, так і до користувачів такими продуктами, якщо їх використання впливає на людей із ЄС.

Уявімо, що певна компанія розробила інструмент перевірки кредитної історії європейців за допомогою ШІ. В такому разі EU AI Act поширюватиметься на:

• розробника інструменту, незалежно від того, чи зареєстрований він у ЄС, чи за межами ЄС (навіть якщо мова про open source продукт ШІ);
• користувача (банка), який купує цей інструмент у розробника і якщо серед його клієнтів є люди, які проживають у ЄС.

Крім того, закон поширюється і на продукти, у яких ШІ – не основа продукту, а частина функціоналу (фіча).

Читайте також: Штучний інтелект у лещатах закону: Мінцифри презентувало Білу книгу з регулювання ШІ в України

Коли EU AI Act набере чинності та хто контролюватиме його дотримання

Попри те що закон уже прийнятий і схвалений, більшість регулювань набудуть чинності лише впродовж 24 місяців, а ще частина – через 36 місяців:

• заборони щодо неприйнятних практик ШІ – через 6 місяців;
• правила GPAI (щодо моделей ШІ загального призначення) – через 12 місяців;
• положення про продукти ШІ з категорії «високого ризику» – через 24 місяці;
• положення про окремі продукти ШІ з категорії «високого ризику» – через 36 місяців.

Контроль щодо решти систем ШІ здійснюватиметься локально – кожна держава – член ЄС мусить створити внутрішній спеціальний орган.

Які практики EU AI Act забороняє

На думку ЄС, певні практики ШІ суперечать цінностям Євросоюзу та правам людини, оскільки є особливо шкідливими, експлуатаційними та дискримінаційними. Серед них:

• застосування підсвідомих, маніпулятивних або обманних методів для спотворення поведінки та погіршення прийняття обґрунтованих рішень. Наприклад, коли система ШІ впливає на думку виборців і перешкоджає обґрунтованому прийняттю рішення;
• використання вразливостей людей, пов’язаних із віком, інвалідністю чи соціально-економічними обставинами. Наприклад, коли система ШІ використовується під час рекрутингу для відсіювання кандидатів із певними вразливостями;
• біометрична класифікація людей на основі їх біометричних даних для визначення їх раси, політичних поглядів, членства у профспілках, релігійних чи філософських переконань або сексуальної орієнтації;
• соціальний скоринг для державних і приватних цілей. Наприклад, коли система ШІ аналізує ризики щодо страхування з огляду на соціальну поведінку людини, яка хоче отримати страхування;
• оцінка ризику вчинення особою кримінальних правопорушень виключно на основі профілювання чи особистісних рис;
• нецільове збирання зображень обличчя в інтернеті чи відеоспостереження для створення або розширення баз даних. Наприклад, коли продукт ШІ «модернізує» ваше обличчя на основі зібраних до своєї бази даних зображень облич інших людей з інтернету;
• розпізнавання емоцій на робочому місці та в навчальних закладах, за винятком медичних причин або причин безпеки. Наприклад, коли система ШІ аналізує усмішки персоналу закладу обслуговування клієнтів і зіставляє це з «прибутковістю» такого закладу.

Яке покарання передбачене за порушення EU AI Act

Якщо локальний орган держави – члена ЄС визнає факт порушення компанією вимог EU AI Act, то на цю компанію накладається штраф у таких розмірах:

• порушення вимог щодо заборонених практик ШІ – штраф до 7% світового річного обороту, або 35 млн євро;
• більшість інших порушень (наприклад, невиконання вимог щодо практик із «високим ризиком») – до 3% світового річного обороту, або 15 млн євро;
• надання неправильної інформації органам влади – до 1% світового річного обороту, або 7,5 млн євро.

Яка класифікація систем ШІ за ступенем ризику

EU AI Act класифікує практики ШІ за двома ступенями ризику – високим та низьким.

Важливо: цей список не є вичерпним. У кожному конкретному випадку варто проводити індивідуальну оцінку на предмет віднесення практики ШІ до категорії «високого ризику».

З категорії «високого ризику» також є винятки. Так, система ШІ не підпадатиме під цю категорію, якщо вона призначена для:

• виконання вузько процедурного завдання;
• поліпшення результату попередньо завершеної діяльності людини;
• виявлення моделей ухвалення рішень або відхилень від попередніх моделей ухвалення рішень і не призначена для заміни чи впливу на раніше завершену оцінку людиною без належної перевірки людиною;
• виконання підготовчого завдання до оцінювання, що стосується специфічних випадків використання.

Важливо: система ШІ завжди буде у категорії «високого ризику», якщо вона виконує профілювання людей.

Щодо практик ШІ з низьким ступенем ризику – сюди потраплятимуть більшість сучасних продуктів ШІ. Ключова вимога до них – прозорість.

Практики ШІ з низьким ступенем ризику ШІ поділяються додатково на (1) обмежений та (2) нульовий ризик.
До «обмеженого ризику» належать, наприклад, чат-боти або системи ШІ, які генерують або маніпулюють зображеннями, аудіо- та відеовмістом. Серед вимог до цих практик ШІ:

• інформування юзера про те, що він взаємодіє зі штучним інтелектом – щодо чат-ботів;
• накладення спеціальних позначок ШІ – щодо генерації зображень, аудіо- чи відеоматеріалів;
• щодо практик із «нульовим ризиком» – специфічні вимоги до них відсутні.

Які виклики постануть перед бізнесом

EU AI Act стосується не лише ІТ-компаній із продуктами у сфері ШІ, а й компаній, які не розробляють чи не постачають продукти ШІ на ринок ЄС, але при цьому використовують такі продукти у своїй діяльності.

Попри те що EU AI Act ще не скоро застосовуватиметься повною мірою, компаніям уже слід детально вивчати його вимоги та готувати свої продукти й послуги до відповідності новим стандартам. Це може вимагати перегляду технологічних процесів і практик розробки, а також збільшення уваги до аудиту та звітності. Однак, якщо компанії уже зараз почнуть дотримуватимуться цих вимог, такий підхід може поліпшити їхню конкурентоспроможність у довгостроковій перспективі та допоможе зберегти довіру споживачів.