Текущее состояние и перспективы законодательства об искусственном интеллекте в ЕС: каково влияние на японские компании?

С развитием искусственного интеллекта (AI) и использованием таких AI-инструментов, как ChatGPT в бизнес-процессах, активно развивается бизнес, связанный с AI. В то же время привлекает внимание проблема международного регулирования AI.

В Японии Министерство экономики, торговли и промышленности опубликовало “Руководство по управлению для практического применения принципов AI  Версия 1.1″[ja] (на момент написания статьи). 14 июня 2023 года Европейский парламент принял первый в мире международный “Закон о регулировании AI”, который также привлек большое внимание в Японии.

В данной статье мы представим текущее состояние и перспективы закона о регулировании AI, а также объясним его влияние на японские компании.

Что такое Закон об ИИ (AI Act)?

14 июня 2023 года (Рейва 5) в Европейском парламенте ЕС был принят всеобъемлющий “Проект правил ИИ”, охватывающий использование ИИ в целом. Это первый в мире международный “Закон об ИИ (AI Act)”, состоящий из 85 статей, который является вторичным законодательством ЕС.

В дальнейшем, с целью достижения соглашения в течение 2023 года (Рейва 5), будут проводиться неофициальные переговоры (трилог) между тремя сторонами (Европейской комиссией, Европейским парламентом и Советом Европы), после чего, получив одобрение законодательных органов – Европейского парламента и Совета Европы, закон вступит в силу, предположительно, в 2024 году.

Правовая система Европейского Союза

Правовая система Европейского Союза (ЕС) состоит из трех основных элементов: первичного права (договоры), вторичного права (законодательство Сообщества) и судебной практики.

Вторичное право основывается на первичном праве (договорах) и представляет собой законодательство, которое напрямую или косвенно регулирует действия стран-членов ЕС и известно как право ЕС или производное право.

В общем, существует пять основных типов вторичного законодательства, но “Европейский закон об искусственном интеллекте” относится к категории регламентов (Regulation), что означает, что он представляет собой единые правила, которые напрямую обязательны для всех стран-членов ЕС.

Вторичное законодательство ЕС включает в себя следующие пять типов:

• Регламент (Regulation): имеет обязательную силу для всех стран-членов и, как только он принят, он немедленно становится применимым без необходимости ратификации на национальном уровне и становится частью национальной правовой системы.
• Директива (Directive): обязывает страны-члены достигать определенных целей путем введения нового национального законодательства или изменения существующего.
• Решение (Decision): одна из форм права с юридической обязательностью, которая направлена не на общественность в целом, а на конкретные объекты, такие как отдельные страны-члены, компании или частные лица.
• Рекомендация (Recommendation): Европейская комиссия предлагает правительствам стран-членов, компаниям или частным лицам принять определенные меры или действия. Хотя они не имеют юридической обязательности или принудительной силы, они могут стимулировать законодательные изменения в странах-членах ЕС.
• Мнение (Opinion): также известно как “заключение”, представляет собой выражение мнения Европейской комиссии по определенной теме и не имеет юридической обязательности или принудительной силы.

“Регламент” считается самой строгой формой вторичного законодательства, и, например, GDPR (General Data Protection Regulation) — “Общий регламент по защите данных” является одним из примеров регламентов.

Область применения закона о регулировании ИИ

Закон ЕС о регулировании искусственного интеллекта (ИИ) применяется непосредственно в пределах ЕС, а также имеет юридическую силу в третьих странах, включая торговых партнеров. Регулированию подлежат компании, которые вводят системы и услуги ИИ на европейский рынок, включая разработчиков, деплойеров, поставщиков, импортеров, дистрибьюторов и пользователей ИИ.

Закон о регулировании ИИ устанавливает четкие требования к определенным системам ИИ и обязанности компаний, но также стремится снизить административную и финансовую нагрузку на малые и средние предприятия (SME).

Данный законопроект является частью широкого пакета мер по ИИ, направленного на обеспечение безопасности ИИ и защиту основных прав, а также на усиление работы с ИИ, инвестиций и инноваций в ЕС.

Европейское регулирование должно соответствовать основным принципам Договора о функционировании Европейского союза. Это означает, что в области ИИ также должны быть гарантированы права и свободы в пределах ЕС, для чего необходимы соответствующие меры защиты.

В законопроекте цели регулирования описаны как “способствование использованию ИИ под надежным человеческим контролем и обеспечение защиты здоровья, безопасности, основных прав, демократии и верховенства права, а также окружающей среды от рисков, связанных с ИИ”.

В частности, закон включает следующие “общие принципы, применимые ко всем системам ИИ”:

• Автономия и надзор со стороны человека (human agency and oversight)
• Техническая надежность и безопасность (technical robustness and safety)
• Конфиденциальность и управление данными (privacy and data governance)
• Прозрачность (transparency)
• Разнообразие, недискриминация и справедливость (diversity, non-discrimination and fairness)
• Благополучие общества и окружающей среды (social and environmental well-being)

В законе четко указано, что для достижения принципов ИИ необходимы меры по обеспечению грамотности в области ИИ среди разработчиков, пользователей и поставщиков.

В случае нарушения предусмотрены крупные штрафы, исчисляемые от общего мирового оборота (до 30 миллионов евро, что эквивалентно примерно 47 миллиардам иен, или 6% от общего мирового оборота, в зависимости от того, что выше), что может привести к невозможности вести бизнес в сфере ИИ в пределах ЕС.

Таким образом, компании, включая японские, которые уже работают в сфере ИИ на рынке ЕС, а также те, кто планирует выход на этот рынок в будущем, должны соответствовать новому европейскому регулированию ИИ.

Фон создания закона об регулировании ИИ

Генеративный ИИ является удобным инструментом, но в то же время он несет риски, такие как способствование преступности и угроза демократии. С развитием и распространением технологий ИИ эти проблемы становятся неизбежными задачами.

С 2016 года Европейский союз (ЕС), США и Китай опубликовали руководства и национальные стратегии по ИИ. В частности, ЕС активно работает над созданием регулирования ИИ и больших данных, и с 2017 по 2022 год были разработаны важные руководства, декларации и предложения по регулированию.

Например, в апреле 2016 года был принят «Общий регламент по защите данных (GDPR)», 21 апреля 2021 года был объявлен «Проект закона о регулировании ИИ», а 30 мая 2022 года был принят «Закон о европейском управлении данными (DGA)», который вступил в силу 24 сентября 2023 года.

Эти регулирования направлены на обеспечение безопасного и справедливого использования ИИ и больших данных в обществе, а также на стимулирование инноваций и экономического роста.

ЕС провозгласил цифровую стратегию под названием «Европа, подходящая для цифровой эпохи».

После объявления «Проекта закона о регулировании ИИ», учитывая быстрое развитие и распространение генеративного ИИ, Европейская комиссия 14 июня 2023 года приняла поправки, включающие новые подходы и требования к генеративному ИИ.

Особенности закона о регулировании ИИ

«Закон о регулировании ИИ» основывается на трех ключевых особенностях: «классификация ИИ на основе риска», «требования и обязанности» и «поддержка инноваций».

Данный регламент основан на методологии, известной как «подход, основанный на риске», который классифицирует уровни риска ИИ на четыре категории, и в соответствии с этим применяются регулирующие меры.

Конкретно, как показано в таблице ниже, для четырех типов рисков ИИ установлены запреты, требования и обязанности. Для ИИ с высоким уровнем риска определены конкретные области применения с точки зрения обеспечения безопасности человеческого тела и жизни, защиты права на самоопределение, поддержания демократии и соблюдения надлежащих процедур.

Влияние закона об регулировании ИИ на Японию

Европейский союз (ЕС) занимает пионерскую роль в международном сообществе, вводя регулирование в таких областях, как защита прав человека, защита персональных данных и охрана окружающей среды. Эти меры стали “золотым стандартом” для последующего разработки систем регулирования в других странах.

В Японии изменения в закон о защите персональных данных также были продвинуты с целью унификации децентрализованного регулирования, а также в ответ на необходимость соответствия Европейскому общему регламенту по защите данных (GDPR). Кроме того, существуют законы, такие как “Закон о повышении прозрачности и справедливости определенных цифровых платформ” (вступил в силу 1 февраля 2021 года), которые были разработаны с учетом европейского законодательства.

В настоящее время в Японии не существует жесткого законодательства, регулирующего ИИ, и страна придерживается политики саморегулирования на основе так называемого “мягкого права”.

Как было сказано выше, “Закон об регулировании ИИ” ЕС применяется непосредственно к странам-членам ЕС, а также имеет трансграничное применение для компаний, ведущих бизнес в пределах ЕС, что означает его применение и к компаниям, расположенным за пределами ЕС.

Как будет обсуждено далее, при экспорте продукции ИИ в ЕС может применяться несколько законов, установленных с различных точек зрения, и необходимо принимать соответствующие меры. Японским компаниям следует внимательно следить за развитием ситуации и принимать законные меры реагирования.

Принятие поправок, включая генерирующий ИИ

Закон об регулировании ИИ является законом, к которому были применены поправки от трех сторон ЕС (Совета Европы, Европейского парламента и Европейской комиссии).

11 мая 2023 года комитеты IMCO (Комитет по внутреннему рынку и защите потребителей) и LIBE (Комитет по гражданским свободам, правосудию и внутренним делам) одобрили поправки к Закону об регулировании ИИ.

Эти поправки были приняты Европейским парламентом 14 июня 2023 года.

Отчет включает важные изменения в законодательное предложение, такие как запрет на предсказательное полицейское моделирование, многочисленные добавления к списку автономных ИИ высокого риска, а также сильную и всеобъемлющую роль нового офиса ИИ (EAIB – Европейский комитет по искусственному интеллекту, который заменит существующий орган).

Кроме того, предложено усиление связи с GDPR (Закон о защите данных), увеличение участия заинтересованных сторон в определенных областях, а также введение специальных положений, связанных с генерирующим ИИ и универсальным ИИ.

Затем, 24 октября 2023 года, состоялся четвертый трилог (трехсторонние переговоры) по Закону об регулировании ИИ, где был достигнут значительный прогресс по политически чувствительным вопросам. В частности, было достигнуто предварительное соглашение по спорному механизму фильтрации систем ИИ высокого риска (статья 6).

Также были предоставлены политические рекомендации по будущему направлению в отношении базовых моделей/универсальных систем ИИ, управления, запретов и действий правоохранительных органов, и технические команды были обязаны приступить к разработке конкретных текстовых предложений по вышеупомянутым вопросам.

О регулировании ИИ в соответствующем законодательстве

Закон о регулировании искусственного интеллекта связан с несколькими законами, которые были разработаны с различных точек зрения. Эти три закона были приняты Европейским союзом (ЕС) для защиты личных данных в цифровом пространстве и обеспечения справедливой конкуренции.

DSA (Закон о цифровых услугах)

Закон ЕС о цифровых услугах (DSA – Digital Services Act) – это комплексный набор правил, касающихся электронной коммерции в ЕС, который вступил в силу 16 ноября 2022 года (планируется полное вступление в силу 17 февраля 2024 года).

В ЕС в 2000 году была принята Директива об электронной коммерции, однако из-за эволюции интернета и онлайн-платформ применение этой директивы стало затруднительным, поэтому был введен DSA (Закон о цифровых услугах) в качестве обновленного единого правила ЕС.

Закон был разработан с целью обеспечения надлежащего функционирования посреднических услуг на внутреннем рынке ЕС, защиты основных прав пользователей и поддержания более безопасной цифровой среды. Регулируемые субъекты включают онлайн-посреднические услуги, хостинг-сервисы и онлайн-платформы (включая VLOP и VLOSE).

Это закон, который комплексно регулирует обе стороны – BtoB и BtoC, устанавливая ответственность за незаконный контент и обращение с конфликтами, возникающими в результате такого контента.

В частности, закон требует принятия мер по исключению незаконного контента, товаров и услуг, усиливает защиту основных прав пользователей и требует обеспечения прозрачности и ответственности.

Кроме того, для VLOP (Очень крупных онлайн-платформ) и VLOSE (Очень крупных онлайн-поисковых систем), обслуживающих в среднем более 45 миллионов пользователей в месяц в ЕС, предусмотрены более строгие правила.

Указанные VLOP и VLOSE должны в течение четырех месяцев после уведомления привести свои системы, ресурсы и процессы в соответствие с DSA, внедрить меры по смягчению последствий и создать независимую систему для соблюдения законодательства. После этого необходимо провести аудит и первую годовую оценку рисков, а также представить отчет Европейской комиссии.

DSA (Закон о цифровых услугах) будет полностью применяться с 17 февраля 2024 года, а соблюдение DSA для предприятий, не являющихся VLOP или VLOSE, будет контролироваться Европейской комиссией и органами власти государств-членов.

Государства-члены должны установить независимый орган “Координатор по цифровым услугам” для надзора за соблюдением DSA до 17 февраля 2024 года, которому будут предоставлены полномочия по применению санкций, включая штрафы за нарушение обязательств.

В то же время Европейская комиссия будет напрямую контролировать VLOP и VLOSE и иметь полномочия наложения санкций.

Штрафы за нарушение закона могут достигать до 6% от глобального годового оборота компании за предыдущий год.

Этот закон является частью стратегии ЕС “Европа, готовая к цифровому веку”, и направлен на решение новых проблем и рисков, возникающих в развивающейся цифровой эпохе.

Закон о цифровых рынках (DMA)

Закон Европейского Союза о цифровых рынках (DMA – Digital Markets Act) начнет в основном применяться с 2 мая 2023 года и направлен на создание справедливого и конкурентоспособного цифрового рынка, а также на предотвращение доминирования определенных цифровых платформ на рынке.

Регулированию подлежат назначенные “гейткиперы”, для которых устанавливаются обязательства, а в случае нарушения предусмотрены санкции, включая штрафы до 10% от глобального оборота.

Термин “гейткипер” относится к крупнейшим цифровым платформам, работающим в Европейском Союзе, которые занимают устойчивое положение на рынке в определенных цифровых секторах и соответствуют определенным критериям, таким как количество пользователей, объем продаж и уставной капитал.

Европейская комиссия должна назначить новых гейткиперов до 6 сентября 2023 года, и эти компании получат до шести месяцев (до марта 2024 года) на то, чтобы соответствовать новым обязательствам, предусмотренным Законом о цифровых рынках. В этот раз гейткиперами были назначены шесть компаний: Alphabet, Amazon, Apple, ByteDance, Meta и Microsoft, и 22 их основных платформы и сервиса были определены как объекты регулирования этим законом.

Этот закон направлен на предотвращение злоупотребления рыночной властью крупными цифровыми платформами и на облегчение доступа новых участников на рынок.

GDPR（Общий регламент по защите данных）

GDPR（Общий регламент по защите данных） – это новый “Закон о защите данных” Европейского Союза, который вступил в силу 25 мая 2018 года (2018).

Это правовая рамка, устанавливающая руководящие принципы для сбора и обработки персональных данных от частных лиц как внутри, так и за пределами ЕС. Этот регламент накладывает обязательства на организации, которые либо нацелены на ЕС, либо собирают данные, связанные с людьми внутри ЕС.

Связанные статьи: Как создать политику конфиденциальности, соответствующую GDPR[ja]

Тенденции регулирования ИИ, ожидаемые в будущем

Далее мы рассмотрим системы искусственного интеллекта (ИИ), на которые компаниям следует обратить особое внимание, исходя из вышеупомянутой таблицы классификации рисков ИИ.

Запрет на использование социального кредитного рейтинга

Одной из систем искусственного интеллекта, попадающих под категорию “запрещённые риски” по законодательству ЕС, является система социального кредитного рейтинга (социального скоринга). Согласно поправкам, её использование будет полностью запрещено не только государственными органами, но и во всех сферах.

Система “социального кредитного рейтинга” оценивает граждан на основе их социального статуса и поведения.

В Китае такая система функционирует как инструмент общественного контроля и в рамках государственной политики строится система социального кредитования в четырёх сферах: государственной службе, коммерции, социальной сфере и судопроизводстве.

Конкретные ограничения включают запрет на использование самолётов и скоростных железных дорог, исключение из частных школ, запрет на создание НПО и других организаций, исключение из престижных профессий, запрет на проживание в отелях, снижение скорости интернет-соединения, а также публикацию личной информации на веб-сайтах и в СМИ. В то же время, высокий рейтинг может принести различные “привилегии”.

Однако такая система вызывает опасения по поводу приватности и свободы личности, и вокруг её функционирования продолжаются дискуссии.

Запрет на использование социального кредитного рейтинга в ЕС направлен на обеспечение справедливости и прозрачности в использовании технологий искусственного интеллекта.

Усиление ограничений на генеративный AI

Одной из систем искусственного интеллекта (AI), попадающих под категорию “ограниченный риск” по законодательству ЕС, является генеративный AI.

Генеративный AI (Generative AI) — это вид AI, который создает новый контент или решения на основе обучающих данных, и в последнее время такие системы, как Chat GPT, привлекают значительное внимание. Однако у генеративного AI есть ряд проблем, из-за которых необходимо введение регулирования.

В законодательстве о регулировании AI, учитывая быстрое развитие и распространение генеративного AI, добавлены новые подходы и требования, касающиеся этого типа систем.

В частности, вендорам генеративного AI, включая компанию OpenAI, предписывается раскрывать данные об авторских правах, использованные для обучения LLM (Large Language Models — больших языковых моделей).

Цель этого — обеспечение прозрачности генеративного AI и усиление регулирования управления рисками.

В законодательстве ЕС, начиная с GDPR (Закона о защите данных), традиционно уделяется большое внимание принципу “прозрачности” (Transparency), предписывая заранее информировать заинтересованных лиц о защитных мерах и целях использования AI, и этот принцип стал международным “золотым стандартом”.

Ограничения на использование AI для распознавания эмоций

AI для распознавания эмоций, который соответствует категории “ограниченный риск” по законодательству ЕС, также подлежит обязательствам по обеспечению прозрачности, включая предварительное уведомление о использовании AI и другие ограниченные обязательства.

Под “AI для распознавания эмоций” понимается искусственный интеллект, способный распознавать изменения в человеческих эмоциях.

Конкретно существуют следующие четыре типа таких систем, которые анализируют эмоции, такие как радость, гнев, печаль и интерес, через микрофоны, камеры и сенсоры:

• AI для распознавания эмоций в тексте: анализирует эмоции на основе текста, введённого человеком, или информации, полученной путём преобразования аудиоданных в текст.
• AI для распознавания эмоций в речи: анализирует эмоции на основе голоса человека.
• AI для распознавания эмоций по выражению лица: считывает эмоции через камеру, анализируя выражения лица.
• AI для распознавания эмоций по биометрическим данным: распознаёт эмоции на основе биометрических данных, таких как мозговые волны или пульс.

Эти технологии уже используются в различных сферах, включая обслуживание клиентов, колл-центры и продажи. С дальнейшим развитием технологий ожидается их применение и в медицинской сфере.

Однако необходимо обеспечить защиту конфиденциальности на основе биометрических данных и личной информации, а также разработать соответствующее законодательство.

Итог: текущее состояние и перспективы регулирования ИИ

Выше было рассмотрено текущее состояние и перспективы регулирования искусственного интеллекта (ИИ) в ЕС, а также его влияние на японские компании. Законодательство ЕС по регулированию ИИ имеет все шансы стать международным “золотым стандартом”.

Для японских компаний, планирующих выход на рынок ЕС, будет важно внимательно следить за развитием законодательства о регулировании ИИ. Мы рекомендуем проконсультироваться с юристами, специализирующимися на международном праве и технологиях ИИ, относительно регулирования ИИ в ЕС.

Информация о мерах, предпринимаемых нашей юридической фирмой

Юридическая фирма “Монолит” обладает обширным опытом в области IT, особенно в интернете и праве. Бизнес, связанный с искусственным интеллектом (AI), сопряжен с множеством юридических рисков, и поддержка адвокатов, специализирующихся на правовых вопросах AI, является необходимой. Наша фирма предоставляет высококвалифицированную юридическую поддержку для бизнеса, связанного с AI, включая ChatGPT, с помощью команды адвокатов, знакомых с AI, и инженеров. Мы предлагаем создание контрактов, проверку законности бизнес-моделей, защиту интеллектуальной собственности, решения в области конфиденциальности и многое другое. Подробности вы найдете в статье ниже.

Сферы деятельности юридической фирмы “Монолит”: Юридические услуги в области AI (включая ChatGPT и прочее)[ja]