Який поточний стан та перспективи законодавства про штучний інтелект в ЄС? Аналіз впливу на японські компанії

З розвитком штучного інтелекту (AI) та використанням інструментів AI, таких як ChatGPT, у бізнес-процесах, активізувалася діяльність, пов’язана з AI. Водночас зростає увага до міжнародного регулювання AI.

У Японії Міністерство економіки, торгівлі та промисловості опублікувало “Гайдлайни управління для практики принципів AI версія 1.1″[ja] (на момент написання). 14 червня 2023 року (2023) Європейський парламент ухвалив перший у світі міжнародний “Закон про регулювання AI”, який також привернув увагу в Японії.

У цій статті ми представимо поточний стан та перспективи закону про регулювання AI, а також пояснимо його вплив на японські компанії.

Що таке Закон про регулювання штучного інтелекту (AI Act)?

14 червня 2023 року (2023年6月14日) було прийнято всеосяжний “Проект правил AI”, який стосується використання штучного інтелекту в цілому, в Європейському парламенті ЄС. Це перший у світі міжнародний “Закон про регулювання штучного інтелекту (AI Act)”, який складається з 85 статей і є уніфікованим правилом (другорядним законодавством) ЄС.

Надалі, з метою досягнення угоди протягом 2023 року, відбудуться неофіційні тристоронні переговори (трилог) між трьома сторонами (Європейською комісією, Європейським парламентом та Радою Європи). Після отримання схвалення від законодавчих органів – Європейського парламенту та Ради Європи, закон набуде чинності та планується до впровадження вже у 2024 році.

Правова система ЄС

Правова система ЄС складається з трьох основних елементів: первинне право (договори), вторинне право (спільнотське законодавство) та судова практика.

Вторинне право базується на первинному праві (договорах) і складається з нормативних актів, які безпосередньо чи опосередковано регулюють діяльність країн-членів ЄС, і відомі як право ЄС або похідне право.

Загалом існує п’ять основних видів вторинного права, але “Японський закон про регулювання ШІ в ЄС” відноситься до категорії регламентів (Regulation), які створюють єдині правила, що безпосередньо зобов’язують усі країни-члени ЄС.

До вторинного права ЄС належать наступні п’ять видів:

• Регламент (Regulation): має обов’язкову силу для всіх країн-членів і, будучи прийнятим, набуває прямої дії (становиться частиною національного законодавства без необхідності ратифікації).
• Директива (Directive): зобов’язує країни-члени досягти певних цілей шляхом введення нового законодавства або зміни існуючого на національному рівні.
• Рішення (Decision): одна з форм права з юридичною обов’язковістю, яка стосується не загальних, а конкретних об’єктів, таких як певні країни-члени, компанії або особи.
• Рекомендація (Recommendation): Європейська комісія радить урядам країн-членів, компаніям або особам вжити певних заходів. Хоча рекомендації не мають юридичної обов’язковості чи примусової сили, вони можуть спонукати до законодавчих змін у країнах ЄС.
• Думка (Opinion): Іноді називається “висновок”, це вираження позиції Європейської комісії щодо конкретної теми, яке не має юридичної обов’язковості чи примусової сили.

“Регламент” вважається найбільш обов’язковим серед видів вторинного права, наприклад, GDPR (General Data Protection Regulation) — “Японський Загальний регламент захисту даних” є одним з прикладів регламенту.

Сфера застосування Японського закону про регулювання ШІ

Європейський “Закон про регулювання штучного інтелекту” (ШІ) застосовується безпосередньо в межах ЄС, а також має позатериторіальну дію та юридичну силу щодо третіх країн, які є торговими партнерами. Регулюванню підлягають суб’єкти, які вводять системи та послуги ШІ на європейський ринок, включаючи розробників, розгортальників, провайдерів, імпортерів, дистриб’юторів та користувачів ШІ.

Закон про регулювання ШІ встановлює чіткі вимоги до певних систем ШІ та обов’язки суб’єктів, але також прагне зменшити адміністративне та фінансове навантаження на малі та середні підприємства (МСП).

Цей законопроект є частиною широкого пакету ШІ, який має на меті забезпечення безпеки ШІ та основних прав, а також посилення зусиль, інвестицій та інновацій у сфері ШІ по всьому ЄС.

Європейське регулювання повинно відповідати основним принципам Договору про Європейський Союз. Це означає, що навіть у сфері технологій ШІ, права людини та свободи в ЄС повинні бути захищені, і для цього необхідні заходи безпеки.

У законопроекті пояснюється, що метою регулювання є “забезпечення використання надійного ШІ під людським наглядом, а також захист здоров’я, безпеки, основних прав, демократії та верховенства права, навколишнього середовища від ризиків, пов’язаних з ШІ”.

Конкретно, закон включає наступні “загальні принципи, які застосовуються до всіх систем ШІ”:

• Автономія людини та нагляд (human agency and oversight)
• Технічна надійність (technical robustness and safety)
• Приватність та управління даними (privacy and data governance)
• Прозорість (transparency)
• Різноманітність, недискримінація та справедливість (diversity, non-discrimination and fairness)
• Соціальне та екологічне благополуччя (social and environmental well-being)

У законі чітко вказано, що для досягнення принципів ШІ необхідні заходи для забезпечення грамотності в області ШІ серед розробників, користувачів та провайдерів.

У разі порушення передбачені значні штрафи, розраховані на основі глобального обороту (до 30 мільйонів євро, що приблизно дорівнює 47 мільярдам єн або 6% від глобального обороту, залежно від того, що більше), що може призвести до неможливості ведення бізнесу в сфері ШІ в ЄС.

Таким чином, компанії, включаючи японські, які вже працюють в сфері ШІ на ринку ЄС або планують вихід на цей ринок у майбутньому, повинні забезпечити відповідність своєї діяльності новому європейському регулюванню ШІ.

Контекст створення закону про регулювання ШІ

Штучний інтелект (ШІ) є зручним інструментом, але водночас несе ризики сприяння злочинності та загрози демократії. З розвитком та поширенням технологій ШІ ці проблеми стають неминучими викликами.

Починаючи з 2016 року, Європейський Союз (ЄС), Сполучені Штати та Китай опублікували рекомендації та національні стратегії щодо ШІ. Зокрема, ЄС активно працює над розробкою регулювань ШІ та великих даних, і з 2017 по 2022 рік було створено важливі рекомендації, декларації та проекти регулювань.

Наприклад, у квітні 2016 року було прийнято “Загальне регулювання захисту даних (GDPR)”, 21 квітня 2021 року було оголошено “Проект закону про регулювання ШІ”, а 30 травня 2022 року було прийнято “Закон про управління даними ЄС (DGA)”, який набув чинності 24 вересня 2023 року.

Ці регулювання мають на меті забезпечити безпечне та справедливе використання ШІ та великих даних у всьому суспільстві, а також стимулювати інновації та економічне зростання.

ЄС проголосив свою цифрову стратегію як “Європа, готова до цифрової епохи”.

Після оголошення “Проекту закону про регулювання ШІ”, враховуючи швидкий розвиток та поширення генеративного ШІ, Європейська комісія 14 червня 2023 року прийняла змінений проект, який включає нові підходи та вимоги до генеративного ШІ.

Особливості Закону про регулювання ШІ

«Закон про регулювання ШІ» базується на трьох ключових особливостях: «класифікація ШІ на основі ризиків», «вимоги та обов’язки» та «підтримка інновацій».

Це регулювання використовує методологію, відому як «підхід на основі ризиків», яка категоризує рівні ризику ШІ у чотири групи, до кожної з яких застосовуються відповідні регулятивні заходи.

Конкретно, як показано в таблиці нижче, для чотирьох рівнів ризику ШІ систем встановлені заборонені дії, вимоги та обов’язки. ШІ високого ризику регулюються з метою забезпечення безпеки людського тіла та життя, гарантування права на самовизначення, збереження демократії та справедливих процедур.

Вплив японського закону про регулювання ШІ на Японію

ЄС впровадив регулювання у таких сферах, як захист прав людини, охорона особистих даних та збереження довкілля, і став міжнародним піонером у цьому напрямку, встановивши “золотий стандарт” для подальшого розроблення систем у різних країнах.

Реформа японського закону про захист особистих даних також була спрямована на уніфікацію децентралізованого регулювання, а відповідність GDPR (Загальному регламенту про захист даних ЄС) стала великим викликом, що спонукало до її просування. Крім того, існують законодавчі регулювання, які були розроблені з урахуванням європейських правових норм, наприклад, закон про підвищення прозорості та справедливості певних цифрових платформ, який набув чинності 1 лютого (2021 року).

Наразі в Японії не існує жорсткого законодавчого регулювання ШІ, і політика країни полягає у відповіді на це за допомогою саморегулювання на основі так званих м’яких законів.

Як вже зазначалося, “закон про регулювання ШІ” ЄС має пряме застосування до країн-членів ЄС, а також має транскордонне застосування до компаній, які ведуть бізнес у межах ЄС, і тому він стосується також і підприємств, розташованих за межами ЄС.

Як буде описано нижче, при вивезенні продуктів ШІ в ЄС може застосовуватися кілька законів, визначених з різних точок зору, і необхідно вжити заходів для відповідності цим законам. Японським компаніям слід уважно стежити за подальшими тенденціями та розробляти відповідні заходи для дотримання законодавства.

Прийняття поправок, що включають генеративний AI

Закон про регулювання AI є законом, до якого застосовані поправки, узгоджені трьома сторонами ЄС (Європейською Радою, Європейським Парламентом та Європейською Комісією).

11 травня 2023 року, Комітет з питань внутрішнього ринку та захисту споживачів (IMCO) та Комітет з питань громадянських свобод, юстиції та внутрішніх справ (LIBE) схвалили поправки до Закону про регулювання AI.

Ці поправки були прийняті Європейським Парламентом 14 червня 2023 року.

У цьому звіті містяться важливі зміни до законодавчої пропозиції, зокрема заборона прогностичної поліцейської діяльності, численні доповнення до списку AI, які класифікуються як високоризикові, та сильна та всеосяжна роль нового офісу AI (EAIB, який замінює Європейську комісію з питань штучного інтелекту).

Крім того, пропонується тісніша співпраця з GDPR (Законом про захист даних), збільшення залучення стейкхолдерів у певних сферах, а також введення конкретних положень, пов’язаних з генеративним AI та універсальним AI.

Після цього, 24 жовтня 2023 року, відбулася четверта тріалогова зустріч щодо Закону про регулювання AI, де було досягнуто значного прогресу щодо політично чутливих питань. Зокрема, було досягнуто тимчасової угоди щодо механізму фільтрації систем високоризикового AI (стаття 6).

Також було надано політичні настанови щодо базових моделей/універсальних систем AI, управління, заборон, та майбутнього напрямку щодо правоохоронних органів, і технічні команди були зобов’язані працювати над конкретними текстовими пропозиціями щодо вищезазначених питань.

Про регулювання штучного інтелекту відповідно до пов’язаних законів

Закон про регулювання штучного інтелекту (AI) включає в себе кілька законів, які були встановлені з різних точок зору. Ці три закони були прийняті Європейським Союзом (ЄС) з метою захисту персональних даних у цифровому просторі та забезпечення справедливої конкуренції.

DSA (Закон про цифрові послуги)

Закон ЄС про цифрові послуги (DSA – Digital Services Act) – це комплексний нормативний акт, що стосується електронної комерції в ЄС, який набув чинності 16 листопада 2022 року (повне введення в дію заплановане на 17 лютого 2024 року).

У ЄС з 2000 року діє Директива про електронну комерцію, але через еволюцію Інтернету та онлайн-платформ стало складно застосовувати її до сучасного цифрового середовища, тому було прийнято рішення про внесення змін до цієї директиви шляхом впровадження єдиних правил ЄС – DSA (Закон про цифрові послуги).

Метою DSA є забезпечення належного функціонування посередницьких послуг на внутрішньому ринку ЄС, захист основних прав користувачів та підтримка безпечного цифрового середовища. Регулюванню підлягають такі суб’єкти, як онлайн-посередницькі послуги, хостинг-сервіси та онлайн-платформи (включаючи VLOP та VLOSE).

Цей закон встановлює відповідальність за незаконний контент, опублікований на платформах, та регулює обробку суперечок, охоплюючи як відносини між бізнесами (BtoB), так і відносини між бізнесами та споживачами (BtoC).

Конкретно, закон зобов’язує вживати заходів щодо видалення незаконного контенту, товарів та послуг, посилює захист основних прав користувачів, а також вимагає забезпечення прозорості та відповідальності.

Крім того, для VLOP (Дуже Великих Онлайн Платформ) та VLOSE (Дуже Великих Онлайн Пошукових Систем), які мають середню кількість користувачів у ЄС понад 45 мільйонів на місяць, передбачені більш суворі правила.

Визначені VLOP та VLOSE мають протягом чотирьох місяців після отримання повідомлення адаптувати свої системи, ресурси та процеси до вимог DSA, впровадити заходи пом’якшення та створити незалежні системи для дотримання законодавства. Після цього вони повинні провести аудит та першу щорічну оцінку ризиків та звітувати про це Європейській Комісії.

Закон про цифрові послуги (DSA) буде повністю застосовуватися з 17 лютого 2024 року, а виконання вимог DSA для інших суб’єктів буде моніторитися Європейською Комісією та органами держав-членів.

Держави-члени повинні до 17 лютого 2024 року створити незалежних «координаторів цифрових послуг», які будуть наглядати за дотриманням DSA, та наділити їх повноваженнями виконувати санкції, включаючи штрафи за порушення обов’язків.

У той же час Європейська Комісія буде безпосередньо наглядати за VLOP та VLOSE та мати повноваження виконувати санкції.

У разі порушення закону штраф може складати до 6% від загального світового річного обороту підприємства за попередній рік.

Цей закон є частиною стратегії ЄС «Європа, готова до цифрової епохи», і призначений для вирішення нових викликів та ризиків, що виникають у постійно еволюціонуючому цифровому віці.

DMA (Закон про цифрові ринки)

Закон ЄС “Закон про цифрові ринки” (DMA – Digital Markets Act), який набуде чинності з 2 травня 2023 року, має на меті забезпечити справедливість та конкурентоспроможність цифрового ринку та запобігти домінуванню певних цифрових платформ на ринку.

Регулюванню підлягають визначені “гейткіпери”, для яких встановлені обов’язки, а у разі порушення передбачені санкції, такі як штрафи, що не перевищують 10% від загального світового обороту.

“Гейткіперами” називають найбільші цифрові платформи, що діють у межах Європейського Союзу, які займають стійке положення на ринку в певних цифрових секторах та відповідають певним критеріям, таким як кількість користувачів, оборот, статутний капітал тощо.

Європейська комісія має намір до 6 вересня 2023 року визначити нових “гейткіперів”, яким буде надано максимум шість місяців (до березня 2024 року) на виконання нових обов’язків, передбачених Законом про цифрові ринки. Серед визначених “гейткіперів” знаходяться такі компанії, як Alphabet, Amazon, Apple, ByteDance, Meta та Microsoft, і 22 основні платформи та сервіси, які вони надають, були визначені як об’єкти регулювання цим законом.

Цей закон спрямований на запобігання зловживанню ринковою владою великими цифровими платформами та полегшення входу на ринок новим учасникам.

GDPR (Загальний регламент захисту даних)

GDPR (Загальний регламент захисту даних) — це новий “Закон про захист даних” ЄС, який набрав чинності 25 травня 2018 року (2018).

Це правова рамка, яка встановлює вказівки щодо збору та обробки персональних даних від осіб як всередині, так і за межами ЄС. Цей регламент накладає обов’язки на організації, які працюють на території ЄС, або збирають дані, пов’язані з людьми в ЄС.

Пов’язана стаття: Основні моменти створення політики конфіденційності, що відповідає GDPR[ja]

Тенденції регулювання штучного інтелекту, які очікуються в майбутньому

Далі ми розглянемо системи штучного інтелекту, на які компаніям слід звернути особливу увагу, виходячи з вищезгаданої таблиці класифікації ризиків AI.

Заборона використання соціального кредитного рейтингу

Однією з систем штучного інтелекту, яка підпадає під “ризики, що забороняються” за законодавством ЄС, є соціальний кредитний рейтинг (соціальний кредитний бал). Згідно зі змінами, його використання буде заборонено не тільки для державних установ, але й у цілому.

Соціальний кредитний рейтинг – це система, яка оцінює громадян на основі їхнього соціального статусу та поведінки.

У Китаї така система функціонує як інструмент суспільного нагляду та є частиною державної політики, яка включає створення системи соціального кредитування у чотирьох сферах: державні послуги, комерція, суспільство та юстиція.

До конкретних обмежень належать заборона на користування літаками та швидкісними залізницями, виключення з приватних шкіл, заборона на створення організацій, таких як НПО, виключення з престижних робіт, відмова від готелів, зниження швидкості інтернет-з’єднання, публікація особистої інформації на вебсайтах та в медіа. З іншого боку, високий рейтинг може принести різноманітні “привілеї”.

Проте така система викликає занепокоєння щодо приватності та свободи особистості, і дискусії щодо її використання тривають.

Заборона використання соціального кредитного рейтингу в ЄС має на меті забезпечити справедливість та прозорість використання технологій штучного інтелекту.

Посилення обмежень на генеративний AI

Однією з систем штучного інтелекту (AI), яка відповідає категорії “обмежений ризик” за законодавством ЄС, є генеративний AI.

Генеративний AI (Generative AI) – це вид AI, який створює новий контент або рішення на основі навчальних даних, і який, як наприклад Chat GPT, здобуває все більшу увагу в останні роки. Однак, у генеративного AI є різноманітні виклики, і саме тому потрібне регулювання.

У законодавстві ЄС про регулювання AI, враховуючи швидкий розвиток і поширення генеративного AI, додано нові підходи та вимоги, що стосуються цього виду AI.

Конкретно, це означає, що вендорам генеративного AI, включаючи компанію OpenAI, накладаються обов’язки, такі як розкриття даних про авторське право, які використовувалися для навчання LLM (Large Language Models – великих мовних моделей).

Метою цього є забезпечення прозорості генеративного AI та посилення регулювання управління ризиками.

У законодавстві ЄС, починаючи з GDPR (Закону про захист даних), традиційно приділяється велика увага принципу “прозорості” (Transparency), зобов’язуючи до попереднього розкриття заходів захисту та цілей використання AI стосовно осіб, на яких це впливає, і цей принцип став міжнародним “золотим стандартом”.

Обмеження використання AI для розпізнавання емоцій

AI для розпізнавання емоцій, який відповідає “обмеженому ризику” за законодавством ЄС, також є системою AI, до якої застосовуються обов’язки щодо прозорості, включаючи обмежені обов’язки, такі як попереднє повідомлення про використання AI.

“AI для розпізнавання емоцій” – це штучний інтелект, який може розпізнавати зміни в людських емоціях.

Конкретно існує чотири типи таких систем, які через мікрофони, камери та сенсори аналізують емоції, такі як радість, гнів, смуток, задоволення та рівень зацікавленості:

• AI для розпізнавання емоцій у тексті: аналізує емоції на основі тексту, введеного людиною, або інформації, отриманої шляхом перетворення аудіоданих у текст.
• AI для розпізнавання емоцій у голосі: аналізує емоції на основі голосу, що видається людиною.
• AI для розпізнавання емоцій за виразом обличчя: читає емоції через камеру на основі виразів обличчя.
• AI для розпізнавання емоцій за біометричними даними: розпізнає емоції на основі біометричних даних, таких як мозкові хвилі або пульс.

Ці технології вже застосовуються у різних сферах, включаючи сферу обслуговування, кол-центри, продажі та інше. З подальшим розвитком технологій очікується їх використання і в медичній галузі.

Однак, необхідно забезпечити захист приватності, пов’язаний з біометричними даними та отриманою особистою інформацією, а також розробку відповідного законодавства.

Підсумок: Сучасний стан та перспективи законодавства про регулювання ШІ

Вище було розглянуто сучасний стан та перспективи “Закону про регулювання штучного інтелекту” ЄС, а також його вплив на японські компанії. “Закон про регулювання ШІ ЄС” має всі шанси стати міжнародним “золотим стандартом”.

Для японських компаній, які планують вихід на ринок ЄС, буде важливо уважно стежити за розвитком цього законодавства про ШІ. Щодо регулювання ШІ в ЄС, ми рекомендуємо звертатися за консультацією до адвокатів, які спеціалізуються на міжнародному праві та технологіях штучного інтелекту.

Заходи, що пропонує наша юридична фірма

Юридична фірма “Моноліт” має багатий досвід у сфері ІТ, зокрема у питаннях, що стосуються інтернету та права. Бізнес, пов’язаний з штучним інтелектом, супроводжується численними юридичними ризиками, тому підтримка адвокатів, які спеціалізуються на правових аспектах AI, є надзвичайно важливою. Наша фірма надає висококваліфіковану юридичну підтримку для бізнесу, пов’язаного з AI, включаючи ChatGPT, за допомогою команди адвокатів, обізнаних з AI, та інженерів. Ми пропонуємо створення договорів, оцінку законності бізнес-моделей, захист інтелектуальної власності, а також вирішення питань, пов’язаних з приватністю. Детальніше про це читайте у наведеній нижче статті.

Сфери діяльності юридичної фірми “Моноліт”: Юридичні послуги з питань AI (включаючи ChatGPT тощо)[ja]