Європейське законодавство про регулювання штучного інтелекту та необхідні заходи для японських компаній
12 липня 2024 року (令和6年) в ЄС було опубліковано “Закон про регулювання ШІ (EU AI Act)”, який набрав чинності з 1 серпня того ж року.
Цей закон регулює використання та надання систем штучного інтелекту в межах ЄС і, починаючи з 2025 року, вимагатиме певних заходів від японських компаній.
Конкретно, подібно до випадків, коли оператори електронної комерції в Японії мають дотримуватися “Загального регламенту захисту даних (GDPR)” ЄС, японські компанії, які надають продукти чи послуги, пов’язані з ШІ, для клієнтів у ЄС, також можуть підпадати під дію Закону про регулювання ШІ ЄС.
Тут ми розглянемо, які вимоги до класифікації ризиків систем ШІ та оцінки відповідності, серед іншого, ставляться перед відповідними бізнесами у зв’язку з впровадженням цього закону.
Передумова: Різниця між “регуляціями” та “директивами” у ЄС
Перед тим як перейти до роз’яснення самого закону про регулювання ШІ, необхідно зрозуміти різницю між “регуляціями” та “директивами” у праві ЄС.
Спочатку, “регуляції” є законодавчими актами, які застосовуються безпосередньо до країн-членів ЄС, компаній та інших суб’єктів у межах ЄС. Це означає, що вони мають пріоритет над національним законодавством країн-членів і забезпечують застосування уніфікованих правил на всій території ЄС. Таким чином, коли регуляція набуває чинності, у країнах-членах ЄС застосовуються однакові регулятивні положення.
З іншого боку, “директиви” є законодавчими актами, які мають на меті координацію та уніфікацію регулятивного змісту між країнами-членами ЄС. Однак, директиви не застосовуються безпосередньо до країн-членів, і кожна країна повинна впровадити зміст директиви у своє національне законодавство. Зазвичай, країни мають внести відповідні законодавчі зміни протягом трьох років після публікації директиви в офіційному журналі ЄС.
Особливістю “директив” є те, що при їх перетворенні на національне законодавство країнам-членам надається певний ступінь дискреційного права, тому законодавство кожної країни може мати відмінності. Це означає, що законодавство, засноване на “директивах”, не є повністю уніфікованим у межах ЄС, і можливі невеликі відмінності в кожній країні.
На основі цього розрізнення, закон про регулювання ШІ був прийнятий як “регуляція”. Це означає, що закон про регулювання ШІ застосовується безпосередньо до суб’єктів господарювання, розташованих у межах ЄС.
Пов’язана стаття: Маєте намір розширити бізнес в Європі? Основні моменти щодо права та правової системи ЄС[ja]
Регулювання штучного інтелекту та його застосування за межами території
Що таке застосування за межами території
Термін «застосування за межами території» означає, що закон, прийнятий в одній країні, може застосовуватися до дій, що відбуваються поза межами її суверенної території. Підставою для такого застосування є глобалізація економіки та інтернаціоналізація бізнесу, метою якого є забезпечення справедливості та належності світової економічної діяльності.
Одним із прикладів, який сприяв широкому визнанню цього поняття, є GDPR (Загальний регламент захисту даних ЄС). Згідно з GDPR, навіть компанії, які не мають бази в ЄС, можуть підпадати під його дію (застосування за межами території), якщо вони відповідають наступним критеріям:
- Надання послуг або товарів особам у межах ЄС
- Обробка персональних даних з метою моніторингу поведінки осіб, які перебувають у межах ЄС
Наприклад, у випадку, коли компанія з-за меж ЄС відряджає своїх працівників до ЄС та обробляє їхні персональні дані під час цього відрядження, у 2020 році в гайдлайнах було зазначено, що це «не підпадає під дію», хоча спочатку цей випадок обговорювався як можливе застосування за межами території.
Застосування за межами території в законодавстві ЄС про штучний інтелект
У законодавстві ЄС про штучний інтелект також передбачено застосування за межами території до компаній, які знаходяться за межами ЄС. До цього застосовуються наступні суб’єкти та діяльності:
- Постачальники (Providers): особи, які розробляють системи штучного інтелекту або моделі GPAI, виводять їх на ринок або запускають системи штучного інтелекту під власною назвою чи торговою маркою
- Користувачі (Users): особи, які використовують системи штучного інтелекту під своєю відповідальністю (за винятком випадків особистого та непрофесійного використання)
- Імпортери (Importers): імпортери, які знаходяться або зареєстровані в ЄС, вводять на ринок ЄС системи штучного інтелекту з назвою або торговою маркою осіб, що знаходяться за межами ЄС
- Дистриб’ютори (Distributers): фізичні або юридичні особи, які не є постачальниками чи імпортерами, але належать до ланцюга постачання, що забезпечує системи штучного інтелекту на ринку ЄС
Таким чином, навіть якщо компанія знаходиться за межами ЄС, але здійснює діяльність, пов’язану з наданням, використанням, імпортом або експлуатацією систем штучного інтелекту чи моделей GPAI в межах ЄС, на неї буде поширюватися законодавство ЄС про штучний інтелект.
Особливості законодавства ЄС про штучний інтелект: підхід, заснований на ризиках
Що таке підхід на основі ризику
Однією з ключових особливостей законодавства ЄС про штучний інтелект є “регулювання відповідно до змісту та ступеня ризику” (підхід на основі ризику).
Підхід на основі ризику передбачає регулювання інтенсивності в залежності від змісту та ступеня ризику. За цим підходом, серйозність ризиків, які можуть виникнути від систем штучного інтелекту, визначає строгість регулювання, яке застосовується до цих систем.
Конкретно, до систем штучного інтелекту з високим рівнем ризику застосовуються більш суворі регуляції, тоді як системи з низьким рівнем ризику підлягають відносно м’якшому регулюванню. Це дозволяє уникнути надмірного регулювання систем з низьким рівнем ризику та забезпечити належний нагляд та управління для систем з високим рівнем ризику.
Системи штучного інтелекту з неприпустимими ризиками в Японії
Перш за все, системи штучного інтелекту (AI), які вважаються неприпустимими через ризик, зазвичай заборонені, оскільки вони вважаються загрозою для людей.
Наприклад, до таких систем належать AI, які маніпулюють сприйняттям та поведінкою певних вразливих груп користувачів, як іграшки з голосовим управлінням, що спонукають до небезпечних дій дітей. Також заборонено соціальне скорингування, яке класифікує людей на основі їхньої поведінки, соціально-економічного статусу чи особистих характеристик. Крім того, принципово заборонені системи “реального часу та дистанційного біометричного розпізнавання”, які використовують технології розпізнавання обличчя для порівняння біометричних даних людини з базою даних для ідентифікації особи на відстані.
Однак існують винятки, коли використання цих систем дозволяється. Зокрема, системи дистанційного біометричного розпізнавання в реальному часі можуть використовуватися лише у випадку обмеженої кількості серйозних інцидентів. У свою чергу, системи дистанційного біометричного розпізнавання після події можуть бути дозволені лише з дозволу суду для притягнення до відповідальності за серйозні злочини.
Додатково, існують виняткові обставини, за яких можливе використання таких систем, наприклад, для пошуку зниклих дітей або потенційних жертв злочинів, запобігання конкретним і невідкладним загрозам безпеці життя та здоров’я людей або терористичним атакам, а також для виявлення та визначення місцезнаходження злочинців або підозрюваних у вчиненні серйозних злочинів. Для цих винятків встановлені строгі обмеження, які передбачають принцип попереднього дозволу суду, що вимагає обережного використання AI систем.
Системи штучного інтелекту з високим ризиком в Японії
Системи штучного інтелекту (AI), які класифікуються як високоризикові, можуть мати негативний вплив на безпеку та основні людські права. Використання таких систем дозволяється за умови виконання відповідних вимог та обов’язків (оцінка відповідності).
Системи AI з високим ризиком поділяються на дві основні категорії. Перша категорія включає AI системи, що використовуються у продукції, яка підпадає під законодавство ЄС про безпеку продукції, до якої належать іграшки, авіаційна техніка, автомобілі, медичні прилади, ліфти тощо. Друга категорія охоплює AI системи, реєстрація яких у базі даних ЄС є обов’язковою, і вони використовуються у специфічних сферах. До цих сфер належать управління та експлуатація критично важливої інфраструктури, освіта та професійне навчання, управління працівниками та зайнятість, доступ до незамінних громадських послуг та переваг, правоохоронна діяльність, імміграція та притулок, управління кордонами, підтримка у тлумаченні та застосуванні закону.
Системи AI з високим ризиком вимагають оцінки перед введенням на ринок та протягом всього життєвого циклу. Крім того, визначені національні органи надають право подавати скарги щодо систем AI.
Говорячи загалом, до систем AI з високим ризиком належать машини та транспортні засоби, які передбачають забезпечення безпеки життя та здоров’я людей. Наприклад, AI для автономного водіння також може підпадати під цю категорію, тому японські компанії, які розробляють AI для автономного водіння та планують його використання за кордоном, повинні ретельно перевіряти відповідність вимогам високоризикових AI систем та відповідно реагувати на них.
Системи штучного інтелекту з обмеженим ризиком в Японії
Щодо систем штучного інтелекту (AI) з обмеженим ризиком, вони передбачають ризики, пов’язані з прозорістю, а також ризики підробки, маніпуляції та шахрайства. Конкретно це стосується чат-ботів, діпфейків та генеративного AI, які, за думкою Європейського парламенту, становлять більшу частину AI систем, що використовуються на сьогодні. Наприклад, до цієї категорії відносяться системи автоматичного перекладу, ігрові консолі, роботи, що виконують повторювальні виробничі процеси, а також AI системи на кшталт “Еврека-машини”.
Що стосується генеративного AI, то він не класифікується як високоризиковий, але вимагає дотримання вимог прозорості та відповідності до законодавства ЄС про авторське право. Конкретно, необхідно здійснити наступні заходи:
- Чітко розкривати, що контент був створений за допомогою AI.
- Проектувати моделі таким чином, щоб уникнути створення незаконного контенту.
- Оприлюднювати інформацію про дані, захищені авторським правом, які використовувались для тренування AI.
Крім того, моделі загального призначення AI, такі як “GPT-4”, які мають значний вплив, потребують ретельної оцінки через потенційний системний ризик, який вони можуть створити. У разі виникнення серйозних інцидентів, настає обов’язок повідомлення Європейській комісії. Додатково, контент, створений або змінений за допомогою AI (зображення, аудіо, відео файли, діпфейки тощо), має бути чітко позначений як створений за допомогою AI, щоб користувачі могли правильно ідентифікувати такий контент.
Системи штучного інтелекту з мінімальним ризиком в Японії
Нарешті, щодо систем штучного інтелекту з мінімальним ризиком, в Японії не встановлено спеціальних регуляцій. Як приклади можна навести фільтри для спаму та системи рекомендацій. У цій категорії замість регулювання заохочується розробка та дотримання кодексу поведінки.
Вимоги та обов’язки до систем високого ризику AI в Японії
Обов’язки постачальників, користувачів, імпортерів та дистриб’юторів
На основі такого розрізнення, зокрема системи AI високого ризику підлягають особливо суворій регуляції через серйозність ризиків, і від постачальників та користувачів вимагаються конкретні обов’язки.
Перш за все, від постачальників, користувачів, імпортерів та дистриб’юторів вимагається створення системи управління ризиками (стаття 9). Це означає обов’язок створення, впровадження та підтримки системи, яка ідентифікує та належним чином управляє ризиками, іманентними системам AI високого ризику, а також її документування. Що стосується управління даними (стаття 10), вимагається використання наборів даних для навчання, перевірки та тестування, які відповідають стандартам якості. Це необхідно, оскільки якість та надійність даних повинні бути строго контрольовані на етапі розробки AI систем.
Крім того, вимагається створення технічної документації (стаття 11). Ця технічна документація повинна містити інформацію, необхідну для доведення відповідності систем AI високого ризику регуляторним вимогам, і бути підготовленою для надання компетентним органам держав-членів або органам з сертифікації третьої сторони. Також необхідно розробити та розробити функцію логування, яка автоматично записує події під час роботи AI системи (стаття 12). Крім того, системи AI високого ризику повинні бути зареєстровані в базі даних, яка перебуває під управлінням ЄС, перед введенням на ринок, і постачальники несуть відповідальність за створення, документування та підтримку системи управління якістю.
Обов’язки постачальників
Постачальники зобов’язані зберігати технічну документацію, документи системи управління якістю, документи затвердження або рішення органів з сертифікації третьої сторони та інші відповідні документи протягом 10 років після введення на ринок або початку експлуатації та надавати їх на вимогу національних регулюючих органів. Таким чином, постачальники несуть відповідальність за підтримку якості та безпеки AI систем на довгостроковій основі та забезпечення прозорості.
Обов’язки користувачів
З іншого боку, на користувачів також покладаються конкретні обов’язки, пов’язані з використанням систем AI високого ризику. Користувачі повинні зберігати логи, які автоматично генеруються системами AI високого ризику, протягом відповідного періоду часу, який відповідає призначенню цих AI систем, якщо тільки законодавство ЄС або законодавство держав-членів не передбачає іншого. Конкретно, зберігання протягом щонайменше шести місяців є обов’язковим.
Крім того, якщо системи AI високого ризику вводяться в експлуатацію або використовуються на робочому місці, користувачі, які є роботодавцями, зобов’язані заздалегідь повідомити представників працівників та працівників, які відчувають вплив, про використання цієї системи. Це встановлено з метою захисту прав працівників та забезпечення прозорості.
Таким чином, системи AI високого ризику передбачають суворі вимоги та обов’язки як для постачальників, так і для користувачів. Особливо у випадках, коли мова йде про високотехнологічні AI технології, такі як медичні пристрої або системи автономного водіння, може виникати необхідність проведення оцінки відповідності та перевірки органами з сертифікації третьої сторони, з урахуванням відповідності існуючим регуляторним рамкам, тому бізнесу необхідно підходити до цього обережно та планомірно.
Поступове впровадження закону про регулювання ШІ в Японії
Закон ЄС про регулювання штучного інтелекту (ШІ) передбачає поступовий графік введення в дію від моменту оголошення до застосування. Це вимагає від підприємств відповідної підготовки та реагування на кожному етапі.
12 липня 2024 року закон про регулювання ШІ був опублікований у офіційному віснику, а 1 серпня того ж року він набрав чинності. На цьому етапі від підприємств вимагається лише перевірка та розгляд змісту регулювання.
2 лютого 2025 року набудуть чинності положення щодо “Загальних положень” та “Систем ШІ з неприпустимим ризиком”. У разі, якщо підприємство використовує системи ШІ з неприпустимим ризиком, воно повинно негайно припинити їх використання.
Далі, 2 травня 2025 року будуть опубліковані практичні правила (Codes of Practice) для постачальників загального призначення моделей ШІ (GPAI). Підприємства повинні діяти відповідно до цих практичних правил.
Після цього, 2 серпня 2025 року набудуть чинності положення щодо “Моделей GPAI” та “Санкцій”, а також буде призначено відповідальні органи в кожній країні-члені. На цьому етапі постачальники моделей GPAI повинні дотримуватися відповідних правил.
2 лютого 2026 року будуть опубліковані настанови щодо методів реалізації систем ШІ згідно з законом про регулювання ШІ. Водночас буде введено обов’язковий післяпродажний моніторинг систем ШІ з високим ризиком, і від підприємств вимагатиметься відповідна організація роботи.
Крім того, 2 серпня 2026 року набудуть чинності положення, зазначені в Додатку III, щодо “Систем ШІ з високим ризиком”. На цьому етапі країни-члени повинні встановити регуляторні пісочниці для ШІ та забезпечити дотримання правил для відповідних систем ШІ з високим ризиком.
Нарешті, 2 серпня 2027 року набудуть чинності положення, зазначені в Додатку I, щодо “Систем ШІ з високим ризиком”. Таким чином, системи ШІ, визначені в Додатку I, також повинні дотримуватися встановлених правил.
Таким чином, закон про регулювання ШІ буде впроваджуватися поступово протягом кількох років, і регулювання, що відповідає серйозності ризиків, буде застосовуватися послідовно. Підприємства повинні точно знати кожен термін застосування та просувати відповідні заходи для систем ШІ, які підпадають під дію цих правил.
Пов’язані статті: Яка ситуація з законом про регулювання ШІ в ЄС та його перспективи? Роз’яснення впливу на японські компанії[ja]
Заходи, що пропонує наша юридична фірма
Юридична фірма “Моноліт” – це фірма, яка має багатий досвід у сфері ІТ, зокрема інтернету, та права.
Бізнес, пов’язаний з штучним інтелектом (AI), супроводжується численними юридичними ризиками, і підтримка адвокатів, які спеціалізуються на правових питаннях AI, є абсолютно необхідною. Наша фірма пропонує висококваліфіковану юридичну підтримку для бізнесу, пов’язаного з AI, включаючи ChatGPT, за допомогою команди адвокатів, обізнаних з AI, та інженерів. Ми надаємо послуги зі створення контрактів, оцінки законності бізнес-моделей, захисту інтелектуальної власності, приватності та інше. Детальніше про це читайте у статті нижче.
Сфери діяльності юридичної фірми “Моноліт”: Юридичні послуги з AI (включаючи ChatGPT тощо)[ja]
Category: IT
