Штучна простота: ЄС ухвалює перший у світі закон про ШІ

Весь минулий рік чиновники в Брюсселі обговорювали регулювання штучного інтелекту. Підсумком їхньої роботи став перший у світі закон про ШІ – The EU Artificial Intelligence Act. За фасадом красивого рекорду знаходиться суперечливий документ, який не знімає багатьох протиріч індустрії, що швидко розвивається, а створює нові проблеми для галузі.

Після чотирьох раундів дискусій наприкінці минулого року Єврокомісія ухвалила політичне рішення схвалити законопроєкт про регулювання систем з використанням технологій штучного інтелекту. У березні Європарламент ухвалив остаточний варіант документа: На підтримку закону проголосували 523 депутати, 46 законодавців висловилися проти, ще 49 осіб утрималися. Після схвалення парламентом текст має пройти обов’язкову юридичну та лінгвістичну перевірки, потім його схвалить Рада Європи. Правила набудуть чинності через 20 днів після публікації закону в офіційному журналі ЄС.

Наразі текст першого у світі закону, що регулює штучний інтелект, виглядає як обережний компроміс депутатів з індустрією та європейським законодавством. В основі регулювання лежить ризик-орієнтований підхід: що вищі ризики ШІ-системи, то суворіші правила. Закон вводить чотири «категорії ризику» залежно від передбачуваного рівня небезпеки: мінімальний, обмежений, високий і неприйнятний. Кожна категорія накладає свої зобов’язання: за високих ризиків до компанії висунуть найсуворіші вимоги, за низьких – незначні.

До неприйнятних, наприклад, належать будь-які системи біометричної ідентифікації, профілювання особистих даних, системи соціального рейтингу. Вони фактично заборонені новими правилами. Виняток зробили лише для правоохоронних органів для конкретних випадків: пошук зниклих, допомога біженцям і жертвам насильства, у разі терористичної загрози. Але й тоді силовикам доведеться отримувати спеціальний адміністративний або судовий дозвіл на використання подібних систем.

До високоризикових систем віднесли ті, які використовують у критично важливих інфраструктурах, освітніх, медичних проєктах, банківських і державних послугах, роботі правоохоронних органів, суді та на виборних заходах. Насамперед це стосується ШІ, який може поставити під загрозу життя і здоров’я громадян. Розробники повинні будуть оцінювати і пом’якшувати ризики, стежити за якістю даних для навчання, постійно звітувати про роботу ШІ перед владою і забезпечувати заходи людського нагляду за технологією.

Категорія обмеженого ризику включає вже звичні всім генеративні системи, до яких застосовується принцип прозорості. Єврокомісія вимагає дотримуватися авторського права і розкривати всі джерела, звідки беруться дані для машинного навчання. Генеративний контент має бути обов’язково маркований, насамперед це стосується аудіо- та відеоконтенту. Користувачів необхідно інформувати, що вони взаємодіють з машиною, а не людиною.

Нарешті, до категорії мінімальних ризиків входять усі інші АІ-системи, які відносно безпечні у використанні. Це, наприклад, додатки відеоігор або спам-фільтри. У цій категорії перебуває переважна більшість систем, які сьогодні використовуються в ЄС. Кожна ШІ-система перед релізом проходитиме «оцінку відповідності». Регулятор визначить, чи відповідає вона необхідним вимогам закону, і віднесе її до відповідної категорії ризиків.

Досягненням можна назвати широкі права, які отримали споживачі. Тепер вони можуть подати скаргу регулятору в будь-якій ситуації, якщо у них є підстави вважати, що закон було порушено. Для цього не обов’язково бути постраждалою стороною або учасником розгляду. Тим самим закон про ШІ відрізняється, наприклад, від GDPR – Генерального регламенту про захист даних, згідно з яким суб’єкти даних можуть подати скаргу тільки в тому випадку, якщо їх стосується обробка персональних даних.

Експерти називають документ прикладом законотворчості, що «запізнюється». Обговорення проєкту почалося ще 2021 року і було присвячене регулюванню конкретних інструментів. Ажіотаж навколо ChatGPT і поява безлічі генеративних моделей змусили законодавців спішно перекроювати законопроєкт і вводити нові юридичні механізми. У підсумку текст перетворився на «клаптикову ковдру», яка досі потребує узгодження і налагодження механізмів.

Наприклад, депутати залишили в законі два терміни «штучний інтелект загального призначення» (General-purpose AI – GPAI) і «модель GPAI». Виокремлення в окрему сутність моделі було необхідно, щоб юридично оформити статус генеративних моделей. Через що виникла плутанина, оскільки за певних обставин такі системи можуть належати одразу до двох категорій: і високого рівня ризику, і обмеженого. Це не єдина двозначність у тексті, що може призвести до різночитань у тлумаченні правил.

AI Act передбачає створення окремого регулятора у складі Єврокомісії – Управління зі штучного інтелекту, яке стежитиме за виконанням закону і покаранням за порушення правил. Крім управління, також буде створено різні експертні та технічні ради і Раду AI, куди увійдуть представники країн-членів ЄС. Повноваження нової структури вступають в очевидне протиріччя з функціями розгалуженої мережі органів захисту даних у ЄС, і поки що немає ясності, яким чином вони будуть розмежовані.

Загалом закон лише окреслює основні рамки регулювання галузі, оскільки тепер уже зрозуміло, що сфера, яка так швидко розвивається, поки що непередбачувана для юридичного оформлення. Єврокомісія заздалегідь створила тривалий період апробації документа: окремі положення поступово набуватимуть чинності протягом наступних 2-3 років. За цей час індустрія може кардинально змінитися, що вимагатиме оперативних втручань в ухвалені правила. Поки ж можна сказати з впевненістю, що перший європейський закон про ШІ вплине не тільки на ринок ЄС, а й загалом на світову цифрову індустрію.