АІ Акт: Нова ера регулювання штучного інтелекту в Європі

1 серпня 2024 року вступив в силу АІ Акт в ЄС, який має значний вплив на всі аспекти використання АІ, від розробки до кінцевого споживача. Європейський Союз все ж наважився і зробив цей історичний крок у регулюванні штучного інтелекту (АІ), цей комплексний закон про АІ покриватиме 27 країн ЄС та потенційно матиме «Брюсельський ефект» (імплементація практики ЄС) у всьому світі.  

Його поетапне впровадження до 2026 року дозволить бізнесу адаптуватися до нових вимог, створюючи більш безпечне і прозоре середовище для впровадження технологій. Проте компанії мають виконувати певні зобов'язання вже через 6 місяців, тож давайте розберемось, як цей Акт вплине на бізнес, який працює з ЄС або планує виходити на ринок ЄС.  

Ключові дати  

У той час як деякі розробники прогнозують появу Artificial General Intelligence (AGI) вже в найближчі роки, регулювання, яке набуде чинності лише в 2026 році, може виглядати застарілим. З огляду на стрімкий розвиток технологій, Європейський Союз вирішив впроваджувати АІ Акт поступово і перші норми запрацюють вже через пів року. Ось ключові дати, які варто знати бізнесу: 

1. Поетапне впровадження:  

• 2 лютого 2025 року: Заборони на АІ з неприйнятним ризиком 

• 2 серпня 2025 року: Обов'язки для провайдерів загальноцільових моделей АІ 

• 2 лютого 2026 року: Призначення компетентних органів держав-членів 

• 2 серпня 2026 року: Обов'язки для систем АІ високого ризику, перелічених у Додатку III 

2. Додаткові заходи:  

• Комісія ЄС планує запустити AI Pact для добровільного впровадження ключових зобов'язань до офіційного початку застосування 

• Комісія може видавати делеговані акти з різних аспектів регулювання до 2 серпня 2029 року 

• До 2 травня 2025 року мають бути розроблені кодекси поведінки 

3. Ключові дати для бізнесу:  

• 2 лютого 2025 року: Заборони на АІ з неприйнятним ризиком 

• 2 серпня 2025: Початок дії зобов'язань для провайдерів загальноцільових моделей АІ 

• 2 серпня 2026: Початок дії зобов'язань для більшості систем АІ високого ризику 

• 2 серпня 2027: Додаткові зобов'язання для деяких систем АІ високого ризику 

Основні концепції АІ Акт 

АІ Акт базується на кількох ключових концепціях, які визначають його унікальність та інноваційність у сфері регулювання ШІ. 

Широке визначення ШІ систем 

АІ Акт запроваджує широке визначення систем штучного інтелекту, включаючи всі системи, які можуть самостійно приймати рішення (з певним рівнем автономності), та демонструвати адаптивність після впровадження. Ці системи, маючи явні чи неявні цілі, здатні аналізувати отримані дані та генерувати результати, такі як прогнози, контент, рекомендації чи рішення, які можуть впливати на фізичне або віртуальне середовище. Тобто виконувати завдання, які раніше вимагали людського втручання. Це охоплює як вузькоспеціалізовані моделі, так і загальноцільові системи штучного інтелекту (GPAI) (стаття 3). 

Екстратериторіальне застосування 

Закон має екстратериторіальне застосування, що означає, що він впливає не тільки на європейські компанії, але й на будь-які організації, що постачають або використовують ШІ в Європі. За яким принципом бізнес може зрозуміти, чи на нього поширюватиметься АІ Акт: 

1. Виведення на ринок ЄС (‘placing on the market', Стаття 2(1)(a) АІ Акт). Якщо ви запускаєте продажі продукту в країнах-членах ЄС, як В2В так і В2С, на вас буде поширюватися АІ Акт. 

2. Введення в експлуатацію (‘putting into service', Стаття 2(1)(a) АІ Акт). Якщо дані системи починають використовуватись в межах ЄС, навіть якщо вони були розроблені або виготовлені за межами ЄС, на них буде поширюватися АІ Акт. 

3. Використання результату (‘produced output', Стаття 2(1)(c) АІ Акт). Якщо результати роботи вашої системи ШІ використовуються на території ЄС, що включає в себе будь-який контент, прогнози, рекомендації або рішення, генеровані такими системами, на вас буде поширюватися АІ Акт. 

4. Залучення осіб в ЄС (‘affected persons', Стаття 2(1)(cc) АІ Акт). Якщо система ШІ впливає на людей, що перебувають на території ЄС, тоді необхідно дотримуватися АІ Акту. 

Підхід, заснований на оцінці ризиків 

Один з ключових аспектів АІ Акт - це підхід, заснований на оцінці ризиків, який класифікує системи ШІ на чотири рівні ризику: неприйнятний, високий, обмежений та мінімальний. Кожен рівень має свої вимоги щодо безпеки, прозорості та етичності. 

АІ Акт класифікує системи ШІ за чотирма рівнями ризику: 

• Неприйнятний ризик (заборонені, стаття 5). Для прикладу: Маніпуляція поведінкою, соціальний скоринг, біометрична категоризація. Такі системи ШІ майже повністю заборонені через потенційну небезпеку для суспільства та окремих осіб. 

• Високий ризик (суворе регулювання, стаття 6). Для прикладу: медичні пристрої, інструменти для управління персоналом. Такі системи вимагають суворої оцінки відповідності для забезпечення безпеки та дотримання стандартів. 

• Обмежений ризик (вимоги прозорості, стаття 52). Для прикладу: чатботи служби підтримки. Для таких систем потрібна прозорість, зокрема інформування користувачів про те, що вони взаємодіють з ШІ. 

• Мінімальний ризик (добровільні зобов'язання, стаття 69). Для прикладу: спам-фільтри. Ці системи підлягають мінімальним регуляторним вимогам і можуть використовувати добровільні кодекси поведінки для забезпечення належного використання. 

Особливі правила для загальноцільових моделей ШІ (GPAI) 

GPAI отримують особливу увагу в АІ Акт, їм присвячена окрема Глава 5. До таких моделей можна віднести OpenAI, Gemini, Antropic, Claude та інших.  

GPAI класифікується як модель з системним ризиком, якщо вона відповідає будь-якій з наступних умов:  

a. вона має високі можливості впливу, оцінена на основі відповідних технічних інструментів і методологій, включаючи індикатори та бенчмарки;  

b. на підставі рішення Комісії, яке приймається ex officio або після кваліфікованого попередження від наукової панелі, модель має можливості або вплив, з урахуванням критеріїв, зазначених у додатку до акту. 

Оскільки ці моделі можуть використовуватися в різних сферах і для різних цілей, вони підпадають під більш суворі вимоги щодо оцінки ризиків, тестування та документування. 

Особливі правила для опенсорс моделей ШІ  

Згідно з новими регуляціями АІ Акт, системи штучного інтелекту, що випускаються під безкоштовними та відкритими ліцензіями, не підпадають під дію цих правил, якщо вони не випускаються на ринок або не вводяться в експлуатацію як системи високого ризику або як ШІ-системи, що підпадають під дію статей 5 або 50 (ч.12 статті 2). 

Це виключення спрямоване на підтримку інновацій у сфері відкритого вихідного коду, забезпечуючи при цьому, що високо ризиковані системи все ж підлягають належному регулюванню для забезпечення безпеки та відповідальності.  

Особливі правила для використання ШІ в Defence Tech 

AI-системи, що використовуються для військових, оборонних або національної оборони, незалежно від того, чи відбувається їх використання або модифікація, виключаються з обсягу регулювання АІ Актом. Це виключення застосовується незалежно від того, чи ці дії здійснює державна чи приватна організація. (ч.24 Преамбули). 

Тож defence і military tech проєкти не мають дотримуватися АІ Акту. В той же час, в момент, коли ви пропонуєте модифікацію своєї розробки для цивільного використання (як продукти подвійного призначення), це регулювання почне поширюватися на вашу діяльність.  

На кого поширюється АІ Акт 

Згідно статей 2, 3 регулювання буде поширюватися на: 

1. Постачальників (‘providers'), які розробляють AI-системи або загальносистемні AI-моделі, або мають такі системи розробленими для них. Це також включає тих, хто розміщує ці системи на ринку чи вводить їх в експлуатацію під своїм ім'ям або торговою маркою в Європейському Союзі. Важливо зазначити, що незалежно від того, чи є постачальники зареєстрованими або знаходяться в межах Союзу, чи у третій країні, вони підлягають регулюванню. 

2. Впроваджувачів (‘deployers'), які використовують AI-системи в межах Європейського Союзу. Це включає випадки, коли AI-система експлуатується для комерційних цілей чи інших професійних діяльності. 

3. Імпортери (‘importers'), які виводять на ринок ЄС систем штучного інтелекту, під ім'ям компанії, яка розташованої за межами ЄС. 

4. Дистриб'ютори (‘distributors'), які не є постачальником або імпортером, але забезпечують доступ до систем штучного інтелекту на ринку ЄС. 

5. Оператори (‘operators'), це загальний термін, що охоплює постачальника, виробника продукції, впроваджувача, уповноваженого представника, імпортера або дистриб'ютора, які беруть участь у поставці або управлінні системами штучного інтелекту. 

6. Розробники продуктів (‘product manufacturers'), які вводять на ринку або в експлуатацію AI системи, які є частиною продукту або послуги, що пропонується цією компанією. 

7. Представники постачальників (‘authorised representative'), які мають доручення від постачальника системи штучного інтелекту. Ця особа представляє постачальника в ЄС, виконує і контролює всі вимоги і процедури, встановлені АІ Актом. 

8. Інші фізичні або юридичні особи, які використовуватимуть АІ продукти в ЄС. 

В залежності від того, до якої категорії ви будете відноситися, на вас будуть поширюватися різні зобов'язання. Тож першочергово треба зрозуміти класифікацію себе, згідно даним актом.  

AI Sandbox 

ЄС подбав про можливості регуляторних пісочниць (AI sandbox), які мають сприяти інноваціям та полегшувати розробку та тестування інноваційних AI-систем під регуляторним контролем держави перед тим, як ці системи будуть виведені на ринок або введені в експлуатацію. Основні цілі AI regulatory sandboxes включають: 

1. Створення контрольованого середовища для експериментів та тестування під час розробки і до виходу на ринок, щоб забезпечити відповідність інноваційних AI-систем вимогам цього Регламенту та інших відповідних норм Союзу і національного законодавства. 

2. Надання чітких умов для інноваторів та підвищення розуміння компетентними органами можливостей, нових ризиків і впливу використання AI. Це також включає сприяння навчання регуляторів і підприємств, що дозволяє адаптувати правову базу в майбутньому. 

3. Сприяння співпраці та обміну найкращими практиками між органами, що беруть участь у пісочниці, і прискорення доступу на ринки, включаючи усунення бар'єрів для малих і середніх підприємств (МСП), включаючи стартапи. 

AI regulatory sandboxes мають бути доступними по всьому Союзу, з особливою увагою до їх доступності для малого і середнього бізнесу і стартапів. Пісочниця повинна забезпечити можливість продовження створення інновацій і експериментів з AI в ЄС. 

Штрафи  

Порушення вимог АІ Акт можуть призвести до значних штрафів, що досягають до 6% від глобального річного обороту компанії. Це підкреслює важливість дотримання нових правил та відповідальність бізнесу за безпеку і етичність використання ШІ. 

• Заборонені практики або недотримання вимог щодо обороту: Штраф: до 35 млн євро або 7% від загального світового річного обороту за попередній фінансовий рік, стаття 71(3). 

• Недотримання інших вимог або зобов'язань регулювання: Штраф: до 15 млн євро або 3% від загального світового річного обороту за попередній фінансовий рік, стаття 71(4). 

• Надання неправдивої, неповної або оманливої інформації уповноваженим органам: Штраф: до 7.5 млн євро або 1.5% від загального світового річного обороту за попередній фінансовий рік, стаття 71(5). 

Підготовка до АІ Акт: кроки для бізнесу 

Для успішної адаптації до вимог АІ Акт компаніям необхідно провести кілька важливих заходів. 

Визначення і ідентифікація своєї ролі, згідно АІ Акт 

Визначення ролі компанії у контексті АІ Акт є критично важливим. Це включає розрізнення ролей постачальника, впроваджувача, імпортера та інших учасників, що дозволяє точніше зрозуміти, які саме обов'язки і вимоги компанія повинна виконати. 

Інвентаризація ШІ в компанії 

Першим кроком є створення карти та інвентаризації всіх систем ШІ, що використовуються в компанії. Це дозволить оцінити поточний стан та визначити області, що потребують вдосконалення. 

Чи є ШІ забороненою в ЄС 

Визначення ступеня ризику кожної системи ШІ допомагає зрозуміти, чи підпадають ці системи під заборонені чи з високим ризиком згідно АІ Акт.  

Аналіз впливу та оцінка ризиків 

Наступний крок - це аналіз впливу та оцінка ризиків для кожної системи ШІ. Це допоможе визначити, які системи підпадають під високий ризик і потребують додаткових заходів безпеки. Наприклад за допомогою методології Huderia. 

Розробка стратегії дотримання АІ Акт, а також строків впровадження змін 

Компаніям необхідно розробити стратегію ШІ, яка включає управління ризиками, прозорість та етичні аспекти. Важливо також зрозуміти таймлайни впровадження тих чи інших вимог, впровадити програму управління ШІ, яка забезпечить відповідність всім вимогам АІ Акт. 

Впровадження технічних заходів та організаційних процедур 

Для забезпечення відповідності вимогам АІ Акт компанії повинні впровадити відповідні технічні заходи та організаційні процедури, включаючи системи моніторингу та звітності. 

Аудит, контроль та моніторинг 

Регулярний аудит, контроль та моніторинг систем ШІ є ключовими для забезпечення відповідності та безпеки. Це допоможе вчасно виявляти та усувати потенційні проблеми. 

Висновки: баланс між інноваціями та регулюванням 

АІ Акт представляє собою спробу знайти баланс між захистом від зовнішніх загроз для європейських громадян, як діпфейки, маніпуляції тощо, забезпеченням безпеки й етичності використання штучного інтелекту, а також не загубити інновації. 

Компанії, які вкладуть ресурси в розвиток своїх систем ШІ та будуть комплаєнс з новими стандартами залишатися конкурентоспроможними в ЄС, створить довіру для європейських користувачів та зможуть закріпитися на цьому великому ринку. 

Петро Білик, керівник практик Технологій та інвестицій, AI, CIO Juscutum