|
1 серпня 2024 року набув чинності регламент ЄС про штучний інтелект, який встановлює уніфіковану правову систему, зокрема щодо введення в обіг, експлуатацію та використання систем ШІ та введення в обіг моделей ШІ (Закон про ШІ). Він також має забезпечити високий рівень захисту здоров'я людини, її безпеки та основоположних прав від шкідливого впливу ШІ та підтримувати інновації.
В Україні такий закон відсутній, однак більшість положень Закону про ШІ можуть діяти транскордонно, зокрема застосовуватися до:
українських постачальників, які вводять в обіг чи експлуатацію системи ШІ або вводять в обіг моделі ШІ в ЄС
українських постачальників / розгортувачів систем ШІ, якщо згенеровані такими системами результати використовуються в ЄС
Характеристики моделей та систем ШІ, підхід для встановлення правил щодо них
Ключова характеристика систем ШІ, яка відрізняє її від традиційних програмних систем, - це здатність робити висновки. Вона є основою процесу з отримання таких результатів як прогнози, контент, рекомендації, рішення, що можуть впливати на фізичне, або віртуальне середовище. Ця характеристика реалізується завдяки можливостям моделей ШІ, які є необхідним компонентом таких систем.
Тип та зміст положень Закону про ШІ щодо моделей та систем ШІ, залежить від рівня та характеру ризиків, які несуть відповідні моделі та системи, а також суб'єктів, до яких вони застосовуються. Далі зупинимось на умовах застосування таких положень та їхньому дотриманні.
Застосування положень Закону про ШІ до постачальників моделей ШІ
Положення такого закону застосовуються до постачальників моделей ШІ за наступних умов:
створені ними початкові моделі ШІ належать до моделей ШІ загального призначення, зокрема тих, що становлять системний ризик. Під час оцінки моделі враховуються як технічні (кількість параметрів, сукупний обсяг обчислень для навчання), так і якісні характеристики (універсальність, здатність компетентно виконувати широкий спектр завдань, наявність можливостей значного впливу, значний вплив ризиків моделі на ринок ЄС та масштабоване поширення таких ризиків по ланцюгу створення вартості), або
проведена ними модифікація початкової моделі ШІ загального призначення відповідає умовам створення нової моделі. Під час оцінки моделі враховуються як технічні показники модифікації (сукупний обсяг обчислень для її навчання під час модифікації), так і зміни якісних характеристик (суттєва зміна універсальності, можливостей або системного ризику моделі)
введення ними в обіг в ЄС таких моделей ШІ, або
введення іншими постачальниками в обіг чи експлуатацію в ЄС систем ШІ, в які були інтегровані вказані моделі ШІ, якщо вони були введені в обіг поза ЄС, однак їх розповсюдження чи використання в ЄС не було виключено.
Штучний інтелект - це вже зона регуляторної відповідальності. LIGA360 пояснює, коли ШІ стає правовим ризиком. Підключайтесь.
Дотримання положень Закону про ШІ постачальниками моделей ШІ загального призначення (застосовуються з 2 серпня 2025 року)
Постачальники моделей ШІ загального призначення мають виконувати встановлені законом зобов'язання та продемонструвати відповідність таким зобов'язанням. Наразі це можливо зробити, підписавши Кодекс практики та запровадивши передбачені ним заходи, зокрема:
заходи стосовно зобов'язань щодо прозорості моделей ШІ, які передбачають заповнення Форми для документації моделі
заходи стосовно зобов'язань щодо дотримання законодавства ЄС з питань авторського права і суміжних прав, які передбачають запровадження політики щодо дотримання такого законодавства, зокрема щодо ідентифікації та дотримання застережень про заборону використання для майнінгу творів та інших об'єктів. Постачальники також мають скласти та розмістити у публічному доступі резюме стосовно використаного для навчання моделі ШІ контенту відповідно до затвердженого Офісом ШІ зразка
заходи стосовно зобов'язань щодо безпеки та кіберзахисту, які актуальні лише для постачальників моделей ШІ загального призначення із системним ризиком. Такі заходи передбачають запровадження Системи безпеки та захисту, яка має містити:
- загальний опис процесів та заходів з оцінки та пом'якшення системних ризиків
- опис та обґрунтування критеріїв прийнятності системних ризиків
- опис того як розподіляються обов'язки щодо управління системними ризиками на всіх рівнях компанії та інші елементи
Такі заходи також включають підготовку Звіту щодо безпеки та захисту моделі до введення її в обіг та його подальше оновлення.
Застосування положень Закону про ШІ до постачальників систем ШІ
Положення такого закону застосовуються до постачальників систем ШІ за наступних умов:
створені ними початкові системи ШІ належать до однієї з таких категорій:
- заборонені системи ШІ
- автономні системи ШІ з високим ризиком
- системи ШІ, стосовно яких встановлені зобов'язання щодо прозорості, а саме - системи призначені для взаємодії із фізичними особами та створення контенту, а також системи розпізнавання емоцій та біометричної категоризації
Переліки систем ШІ, які відносяться до вказаних категорій, визначаються з огляду на їхнє призначення та наслідки до яких вони призводять. Зокрема, виходячи з такого підходу, системи ШІ з розпізнавання емоцій можуть бути віднсені як до заборонених систем, так і до систем з високим ризиком або до систем стосовно яких встановлені зобов'язання щодо прозорості.
до створених ними початкових систем ШІ інтегровані моделі ШІ загального призначення, які не було окремо введено в обіг в ЄС. Це стосується випадків коли постачальник інтегрує власну модель ШІ у свою систему ШІ або модель ШІ іншого постачальника, який ввів її в обіг поза ЄС та виключив її розповсюдження чи використання в ЄС
здійснення ними змін початкової системи ШІ (суттєва модифікація, зміна цільового призначення) які відповідають умовам створення нової системи або інших дій, внаслідок яких вони вважаються новими постачальниками систем ШІ
введення ними в обіг або експлуатацію в ЄС таких систем ШІ, або використання в ЄС результатів їх роботи.
Застосування положень Закону про ШІ до розгортувачів систем ШІ
Положення такого закону застосовуються до:
розгортувачів систем ШІ, які належать до вищевказаних категорій, якщо такі розгортувачц створені чи знаходяться у ЄС,
розгортувачів вказаних систем ШІ, якщо вони створені чи знаходяться поза ЄС, однак результати роботи таких систем використовуються в ЄС
Дотримання положень Закону про ШІ щодо заборонених систем/практик ШІ (застосовуються з 2 лютого 2025 року)
Заборона щодо таких систем стосується як введення в обіг / експлуатацію в ЄС, так і використання результатів їхньої роботи в ЄС.
При розробці систем, які межують із забороненими системами, важливо комплексно враховувати їхнє призначення та наслідки до яких вони призводять. Наприклад, заборона систем, які оцінюють або класифікують фізичних осіб на основі їхньої соціальної поведінки чи особистих характеристик, діє коли це призводить до несприятливого ставлення до них, яке не відповідає початковому контексту збору даних або є непропорційним.
Дотримання положень Закону про ШІ постачальниками автономних систем ШІ високого ризику (почнуть застосовуватись з 2 серпня 2026 року)
Постачальники автономних систем ШІ високого ризику, зокрема, зобов'язані:
забезпечити відповідність таких систем вимогам Закону
запровадити та задокументувати (у формі політик, процедур та інструкцій) систему управління якістю
розробити технічну документацію
провести оцінку відповідності таких систем та скласти декларацію відповідності ЄС (у деяких випадках забезпечити проведення оцінки відповідності третьою особою - нотифікованим органом, за результатами якої видається сертифікат ЄС)
створити пост-маркетингову систему моніторингу.
Дотримання положень Закону про ШІ розгортувачами автономних систем ШІ високого ризику (почнуть застосовуватись з 2 серпня 2026 року)
Розгортувачі автономних систем ШІ високого ризику мають перевіряти, чи проведена оцінка відповідності таких систем та виконувати встановлені законом зобов'язання, зокрема:
проводити моніторинг функціонування таких систем з подальшим інформуванням постачальників в рамках пост-маркетингового моніторингу
інформувати фізичних осіб, щодо яких системи ШІ ухвалюють рішення або допомагають в його ухваленні про вплив таких систем
надавати чіткі та змістовні пояснення про роль систем ШІ в ухваленні рішення особам, для яких воно має юридичні наслідки або негативний вплив на здоров'я, безпеку та основоположні права.
Дотримання положень Закону про ШІ постачальниками та розгортувачами систем ШІ стосовно яких встановлені зобов'язання щодо прозорості (почнуть застосовуватись з 2 серпня 2026 року)
Постачальники та розгортувачі таких систем мають дотримуватися наступних зобов'язань:
постачальники систем ШІ, призначених для взаємодії з фізичними особами (наприклад чат-боти), мають забезпечити інформування про взаємодію із ШІ, якщо це не очевидно для уважної, обізнаної та обачної людини
постачальники систем ШІ, які генерують штучний аудіо, відео, візуальний чи текстовий контент, мають запровадити технічні рішення, щоб забезпечити, що він позначається у машинно-зчитуваному форматі та може бути виявлений як штучно створений/змінений
розгортувачі систем ШІ, які створюють або редагують зображення, аудіо чи відео контент, який є діпфейком, зобов'язані розкривати, що такий контент є штучно створеним або зміненим; це також стосується тексту з питань суспільного інтересу
розгортувачі систем ШІ з розпізнавання емоцій та біометричної категоризації, мають повідомляти про функціонування таких систем осіб, які зазнають їхнього впливу.
Застосування положень Закону про ШІ до виробників продукції (почнуть застосовуватись з 2 серпня 2027 року)
Вимоги Закону про ШІ можуть застосовуватися не лише до автономних систем ШІ високого ризику, а й до продукції, компонентом безпеки якої є системи ШІ. Це стосується продукції на яку поширюється перераховане в ньому гармонізоване законодавство ЄС, зокрема це може бути машинне обладнання, медичні прилади.
Вимоги до систем ШІ високого ризику, встановлені у такому законі, можуть застосовуватися до відповідної продукції двома шляхами. Так, вони можуть безпосередньо застосовуватися до продукції, на яку поширюється гармонізоване законодавство ЄС на основі Нової законодавчої бази (регуляторний підхід відповідно до якого в нормативних актах ЄС встановлюються основні вимоги до певних груп продукції (гармонізовані правила), а технічні деталі для їхньої реалізації встановлюються у гармонізованих стандартах). Щодо продукції, на яку поширюється інше гармонізоване законодавство ЄС, то вони можуть застосовуватися через прийняття актів та вжиття заходів за таким законодавством, якими інтегруються такі вимоги.
Також Закон про ШІ передбачає, що встановлені ним зобов'язання для постачальників систем ШІ високого ризику, застосовуються до виробників продукції, на яку поширюється гармонізоване законодавство ЄС на основі Нової законодавчої бази, якщо такі системи не вводились в обіг/експлуатацію окремо.
Регулювання питання щодо обробки персональних даних з використанням систем ШІ
Закон про ШІ лише точково встановлює спеціальні норми, які стосуються обробки персональних даних, а саме:
заборону дистанційної біометричної ідентифікації в реальному часі у загальнодоступних місцях в правоохоронних цілях
щодо обробки спеціальних категорій персональних даних для виявлення та виправлення визначених випадків упереджень систем ШІ високого ризику
щодо обробки персональних даних, які були законно зібрані в інших цілях, при розробці та тестуванні у регуляторній пісочниці систем ШІ призначених для захисту суттєвих суспільних інтересів у визначених сферах
В іншому при використанні систем ШІ застосовуються відповідні положення законодавства ЄС та України щодо обробки персональних даних.
Дотримання законодавства у сфері інтелектуальної власності
Закон про ШІ не регулює питання належності або розподілу прав інтелектуальної власності, а лише встановлює зобов'язання направлені на їх дотримання.
Відтак у правовідносинах пов'язаних зі створенням/навчанням моделей ШІ, а також створенням/використання систем ШІ слід керуватися відповідними положеннями законодавства ЄС та України у сфері інтелектуальної власності.
Так важливими є положення передбачені ст. 4 Директив ЄС 2019/790, відповідно до яких країни ЄС дозволяють відтворення та витягування (reproductions and extractions) інформації з творів або інших об'єктів з метою майнінгу тексту та даних, якщо це прямо не заборонено правовласником (щодо розміщеної онлайн інформації - застереженням у машинозчитуваній формі).
Також важливими є положення законодавства України, які релевантні для встановлення належності прав на об'єкти, що створені/згенеровані за допомогою систем ШІ.
Так, стаття 33 Закону України "Про авторське право і суміжні права" передбачає право особливого роду (sui generis) на неоригінальні об'єкти, згенеровані комп'ютерною програмою - об'єкти, які відрізняється від наявних подібних об'єктів та утворені в результаті функціонування комп'ютерної програми без безпосередньої участі фізичної особи.
Особисті майнові права на такі об'єкти не виникають, а майнові - належать особам, яким належать майнові права на відповідні комп'ютерні програми/системи ШІ, або їхнім правомірним користувачам.
Однак якщо відповідний об'єкт створений з використанням системи ШІ, відповідає умовам твору тобто є оригінальним інтелектуальним творінням фізичної особи, яка створила його своєю творчою діяльністю, використовуючи таку систему, то він є відповідним твором.
Немайнові права на такий твір належатимуть працівнику компанії, а майнові - компанії, якщо інше не передбачено трудовим або іншим договором з працівником (ст. 14 Закону України "Про авторське право і суміжні права").
Окремим ризиком при створенні такого контенту є порушення прав інтелектуальної власності на контент використаний для його створення, зокрема для навчання відповідної моделі ШІ - коли згенерований контент є результатом використання об'єктів інтелектуальної власності, без дотримання прав суб'єктів, якім належать такі права.
Хто володіє правами на контент, створений ШІ? LIGA360 допомагає розібратися. Перевірте.
