Стрімкий розвиток штучного інтелекту («ШІ») створює значні можливості для всіх секторів економіки. У цьому контексті для розробників важливим є не тільки відслідковувати та впроваджувати нові регуляторні зміни, що стосуються ШІ, але і не залишати поза увагою вплив, який системи ШІ можуть мати на основоположні права людини, у тому числі право на захист персональних даних.
Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних («Регламент» або «GDPR») та Регламент Європейського парламенту і Ради 2024/1689 від 13 червня 2024 року про гармонізацію норм щодо штучного інтелекту («EU AI Act») обидва містять положення, які регулюють питання обробки персональних даних за допомогою систем ШІ. Проте, на відміну від ЄС, Україна наразі немає окремого акту, який врегульовує відносини у сфері застосування ШІ, в цілому, та обробки персональних даних за допомогою систем ШІ, безпосередньо - чинний Закон України «Про захист персональних даних» («Закон про захист персональних даних») лише поверхнево торкається цього питання.
У цій статті ми розглянемо основні принципи регулювання захисту персональних даних в ЄС та Україні та окреслимо основні вимоги у сфері захисту персональних даних під час впровадження та застосування систем ШІ.
Врегулювання питань застосування ШІ у GDPR
У законодавстві Європейського Союзу («ЄС») право на захист персональних даних є одним із основоположних прав. Так, право кожної людини на захист своїх персональних даних закріплено в первинних документах ЄС: статтею 16 Договору про функціонування Європейського Союзу та статтею 8 Хартії основоположних прав Європейського Союзу. У 2016 році ЄС прийняв GDPR - наразі ключовий нормативно-правовий акт Європейського Союзу щодо захисту персональних даних (набув чинності 25 травня 2018 року).
Зауважимо, що Регламент має екстратериторіальну дію: згідно зі статтею 3, суб'єкти господарювання поза межами ЄС підпадають під дію Регламенту, якщо вони, зокрема, пропонують товари чи послуги суб'єктам персональних даних в ЄС або здійснюють моніторинг їхньої поведінки на території ЄС. Відповідно, за Регламентом, якщо суб'єкт господарювання, розташований поза межами ЄС, виконує зазначені вище дії щодо осіб, які є резидентами ЄС, такий суб'єкт має дотримуватися положень GDPR.
Наразі системи ШІ все частіше використовуються для обробки персональних даних, а також, зокрема, для генерування висновків та прийняття рішень щодо суб'єктів персональних даних, які в подальшому можуть мати для таких суб'єктів правові наслідки. Це відбувається у тому числі шляхом профайлінгу (profiling) - будь-якої форми автоматизованого опрацювання персональних даних, що складається із використання персональних даних для оцінювання окремих персональних аспектів, що стосуються фізичної особи. Зокрема, для аналізу або прогнозування аспектів, що стосуються продуктивності суб'єкта даних на роботі, економічної ситуації, здоров'я, особистих переваг, інтересів, надійності, поведінки, місцезнаходження або пересування. Сучасні системи ШІ не є досконалими та можуть нерідко генерувати неточні, викривлені та хибні результати. Тому задля забезпечення прозорості у використанні ШІ щодо обробки персональних даних Регламент зобов'язує контролера надавати суб'єкту персональних даних усю детальну інформацію про наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, а також, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб'єкта персональних даних.
Окрім цього, Регламент закріплює право суб'єкта персональних даних не підпорядковуватись рішенню, що ґрунтується винятково на автоматизованому опрацюванні, в тому числі, профайлінгу, що породжує правові наслідки для чи подібним чином істотно впливає на нього.
Врегулювання питань застосування ШІ у законодавстві про захист персональних даних
На противагу GDPR, чинне законодавство України, а саме, Закон про захист персональних даних, дуже поверхнево торкається питань, пов'язаних із обробкою персональних даних за допомогою ШІ або автоматизованих систем, в цілому. Закон про захист персональних даних містить лише коротке зазначення того, що суб'єкт персональних даних має право знати механізм автоматичної обробки персональних даних та має право на захист від автоматизованого рішення, яке має для нього правові наслідки.
З метою усунення загальної невідповідності законодавства України законодавству ЄС був розроблений проєкт Закону України «Про захист персональних даних» № 8153 («Законопроєкт № 8153»). Серед іншого, законопроєкт передбачає приведення термінології у сфері захисту персональних даних у відповідність до європейських стандартів, деталізацію принципів обробки персональних даних та багато інших новел.
У цьому законопроєкті, також, введено поняття «профілювання» (аналогічний термін до терміну, що використовується у Регламенті - «profiling»), яке є формою автоматизованої обробки персональних даних. Також, закріплений обов'язок контролера надавати суб'єкту персональних даних інформацію про наявність механізму автоматизованого прийняття рішень, у тому числі профілювання та необхідну інформацію про алгоритми (логіку), що використовуються у таких механізмах.
Окрім цього, Законопроєкт № 8153 закріплює, за загальним правилом, заборону на прийняття рішення, яке має юридичні наслідки для суб'єкта персональних даних або іншим чином має значний вплив на нього, виключно на підставі автоматизованої обробки його персональних даних, окрім певних визначених випадків.
Враховуючи складність та динамічність правового поля, ключовим для бізнесу стає використання професійних моніторингових систем. LIGA360 дозволяє оперативно відстежувати зміни в українському та європейському законодавстві, аналізувати їхній вплив та будувати комплаєнс-стратегію на випередження, забезпечуючи надійний захист від ризиків.
Загальне регулювання використання ШІ в ЄС
1 серпня 2024 року набув чинності EU AI Act. Метою EU AI Act є перш за все сприяння впровадженню людиноорієнтовного та надійного ШІ, підтримка інновацій з одночасним забезпеченням основоположних прав людини. EU AI Act розповсюджується, зокрема, на постачальників (providers) систем та моделей ШІ, які працюють на ринку ЄС та впроваджувачів (deployers), які використовують ШІ-системи у межах ЄС.
EU AI Act запроваджує ризик-орієнтовний підхід до регулювання систем ШІ, відповідно до якого правила для постачальників та впроваджувачів ШІ встановлюються на основі відповідних ризиків.
EU AI Act окремо виділяє системи ШІ з неприпустимим ризиком та системи ШІ з високим ризиком.
До прикладів використання системи ШІ із неприпустимим ризиком відносяться:
шкідлива маніпуляція та обман;
шкідливе використання вразливостей;
соціальне скорингування (scoring);
оцінка або прогнозування ризику індивідуального кримінального правопорушення;
масовий збір даних з інтернету або матеріалів з камер відеоспостереження для створення чи розширення баз даних для розпізнавання облич;
розпізнавання емоцій на робочих місцях та в освітніх закладах;
біометрична категоризація для визначення певних захищених характеристик;
віддалена біометрична ідентифікація в режимі реального часу для цілей правоохоронних органів у громадсько доступних місцях.
Використання таких систем заборонене, тому що вони становлять неприпустимий ризик для основоположних прав людини.
До прикладів використання системи ШІ із високим ризиком відносяться:
компоненти безпеки на основі ШІ у критично важливій інфраструктурі (наприклад, транспорт), відмова яких може поставити під загрозу життя та здоров'я громадян;
рішення на основі ШІ, що використовуються в освітніх закладах і можуть визначати доступ до освіти та впливати на професійне життя людини (наприклад, оцінювання іспитів);
компоненти безпеки продуктів на основі ШІ (наприклад, застосування ШІ у роботизованій хірургії);
інструменти ШІ для працевлаштування, управління працівниками та доступу до самозайнятості (наприклад, програмне забезпечення для сортування резюме під час найму);
окремі випадки використання ШІ для надання доступу до основних приватних і державних послуг (наприклад, кредитний скоринг, який може позбавити громадян можливості отримати позику);
системи ШІ, що використовуються для віддаленої біометричної ідентифікації, розпізнавання емоцій та біометричної категоризації (наприклад, система ШІ для ретроспективної ідентифікації магазинного злодія);
випадки використання ШІ у правоохоронній діяльності, які можуть впливати на основні права людини (наприклад, оцінка достовірності доказів);
випадки використання ШІ у сфері міграції, надання притулку (наприклад, автоматизована перевірка візових заявок);
рішення на основі ШІ, що використовуються в адміністрації правосуддя та демократичних процесах (наприклад, рішення ШІ для підготовки судових рішень).
Окрім цього, EU AI Act запроваджує певні вимоги щодо розкриття інформації, для забезпечення поінформованості. Наприклад, під час використання систем ШІ, таких як чат-боти, особи повинні бути повідомлені про те, що взаємодіють із машиною, для надання можливості обґрунтовані рішення. Постачальники генеративного ШІ повинні, також, забезпечити можливість ідентифікації контенту, створеного ШІ. Певний контент, створений ШІ, має бути чітко та помітно позначений, а саме дипфейки та тексти, опубліковані з метою інформування громадськості з питань суспільного інтересу. Закріплені правила щодо прозорості повинні набути чинності вже у серпні 2026 року.
EU AI Act прямо зазначає, що до персональних даних, які обробляються у зв'язку з реалізацією прав і обов'язків, передбачених цим актом, застосовується право ЄС у сфері захисту персональних даних. Таким чином, відповідність принципам обробки персональних даних, та іншим положенням GDPR повинні бути забезпечені у випадках, коли системи ШІ застосовуються для обробки персональних даних.
Обробка спеціальних персональних даних
Стаття 10 EU AI Act дозволяє обробку спеціальних персональних даних (дані про расове, етнічне походження, політичні, релігійні погляди, дані щодо здоров'я тощо) з метою виявлення та усунення упередженостей, за умови, що обробка інших даних не забезпечить належного виявлення та усунення упередженостей.
EU AI Act одночасно встановлює гарантії захисту прав і свобод осіб, такі як підвищені заходи безпеки та захисту приватності, зокрема, псевдонімізація, обмеження повторного використання та передавання даних, жорсткий контроль доступу й документування операцій обробки, а також обов'язок видалення даних після досягнення мети обробки або закінчення строку їх зберігання.
При цьому, така обробка повинна виконуватися у відповідності до належних гарантій захисту основних прав і свобод фізичних осіб, закріплених у положеннях GDPR (зокрема, статті 9 та 10), Регламенту (ЄС) 2018/1725 Європейського парламенту та Ради від 23 жовтня 2018 року щодо захисту фізичних осіб у зв'язку з обробкою персональних даних інституціями, органами, установами та агентствами Союзу, а також щодо вільного руху таких даних («Регламент (ЄС) 2018/1725») та Директиві (ЄС) 2016/680 Європейського парламенту та Ради від 27 квітня 2016 року щодо захисту фізичних осіб у зв'язку з обробкою персональних даних компетентними органами з метою запобігання, розслідування, виявлення або переслідування кримінальних правопорушень чи виконання кримінальних покарань, а також щодо вільного руху таких даних.
Автоматизоване прийняття рішень
Стаття 14 EU AI Act зобов'язує проєктувати та розгортати системи ШІ із високим ризиком таким чином, щоб вони перебували під ефективним наглядом фізичних осіб і щоб результати їхньої роботи могли бути зрозумілі, перевірені, відхилені або зупинені людиною.
Зокрема, для окремих систем ШІ із високим ризиком передбачено, що жодне рішення або дія не можуть бути здійснені на підставі ідентифікації, здійсненої системою ШІ, без окремої перевірки та підтвердження щонайменше двома компетентними фізичними особами. Такий підхід узгоджується зі статтею 22 GDPR, яка закріплює право особи не підпадати під рішення, які ґрунтуються виключно на автоматизованій обробці.
Обробка для іншої мети
Стаття 59 EU AI Act дозволяє законну обробку персональних даних, які вже були зібрані для іншої мети, виключно для цілей розробки, тренування та тестування певних ШІ систем у «регуляторних пісочницях» (AI regulatory sandbox) за умови, що такі системи розроблятимуться в інтересах значного суспільного блага публічним органом або іншою особою та будуть застосовуватися у сферах публічної безпеки й охорони здоров'я, захисту довкілля і клімату, енергетичної сталості, безпеки й стійкості транспорту та критичної інфраструктури, а також підвищення ефективності й якості публічного управління та послуг.
При цьому під час такої обробки повинні існувати ефективні механізми моніторингу для виявлення можливих високих ризиків для прав і свобод суб'єктів даних, як це зазначено у статті 35 GDPR та у статті 39 Регламенту (ЄС) 2018/1725, які можуть виникнути під час експериментування у «пісочниці», а також механізми реагування для оперативного зменшення цих ризиків і, за необхідності, припинення такої обробки.
Штучний інтелект - це вже зона регуляторної відповідальності. LIGA360 пояснює, коли ШІ стає правовим ризиком. Підключайтесь.
Загальне регулювання використання ШІ в Україні
Наразі в Україні відсутнє достатнє загальне регулювання відносин щодо розробки та використання ШІ або спеціалізованого акту, аналогічного EU AI Act. Однак, з метою формування перших підходів до майбутнього регулювання відносин на ринку ШІ, Міністерством цифрової трансформації України розроблено аналітичний матеріал - Білу книгу.
Перш за все, Біла книга передбачає поступове впровадження регулювання ШІ, від позазаконодавчих інструментів та ініціатив протягом найближчих кількох років (так званий bottom-up підхід) до прийняття спеціального закону зі штучного інтелекту на фінальному етапі.
Як було зазначено вище, Закон про захист персональних даних не містить положень, які би у достатній мірі врегульовували питання використання ШІ під час обробки персональних даних. Проте, для виокремлення важливості врахування дотримання прав людини, зокрема, щодо відносин у сфері захисту персональних даних, Біла книга в одній із цілей bottom-up підходу, наголошує на необхідності забезпечення захисту прав людини від ризиків, що може нести ШІ, та зловмисного використання таких технологій. При цьому права людини повинні однаково надійно захищатися як офлайн, так і онлайн. У Білій книзі також підкреслюється, що з метою убезпечення громадян від ризиків використання ШІ та захисту прав людини під час взаємодії з ШІ, постає потреба у впровадженні юридично обов'язкового та всеохоплюючого регулювання.
Хоча у Білій книзі не зазначено конкретних строків виконання запропонованих у ній ініціатив, можна очікувати, що у найближчі роки, буде розроблено законопроєкт, який повинен буде вже відповідати стандартам ЄС щодо регулювання розробки та використання ШІ.
Висновок
З огляду на все вищезазначене, хочемо зауважити, що суб'єкти, які здійснюють обробку персональних даних за допомогою систем ШІ, і діяльність яких підпадає під регулювання GDPR та EU AI Act, повинні враховувати описані вище вимоги, закріплені у обох цих актах ЄС. Зокрема, серед таких суб'єктів також можуть бути і українські компанії, які вже здійснюють свою діяльність у ЄС або хочуть вийти на ринок ЄС.
Що ж стосується чинного українського законодавства, як було зазначено вище, поточне врегулювання відносин щодо обробки персональних даних системами ШІ у Законі про захист персональних даних не відповідає викликам сучасного цифрового суспільства та потребує його приведення у відповідність до норм GDPR та EU AI Act.
На даний час світ знаходиться лише на перших етапах спроб правового врегулювання розробки та використання ШІ. При цьому розвиток технологій ШІ розвивається настільки стрімко, що навіть найрозвиненіші країни не встигають за цими темпами. У ЄС питання врегулювання відносин щодо використання ШІ та, зокрема, у сфері захисту персональних даних під час такого використання, завдяки EU AI Act, вже набуває все більш чітких та зрозумілих ознак та закріплює певні правила для учасників ринку ШІ.
Щодо розробки та використання ШІ законодавство України, на жаль, ще не досягло рівня врегулювання ЄС та потребує значного прориву у цій сфері. Зокрема, прийняття відповідного спеціального законодавства та значного розширення регулювання обробки персональних даних із використанням систем ШІ. Проте, враховуючи рух України до ЄС, доволі вірогідним є те, що у близькому майбутньому буде посилена робота над узгодженням українського законодавства у сфері захисту персональних даних із стандартами ЄС, зокрема, із нормами GDPR та EU AI Act. У зв'язку із цим, зазначені у цій статті вимоги, закріплені актами законодавства ЄС, можуть стати у тій, чи іншій мірі застосовними навіть для суб'єктів господарювання, які здійснюють свою діяльність виключно в Україні.
Марія Новікова, старша юристка, напрям юридичних послуг (Senior Consultant, Legal services) KPMG Law Ukraine
Наталія Криницька, юристка, напрям юридичних послуг (Consultant, Legal services) KPMG Law Ukraine
