Довели до ума: какой закон об искусственном интеллекте приняли в Европе

Не только для Европы

Принятый закон — безусловный прорыв в регулировании инноваций и новых технологий, связанных с искусственным интеллектом (ИИ). Это первый в мире закон, полноценно регламентирующий системы ИИ, поэтому он имеет большое значение не только для ЕС, но и для всего мира. Закон регламентирует разработку и использование ИИ, предусматривает значительные штрафы и широкий набор обязательных требований для организаций, занимающихся разработкой и внедрением ИИ. Примечательно, что он будет применяться не только к европейским компаниям, разрабатывающим и внедряющим ИИ, но и к компаниям вне ЕС, если их ИИ-системы используются в Европе. Для реализации закона создается специальный орган — Европейский офис по ИИ, который будет обеспечивать соблюдение правил, обязательных при создании и использовании систем ИИ общего назначения (GPAI).

ИИ общего назначения (GPAI) — это модель ИИ, в том числе самоуправляемая, обученная на большом количестве данных, достаточно универсальная и способная компетентно выполнять широкий спектр задач. Причем для отнесения ИИ-модели к GPAI неважно, как разработчик позиционирует свою модель на рынке, представлена ли она в качестве самостоятельного продукта или интегрирована в иные системы и приложения. Самым известным примером GPAI, безусловно, является ChatGPT. Сюда же относятся системы для генерации текстов и изображений — такие, как LLaMa от Meta (признана в России экстремистской и запрещена) и Midjourney.

Как следует из пресс-релиза на сайте Европарламента, цель регулирования — «защитить фундаментальные права, основы демократии, верховенство закона и экологичное устойчивое развитие от высокорискованных систем ИИ. При этом стимулировать инновации и становление Европы лидером ИИ-индустрии».

Таким образом, закон об ИИ является частью масштабной цифровой стратегии ЕС, основная цель которой — создать благоприятные условия для развития инновационных технологий.

Подход к регулированию ИИ

ЕС избрал риск-ориентированный подход к правовому регулированию ИИ. На практике это означает, что закон ранжирует системы ИИ по степени их риска и для каждой группы вводит специальное регулирование — от самых строгих правил для высокорискованных систем до полной свободы для систем ИИ, не представляющих угрозу. Такой подход к регулированию стоит признать оптимальным для стремительно развивающейся отрасли, поскольку он, с одной стороны, позволяет исключить неконтролируемое и опасное использование ИИ, а с другой — не снижает инициативу бизнеса в разработке и развитии ИИ.

Система рисков

ЕС вводит следующую категоризацию ИИ-систем на основе оценки рисков: недопустимый риск, высокий, ограниченный и минимальный.

Недопустимый риск. В эту группу попадает, например, биометрическая идентификация и категоризация людей, распознавание человеческих эмоций на рабочем месте или система социального рейтинга (social scoring).

Высокий риск. К этой группе относятся самые разнообразные ИИ-системы. Например, ИИ, используемый для работы инфраструктуры (в частности, транспорта), если такое использование может поставить под угрозу жизнь и здоровье граждан. Или ИИ-системы, которые используются в образовании, в случае, если они могут повлиять на доступ к образованию, например, через оценку экзаменов. ИИ, используемый для оценки резюме при отборе кандидатов на работу, также подпадает под категорию высокорискованных систем, равно как и ИИ, применяемый в роботизированной хирургии. Большая часть закона посвящена регулированию именно этой категории ИИ-систем.

Ограниченный риск. Использование ИИ признается ограниченно рискованным, если не соблюдаются требования прозрачности. Закон вводит специальные требования для обеспечения прозрачности, суть которых состоит в том, чтобы информировать людей об их взаимодействии с ИИ и повышать уровень доверия. Например, при использовании чат-ботов теперь будет необходимо сообщать, что человек общается с машиной. Контент, созданный ИИ, должен быть соответствующим образом маркирован как искусственно сгенерированный. Такое же требование распространяется на аудио- и видеоконтент, созданный с использованием дипфейков.

Минимальный (или отсутствующий) риск. Наконец, закон разрешает свободное использование ИИ с минимальным риском. Сюда относятся, например, видеоигры с поддержкой ИИ или фильтры для спама. Еврокомиссия отдельно отмечает, что подавляющее большинство систем ИИ, в настоящее время используемых в ЕС, попадают именно в эту категорию.

Суть регулирования

Для реализации риск-ориентированного подхода закон предусматривает следующие правила:

• запрещает ИИ-системы, представляющие недопустимые риски. Такие системы могут быть разрешены к использованию только в исключительных случаях, в правоохранительных целях по решению суда (например, распознавание лиц в режиме реального времени для поиска пропавшего ребенка);
• определяет список ИИ-систем с высоким уровнем риска и устанавливает четкие требования к таким системам и компаниям, которые их разрабатывают и внедряют. Среди требований, например, обязательная система оценки рисков и комплаенс, высокое качество дата-сетов, на которых обучается ИИ, протоколирование использования, разумный человеческий надзор за деятельностью таких ИИ-систем и другие меры, направленные на снижение рисков;
  
• требует проведения оценки соответствия перед тем, как система ИИ с высоким уровнем риска будет введена в эксплуатацию или выведена на рынок,
  
• определяет требования прозрачности для ИИ-систем с ограниченным риском,
  
• полностью выводит из-под регулирования ИИ с минимальным риском.
  

Отдельно закон выделяет обязанности для провайдеров ИИ-систем общего назначения (GPAI):

• все провайдеры моделей GPAI должны предоставлять техническую документацию, инструкции по использованию моделей, соблюдать законодательство о защите авторских прав и публично описывать контент, который использовался для обучения ИИ;
• все поставщики моделей GPAI, представляющих системный риск — открытые или закрытые — также должны проводить оценку моделей, отслеживать и сообщать о серьезных инцидентах в работе ИИ-моделей и обеспечивать защиту кибербезопасности.
  

За несоответствие предписанных законом норм устанавливаются крупные штрафы в размере до €35 млн или 7% от глобального оборота. 

Как действовать бизнесу

С момента вступления закона в силу все «забавные» истории о некорректной работе ИИ станут юридической проблемой. Особое регуляторное бремя ляжет на те компании, которые разрабатывают и внедряют высокорискованные ИИ-системы. Однако теперь вне зависимости от категории риска всем компаниям, работающим с ИИ, разумно внедрять ИИ-комплаенс.

ИИ-комплаенс — это эффективно работающий внутри компании комплексный надзор за соответствием ИИ-систем, процессом их разработки, внедрения и использования требованиям законодательства, а также этическим нормам.

ИИ-комплаенс должен включать в себя:

• оценку регуляторного соответствия и гарантировать соблюдение законов при разработке, внедрении и использовании ИИ-систем. Причем речь идет не только о соблюдении Закона об ИИ, но и, например, о соблюдении правил GDPR (Общий регламент по защите данных ЕС) и норм авторского права.
• этические стандарты. Компаниям, равно как и физическим лицам-пользователям ИИ, нужно помнить, что многие вопросы применения ИИ остаются вне рамок законодательных норм. Важно, чтобы системы ИИ соответствовали не только закону, но этическим принципам, таким, как справедливость, прозрачность, ответственность и уважение к частной жизни пользователей. Этический комплаенс включает в себя выявление предвзятостей ИИ-систем, исключение нарушений конфиденциальности и минимизацию других этических рисков.

Заключение

Весь мир наблюдал за тем, как развивается регулирование ИИ в ЕС. Вероятно, принятый закон станет своеобразным «золотым стандартом» для подавляющего большинства юрисдикций, как когда-то таким стандартом стало европейское регулирование о защите данных (GDPR). В ближайшие годы предстоит увидеть, будет ли передовое регулирование соответствовать вызовам рынка. Но уже сегодня уверенно можно сказать, что с учетом скорости развития технологий только законодательного регулирования точно будет недостаточно для обеспечения безопасного использования ИИ-систем. Человечеству придется осознать важность этических самоограничений и осознанного использования ИИ. Посмотрим, получится ли это у нас.

Мнение редакции может не совпадать с точкой зрения авторов