Акт Європейського Союзу про штучний інтелект

1 серпня 2024 року набув чинності Акт Європейського Союзу про штучний інтелект (The EU AI Act, далі – «Акт»).

Компанії, які використовують штучний інтелект (далі – «ШІ») і хочуть далі працювати на європейському ринку, мають підготуватись до виконання нових зобов’язань.

Метою запровадження нового законодавства є регулювання ринку систем ШІ, зокрема тих, які несуть високий ризик.

Вимоги Акта розповсюджуються на розробників систем та моделей ШІ, які працюють на ринку ЄС, незалежно від місцезнаходження розробника системи.

Оновлене законодавство ЄС встановлює таку класифікацію систем ШІ залежно від рівня ризику:

• Неприйнятний ризик. Акт забороняє такі системи (наприклад, системи соціального рейтингування та створені для маніпуляцій людьми).
• Високий ризик. Це системи біометричної ідентифікації, системи, які використовуються в критичній інфраструктурі, системи освіти, управління персоналом, державних послуг тощо.
• Обмежений ризик. Це переважно чат-боти та системи для створення дипфейків.
• Мінімальний ризик. До нього належать елементи ШІ, інтегровані в інші програмні продукти, наприклад ШІ в комп’ютерних іграх або спам-фільтри. Діяльність таких систем не регулюється Актом, але може регулюватися іншим законодавством ЄС. Також не регулюється використання систем ШІ для особистих потреб, не пов’язаних з професійним використанням.

Крім того, Акт встановлює визначення систем ШІ загального призначення (General purpose AI, далі – «GPAI»).

Системи GPAI базуються на моделях ШІ, які можуть компетентно виконувати широкий спектр окремих завдань та інтегруватись у різноманітні похідні системи або програми, незалежно від їхнього ринкового позиціонування.

Розробники моделей GPAI та систем на їх базі мають публікувати технічну документацію, інструкції для користувачів, звіт про дані, які були використані для навчання моделі, та відповідати вимогам законодавства про захист авторських прав.

Для деяких моделей розробники мають проводити оцінювання, тестування, фіксувати та інформувати про серйозні інциденти, а також вживати додаткових заходів з кібербезпеки.

Нові обов’язки

До систем з обмеженим ризиком ставляться переважно вимоги з прозорості. Розробники мають впевнитися, що користувачі систем розуміють, що спілкуються з ШІ, а весь створений ШІ контент повинен мати відповідне маркування.

Розробники систем з високим ризиком мають виконати такі вимоги:

• створити систему управління ризиками, яка функціонуватиме протягом усього життєвого циклу системи;
• управляти даними, забезпечуючи, щоб набори даних навчання, перевірки та тестування були релевантними, достатньо репрезентативними та, наскільки це можливо, вільними від помилок і повними відповідно до запланованої мети;
• скласти технічну документацію для демонстрації відповідності системи вимогам законодавства та надати інформацію для оцінювання такої відповідності органам влади;
• забезпечити ведення записів про роботу системи, що має автоматично записувати події, важливі для виявлення ризиків національного рівня, а також випадки суттєвих модифікацій системи;
• запровадити систему управління якістю з метою забезпечення виконання вимог комплаєнсу;
• надати користувачам інструкції щодо використання системи, щоб забезпечити дотримання вимог законодавства з їхнього боку;
• користувачі системи повинні мати можливість здійснювати перевірку результатів роботи системи;
• результати роботи системи повинні мати належний рівень точності, надійності та кібербезпеки.

Розробники GPAI-моделей повинні:

• скласти технічну документацію, яка включатиме процес навчання, тестування та оцінювання результатів роботи моделі;
• підготувати інформацію та документацію для користувачів, які мають намір інтегрувати модель GPAI у свою власну систему ШІ, щоб останні розуміли можливості та обмеження й мали змогу відповідати вимогам законодавства;
• запровадити політику дотримання вимог законодавства про авторські права;
• опублікувати достатньо детальний опис даних, які використовувались для навчання моделі GPAI.

Строки запровадження

Після набрання чинності Акт почне застосовуватись у такі строки:

• 6 місяців – для заборонених систем ШІ;
• 12 місяців – для систем та моделей GPAI;
• 24 місяці – для решти систем ШІ, зокрема для більшості систем ШІ, крім наступних;
• 36 місяців – для систем ШІ, які застосовуються в сфері безпеки промислового виробництва, транспорту, авіації, медицини тощо.

До цього часу розробники систем та моделей ШІ, які працюють на ринку ЄС або планують вийти на нього, мають виконати всі вимоги, описані вище.

Ми продовжуємо стежити за тим, як зароджується регулювання новітніх технологій, та триматимемо вас в курсі подальших оновлень.

Повернутися до: Податково-юридичний інформаційний бюлетень 2024 року