ЄС готується регулювати сферу штучного інтелекту.
Очікується, що технології штучного інтелекту (ШІ) спричинять значне зростання продуктивності та допоможуть розв’язати багато соціальних викликів, від діагностування хвороб до мінімізації негативного впливу на довкілля. Однак ці технології несуть і значні соціоекономічні, юридичні та етичні ризики, які необхідно передбачити та мінімізувати.
Тим більше, що члени ЄС вже активно проявляють власні ініціативи. Німецька комісія з етики даних закликала створити ризик-орієнтовану систему регулювання. Данія, відповідаючи на наявний запит і шукаючи конкурентних переваг для свого бізнесу, створила “Печатку етичних даних”, яка має підтверджувати дотримання продуктом певних етичних стандартів. Мальта запровадила добровільну сертифікацію систем ШІ.
Відтак для уникнення фрагментації внутрішнього ринку конче необхідна якісна та робоча регуляторна база на рівні Євросоюзу.
Пробіли у регулюванні
Вже у першому кварталі цього року Єврокомісія має презентувати законодавчу ініціативу для регулювання ШІ на рівні Євросоюзу.
Звісно, у Євросоюзі немає правового вакууму щодо застосування ШІ. У багатьох випадках можна буде застосовувати існуюче законодавство про безпеку продукції та відповідальність, низку директив ЄС щодо захисту основних прав людини та прав споживачів та Загальний регламент захисту даних (GDPR).
Водночас Єврокомісія виділяє окремі сфери, які потребують удосконалення.
Річ у тім, що чинне законодавство ЄС про безпеку на сьогодні може застосовуватися до продуктів, але не до послуг. Відтак – і не до послуг, що базуються на технологіях ШІ (транспортні послуги, охорона здоров’я і т.п.).
Водночас законодавство про безпеку продукції зосереджене на виведенні продукції на ринок. Програмне забезпечення, яке є частиною продукту, має відповідати правилам безпеки продукції, але чи покривається законодавством самостійне ПЗ – питання дискусійне, за винятком кількох секторів із чіткими правилами.
Ще одна проблема в тому, що нові ризики можуть виникнути внаслідок оновлення програмного забезпечення та навчання ШІ у процесі використання.
Також чинне законодавство щодо безпеки продукції покладає відповідальність за всі компоненти, в т.ч. ШІ, на виробника продукту, що виходить на ринок. Відповідальність інших учасників ланцюжка постачання регулює національне законодавство. У разі додавання ШІ до продукту після виходу на ринок, третьою стороною, виникає правова невизначеність.
Зрештою, поширення систем ШІ може посилити ризики, які не охоплені існуючим законодавством, зокрема щодо кіберзагроз та особистої безпеки (наприклад при застосуванні ШІ у побутових приладах), ризики від втрати зв’язку.
Оцінка ризиків
У лютому 2020 року ЄК опублікувала для публічного обговорення зацікавленими сторонами “Білу книгу зі штучного інтелекту” – огляд підходів, які можуть бути використані у майбутній регуляторній базі.
“Біла книга” демонструє ризик-орієнтований підхід Єврокомісії, який широко застосовується у корпоративному управлінні. Такий підхід уможливлює ефективніше регулювання ШІ без непропорційного втручання регулятора та обтяження бізнесу.
Вичерпний перелік високоризикових секторів, що потребують контролю, буде наведений у новому законодавстві та періодично переглядатиметься, але за визначенням включатиме охорону здоров’я, транспорт, енергетику і окремі частини публічного сектора, такі як міграційний та прикордонний контроль, правосуддя, працевлаштування.
Втім, не всі сфери застосування ШІ створюють значні ризики. Наприклад, система запису до лікаря малоймовірно створить ризики, що потребуватимуть окремого регуляторного втручання.
Автори визначають високоризикове застосування ШІ як таке, що впливає на права людей та компаній, створює загрозу травми, смерті або значної шкоди.
Окремі застосування ШІ підпадатимуть під нове регулювання безвідносно до сектора, наприклад ті, що стосуються працевлаштування та прав робітників, дистанційної біометричної ідентифікації (наприклад, за ходою) та технологій спостереження.
Автори документа виділяють дві ключові групи ризиків.
Перша група – ризики для основних прав, таких як право на свободу слова та зібрань, право на гідність, недискримінацію, захист персональних даних та конфіденційність, право на ефективну юридичну допомогу та справедливий суд і захист споживачів.
Ці ризики можуть породжуватися недоліками загальної конструкції систем або використанням даних без виправлення можливих упереджень.
Також ШІ збільшує можливості відстежування й аналізу поведінки громадян та деанонімізації шляхом опрацювання і встановлення зв’язків між наборами великих даних, які самі по собі не містять персоніфікованої інформації.
Автори документа вказують на важливу відмінність ШІ від людини у контексті ухвалення рішень – відсутність соціального контролю. Будь-якій соціальній та економічній діяльності властиві ризики упередженості та дискримінації, люди схильні помилятися. Однак ШІ, який відтворюватиме хиби людського мислення, але не матиме механізмів соціального контролю, може значно посилити ці ризики.
Через особливості ШІ, такі як непрозорість (“ефект чорної скриньки”), складність, непрогнозованість та часткова самостійність, складно перевірити дотримання законодавства ЄС, спрямованого на захист прав людини. Органам влади та громадянам може бути складно з’ясувати, як було ухвалене те чи інше рішення за участю ШІ та чи були дотримані відповідні правила. Це своєю чергою може завадити ефективному доступу до правосуддя постраждалим від дій та рішень систем ШІ.
Самі по собі вони не містять персоніфікованої інформації, проте створюють нові ризики захисту даних і приватності.
Друга група – ризики для безпеки та ефективного функціонування режиму відповідальності.
Тут йдеться про ризики для користувачів продуктів та послуг із вбудованим ШІ. Наприклад, хиба системи розпізнавання об’єктів в автономному авто може спричинити аварію з травмами та матеріальною шкодою.
Зрештою, відсутність чітких вимог безпеки створює ситуацію юридичної невизначеності для бізнесу, що продає системи з використанням ШІ.
Автори документа вказують, що в окремих ситуаціях наглядовим та правоохоронним органам може бути не очевидно, чи можуть вони втручатися, чи є у них достатні повноваження або й технічні можливості для інспектування таких систем.
Невизначеність зменшує загальний рівень безпеки, підриває конкурентоздатність європейських компаній та ускладнює отримання компенсацій постраждалими.
Вимоги до штучного інтелекту
Під час обговорення законодавчих пропозицій виділяють такі види вимог до високоризикових застосувань ШІ.
Дані, на яких навчається ШІ, повинні бути достатньо широкими та репрезентативними, покривати усі релевантні сценарії для запобігання небезпечним ситуаціям, забезпечувати недискримінацію та захист приватності й особистих даних.
Збереження даних про навчання ШІ, документації та, в окремих випадках, наборів даних дозволить переконатися у дотриманні законодавства при створенні та навчанні системи ШІ.
Необхідне інформування користувачів про те, коли вони взаємодіють зі ШІ, та про можливості й обмеження системи ШІ. Водночас для уникнення обтяження бізнесу, у випадках, коли використання ШІ буде очевидним користувачам, таке інформування не буде необхідним.
Високоризикові системи ШІ повинні бути достатньо надійними, достовірно вказувати рівень точності на усіх фазах життєвого циклу, бути стійкими до зовнішніх атак і маніпуляцій з даними та алгоритмами.
Крім того, залежно від застосування, висновки високоризикового ШІ не можуть бути чинними без попередньої валідації людиною.
Наприклад, заявка на соціальну допомогу може бути відхилена лише людиною.
Або ж ці висновки можуть бути чинними, але потребують постконтролю (наприклад, розгляд кредитної заявки).
Окремі застосування можуть потребувати моніторингу з можливістю негайного втручання людини або закладеної розробниками зупинки системи ШІ за певних умов (наприклад, використання автопілотованих авто без належної розмітки, або в умовах поганої видимості).
На додачу під заборону підпадає збір та використання біометричних даних для дистанційної ідентифікації (окрім тих, що становлять значний суспільний інтерес).
Дискусії навколо ініціатив ЄК
У червні 2020 року європейський інспектор із захисту даних Войцех Вівьоровський опублікував власну позицію. Він підтримав ризик-орієнтований та людиноцентричний підхід Єврокомісії, але зазначив, що нова регуляторна база для ШІ повинна:
– захищати від негативних наслідків не лише індивідів, а й спільноти та суспільство загалом;
– мати більш надійну та конкретну схему класифікації ризиків, щоб кожна значна потенційна загроза від ШІ мала відповідні контрзаходи;
– чітко визначити прогалини в законодавстві, які потрібно заповнити;
– уникати накладок між наглядовими органами та містити механізм співпраці.
Вівьоровський також підтримав ідею мораторію на запровадження в Євросоюзі автоматизованих систем розпізнавання людських рис.
Причому не лише облич, а й ходи, відбитків пальців, ДНК, голосу, натиску на клавіатуру та інших біометричних та поведінкових сигналів – принаймні, поки не буде запроваджена необхідна юридична база, яка б гарантувала пропорційність застосування відповідних технологій.
У жовтні Європарламент підтримав три законодавчі ініціативи депутатів щодо регулювання ШІ.
Хоча, по суті, це лише пропозиції до Єврокомісії, голова ЄК Урсула фон дер Ляєн зобов’язалася зміцнити співпрацю з Європарламентом, зокрема шляхом реагування на усі законодавчі пропозиції.
Іван Гарсія дель Бланко (Прогресивний альянс соціалістів та демократів) пропонує, щоб високоризикові технології ШІ, наприклад такі, що здатні самонавчатися, обов’язково передбачали можливість людського нагляду в будь-який момент.
Ініціатива Акселя Фосса (Європейська народна партія) закликає до встановлення обов’язкової відповідальності операторів ШІ за будь-яку заподіяну шкоду, запропонувавши зробити обов’язковим страхування відповідальності операторів ШІ.
І нарешті, звіт Стефана Сежурне (“Оновимо Європу”) фокусується на захисті прав інтелектуальної власності. У ньому йдеться про те, що важливо розрізняти людські твори, створені за допомогою штучного інтелекту, та твори, безпосередньо згенеровані ШІ. Депутати ЄП підтримали позицію, що ШІ не повинен мати правосуб’єктності, тобто що правом на інтелектуальну власність може володіти лише людина.
Також свої відгуки надали низка громадських організацій, галузевих та професійних об’єднань.
Європейський законотворчий процес і дискусії навколо нього є вкрай важливими й для України – бо вже незабаром подібні зміни доведеться впроваджувати й Києву.
Автор: Юрій Гайдай,
інспектор Ради бізнес-омбудсмена України
Читайте оригінал публікації.
09.02.2021