 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Машинне навчання входить у повсякденну роботу українських банків, але законодавство поки не встигає за технологіями. Кредитні організації дедалі частіше покладаються на автоматичні системи при ухваленні рішень, що викликає занепокоєння щодо справедливості таких процесів. Тим часом наша країна намагається узгодити національні правила з новими європейськими вимогами до штучного інтелекту.
Аналіз чинного законодавства України щодо використання штучного інтелекту в банківській діяльності: від НБУ до європейських стандартів
Фінансові установи активно впроваджують системи машинного навчання для автоматизації процесів та швидкого прийняття рішень. У 2020 році НБУ затвердив Стратегію розвитку фінтеху до 2025 року, що передбачала розвиток цифрових технологій, big data, blockchain, автоматизації і штучного інтелекту. Однак у 2023 році стратегію припинили через війну.
Міністерство цифрової трансформації у 2023 році презентувало дорожню карту з регулювання ШІ в Україні, яка допоможе компаніям підготуватися до ухвалення закону-аналога AI Act.
Стратегія "bottom-up" передбачає початкове забезпечення бізнес-структур необхідними засобами та ресурсами для адаптації, з подальшим впровадженням відповідного законодавства. З серпня 2024 року діє Artificial Intelligence Act ЄС, який класифікує програми ШІ за рівнем ризику: заборонені практики, високоризикові системи та інші технології.
Для українських банків, що працюють із ЄС, важливі заборонені практики:
-
Маніпулювання слабкостями людей.
-
Невибіркова біометрична ідентифікація в реальному часі.
-
Соціальне оцінювання громадян за допомогою ШІ.
Високоризикові системи потребують оцінки відповідності перед виходом на ринок. Фінансові інструменти автоматизованого прийняття рішень належать до цієї категорії.
Правові механізми захисту персональних даних клієнтів при автоматизованій обробці кредитних заявок: вимоги GDPR та українського законодавства
Кредитні організації стикаються з потребою балансувати між ефективністю алгоритмічних рішень та захистом прав клієнтів. Відповідно до GDPR, персональними даними вважається вся інформація, яка пов'язана з конкретною фізичною особою, котру можна встановити або ідентифікувати прямо чи опосередковано. Причому не має значення, чи є ця інформація правдивою.
При обробці чутливих персональних даних, особливо за допомогою автоматичного прийняття рішень, включаючи створення профілю, обробка таких даних породжує значніші наслідки для відповідного суб'єкта персональних даних.
Тому кредитні установи повинні отримувати безумовну згоду від суб'єкта персональних даних. Український закон про захист персональних даних встановлює чіткі вимоги. Обробка конфіденційної інформації про особу заборонена без отримання її добровільної згоди. Винятки можливі тільки у випадках, прямо передбачених законодавством, та виключно для захисту національної безпеки, забезпечення економічного благополуччя і дотримання основних прав людини.
При зверненні до фінансової установи з метою отримання кредиту, зокрема послуг типу кредит онлайн на будь-яку карту, персональні дані можуть передаватися до бюро кредитних історій та операторів телекомунікацій за наявності згоди суб'єкта персональних даних.
Фінансові установи зобов'язані інформувати клієнтів про:
-
Джерела збирання персональних даних.
-
Мету їх обробки.
-
Умови надання доступу до персональних даних.
-
Третіх осіб, яким можуть передаватися дані.
Рекомендації для забезпечення законності включають проведення DPIA (оцінка впливу на захист даних), забезпечення доступних каналів для звернення клієнтів і пояснення результатів, впровадження explainable AI для забезпечення auditability.
Юридична відповідальність фінансових установ за алгоритмічні рішення ШІ-систем у сфері онлайн-кредитування: судова практика та регуляторні вимоги
НБУ затвердив розподіл банків на групи на 2025 рік, визначивши критерії для банків з державною часткою, банків іноземних банківських груп та банків з приватним капіталом. Регуляторні вимоги включають ліцензування алгоритмічних рішень, вимоги до прозорості моделей та системи ризик-контролю.
Європейський регламент AI Act класифікує штучний інтелект високого ризику в банківській та фінансовій сферах, встановлюючи обов'язкові стандарти для перевірки систем, ведення технічної документації та забезпечення прав користувачів. За недотримання AI Act компанії сплачуватимуть штрафи, які можуть сягати до 7% світового річного обороту компанії за заборонені системи штучного інтелекту.
Верховний Суд у справі № 711/8709/19 вказав, що недотримання працівниками банку вимог профільного законодавства не може покладати тягар відповідальності на сумлінного споживача фінансових послуг. Це рішення формує важливий прецедент для випадків, коли алгоритмічні системи приймають неправильні рішення.
Судова практика у банківських спорах показує, що банки не можуть звертати стягнення на предмет іпотеки в позасудовому порядку або виселяти мешканців з предмету іпотеки. Це обмеження особливо важливе при використанні автоматизованих систем оцінки ризиків.
У контексті штрафів та санкцій українські банки ризикують анулюванням ліцензії та виключенням з реєстру за порушення вимог до алгоритмічних рішень. У разі співпраці з ЄС застосовуються штрафи до 7% обороту за порушення AI Act, в Україні – адміністративні та цивільні стягнення.
Правова позиція судів формується в напрямку захисту прав споживачів фінансових послуг. Фінансові установи повинні забезпечувати прозорість алгоритмічних рішень, можливість їх оскарження та дотримання принципів недискримінації. Недотримання цих вимог може призвести до значних фінансових втрат та репутаційних ризиків.