Понад 20 років тому Білл Гейтс сформулював провісний тезис: «If your business is not on the Internet, then your business will be out of business» («Якщо вашого бізнесу немає в інтернеті, то ваш бізнес зникне з ринку»). Зараз уже буде справедливим констатувати: якщо ваш бізнес ще не використовує ШІ, то він скоро може зникнути з ринку. В Україні чітко прослідковується загальносвітова тенденція — незалежно від того, яка модель, тип, розмір і сфера вашого бізнесу, штучний інтелект так чи інакше впливає на щоденні операції та транзакції. І хоча ШІ може принести багато конкурентних переваг, але його використання породжує низку ризиків щодо прав людини та викликів для комплаєнсу компаній.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Передусім необхідно мати уявлення, що саме вкладається в розуміння ШІ, особливо в контексті змістовної складової його юридичної природи. З огляду на євроінтеграційні процеси доцільною є орієнтація на дефініцію ШІ, яка закріплена у Регламенті (ЄС) 2024/1689 Європейського парламенту та Ради від 13 червня 2024 року, що встановлює гармонізовані правила щодо штучного інтелекту (надалі — Регламент ЄС про штучний інтелект). Так, під поняттям «система ШІ» необхідно розуміти засновану на машинному навчанні систему, яка розроблена для роботи з урахуванням різних рівнів автономності та може виявляти адаптивність після впровадження і яка, з явними або неявними цілями, на основі отриманих вхідних даних робить висновки про те, як генерувати вихідні дані, такі як прогнози, контент, рекомендації або рішення, що можуть впливати на фізичне або віртуальне середовище.
Щоб усвідомлювати, чи використовуєте ви ШІ, зупинимось на двох його основних різновидах: аналітичному (дослідницькому) ШІ та генеративному ШІ.
Аналітичний ШІ на сьогодні у своєму чистому вигляді розповсюджений не так широко, оскільки частіше стає базою для генеративного ШІ. Серед принципів його роботи виокремлюють: 1) наявність базового набору даних в будь-якій формі вираження; 2) певний алгоритм, який застосовується до даних для їх систематичної характеристики та сортування; 3) використання корекції для підкріплення машинного навчання, яке спрямовано на точність обробки даних алгоритмом; 4) наявність користувацького інтерфейсу для взаємодії та представлення результату оброблення даних алгоритмом. Прикладом застосування аналітичного ШІ в юридичному бізнесі є збір та опрацювання великого масиву даних щодо договірних положень у конкретному виді контракту для розуміння їх змісту.
Принципи роботи генеративного ШІ подібні до перелічених вище. Але основною відмінністю, що виокремлює такий різновид, є генерування нової інформації. Якщо дещо спрощено пояснювати принцип роботи генеративного ШІ, то завдяки набору даних та алгоритмам робиться прогноз щодо того, яким має бути чи як має виглядати певний результат. Наприклад, генерація підрозділу у відповідному договорі, яка фактично є прогнозом ШІ щодо запиту користувача на основі наданих даних і наявних алгоритмів. Доцільно наголосити на тому, що залежно від підходу розробника системи генеративного ШІ, набори даних для машинного навчання можуть складатися з інформації у вільному доступі (чистих даних), захищених даних (наприклад, об’єктів, захищених авторським правом) або поєднання обох.
У Регламенті ЄС про штучний інтелект запроваджено базовий підхід для розмежування ролей у відносинах, що складаються щодо систем ШІ. Дві основні групи суб’єктів — це постачальники (providers), які є розробниками систем ШІ, та впроваджувачі (deployers), що використовують систему ШІ у підприємницьких чи професійних цілях. Також окремо виділені посередники систем ШІ, а саме імпортери (importers), дистриб’ютори (distributors) та виробники продукту (product manufactures). Для кожної групи суб’єктів, залежно від їхньої ролі, ризики, що пов’язані зі специфікою роботи систем ШІ, будуть певною мірою різнитися з урахуванням також вже наявних особливостей бізнесу.
Водночас у Регламенті ЄС про штучний інтелект європейським законодавцем було сформовано поділ систем ШІ відповідно до рівнів ризику, який вони становлять для користувачів. Така класифікація прямо корелює із кількістю вимог до систем ШІ, які визначені законодавчо. Розподіл було зроблено на:
1. Заборонені — системи ШІ з неприйнятним рівнем ризику. До заборонених належать системи, що здійснюють когнітивне поведінкове маніпулювання людьми; соціальну оцінку і класифікацію людей на основі поведінки, соціально-економічного статусу або особистих характеристик; біометричну ідентифікацію та категоризацію людей тощо.
2. Системи ШІ з високим рівнем ризику. Такі системи мають бути оцінені перед випуском на ринок, а в подальшому — оцінюватись і протягом всього свого життєвого циклу. Держави — члени ЄС мають утворити компетентні національні органи, які прийматимуть та розглядатимуть скарги на системи ШІ від користувачів. До таких систем належать:
• Системи ШІ, які використовуються в продуктах, що підпадають під законодавство ЄС про безпеку продукції (наприклад, іграшки, автомобілі, медичні пристрої тощо).
• Системи ШІ, що належать до певних сфер (з урахуванням деталізованих у Регламенті правил), які повинні бути зареєстровані в базі даних ЄС, зокрема: управління та експлуатації критичної інфраструктури; освіти та професійного навчання; зайнятості, управління працівниками та доступу до самозайнятості; доступу до основних приватних послуг та публічних послуг і пільг, користування ними; забезпечення правопорядку; міграції, надання притулку та управління прикордонним контролем; допомоги в юридичному тлумаченні та застосуванні законодавства.
3. Системи ШІ з незначним рівнем ризику. До цієї групи належать системи, ризики яких можна мінімізувати. Тобто постачальники та впроваджувачі мають зобов’язання щодо прозорості систем ШІ, наприклад, інформування користувача про те, що він взаємодіє із ШІ або що результат був створений штучно. Детальніший перелік цих систем міститься у ст. 50 Регламенту ЄС про штучний інтелект.
4. Системи ШІ з мінімальним рівнем ризику. До цієї групи належать всі інші системи ШІ, їхні постачальники та впроваджувачі не підпадають під дію жодних конкретних зобов’язань відповідно до Регламенту ЄС про штучний інтелект.
Регламент ЄС про штучний інтелект набув чинності 1 серпня 2024 року. Водночас терміном, з яким пов’язується початок його застосування, визначено 2 серпня 2026 року, але з окремими винятками для конкретних положень. Так, з 2 лютого 2025 року вже діє заборона на системи ШІ з неприйнятним рівнем ризику, а також вимоги до рівня обізнаності щодо ШІ. Цього року з 2 серпня набули чинності й норми щодо обов’язків постачальників моделей ШІ загального призначення, приписи, пов’язані із призначенням компетентних органів держав — членів ЄС, а також вимоги із щорічного перегляду Європейською комісією переліку заборонених систем ШІ. Зазначимо, що з 2 лютого 2026 року Єврокомісія має впровадити закон про моніторинг ШІ після виходу на ринок. Подальші етапи набрання чинності відповідних норм заплановані протягом 2026 і 2027 років, а також до 2030 року. Загалом резюмуємо, що як мінімум оцінка використання систем ШІ компаніями для подальшого комплаєнсу має відбуватися вже зараз.
Опосередковано серед основних ризиків, які пов’язані з розробкою, впровадженням та використанням систем ШІ для бізнесу та кінцевих користувачів, необхідно виокремити такі:
1. Пов’язані з автоматизацією операційної діяльності та процесів прийняття рішень. До них належать надмірна залежність від систем ШІ й поступова втрата навичок внаслідок надмірного і неконтрольованого використання ШІ, зменшення необхідної гнучкості для управління репутаційними та юридичними ризиками, неправдиве представлення інформації та введення в оману при продажах тощо. Якщо говорити саме про юридичні аспекти таких ризиків, то залежно від юрисдикції вони можуть призводити до негативних наслідків цивільно-правового, адміністративно-правового чи кримінально-правового характеру.
2. Пов’язані з приватністю. Вітчизняним компаніям доволі давно вже добре відомо, які істотні обмеження на способи використання компаніями персональних даних фізичних осіб були впроваджені внаслідок введення в дію Загального регламенту про захист даних (GDPR) у 2017 році. Нині ж виникає нагальна потреба у належному комплаєнсі із захисту приватності з урахуванням специфіки використання систем ШІ.
3. Пов’язані з правами інтелектуальної власності та правами sui generis. Наголосимо, що у світі наразі триває низка судових проваджень, які спрямовані на те, щоб з’ясувати, чи є навчання ШІ з використанням об’єктів, захищених правами інтелектуальної власності, використання таких навчених моделей ШІ та результатів, отриманих за їхньою допомогою, порушенням прав інтелектуальної власності. Цей ризик не обмежується колом розробників та постачальників ШІ, а потенційно поширюється на впроваджувачів і користувачів генеративних систем ШІ. Адже у багатьох країнах відповідальність за різні порушення прав інтелектуальної власності не залежить від наміру або обізнаності порушника. Водночас переважна частина систем захисту прав інтелектуальної власності розроблялася без урахування існування генеративного ШІ, що фактично на сьогодні призвело до невизначеності щодо того, чи може існувати інтелектуальна власність на результати діяльності систем ШІ та хто буде правоволодільцем.
4. Пов’язані з конфіденційною інформацією компаній. Генеративні системи ШІ можуть зберігати запити користувачів і вчитися на їх основі. На практиці це означає, що якщо користувачі включають конфіденційну інформацію в запити, її конфіденційність може бути втрачена, оскільки постачальники ШІ мають копію даних. Ба більше, внаслідок машинного навчання інформація може стати частиною моделі й тоді буде публічно доступною широкому загалу користувачів. Отже, коли українські компанії навчають генеративні системи ШІ з нуля або налаштовують вже наявні інструменти, використовуючи свою конфіденційну інформацію, є ризик, що вона стане загальнодоступною.
5. Пов’язані зі створенням дипфейків (deepfakes). Переважна більшість дипфейків має потенціал завдавати шкоди абсолютно непередбачуваними способами. Адже питання щодо межі того, чи є фотографія або відео навмисно підробленими і чи мають вони на меті ввести в оману або стати новим об’єктом права інтелектуальної власності, в деяких випадках може бути дуже розмитим. І залежно від намірів автора можуть виникати кардинально різні юридичні наслідки.
Отже, можемо констатувати, що для ефективного управління такими ризиками українським компаніям доцільно поступово впроваджувати відповідні заходи, які враховують особливості систем ШІ. Вважаємо, що вони мають узгоджуватись із вже наявними політиками, принципами і процедурами, які стосуються етики та ділової поведінки, протидії домаганням і дискримінації, інформаційної безпеки, захисту та використання авторських прав, ІТ-ресурсів і систем комунікації, належної перевірки постачальників тощо.
У процесі комплаєнсу критично важливою є розробка конкретних інструкцій щодо використання систем ШІ співробітниками та авторизація на використання лише для прямо дозволених і безпосередньо визначених цілей. Наприклад, мають бути правильно прописані положення, які вимагають уникати використання образливого, дискримінаційного або неприйнятного контенту або ж забороняють вводити конфіденційну інформацію, комерційну таємницю, іншу особисту чи пропрієтарну інформацію про компанію, співробітників, клієнтів або третіх осіб. Також окремо мають бути регламентовані обов’язкові тренінги з використання ШІ, порядок і строки їх проведення, визначення кола осіб, які будуть відповідальними за це.
Задля ретельного моніторингу та документування всіх вхідних і вихідних даних систем ШІ доцільно запровадити систему аудитів з метою виявлення потенційних проблем, упереджень або помилок. Вона має включати механізми виявлення джерела всіх наборів даних, що використовуються ШІ, та маркування вихідних даних, щоб вказати, чи були вони повністю або частково створені за допомогою технології ШІ.
На сьогодні в Україні відносини, які складаються щодо систем ШІ, не мають належного комплексного законодавчого врегулювання. Проте це не означає, що окреслені ризики не мають відповідних юридичних наслідків. Навпаки відсутність спеціальних нормативно-правових актів призводить до виникнення юридичних колізій і прогалин, що однаково шкодить підприємницькій діяльності, а також охороні й захисту особистих немайнових і майнових прав фізичних осіб. Міністерство цифрової трансформації України, Український національний офіс інтелектуальної власності та інновацій, інші стейкхолдери активно працюють над початковими етапами впровадження вітчизняних стандартів у сфері ШІ. Аналіз передумов та загальних принципів регулювання вже частково відображені у, зокрема, Білій книзі з регулювання ШІ в Україні. Однак вже зараз зрозумілою є доцільність орієнтації саме на європейські стандарти та істотне значення для бізнесу розпочинати процеси комплаєнсу невідкладно, а не чекати на реакцію вітчизняного законодавця.
Насамкінець зазначимо, що ШІ є вкрай ефективним інструментом, який покращує обслуговування, підвищує безпеку, сприяє створенню індивідуалізованих, дешевших і довговічніших продуктів та послуг. Генеративні системи ШІ також значно полегшують доступ до інформації, освіти й навчання, можуть відкривати нові робочі місця та можливості для бізнесу. Але які будь-який інший інструмент, ШІ несе ризики застосування, які можливо та необхідно ефективно мінімізувати шляхом створення дієвих правових механізмів із забезпечення його використання.