Закон Европейского Союза об искусственном интеллекте: юридический анализ
© Петроградское юридическое бюро «Пузикова и партнеры»
Любовь Пузикова
30 марта 2024
21 апреля 2021 года Европейской комиссией было принято предложение о Регламенте Европейского парламента и Совета, устанавливающее гармонизированные правила по регулированию систем искусственного интеллекта (Закон об искусственном интеллекте) и внесении поправок в некоторые законодательные акты Союза.
13 марта 2024 года Европейский парламент принял Закон об искусственном интеллекте (Artificial Intelligence Act). Обратимся к краткому юридическому анализу текста принятого Закона.
13 марта 2024 года Европейский парламент принял Закон об искусственном интеллекте (Artificial Intelligence Act). Обратимся к краткому юридическому анализу текста принятого Закона.
Закон об искусственном интеллекте ЕС: юридическая структура документа
Рассматриваемый Закон об искусственном интеллекте Европейского Союза — это объемный (459 стр.) наднациональный нормативно-правовой акт — регламент (далее по тексту — «Закон», «Регламент»). Согласно преамбуле и ст. 1 Закона его целью является установление единой правовой базы для разработки, размещения на рынке, ввода в эксплуатацию и использования систем искусственного интеллекта в Союзе, которая будет функционировать в соответствии с ценностями Союза, способствовать внедрению ориентированного на человека и заслуживающего доверия искусственного интеллекта (ИИ), обеспечивая при этом высокий уровень защиты здоровья, безопасности и основных прав, закрепленных в Хартии основных прав Европейского Союза («Хартия»), включая демократию, верховенство закона и защиту окружающей среды, против вредного воздействия систем искусственного интеллекта в Союзе и поддержку инноваций.
Закон включает преамбулу из 180 пунктов (описываются цели, взаимосвязи, принципы и иные основополагающие основы работы закона в правовой системе ЕС), 13 глав, включающих 113 статей (основные положения (I), запрещённые практики ИИ (II), системы ИИ высокого риска (III), обязательства прозрачности для поставщиков и разработчиков ИИ (IV), универсальные модели ИИ (V), меры поддержки инноваций (VI), управление (VII), база данных ЕС для систем высокого риска (VIII), мониторинг, обмен информацией, надзор рынка (IX), кодекс поведения (X), делегирование полномочий и процедуры (XI), штрафы (XII), финальные положения (XIII)), 13 приложений (уточняются и детализируются перечни документов, отсылки к иным актам ЕС).
Закон включает преамбулу из 180 пунктов (описываются цели, взаимосвязи, принципы и иные основополагающие основы работы закона в правовой системе ЕС), 13 глав, включающих 113 статей (основные положения (I), запрещённые практики ИИ (II), системы ИИ высокого риска (III), обязательства прозрачности для поставщиков и разработчиков ИИ (IV), универсальные модели ИИ (V), меры поддержки инноваций (VI), управление (VII), база данных ЕС для систем высокого риска (VIII), мониторинг, обмен информацией, надзор рынка (IX), кодекс поведения (X), делегирование полномочий и процедуры (XI), штрафы (XII), финальные положения (XIII)), 13 приложений (уточняются и детализируются перечни документов, отсылки к иным актам ЕС).
Фото: Guillaume Perigois, Unsplash
Закон об искусственном интеллекте ЕС: что и как регулирует?
В соответствии со ст. 1 Закона принимаемое регулирование должно обеспечить свободное перемещение через границу товаров и услуг на основе ИИ, тем самым, не позволяя государствам-членам налагать ограничения на разработку, маркетинг и использование систем ИИ, если это прямо не разрешено принятым Законом. Закон также устанавливает обязательства в отношении ИИ, исходя из его потенциальных рисков и уровня воздействия.
Принимаемое регулирование направлено и устанавливает (п. 2 ст.1 Закона):
(a) гармонизированные правила размещения на рынке, ввода в эксплуатацию и использования систем искусственного интеллекта в Союзе;
(b) запреты на определенные практики ИИ;
(c) конкретные требования к системам искусственного интеллекта высокого риска и обязательства операторов таких систем;
(d) гармонизированные правила прозрачности для некоторых систем ИИ;
(e) гармонизированные правила размещения на рынке моделей ИИ общего назначения;
(f) правила мониторинга рынка, управления надзором за рынком и правоприменения;
(g) меры по поддержке инноваций с особым акцентом на бизнес, включая стартапы.
Из сферы действия Закона следует, что его регулирование не применяется к системам ИИ, используемым для целей обороны и национальной безопасности государств-членов ЕС (ст. 2 Закона).
Принимаемое регулирование направлено и устанавливает (п. 2 ст.1 Закона):
(a) гармонизированные правила размещения на рынке, ввода в эксплуатацию и использования систем искусственного интеллекта в Союзе;
(b) запреты на определенные практики ИИ;
(c) конкретные требования к системам искусственного интеллекта высокого риска и обязательства операторов таких систем;
(d) гармонизированные правила прозрачности для некоторых систем ИИ;
(e) гармонизированные правила размещения на рынке моделей ИИ общего назначения;
(f) правила мониторинга рынка, управления надзором за рынком и правоприменения;
(g) меры по поддержке инноваций с особым акцентом на бизнес, включая стартапы.
Из сферы действия Закона следует, что его регулирование не применяется к системам ИИ, используемым для целей обороны и национальной безопасности государств-членов ЕС (ст. 2 Закона).
Нормы Закона об искусственном интеллекте: что запрещено и что разрешено?
Важно подчеркнуть, что сам Закон детально описывает гармонизированные правила и процедуры, которые должны быть приняты и имплементированы дополнительно в законодательство стран-членов Европейского Союза. Закон содержит весь спектр норм, включая запретительные нормы, нормы в области разрешённого применения ИИ в целях безопасности для правоохранительных органов. Например, применение систем биометрической идентификации (biometric identification systems (RBI) правоохранительными органами в принципе запрещено, за исключением исчерпывающе перечисленных и узко определенных в Законе ситуаций.
RBI «в режиме реального времени» может быть развернут только при условии соблюдения строгих мер безопасности, его использование ограничено во времени и географическом охвате и подлежит конкретному предварительному судебному или административному разрешению. На основании риск-ориентированного подхода, например, возможен целенаправленный поиск пропавшего человека или предотвращение террористической атаки; использование таких систем постфактум («пост-дистанционный RBI») считается вариантом использования с высоким уровнем риск, связанного с уголовным деянием и требующим судебного разрешения (разрешение должно основываться с учетом требований необходимости и соразмерности). Однако по общему правилу использование правоохранительными органами системы RBI запрещено (см напр.: п.п.32,32 преамбулы Закона, глава 2 Закона).
Нормы Закона запрещают определенные приложения искусственного интеллекта, которые угрожают правам граждан, в том числе системы биометрической категоризации, основанные на чувствительных характеристиках, а также нецелевое извлечение изображений лиц из Интернета или записей с камер видеонаблюдения для создания баз данных распознавания лиц. Распознавание эмоций на рабочем месте и в школах, социальный рейтинг, предиктивная (прогнозирующая) полицейская деятельность (когда она основана исключительно на профилировании человека или оценке его характеристик) и искусственный интеллект, который манипулирует поведением человека или использует его уязвимости, также запрещены.
Дополнительными гарантиями от злоупотребления использования системы ИИ с высоким риском являются прописанные процедуры и гайдлайны поведения, включая отдельное гласное опубликование соответствующих отчетов о применении вышеуказанных систем ИИ в исключительных целях. Законом предусматриваются нормативные процедурные взаимодействия всех субъектов и создаваемых органов (см. ниже), за соблюдением запретов и ограничений Закона, включая описанные системы ИИ высокого риска.
В частности, согласно п.п.5,6 ст. 6 национальные органы по надзору за рынком и национальные органы по защите данных государств-членов ЕС, которые были уведомлены об использовании систем удаленной биометрической идентификации «в реальном времени» в общедоступных местах для правоохранительных целей и должны представлять Комиссии ежегодные отчеты о таком использовании. Комиссия обязана публиковать годовые отчеты об использовании систем удаленной биометрической идентификации в режиме реального времени в публично доступных местах для правоохранительных целей на основе агрегированных данных (однако подобные отчеты не должны включать конфиденциальные оперативные данные о соответствующей правоохранительной деятельности).
RBI «в режиме реального времени» может быть развернут только при условии соблюдения строгих мер безопасности, его использование ограничено во времени и географическом охвате и подлежит конкретному предварительному судебному или административному разрешению. На основании риск-ориентированного подхода, например, возможен целенаправленный поиск пропавшего человека или предотвращение террористической атаки; использование таких систем постфактум («пост-дистанционный RBI») считается вариантом использования с высоким уровнем риск, связанного с уголовным деянием и требующим судебного разрешения (разрешение должно основываться с учетом требований необходимости и соразмерности). Однако по общему правилу использование правоохранительными органами системы RBI запрещено (см напр.: п.п.32,32 преамбулы Закона, глава 2 Закона).
Нормы Закона запрещают определенные приложения искусственного интеллекта, которые угрожают правам граждан, в том числе системы биометрической категоризации, основанные на чувствительных характеристиках, а также нецелевое извлечение изображений лиц из Интернета или записей с камер видеонаблюдения для создания баз данных распознавания лиц. Распознавание эмоций на рабочем месте и в школах, социальный рейтинг, предиктивная (прогнозирующая) полицейская деятельность (когда она основана исключительно на профилировании человека или оценке его характеристик) и искусственный интеллект, который манипулирует поведением человека или использует его уязвимости, также запрещены.
Дополнительными гарантиями от злоупотребления использования системы ИИ с высоким риском являются прописанные процедуры и гайдлайны поведения, включая отдельное гласное опубликование соответствующих отчетов о применении вышеуказанных систем ИИ в исключительных целях. Законом предусматриваются нормативные процедурные взаимодействия всех субъектов и создаваемых органов (см. ниже), за соблюдением запретов и ограничений Закона, включая описанные системы ИИ высокого риска.
В частности, согласно п.п.5,6 ст. 6 национальные органы по надзору за рынком и национальные органы по защите данных государств-членов ЕС, которые были уведомлены об использовании систем удаленной биометрической идентификации «в реальном времени» в общедоступных местах для правоохранительных целей и должны представлять Комиссии ежегодные отчеты о таком использовании. Комиссия обязана публиковать годовые отчеты об использовании систем удаленной биометрической идентификации в режиме реального времени в публично доступных местах для правоохранительных целей на основе агрегированных данных (однако подобные отчеты не должны включать конфиденциальные оперативные данные о соответствующей правоохранительной деятельности).
Риск-ориентированный подход к правовому регулированию систем искусственного интеллекта
Риск-ориентированный подход должен адаптировать содержание правил к интенсивности и масштабу рисков, которые могут генерировать системы ИИ. В связи с чем запрещаются некоторые неприемлемые методы ИИ, устанавливаются требования к системам ИИ высокого риска и обязательства для соответствующих операторов и производителей, включая обязательства по прозрачности (Глава 4 Закона).
Закон основывается на принципах и правилах, разработанных ранее органами ЕС. Важным институциональным органом остается Экспертная группа высокого уровня по искусственному интеллекту (AI of the High-Level Expert Group on Artificial Intelligence — AI HLEG). Комиссия сформирована еще в 2019 году и участвовала в разработке стратегии по регулированию искусственного интеллекта. AI HLEG разработала семь этических принципов для ИИ, которые призваны помочь гарантировать, что ИИ заслуживает доверия и этически обоснован (п. 27 преамбулы Закона). Семь принципов включают: человеческую деятельность и надзор; техническая надежность и безопасность; конфиденциальность и управление данными; прозрачность; разнообразие, недискриминация и справедливость; социальное и экологическое благополучие и подотчетность.
Перечисленные руководящие принципы должны способствовать созданию последовательного, заслуживающего доверия и ориентированного на человека ИИ в соответствии с Уставом и ценностями, на которых основан Европейский Союз. Согласно руководящим принципам AI HLEG, человеческая деятельность и надзор означают, что системы ИИ разрабатываются и используются в качестве инструмента, который служит людям, уважает человеческое достоинство и личную автономию, функционирует таким образом, чтобы его можно было надлежащим образом контролировать людьми.
Система рисков подразделяет их на четыре категории: недопустимый риск, высокий риск, ограниченный риск и минимальный риск. Приложение 3 конкретизирует области применения ИИ с высоким риском. Большая часть норм касается регламентации вопросов недопустимого и высокого рисков (напр.: глава 3 Закона).
Так как в основе принятого регулирования лежат принципы человекоориентрованности и защиты его прав и свобод, фундаментальными являются положения, гарантирующие безопасность гражданам ЕС, отсюда перечислявшиеся выше принципы прозрачности и открытости. В ст. 50 Закона закрепляется: «поставщики должны гарантировать, что системы ИИ, предназначенные для непосредственного взаимодействия с физическими лицами, спроектированы и разработаны таким образом, чтобы физические лица были проинформированы о том, что они взаимодействуют с системой ИИ, за исключением случаев, когда это очевидно для физлица. Это обязательство не распространяется на системы искусственного интеллекта, уполномоченные законом обнаруживать, предотвращать, расследовать уголовные преступления или преследовать их по закону, при условии соблюдения соответствующих гарантий прав и свобод третьих лиц, за исключением случаев, когда эти системы доступны общественности для сообщения о преступлениях».
Закон основывается на принципах и правилах, разработанных ранее органами ЕС. Важным институциональным органом остается Экспертная группа высокого уровня по искусственному интеллекту (AI of the High-Level Expert Group on Artificial Intelligence — AI HLEG). Комиссия сформирована еще в 2019 году и участвовала в разработке стратегии по регулированию искусственного интеллекта. AI HLEG разработала семь этических принципов для ИИ, которые призваны помочь гарантировать, что ИИ заслуживает доверия и этически обоснован (п. 27 преамбулы Закона). Семь принципов включают: человеческую деятельность и надзор; техническая надежность и безопасность; конфиденциальность и управление данными; прозрачность; разнообразие, недискриминация и справедливость; социальное и экологическое благополучие и подотчетность.
Перечисленные руководящие принципы должны способствовать созданию последовательного, заслуживающего доверия и ориентированного на человека ИИ в соответствии с Уставом и ценностями, на которых основан Европейский Союз. Согласно руководящим принципам AI HLEG, человеческая деятельность и надзор означают, что системы ИИ разрабатываются и используются в качестве инструмента, который служит людям, уважает человеческое достоинство и личную автономию, функционирует таким образом, чтобы его можно было надлежащим образом контролировать людьми.
Система рисков подразделяет их на четыре категории: недопустимый риск, высокий риск, ограниченный риск и минимальный риск. Приложение 3 конкретизирует области применения ИИ с высоким риском. Большая часть норм касается регламентации вопросов недопустимого и высокого рисков (напр.: глава 3 Закона).
Так как в основе принятого регулирования лежат принципы человекоориентрованности и защиты его прав и свобод, фундаментальными являются положения, гарантирующие безопасность гражданам ЕС, отсюда перечислявшиеся выше принципы прозрачности и открытости. В ст. 50 Закона закрепляется: «поставщики должны гарантировать, что системы ИИ, предназначенные для непосредственного взаимодействия с физическими лицами, спроектированы и разработаны таким образом, чтобы физические лица были проинформированы о том, что они взаимодействуют с системой ИИ, за исключением случаев, когда это очевидно для физлица. Это обязательство не распространяется на системы искусственного интеллекта, уполномоченные законом обнаруживать, предотвращать, расследовать уголовные преступления или преследовать их по закону, при условии соблюдения соответствующих гарантий прав и свобод третьих лиц, за исключением случаев, когда эти системы доступны общественности для сообщения о преступлениях».
Контролирующий орган ЕС за соблюдением Закона об искусственном интеллекте ЕС
В рамках принятого Закона создается отдельный орган Офис И И (AI Office) и контролирующий орган — Европейский совет по искусственному интеллекту (European Artificial Intelligence Board, далее «Совет»). Согласно п. 2 ст.65 Закона Совет состоит из одного представителя от каждого государства-члена, в качестве наблюдателя в Совете присутствует Европейский инспектор по защите данных (The European Data Protection Supervisor). Управление И И также должно присутствовать на заседаниях Совета, не принимая участия в голосовании. Другие национальные и союзные органы, органы или эксперты могут быть приглашены на заседания Правления в каждом конкретном случае.
Отдельно создается база данных ЕС по ИИ, в которую включается информация, определенная соответствующими статьями и приложениями Закона (глава 8 и приложение 8 Закона). Отдельно регламентируются вопросы процедур, кодекс поведения и гайдлайны работы Офиса И И и учреждаемых органов. Глава о штрафах и наказаниях содержит как конкретные штрафные санкции в отношении нарушителей закона, так и распределение административных процедур привлечения к ответственности, судебные вопросы (включая подсудность, порядок привлечения к ответственности и полномочия судебных органов ЕС).
Отдельно создается база данных ЕС по ИИ, в которую включается информация, определенная соответствующими статьями и приложениями Закона (глава 8 и приложение 8 Закона). Отдельно регламентируются вопросы процедур, кодекс поведения и гайдлайны работы Офиса И И и учреждаемых органов. Глава о штрафах и наказаниях содержит как конкретные штрафные санкции в отношении нарушителей закона, так и распределение административных процедур привлечения к ответственности, судебные вопросы (включая подсудность, порядок привлечения к ответственности и полномочия судебных органов ЕС).
Вступление в силу Закона об искусственном интеллекте ЕС и дополнительные процедуры
Согласно пресс-релизу Европейской Комиссии, документ подлежит окончательной проверке юристов-лингвистов и как ожидается, будет окончательно принят до окончания работы законодательного органа (посредством так называемой процедуры исправления — corrigendum procedure). Закон также должен быть официально одобрен Советом. Он вступит в силу через двадцать дней после его публикации в Официальном журнале ЕС и будет полностью применим через 24 месяца после вступления в силу, за исключением: запретов на запрещенные действия, которые будут применяться через шесть месяцев после даты вступления в силу; кодексы практики (через девять месяцев после вступления в силу); правила искусственного интеллекта общего назначения, включая управление (12 месяцев после вступления в силу); и обязательства по системам высокого риска (36 месяцев).
Петроградское юридическое бюро «Пузикова и партнеры» специализируется на подготовке и разработке эксклюзивных правовых решений в области цифрового права и комплексного юридического сопровождения IT-компаний. Подробнее о юридическом консалтинге для IT-компаний по ссылке.
Статьи и информация, которые могут Вас заинтересовать