Европарламент одобрил закон о системах с использованием технологий искусственного интеллекта — The EU Artificial Intelligence Act. Документ называют первым нормативным актом в мире, который регулирует бурно развивающуюся сферу. Разбираемся, какие правила будут действовать для ИИ в Европе.
Европарламент одобрил закон о системах с использованием технологий искусственного интеллекта — The EU Artificial Intelligence Act. Документ называют первым нормативным актом в мире, который регулирует бурно развивающуюся сферу. Разбираемся, какие правила будут действовать для ИИ в Европе.
EU AI Act — самая масштабная на сегодня попытка создать регулирующие рамки для искусственного интеллекта. Изначально законопроект был задуман по двум причинам: чтобы синхронизировать регулирование ИИ в странах-членах ЕС и более четко определить, что же такое на самом деле искусственный интеллект. Но позднее сфера действия закона значительно расширилась из-за развития технологии.
Закон об ИИ определяет систему искусственного интеллекта как «машинную систему, предназначенную для работы с различными уровнями автономности, которая может демонстрировать адаптивность после запуска и которая для достижения явных или неявных целей определяет на основе входных данных, как генерировать выходные данные, такие как прогнозы, контент, рекомендации или решения, которые могут влиять на физическую или виртуальную среду».
Законодатели решили разграничить ИИ и другое программное обеспечение, где выходные данные заранее определены строгим алгоритмом. Определение было специально сформулировано довольно широко, чтобы не успеть устареть в ближайшем будущем. Таким образом авторы закона отошли от идеи обозначить как ИИ заранее составленный список технологий и сервисов. Оказалось, что такой дескриптивный подход в регулировании ИИ не работает.
В поддержку закона проголосовали 523 депутата, 46 законодателей высказались против, еще 49 человек воздержались. После одобрения парламентом текст должен пройти обязательную юридическую и лингвистическую проверки, затем его одобрит Совет Европы. Правила вступят в силу через 20 дней после публикации закона в официальном журнале ЕС. Большая часть правил начнет действовать спустя 2 года после публикации документа.
В основе европейского регулирования ИИ лежит риск-ориентированный подход: чем выше риск, тем строже правила. Закон вводить четыре «категории риска» в зависимости от предполагаемого уровня опасности: минимальный, ограниченный, высокий и неприемлемый. Каждая категория налагает свои обязательства: при высоких рисках к компании предъявят самые строгие требования, при низких — незначительные.
Под запретом оказались технологии, которые считаются угрозой фундаментальным правам человека: системы биометрической идентификации (Biometric Identification Systems — RBI), извлечение изображений лиц из интернета или записей с камер видеонаблюдения для создания баз данных для распознавания лиц; автоматический сбор чувствительной информации (политические, религиозные убеждения, сексуальная ориентация, пол и т. п.); системы для распознавания эмоций на рабочем месте и в учебных заведениях; системы социального рейтинга, основанные на поведении или личных характеристиках; ИИ-системы, которые манипулируют поведением людей, чтобы обойти их свободную волю; использование ИИ для эксплуатации уязвимостей людей (из-за их возраста, инвалидности, социального или экономического положения).
Для правоохранительных органов законодатели оставили исключение в запрете на использование биометрической идентификации: ее можно будет применять во время поисков пропавшего человека или террористических угроз. При этом использование таких систем должно быть строго ограничено по времени и на территории, а также требует специального судебного или административного разрешения.
К этой категории относятся технологии, которые используют в критически важных инфраструктурах (например, транспорт), которые могут поставить под угрозу жизнь и здоровье граждан; образовательных и медицинских проектах; банковских и государственных услугах; трудоустройстве, управлении персоналом и доступу к самозанятости; работе правоохранительных органов, управлении миграцией, пограничного контроля; судебных делах и выборных мероприятиях.
Разработчики таких систем должны перед ее релизом оценивать и смягчать риски; следить за высоким качеством наборов данных, используемых для обучения; протоколировать свою деятельность и предоставлять всю необходимую информацию о системе и ее назначении властям; предпринимать меры человеческого надзора; обеспечивать высокий уровень надежности, безопасности и точности.
Сфера применения систем «высокого» риска настолько велика, что их принято разделять на две подкатегории: материальные продукты и программное обеспечение. Первый относится к ИИ, встроенному в изделия: игрушки, самолеты, автомобили, медицинские приборы, лифты и т. п. Вторая включает в себя больше программных продуктов, которые могут повлиять на правоохранительную деятельность, образование, занятость, миграцию, критическую инфраструктуру и доступ к важнейшим частным и госуслугам.
К этой категории относится ИИ, использование которого требует прозрачности. Сюда входят ИИ-системы, которые предназначены для непосредственного взаимодействия с пользователями (например, ИИ-компаньоны); ИИ-системы, создающие генеративный контент (например, ChatGPT, Midjourney, DALL-E); системы распознавания эмоций или биометрические системы категоризации (например, ShareArt); дипфейки.
Закон вводит конкретные обязательства по прозрачности. Пользователи имеют право знать, что они взаимодействуют с машиной, чтобы принять обоснованные решения. Поставщики должны обеспечить идентификацию контента, созданного ИИ. Генеративный контент, который представляет общественный интерес, должен быть помечен как искусственно созданный. Это касается аудио– и видеоконтента.
Закон разрешает свободное использование ИИ с минимальными рисками. Сюда входят, например, приложения видеоигр или спам-фильтры. В эту категорию попадают подавляющее большинство систем, которые используются сейчас в ЕС.
Перед поступлением на рынок ИИ-системы будут проходить «оценку соответствия», которая определяет, отвечают ли они всем необходимым требованиям закона. Регуляторы определят, к какой категории рисков относится продукт. Закон подразумевает исключение к ИИ-системам высокого риска, если ПО не угрожает здоровью, безопасности или основным правам граждан. В таком случае уровень могут понизить до «ограниченного риска». В этом случае разработчику нужно представить убедительные аргументы, что его продукт может подпадать под исключение.
В целом закон налагает строгие обязательства не только на «поставщика» ИИ-систем высокого риска, но также на «импортера», «дистрибьютора» и «пользователя» таких систем. Обязанности импортера и дистрибьютора в основном касаются проверки соответствия высокорискованных систем, которую они импортируют или распространяют. На них также будут распространяться обязательства уровня высокого риска, если они разместят торговый знак на системе после ее релиза, или внесут существенные изменения в саму систему, или будут использовать систему в других целях.
Пользователи получили безусловное право подать жалобу регулятору, если у них есть основания полагать, что закон был нарушен. При этом у любого физического или юридического лица будет возможность обратиться с любой претензией, для этого не требуется иметь процессуальную правоспособность. Тем самым закон о регулировании ИИ отличается от других, например, GDPR, где субъекты данных могут подать жалобу только в том случае, если их касается обработка персональных данных.
Закон наделяет регуляторов полномочиями по обеспечению соблюдения правил, расследованию жалоб и наложению санкций за их несоблюдение. Штрафы могут быть очень высокими. Нарушение правил может повлечь штраф в размере до 35 миллионов евро или 7% от общего годового оборота компании в зависимости от тяжести нарушения. Для малого и среднего бизнеса штраф может достигать 15 миллионов евро или 3% годового оборота.
Длительное обсуждение законопроекта было связано с запаздывающим законотворчеством. Когда в 2021 году европейские депутаты начали разрабатывать правила для этой сферы, первые инициативы были посвящены регулированию конкретных инструментов, например, для поиска работы, образования или охраны порядка. Ажиотаж вокруг релиза ChatGPT и появление целой россыпи генеративных ИИ-моделей оказались для законодателей неожиданными событиями.
Для быстрого приведения законопроекта в соответствие с реалиями авторы предложили понятие «искусственного интеллекта общего назначения» (General-purpose AI — GPAI). Согласно документу, это крупные нейронные сети с глубоким обучением. Для генеративных моделей было введен специальный термин «модель GPAI» (General-purpose AI model). Все GPAI и модели GPAI должны соблюдать авторское право ЕС. Разработчики будут обязаны раскрыть любую защищенную авторским правом информацию, которую используют для машинного обучения.
После принятия документа наступит долгий период его вступления в силу. Некоторые нормы начнут действовать раньше других: запреты вступят в силу через 6 месяцев после публикации документа, правила управления и контроля за GPAI — через 12 месяцев. Для моделей GPAI, которые были уже выпущены до даты публикации документа, правила начнут действовать спустя 24 месяца. Также спустя 24 месяца вступят в силу большинство других обязательств. Через 36 месяцев станут рабочими обязательства для ИИ-систем высокого риска, через 48 месяцев — для ИИ-систем, предназначенных для использования госорганами, которые появились до вступления закона в силу.
Закон об искусственном интеллекте стал частью более широкого пакета мер ЕС по регулированию отрасли. Также ранее был принят AI Innovation Package и Coordinated Plan on AI. Инновационный пакет включает создание ИИ-фабрик по производству суперкомпьютеров, офиса регулятора — Управления по искусственному интеллекту, поддержку стартапов, запуск проекта Common European Data Spaces — базы данных для обучения ИИ-моделей. Для облегчения перехода к новой нормативной базе Еврокомиссия запустила AI Pact — добровольную инициативу, которая предлагает разработчикам заранее начать соблюдать ключевые обязательства закона.
Помимо управления закон предполагает создание научной группы независимых экспертов, которые будут консультировать регулятора о новых системах ИИ, способствовать разработке методик оценки возможностей систем и отслеживать возможные риски безопасности. Кроме того, будет действовать Совет AI, в который войдут представители стран-членов ЕС. Это координационная платформа с консультативными функциями, которая будет следить за исполнением закона.
Еврокомиссия создает два европейских консорциума цифровой инфраструктуры (European Digital Infrastructure Consortiums — EDICs). Это Alliance for Language Technologies (ALT-EDIC) — проект посвящен развитию языковых технологий, который призван решить проблему нехватки данных для обучения европейских больших языковых моделей (LLM). CitiVERSE — урбанистический проект, который будет помогать городам моделировать и оптимизировать процессы, например, дорожного движения и утилизации отходов.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.