!Учебный год 2024 / Цифровое право / tom-5
.pdf
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
Введение. Первые значимые попытки комплексного правового регулирования ИИ предприняты пока только в ЕС: комитеты Европейского парламента по внутреннему рынку и гражданским свободам 11 мая 2023 года согласовали основные положения проекта Предложения о регламенте Европейского Парламента
иСовета, устанавливающем гармонизированные правила в области искусственного интеллекта (Закон об искусственном интеллекте) и вносящем поправки в некоторые законодательные акты ЕС (далее –AIAct, регламент) [3]. Поправки, принятые Европейским парламентом по предложению о регламенте, появились 14 июня 2023 года, а уже 20 июня 2023 года на сайте Европейского парламента появился [4] документ на 681 страницах, представляющий собой сравнительный анализ изменений текста AI Act в ходе законодательного процесса; в документе содержатся положения первоначального проекта регламента (Commission Proposal), поправки Европейского парламента от 14 июня 2023 года (EP Mandate) и поправки от 20 июня 2023 года Совета Европейского союза (Council Mandate), при этом Commission Proposal претерпел такие существенные изменения, что от первоначальной редакции проекта регламента мало что осталось. По состоянию на август 2023 годаAIAct все еще находится в процессе принятия. Размер настоящей статьи не позволяет здесь привести анализ изменений некоторых ключевых положений регламента в динамике, хотя это представляет определенный интерес. В настоящем докладе в целях сокращения в случае расхождений между положениями EP Mandate и Council Mandate, рассматриваются только положения проекта AI Act в редакции Совета Европейского союза (Council Mandate). Если согласие между Европейским парламентом и Советом Европейского союза будет достигнуто, AI Act установит правовой режим участников жизненного цикла приложений ИИ
итем самым внесет существенный вклад в регулирование гражданско-правовых отношений, возникающих в сфере создания и использования ИИ.
Сцелью гражданско-правового регулирования ответственности за вред (ущерб), причиненный ИИ, в сентябре 2022 года Европейская комиссия предложила две директивы – Директиву об ответственности за ИИ [5] и Директиву об ответственности за дефектную продукцию [6], которая обновит правила ответственности за продукцию, датируемые 1985 годом («Пересмотренная PLD»). Между двумя указанными директивами и AI Act нет дублирования, документы дополняют друг друга: пересмотренный PLD устанавливает обновленные правила, касающиеся строгой ответственности производителя за дефектную продукцию (ответственность без необходимости доказывать вину), а Директива об ответственности AI рассматривает требования об ответственности, основанные на вине, с целью компенсации ущерба лицам, пострадавшим в результате использования систем ИИ с высоким уровнем риска.
Ожидается, что вместе эти три документа:AIAct и вышеуказанные директивы – установят всеобъемлющий режим правового регулирования ИИ на территории ЕС и частично за ее пределами.
Приложения ИИ в терминологии регламента и директив называются системами искусственного интеллекта, поэтому в дальнейшем в данной работе оба термина будут использоваться как синонимы.
101
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
1. Сфера примененияAIAct
Сфера действия регламента обозначена в ст. 2. AI Act. Согласно п. 1 ст. 2 AI Act применяется к поставщикам, уполномоченным представителям поставщиков, пользователям, производителям, импортерам и дистрибьюторам, затронутым лицам (affected persons), которые находятся в ЕС и на здоровье, безопасность или основные права которых отрицательно влияет использование системы ИИ, которая размещена на рынки или введена в эксплуатацию в рамках ЕС.
Экстерриториальное действие AI Act проявляется в его применении к разработчикам, поставщикам услуг и предприятиям, учрежденным или расположенным за пределами ЕС, при использовании результатов, производимых приложениями ИИ в ЕС, или когда такие системы собирают или обрабатывают персональные данные физических лиц, находящихся в ЕС или Европейской экономической зоне.
AIAct не применяется (ст. 2 п. 3-5):
–к пользователям – физическим лицам, использующим системы ИИ в личной непрофессиональной деятельности (п. 5с, Council Mandate);
–к компонентам ИИ, предоставляемым по бесплатным лицензиям с открытымисходнымкодом,заисключениемслучаев,когдаони размещенынарынкеили введены в эксплуатацию поставщиком как часть системы ИИ с высоким уровнем риска или запрещены (раздел II AI Act). Это исключение не применяется к базовым моделям, определенным в ст. 3 (п. 5e, EP Mandate);
–к системам ИИ, которые используются в деятельности, касающейся вооруженных сил, обороны или национальной безопасности (п. 3, Council Mandate);
–к системам ИИ, включая их выходные данные, специально разработанным и введенным в эксплуатацию исключительно с целью научных исследований
иразработок (п. 5a, Council Mandate);
–к научно-исследовательской деятельности, касающейся ИИ-систем (п. 5b, Council Mandate);
–к исследованиям и испытаниям систем ИИ до их вывода на рынок или ввода в эксплуатацию, при условии, что эти действия осуществляются с соблюдением основных прав и применимого законодательства ЕС. Это исключение не распространяется на испытания в реальных условиях (п. 5d, EP Mandate).
AI Act не осуществляет непосредственное регулирование правоотношений между участниками жизненного цикла приложений ИИ и потребителями, поскольку системы ИИ в ЕС подпадают под действие законодательства о защите прав потребителей (п. 32a преамбулы, ЕР Mandate).
Очевидно, что из-под действия регламента выводятся основные значимые сферы применения ИИ, развитие которых влияет на цифровой суверенитет государства.
2. Классификация приложений ИИ по уровням риска вAIAct
В AI Act приложения ИИ классифицируются по уровням риска, в зависимости от сферы действия и степени потенциальной опасности, которую система ИИ может представлять для человека и окружающей среды.
102
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
Уровень 1. Неприемлемый риск
Системы ИИ с неприемлемым риском запрещены. Они включают в себя те, которые допускают:
–когнитивно-поведенческое манипулирование людьми или конкретными уязвимыми группами;
–социальную оценку, классификацию людей на основе поведения, социаль- но-экономического статуса или личных характеристик;
–системы биометрической идентификации в режиме реального времени
иудаленной идентификации, такие как распознавание лиц.
Запрет применяется с учетом сферы действия регламента, обозначенной в ст. 2.AIAct.
Уровень 2. Высокий риск
Системы ИИ, которые негативно влияют на безопасность или основные права, делятся на две категории:
1.Системы ИИ, которые используются в продуктах, подпадающих под действие законодательства ЕС о безопасности продукции.
2.СистемыИИ,относящиесяквосьмиобластям,перечисленывПриложении
IIIAIAct.
Уровень 3. Малый риск
К ИИ малой степени риска отнесены специализированные реализации моделей ИИ, выход которых «имеет незначительное или подчиненное влияние на решения и действия человека», например, это системы ИИ, которые генерируют изображения, аудиоили видеоконтент. Для них регулирование сравнительно мягкое, такие приложения ИИ должны соответствовать минимальным требованиям прозрачности, которые позволили бы пользователям принимать обоснованные решения. Пользователи должны быть осведомлены, когда они взаимодействуют
сИИ. Приложения ИИ этой группы в настоящей статье не рассматриваются.
Генеративный искусственный интеллект (базовые модели)
Врегламенте отдельно выделены базовые модели или генеративный ИИ (модели ИИ типа GPT-4, применяющиеся в областях типа медицины, управления транспортными средствами и пр.), которые могут относиться к любой группе риска.
АвтономныесистемыИИ(далее–АС)такжемогутотноситьсяклюбойгруп- пе риска. Согласно версии, предложенной Европейским парламентом и оставленной без изменения Советом Европейского союза, может быть отнесена к системам высокого риска, если она создает риск причинения вреда здоровью и безопасности или риск неблагоприятного воздействия на основные права, который эквивалентен или превышает риск причинения вреда, создаваемый системами ИС высокого риска и действует в одной из восьми сфер, отнесенных к Приложению III 2
(b) ст. 7 AI Act. AI Act не наделяет АС какими-либо особенностями по сравнению
сприложениями ИИ, действующими на основе несамообучающихся моделей. Соответственно, ответственность лиц, контролирующих АС, не дифференцируется по сравнению с неавтономными приложениями АС. Это логично, поскольку полной автономии согласно регламенту, не предполагается: пользователи долж-
103
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
ны поручить человеческий надзор физическим лицам, обладающим необходимой компетенцией, обучением и полномочиями (п. 1a ст. 29 Council Mandate).
Итак, AI Act классифицирует системы ИИ на основе вероятности причинения ими вреда (ущерба), при этом большая часть регламента посвящена регулированию прав и обязанностей участников жизненного цикла систем ИИ высокого риска.
Рассмотрим, каков с точки зрения AI Act жизненный цикл приложения ИИ, каковы его основные участники.
3. Участники жизненного цикла приложений ИИ в регламенте ЕСAIAct
Согласно п. 1a ст. 3 AI Act (Council Mandate), «жизненный цикл системы ИИ» означает продолжительность работы системы ИИ от проектирования до выхода из эксплуатации (отключение без возможности дальнейшего использования или существенной модификацией системы ИИ).
Права и обязанности участников жизненного цикла приложений ИИ и, соответственно,ответственностьзаихнесоблюдение(далеепотекстутакже«правовой режим») зависят от уровня риска, к которому относится система ИИ. Участниками жизненного цикла приложений, как представляется, являются поставщик, пользователь, производитель продукции, разработчик.
Поставщик (provider) – это любое лицо, включая государственный орган, который разрабатывает систему ИИ или у которого есть система ИИ, разработанная с целью ее размещения, и кто выводит эту систему на рынок или вводит ее в эксплуатацию под своим собственным именем или торговой маркой, будь то за плату или бесплатно (п. 2 ст. 3AIAct).
Отдельно выделена конструкция «малый поставщик» – микроили малое предприятие, что означает дифференцию правовых режимов поставщиков систем
ИИв зависимости от их размера. Поставщика не следует путать с разработчиком, правовой режим которого совершенно иной (см. ниже).
Поставщик базовой модели. Ст. 3AIAct не дает определения поставщика базовоймодели.Правовойрежимпоставщикабазовоймодели,обязанностикоторого перечислены в ст. 28b, добавленной в ЕР Mandate, отличается от правового режима поставщика, обязанности которого закреплены в ст. 16AIAct. Примечательно, что из п. 2 ст. 28 AI Act в редакции ЕР и Council Mandate исчезло первоначальное предложение о том, что поставщик, который первоначально разместил систему
ИИс высоким уровнем риска на рынке или ввел ее в эксплуатацию, больше не считается поставщиком для целейAIAct. Анализ ст. 28b (ЕР Mandate) а также других положений AI Act позволяет прийти к выводу, что поставщик базовой модели
– это лицо, разместившее на рынке универсальную модель машинного обучения, которая может быть адаптирована под широкий круг задач. Несмотря на кажущееся сходство, не следует путать поставщика базовой модели с разработчиком вообще и разработчиком базовой модели в частности.
Разработчик. Ст. 3 регламента не содержит определение понятия «разработчик». В первоначальном проекте регламента (Commission Proposal) разработчик не упоминается вовсе, однако его фигура появляется в п. 12c преамбулы ЕР Mandate, где говорится, что разработчики бесплатных компонентов ИИ с от-
104
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
крытым исходным кодом не должны быть обязаны соответствовать требованиям регламента в части регулирования цепочки создания стоимости ИИ, и в частности, требованиям, установленным в отношении поставщика, который использовал этот бесплатный компонент ИИ с открытым исходным кодом. Однако разработчиков бесплатных компонентов ИИ с открытым исходным кодом следует поощрять к внедрению широко распространенных методов документирования.
Согласноабз.«о»ст.56bЕРMandateОфисИИ(TheEuropeanArtificialIntelligence Office) должен обеспечить мониторинг базовых моделей и организовать регулярный диалог с разработчиками базовых моделей на предмет их соответствия требованиям безопасности. Данные положения не изменены в Council Mandate. Соответственно, в случае вступления AI Act в силу к категории разработчиков будут относиться только разработчики бесплатных компонентов ИИ с открытым исходным кодом, а разработчики базовых моделей попадут в поле зрения государственного органа (Офис ИИ), который будет проверять действия таких разработчиков на соответствие регламенту.
Так, в отличие от поставщика базовой модели, разработчик базовой модели не выводит ее на рынок за плату или по бесплатным лицензиям с открытым исходным кодом, он может использовать базовую модель только в той мере, в которой такое использование не подпадает под действие регламента, например, в личных, научно-исследовательских целях.
Пользователь (user) означает любое лицо, включая государственный орган, использующий систему ИИ, находящуюся в его ведении («under whose authority»), за исключением случаев, когда система ИИ используется в ходе личной непрофессиональной деятельности (п. 4 ст. 3 AI Act). Для облегчения понимания функций пользователя следует упомянуть, что в редакции ЕР Mandate это же лицо обозначалось как деплоер (deployer), что в переводе на русский язык означает «разработчик» или «развертыватель». Это лицо, осуществляющее развертывание и запуск приложения ИИ. Однако в Council Mandate в этом же значении снова употребляется термин «пользователь», в роли которого может выступать любое лицо, использующее систему ИИ. Можно ожидать, что в финальной версииAIAct термин «deployer» окончательно уступит место термину «user». В целях настоящей статьи будем употреблять термин «развертыватель» в значении «пользователь» как синоним, тем более, что перевод слова «deployer» на русский язык – «развертыватель», не имеет общеупотребительного значения.
Следует согласиться с тем, что «любая организация, банки и даже супермаркеты могут квалифицироваться как пользователи в соответствии с предстоящим регламентом, если они хотят внедрить системы ИИ с высоким уровнем риска» [2].
Производитель означает производителя по смыслу любого законодательства ЕС о гармонизации, перечисленного в Приложении II. Соответственно, устанавливая правовые режимы, AI Act различает фигуры поставщика и производителя системы ИИ (п. 5а ст. 3 AI Act). Поскольку законодательство ЕС гармонизирует обязательные требования к безопасности продукции на всей территории ЕС, производитель обязан соблюдать указанные требования. По всей видимости, AI Act будет являться специальным нормативно-правовым актом по отношению к зако-
105
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
нодательству ЕС о гармонизации обязательных требований к безопасности продукции, в которой содержатся приложения ИИ.
Оператор означает поставщика, производителя продукции, пользователя, уполномоченного представителя, импортера и/или дистрибьютора (п. 8 ст. 3 AI Act). Термин «оператор» объединяет всех лиц, которые контролируют систему ИИ.
Представляется,чтоосновнымиучастникамижизненногоциклаприложений
ИИв AI Act являются поставщик, разработчик базовых моделей и пользователь. Все они могут совпадать в одном лице, но чаще это разные организации.
Размер настоящего доклада не позволяет уделить внимание другим операторам.
4.Правовой режим основных участников жизненного цикла приложений ИИ в регламенте ЕС «AIAct»
Рассмотрим правовой режим основных участников жизненного цикла приложений ИИ, закрепленный в регламенте ЕС «AIAct», поскольку бремя ответственности за неблагоприятные последствия использования приложений ИИ должно распределяться между участниками соответственно их обязанностям.
В докладе анализируется только правовой режим систем ИИ высокого риска.
Поставщик
Список обязанностей поставщика систем высокого риска закреплен в ст. 16 AI Act, хотя три фундаментальные обязанности закреплены уже в преамбуле регламента в редакции Council Mandate.
Первая обязанность, которая лежит на поставщике (п. 32a преамбулыAIAct)
– классификация приложений ИИ по уровню риска, которое он намерен вывести на рынок. Если оказывается, что приложение ИИ соответствует признакам систем высокого риска, то поставщик должен оценить, не представляет ли указанная система ИИ значительный риск причинения вреда здоровью, безопасности, основным правам или окружающей среде. До вывода на рынок, в идеале на стадии разработки, поставщик направляет в компетентный орган соответствующее уведомление. Если компетентный орган считает, что рассматриваемая система
ИИбыла неправильно классифицирована поставщиком, она должна быть отозвана с рынка. Корреспондирующая обязанность закреплена в п. «е» ст. 16 AI Act (Council Mandate).
Вторая обязанность поставщика (п. 42 преамбулы AI Act) –установление системы управления рисками, которая в соответствии с требованиями главы 2 AI Act представляет собой непрерывный процесс, реализуемый на протяжении всего жизненного цикла системы ИИ. Этот процесс должен гарантировать, что поставщик услуг идентифицирует и анализирует риски для здоровья, безопасности и основных прав лиц, которые могут быть затронуты системой ИИ в свете ее предполагаемого назначения, включая возможные риски, возникающие в результате взаимодействия между системой ИИ и средой, в которой она функционирует, и, соответственно, принимает соответствующие меры по управлению рисками в свете современного уровня техники.
106
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
Третья обязанность поставщика (п. 78 преамбулыAIAct) – иметь систему постпродажного мониторинга по месту использования для обеспечения своевременного устранения возможных рисков, связанных с системами ИИ, которые продолжают «обучаться» после выхода на рынок или ввода в эксплуатацию. Поставщики услуг также обязаны иметь действующую систему для сообщения соответствующим органам о любых серьезных инцидентах или любых нарушениях национального законодательства ЕС, защищающих основные права в результате использования их систем ИИ. Корреспондирующие обязанности закреплены в п. «g» и «h»
ст. 16AIAct (Council Mandate)).
Перечислим некоторые обязанности поставщика согласно ст. 16 AI Act,
аименно, поставщики должны:
–обеспечивать соответствие их приложений ИИ требованиям, изложенным в главе 2 AI Act (п. «а» ст. 16 AI Act (Council Mandate)), в том числе, проходить процедуру оценки рисков в соответствии со 43AIAct;
–уведомлять физических лиц, которым поручен человеческий надзор за системами ИИ, о риске автоматизации или предвзятости подтверждения (п. «ab» ст. 16AIAct (ЕР Mandate, подтверждено Council Mandate)), чему корреспондирует обязанность пользователя использовать систему ИИ в соответствии с инструкцией, подготовленной поставщиком, включая осуществление мер по надзору за персоналом в целях осуществления человеческого контроля за ИИ (ст. 29AIAct);
–предоставить информацию об используемых наборах входных данных
(п. «ac» ст. 16AIAct (ЕР Mandate, подтверждено Council Mandate));
–вести документацию (п. «с» ст. 16 AI Act (Council Mandate)) и журналы,
автоматически генерируемые системами ИИ, находящимися под их контролем
(п. «d» ст. 16AIAct (Council Mandate));
–регистрировать системы ИИ высокого риска.
Согласно п. 1 ст. 43 AI Act поставщик должен выполнить одну из следующих процедур: (a) процедуру оценки соответствия, основанную на внутреннем контроле или (b) процедуру оценки соответствия, основанную на оценке системы менеджмента качества и технической документации с привлечением нотифицированного органа.
Следовательно, основная обязанность поставщика – это оценка и управление рисками в течение всего жизненного цикла системы ИИ, направленные на безопасность системы вплоть до ее отключения. Оценка и управление рисками включают в себя, прежде всего, техническое документирование разработки и подготовку подробных инструкций для пользователя. Иные обязанности (например, пострыночный, сообщение об инцидентах и пр.), как представляется, либо направлены на удаление из хозяйственного оборота опасных приложений ИИ, либо на улучшение качества приложений ИИ, включая уточнение инструкций.
Поставщик базовой модели (provider of foundation model)
Понятие базовой модели в Commission Proposal отсутствовало и появилось
входе законодательного процесса: ЕР Mandate добавил определение понятия базовой модели в ст. 3, а также закрепил обязательства поставщика базовой модели
вст. 28b.
107
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
Согласно п. 1 «с» ст. 3 AI Act (ЕР Mandate), базовая модель означает модель системы ИИ, которая обучается на обширных данных в масштабе (broad data at scale), предназначена для обобщения выходных данных и может быть адаптирована к широкому спектру задач.
Иными словами, это универсальная предобученная модель машинного обучения. Наиболее известны модели вида GPT, но ими круг базовых моделей не ограничивается.
Согласно п. 1 ст. 28bAIAct (ЕР Mandate), поставщик базовой модели должен до вывода на рынок или ввода в эксплуатацию убедиться, что она соответствует требованиям, изложенным в ст. 28b, независимо от вида приложения, в которое она встроена, и возмездности распространения (платно или на условиях свободной лицензии). Эти требования закреплены в п. 2 ст. 28b, из которых ключевыми являются обязанности:
(а) предвидеть и оценивать последствия разработки для человека и окружающей среды, контролировать качество данных;
(b)обучать модель только на данных, которые подлежат эффективному контролю на протяжении всего своего жизненного цикла;
(c)спроектировать и обучить базовую модель так, чтобы на протяжении всего ее жизненного цикла она была безопасной и (d) отвечала требованиям соответствующих стандартов;
(e)разработать техническую документацию и понятные инструкции по использованию, с тем чтобы дать возможность нижестоящим поставщикам выполнять свои обязательства в соответствии со статьями 16 и 28(1) регламента;
(f)создать систему менеджмента качества для обеспечения и документирования соответствия модели требованиям ст. 28bAIAct;
(g)зарегистрировать базовую модель в базе данных ЕС.
Законодатель не ссылается на главу 2 AI Act, где установлены требования
ксистемам ИИ высокого риска не случайно. Это обусловлено в первую очередь тем, что базовая модель – это программа для ЭВМ, а глава 2 регулирует обязанности поставщиков систем ИИ, которые могут быть программно-аппаратными комплексами (т. е. устройствами), в которых могут быть использованы (но далеко не всегда) базовые модели AI Act и которые доводятся до пользователей и потребителей, поэтому к программе для ЭВМ круг требований сужен обязанностями, перечисленными в ст. 28b.
По сути, ст. 28b AI Act устанавливает требование к системе управления рисками с упором на контроль качества данных и документирование, направленные на обеспечение адекватности и безопасности системы ИИ на самом вышестоящем уровне, где нижестоящий поставщик использует базовую модель вышестоящего поставщика.
Следовательно, основная обязанность поставщика базовой модели – спланированная безопасность модели, которая достигается контролем качества обучающих данных в течение всего ее жизненного цикла.
108
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
Пользователь
Вп. 58a ПреамбулыAIAct в редакции ЕР Mandate (без последующих изменений в Council Mandate) указывается на то, что «риски, связанные с системами ИИ, могутпроистекатьнетолькоизспособапроектированиятакихсистем,ноиизтого, как такие системы ИИ используются. Таким образом, развертыватели (deployers) систем ИИ играют важную роль в обеспечении защиты основных прав, дополняя обязательства поставщика при разработке системы ИИ». В этой фразе достаточно однозначно выражено отношение европейского законодателя к обязательствам пользователя в обеспечении предотвращения вреда (ущерба) от использования систем ИИ – как дополнительным по отношению к обязательствам поставщика. Означает ли это субсидиарную ответственность за вред (ущерб)? Думается, что нет – это работает иначе. Поскольку, согласно п. 1 ст. 29AIAct, пользователь должен использовать систему ИИ в соответствии с инструкцией, предоставляемой поставщиком, при этом контролировать систему должно только компетентное физическое лицо (п. 1а ст. 29AIAct (Council Mandate)). Соответственно, если пользователь действует в строгом соответствии с инструкцией, а инцидент все же случается, то за неблагоприятные последствия инцидента должен отвечать поставщик. Однако не все так однозначно:AIAct учитывает действия пользователя.
Вэтом же п. 58a Преамбулы далее указано, что пользователи лучше всего понимают, как конкретно будет использоваться система ИИ, и, следовательно, могут идентифицировать потенциальные значительные риски, которые не были предусмотрены на этапе разработки, благодаря более точному знанию контекста использования, людей или групп людей, которые могут быть затронуты, включая уязвимые группы. Лица, осуществляющие развертывание (т. е. пользователи), должны определить соответствующие структуры управления в данном конкретном контекстеиспользования, такие какмеханизмынадзораза персоналом, процедуры рассмотрения жалоб и процедуры возмещения ущерба. Пользователь систем
ИИдолжен проводить оценку воздействия на основные права до ввода их в эксплуатацию и выполнять ряд связанных с этим обязанностей (детали определены в ст. 29(a)AIAct (ЕР Mandate)), что требует огромных человеческих усилий и возможностей, поэтому, согласно регламенту (58a Преамбулы, ЕР), эти обязательства не должны распространяться на малые и средние предприятия, которые тем не менее также должны стремиться к проведению вышеуказанной оценки. Если обнаруженные риски не могут быть уменьшены, пользователи должны вообще воздерживаться от использования такой системы ИИ. Положительным моментом для пользователейявляетсято,чтоонисмогутвоспользоватьсясуществующимиоценками, проводимыми поставщиками, в той мере, в какой предоставляемая оценка включает минимальные элементы, определенныеAIAct. Это правило в значительной степени перекидывает обязанность по оценке рисков (а следовательно, и ответственность за инциденты) обратно на поставщика. Учитывая то, что у большинства коммерческих компаний нет необходимых источников для проведения оценки воздействия на основные права человека, неясно, как на практике будет реализовываться данное требование: вполне возможно, что очень формально и бессмысленно для защиты прав человека, но весьма обременительно как для постав-
109
Цифровые технологии в системе международно-правовых отношений
Digital Technologies in the System of International-Legal Relations
щика, так и для пользователя. Не исключено, что на практике пользователи будут избегать обязанности по оценке или проводить ее формально, целиком полагаясь на документы (по оценке, инструкции и пр.), предоставляемые поставщиком.
Правило AI Act ((58a), ЕР Mandate), которое требует от пользователей в случае нарушения прав какой-либо группы лиц сообщать о результатах оценки воздействия системы ИИ на основные права национальным надзорным органам
ипроизводить общедоступную публикацию отчета об оценке (видимо, без разглашения сведений о затронутых физических лицах), напоминает требование об уведомлениях в связи с утечкой данных, но вряд ли будет эффективно работать, потому что содержит оценочное суждение «о результатах оценки воздействия системы ИИ на основные права», которое может оказаться необъективным, так как критерии оценки не разработаны.
Согласно п. 6 ст. 29 AI Act требуется, чтобы пользователи проводили оценку воздействия на защиту данных (далее «data protection impact assessment» будет обозначена как «DPIA») в соответствии с требованиями GDPR применительно к ситуации, когда персональные данные обрабатываются на протяжении всего жизненного цикла системы ИИ. ЕР Mandate внес два дополнения. Отмечается, что эти новые обязательства заставят пользователей и контролеров данных активизировать свои усилия по обеспечению соответствия требованиям GDPR [2].
Государственные органы или организации широкого круга категорий, обязаны зарегистрировать факт использования любой системы ИИ с высоким уровнем риска в общедоступной базе данных. Другие участники развертывания могут зарегистрироваться добровольно.
Очевидно, что у пользователя так же, как и у поставщика, много обязанностей по обеспечению безопасности использования приложений ИИ, но эти обязанности в основном имеют «умозрительное содержание» могут быть исполнены лишь формально, тем самым ничего или почти ничего не добавляя к укреплению безопасности ИИ и защите прав человека.
Итак, мы рассмотрели права и обязанности основных участников жизненного цикла приложений ИИ. Что в соответствии с AI Act является нарушением, за которое полагается ответственность? Какая ответственность вытекает из обязанностей операторов систем ИИ и как она распределяется?
5.Административная ответственность участников жизненного цикла приложений ИИ за нарушение обязанностей согласноAIAct
AI Act предусматривает только административную ответственность за несоблюдение требований регламента. В ст. 71 перечислены штрафы операторов
идругих участников жизненного цикла систем ИИ, причем самые крупные санкции (30 000 000 EUR, а для МП – 6% от годового оборота по всему миру) предусмотрены за нарушение ст. 5AIAct, где перечислены запрещенные практики использования ИИ. Также штрафы вводятся за следующие нарушения:
– обязательств поставщиков, установленные в ст. 16AIAct;
– обязательств другими участниками жизненного цикла приложений ИИ (перечислены конкретные статьи, где установлены различные обязательства).
110