Правовое регулирование технологий ИИ в Европейском союзе: текущее состояние и перспективы его развития
Марченко Анна Юрьевна,
аспирант, кафедра европейского права, ФГАОУ ВО «Московский государственный институт международных отношений (университет) Министерства иностранных дел Российской Федерации» E-mail: [email protected]
Стремительное технологическое развитие, в частности, развитие технологий искусственного интеллекта (далее-ИИ) и расширение их применения требуют разработки соответствующего регулирования. Попытки формирования нормативно-правовой базы предпринимаются как на уровне отдельных государств, так и на региональном и международном уровнях. Уже более 30 стран разработали и приняли свои национальные стратегии и программы развития ИИ, в которых, помимо прочего, подчеркивается необходимость разработки правового регулирования. Одновременно с этим, постепенно готовятся полноценные нормативные акты. Особенно выделяется деятельность Европейского союза в области разработки регулирования ИИ, отличающаяся передовым характером.
Статья посвящена исследованию новейшего предложения Европейской комиссии по регулированию ИИ, опубликованному 21 апреля 2020 года. В случае принятия новые правила вероятно найдут отражение не только в праве стран-членов Союза, но и в праве третьих стран. Исходя из этого, в статье рассмотрены основные особенности подхода Европейского союза к регулированию ИИ в целом, а также в контексте решения основной части проблем, связанных с внедрением и функционированием систем ИИ, а также сформулированы перспективы развития регулирования ИИ в ЕС.
Ключевые слова: Европейский союз, искусственный интеллект, системы ИИ, правовое регулирование ИИ.
21 апреля 2021 года Европейская комиссия опубликовала долгожданное масштабное предложение по регулированию создания и применения искусственного интеллекта (Акт об ИИ) [8]. Данный проект стал результатом многолетней и упорной работы ЕС. Еще в 2019 году, Урсула фон дер Ляйен, председатель Еврокомиссии, отметила, что развитие ИИ и разработка соответствующего регулирования - одно из приоритетных направлений деятельности Комиссии [7]. Так, в начале 2020 года была представлена Белая книга по ИИ [9], которая наряду с предыдущими документами Союза послужила основой для новых правил. На данном этапе новый документ не имеет юридической силы, однако, в случае принятия, он станет первым в своем роде, масштабным актом, регулирующим ИИ.
Во всех новейших документах ЕС отмечается возможность достижения Союзом лидерства в области развития и регулирования технологий ИИ. И новые правила также направлены на укрепление потенциала ЕС в достижении лидерства по созданию человеко-ориентированного, безопасного, «доверенного» ИИ, а также на извлечение максимальной пользы из новых технологий с одновременным соблюдением прав и свобод человека.
Правила распространяют свое действие: на поставщиков, которые размещают или вводят в эксплуатацию системы ИИ на территории Союза, вне зависимости от местонахождения самих поставщиков; пользователей ИИ, расположенных на территории ЕС; поставщиков и пользователей ИИ из третьих стран, при условии, что результаты функционирования их систем используются в Союзе. Последнее говорит об экстерриториальном действии Акта, так как он распространяет свое действие и на компании, функционирующие за пределами ЕС, если результаты деятельности систем ИИ применяются в Союзе. Аналогично Общему регламенту ЕС по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г; General Data Protection Regulation) [1], который распространяет свое действие и на компании за пределами Союза, если они осуществляют обработку данных граждан ЕС.
Функционирование систем ИИ напрямую связано с данными, поэтому новые правила опираются на существующее регулирование в отношении защиты данных и кибербезопасности (GDPR, Директива 2016/1148 по безопасности сетевых и информационных систем, Регламент 2019/881 о ки-бербезопасности) [11].
В рамках предложенного регулирования восполняются пробелы в отношении ряда определений. Так, дается четкое определение системы ИИ - под системой искусственного интеллекта понимается программное обеспечение, разработанное с использованием одного или нескольких методов и подходов, закрепленных в Приложении 1, и способное для заданного человеком набора целей производить выходные данные, такие как контент, прогнозы, рекомендации или решения, влияющие на среду, с которой они взаимодействуют. Приложении 1 дополняет статью 3 Акта и перечисляет методы и подходы, среди которых, машинное обучение, подходы, основанные на логике и на инженерии данных, а также статистические подходы, байесовское оценивание, методы поиска и оптимизации [5, с. 1]. Приложение 1 таким образом делает определение более емким с технической стороны.
Данное определение отступает от общепринятой идеи проведения аналогии ИИ с интеллектом человека, интеллектуальным поведением, разумностью, что представляется правильным, учитывая сложности и различия при определении интеллекта естественного, а также преобладающее на данный момент отхождение от создания сильного ИИ по образу человеческого мозга. Новое регулирование также закрепляет, что с дальнейшем развитием ИИ определение будет расширяться в части применяемых методов. Учитывая развитие регулирования ИИ в ЕС, в дальнейшем наиболее вероятным видится добавление в определение способности систем к автономным действиям и самообучению, а также других возможных дизайнов систем ИИ: аппаратных и иных, пока не предполагаемых.
В продолжение Белой книги по ИИ, документ предлагает риск-ориентированный подход к регулированию. В документе 2021 года риск-ориентированный подход проработан более тщательно и выделено несколько уровней: запрещенные системы (системы с неприемлемым уровнем риска), системы с высоким риском, с ограниченным риском и системы с минимальным риском. Чем выше уровень риска, тем больше требований предъявляется к системе в части необходимости тестирования, требований к прозрачности, контролю со стороны человека и пр. Последние две группы практически не затрагиваются новыми правилами. Они не представляют никакой угрозы для прав, свобод и безопасности граждан. Документ указывает, что поставщикам таких систем следует создавать специальные кодексы, которые будут направлены на добровольное применение требований Акта в отношении высокорисковых систем, а также некоторых дополнительных требований.
В Акте выделены системы с неприемлемым уровнем риска, то есть системы, которые должны быть запрещены. Сюда относятся системы, действующие на человеческое подсознание и существенно меняющие поведение людей, системы использующие уязвимости отдельных групп
людей, связанные с их возрастом, физическими недостатками и пр., системы социальной оценки и классификации надежности физических лиц (так называемый, «социальный скоринг»). Также, к этой группе отнесены системы удаленной биометрической идентификации в режиме реального времени в общественных местах. Полное запрещение применения подобных систем на рынке ЕС, с учетом технологического отставания Союза в этих областях, позволяет скорректировать положение ЕС в технологической гонке. Установлено, что максимальный штраф для компаний за несоблюдение запрета на использование запрещенных систем ИИ может составить 30 миллионов евро или же 6% мирового годового оборота.
Отметим при этом ряд исключений, которые разрешают применение систем удаленной биометрической идентификации, обозначенных как запрещенные: применение таких систем допускается, когда это необходимо для поиска жертв преступлений, предотвращения терактов и преступлений, угрожающих жизни и безопасности, а также преследования преступников или подозреваемых в преступлениях, подразумевающих наказание в виде лишения свободы на срок свыше трех лет. С одной стороны, данные исключения стали объектом критики, так как существует опасение, что в дальнейшем они могут быть использованы как оправдание повсеместного применения ИИ со стороны властей и правоохранительных органов. Однако, с другой, они вполне удовлетворяют интересам государств в контексте обеспечения внутренней безопасности и противодействия терроризму.
Что касается высокорисковых систем, то новое регулирование обозначает, что такими признаются системы, предназначенные для использования в качестве компонентов безопасности продукции или являющиеся продукцией, на которую распространяется действующее регулирование Союза по безопасности продукции, согласно Приложению 2 (Директива 2006/42/ЕС о безопасности машин и оборудования, Директива 2009/48/ ЕС по безопасности детских игрушек и другие) [5, с. 2]. В Приложении 3 к Акту перечисляется еще ряд систем с высоким риском, это, в частности, системы биометрической идентификации, системы, используемые в управлении ключевыми объектами жизнеобеспечения (дорожное движение, водоснабжение, электроснабжение и пр.), системы контроля миграции и ряд других [5, с. 4].
В отношении высокорисковых систем предполагается применение системы управления рисками на протяжении всего жизненного цикла технологии, которая включает выявление, анализ, оценку рисков и принятие мер по устранению рисков или их снижению (в случаях, когда они не могут быть устранены полностью), а также предоставление достаточной информации о рисках и при необходимости обучение пользователей систем.
Особые требования и в отношении управления данными. Так, при обучении, валидации и те-
5 -о
сз
<
стировании поставщики должны использовать актуальные, репрезентативные и полные наборы данных, не содержащие ошибок и предвзято-стей. В качестве исключительной меры, для выявления и устранения предвзятостей в данных (data bias), допускается обработка специальных персональных данных. Тем не менее, поставщики, осуществляющие обработку, должны гарантировать соблюдение основных прав и свобод физических лиц, включая соблюдение технических ограничений на повторное использование, обеспечение всех наиболее современных мер безопасности и конфиденциальности [8].
ЕС во всех своих документах говорит о том, что ИИ - помощник человека, поэтому участие человека и его контроль над системой необходимы, особенно это касается систем с высоким риском, применение которых может напрямую затрагивать права и свободы граждан. Еще опубликованный 8 апреля 2019 года, документ группы экспертов HLEG AI Руководство по этике для надежного ИИ [6] обозначил этические принципы, которым должен соответствовать надежный, доверенный ИИ, в частности, закрепил необходимость участия и контроля со стороны человека. Человеческому контролю над такими системами посвящена и статья 14 нового регулирования. Такой контроль должен осуществляться на протяжении всего жизненного цикла системы. Человек должен четко понимать возможности и ограничения системы, правильно интерпретировать результаты функционирования системы, а также иметь возможность вмешаться в работу систем и при необходимости остановить или скорректировать ее. Необходимо также избегать чрезмерной зависимости от результата функционирования системы - «предвзятости автоматизации» [12].
Устанавливается, что системы высокого риска до их вывода на рынок должны пройти процедуру оценки на соответствие. Документ закрепляет обязанность поставщиков по подготовке технической документации, необходимой для проведения оценки на соответствие. В случае внесения существенных изменений в систему, потребуется повторная оценка. После успешного прохождения оценки, поставщик составляет Декларацию соответствия ЕС.
Весьма интересным представляется то, что документ закрепляет необходимость контроля за деятельностью системы уже после ее вывода на рынок, а также необходимость осуществления непрерывной оценки соответствия систем ИИ и ведение отчетности. Статья 61 устанавливает, что после введение высокорисковой системы в обращение, поставщик должен обеспечить систему пострыночного мониторинга, путем сбора данных о работе системы. Таким образом, контроль за функциони-„ рованием системы будет осуществляться на протя-S2 жении всего жизненного цикла и при необходимого сти ее работа может быть скорректирована. еЗ Что касается, надзора за соблюдением поло-si жений регулирования, то здесь ведущую роль
должны взять на себя национальные надзорные органы, призванные обеспечить применение и исполнение положений Акта. Они отчитываются перед Комиссией о результатах своей деятельности и имеют доступ ко всей информации, которая необходима для обеспечения исполнения положений регулирования. Поставщики высокорисковых систем ИИ должны сообщать надзорным органам о любых серьезных происшествиях и сбоях в работе систем. Уведомление должно быть произведено немедленно (и не позднее 15 дней) после установления причинно-следственной связи (или разумной вероятности такой связи) между системой ИИ и произошедшим инцидентом или неисправностью.
На наднациональном уровне планируется создание специализированного органа - Европейского совета по искусственному интеллекту, который будет способствовать эффективному сотрудничеству Комиссии и национальных надзорных органов и содействовать национальным органам в обеспечении применения положений регулирования.
Документ закрепляет необходимость создания регуляторных «песочниц», в рамках которых будут применятся «облегченные» требования к разработке и тестированию систем ИИ, в том числе, и облегченный доступ к данным. Это осуществляется под непосредственным надзором и руководством со стороны компетентных национальных органов и Европейского инспектора по защите данных, а участники «песочниц» несут ответственность в соответствии с законодательством Союза и стран-членов за любой ущерб, нанесенный третьим лицам в результате экспериментального функционирования систем. При этом, приоритетный доступ к «песочницам» должен предоставляться мелким компаниям и стартапам. Подобные «песочницы» - не являются чем-то принципиально новым. Так, уже во многих странах действуют подобные режимы, например, в рамках российского законодательства существует ФЗ, устанавливающий экспериментально-правовые режимы в сфере цифровых инноваций [2]. И в целом, можно говорить о том, что на данный момент подобные послабления в отношении инновационных проектов и технологий доказывают свою эффективность и препятствуют замедлению технологического развития.
Подводя итог, хотелось бы отметить, что в ЕС многие вопросы регулирования создания и применения ИИ проработаны в значительной степени, а подход отличается передовым характером. И несмотря на отдельную критику нового регулирования [3,4], в частности, положений, запрещающих определенные системы, отметим, что новые правила могут позволить компенсировать технологическое отставание ЕС от основных конкурентов - США и Китая и отрегулировать расстановку сил на рынке и различие в производственных возможностях. Во многом это становится возможным как раз за счет запрещения применения определенных систем на рынке ЕС.
Новые правила дают четкое и технически емкое определение ИИ, которое может в том числе послужить основой в рамках выработки универсального определения. Исходя из положений Акта, определение будет дополняться Комиссией в части методов с дальнейшим развитием ИИ.
В рамках регулирования предприняты попытки по решению основных проблем функционирования ИИ, предложены эффективные системы управления рисками, и пострыночного мониторинга. Учитывая особенности подхода ЕС к регулированию ИИ, ориентированного на человека и человеческие ценности вероятно в Акт будут добавлены положения относительно оценки воздействия систем ИИ на незащищенные группы населения для предотвращения возможной дискриминации от применения технологий.
Согласно совместной позиции Европейского совета по защите данных и Европейского инспектора по защите данных, в Акте следует дополнительно отметить, что любая обработка персональных данных будет регулироваться не только новыми правилами, но и GDPR, а допуск технологий и систем из третьих стран на рынок ЕС потребует обязательного соответствия европейским нормам в области защиты данных. Помимо прочего, согласно данной позиции, необходимо осветить и аспекты международного сотрудничества правоохранительных органов по вопросам, связанным с применением ИИ [10].
В тексте статьи уже выделялись некоторые положения, которые оказались достаточно дискуссионными, как например, исключительные случаи возможного применения запрещенных систем. Они, с одной стороны, могут способствовать достаточно широкому применению систем ИИ, что безусловно вызывает критику со стороны защитников гражданских прав, с другой, они вполне удовлетворяют интересам государств в контексте обеспечения внутренней безопасности и противодействия терроризму.
Тем не менее, будучи первым в своем роде, Акт вполне может стать примером для остального мира, ведь здесь собраны воедино основные аспекты регулирования ИИ и предприняты попытки решения основных проблем, возникающих в контексте бурного развития технологий. Можно ожидать, что при разработке собственного законодательства страны будут опираться именно на документы Союза, в частности, на данный Акт, а подход ЕС найдет отражение не только в праве стран-членов Союза, но и в праве третьих стран. Более того, в силу экстерриториального характера документа, компании-производители технологий ИИ из различных стран, могут начать создавать ИИ в соответствии с установленными в регулировании требованиями.
Литература
1. Регламент Европейского Парламента и Совета Европейского союза 2016/679 от 27 апре-
ля 2016 г. // [Электронный ресурс] URL: http:// base.garant.ru/71936226/ (дата обращения: 25.03.2021)
2. Федеральный закон от 31 июля 2020 г. N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации»// [Электронный ресурс] URL: http://base.garant.ru/74451176/ (дата обращения: 26.03.2021)
3. Европа намерена защищать права людей от посягательств ИИ-систем - официально // [Электронный ресурс] URL: https://d-russia. ru/evropa-namerena-zashhishhat-prava-ljudej-ot-posjagatelstv-ii-sistem-oficialno.html?utm_ source=telegram(дата обращения: 26.04.2021)
4. Европа ограничит интеллект. Пока - искусственный // [Электронный ресурс] URL: https://expert.ru/2021/04/26/yevropa-ogranichit-intellekt-poka-iskusstvenniy/ (дата обращения: 20.05.2021)
5. Annexes to the Proposal for a Regulation laying down harmonised rules on artificial intelligence // [Электронный ресурс] URL: https://ec.europa.eu/ newsroom/dae/redirection/document/75789 (дата обращения: 20.05.2021)
6. Ethics guidelines for trustworthy AI // [Электронный ресурс] URL: https://ec.europa.eu/newsroom/ dae/document.cfm?doc_id=60419 (дата обращения: 26.03.2021)
7. Political Guidelines for the next European Commission 2019-2024 // [Электронный ресурс] URL: https://ec.europa.eu/info/sites/info/ files/political-guidelines-next-commission_en_0. pdf (дата обращения: 20.04.2021)
8. Proposal for a Regulation laying down harmonised rules on artificial intelligence // [Электронный ресурс] URL: https://ec.europa.eu/newsroom/dae/ redirection/document/75788 / (дата обращения: 20.05.2021)
9. White Paper on Artificial Intelligence: A European approach to excellence and trust // [Электронный ресурс] URL: https://ec.europa.eu/info/ sites/info/files/commission-white-paper-artificial-intelligence-feb2020_en.pdf (дата обращения: 20.03.2021)
10. EDPB & EDPS call for ban on use of AI for automated recognition of human features in publicly accessible spaces, and some other uses of AI that can lead to unfair discrimination"// [Электронный ресурс] URL: https://edpb.europa.eu/ news/news/2021/edpb-edps-call-ban-use-ai-automated-recognition-human-features-publicly-accessible_en (Дата обращения: 20.07.2021)
11. Freeman R., Eecke P. EU's Artificial Intelligence Regulation - Tough Tests for Smart Products // [Электронный ресурс] URL: https://products. cooley.com/2021/04/21/eus-artificial-intelligence-regulation-tough-tests-for-smart-products/ (дата обращения: 20.05.2021)
12. MacCarthy M., Propp K. Machines learn that Brussels writes the rules: The EU's new AI regulation https://www.brookings.edu/blog/
5
"O
C3
<
techtank/2021/05/04/machines-learn-that-brussels-writes-the-rules-the-eus-new-ai-regulation/#cancel (дата обращения: 26.03.2021)
LEGAL REGULATION OF AI TECHNOLOGIES IN THE EUROPEAN UNION: CURRENT STATE AND PROSPECTS FOR DEVELOPMENT
Marchenko A. Yu.
Moscow State Institute of International Relations (MGIMO University)
Rapid technological development and, in particular, artificial intelligence (AI) development along with expansion of its use, demand an effective regulation to be presented. Attempts to create a legal framework are being made at different levels, both at the level of individual states and at the regional and international levels. More than 30 countries have already adopted their national strategies and AI development programs that point out the necessity of developing a legal regulation. At the same time legislative acts are gradually being prepared. The efforts of the EU in developing of an AI regulatory framework are especially worth noting with its advanced and innovative approach guaranteeing safety and fundamental rights of people and businesses.
The article is devoted to examining the latest document introduced by the Commmission on 21 April 2021 - Proposal for a Regulation laying down harmonised rules on artificial. Once adopted, the final Act will likely influence and inspire not only member states legal systems, but also third countries. From this perspective article analyzes main features of the EU's approach to AI regulation in general and in the scope of solving major problems associated with the use and functioning of AI, and points out prospects for development of AI regulation in the EU.
Keywords: European Union, Artificial Intelligence, AI systems, AI legal regulation.
References
1. Regulation of the European Parliament and the Council of the European Union 2016/679 of April 27, 2016 // [Electronic resource] URL: http://base.garant.ru/71936226/ (date of access: 25.03.2021)
2. Federal Law of July 31, 2020 N 258-FZ "On Experimental Legal Regimes in the Field of Digital Innovations in the Russian
Federation" // [Electronic resource] URL: http://base.garant. ru/74451176/ (date of access: 03/26/2021)
3. Europe intends to protect the rights of people from the encroachments of AI systems - officially // [Electronic resource] URL: https://d-russia.ru/evropa-namerena-zashhishhat-prava-ljudej-ot-posjagatelstv-ii-sistem- oficialno.html? utm_source = telegram (date accessed: 04/26/2021)
4. Europe will limit intelligence. So far - artificial // [Electronic resource] URL: https://expert.ru/2021/04/26/yevropa-ogranichit-intellekt-poka-iskusstvenniy/ (date of access: 20.05.2021)
5. Annexes to the Proposal for a Regulation laying down harmonized rules on artificial intelligence // [Electronic resource] URL: https://ec.europa.eu/newsroom/dae/redirection/docu-ment/75789 (date accessed: 20.05.2021)
6. Ethics guidelines for trustworthy AI // [Electronic resource] URL: https://ec.europa.eu/newsroom/dae/document.cfm?doc_ id=60419 (date accessed: 03/26/2021)
7. Political Guidelines for the next European Commission 20192024 // [Electronic resource] URL: https://ec.europa.eu/info/ sites/info/files/political-guidelines-next-commission_en_0.pdf (access date: 20.04.2021)
8. Proposal for a Regulation laying down harmonized rules on artificial intelligence // [Electronic resource] URL: https://ec.eu-ropa.eu/newsroom/dae/redirection/document/75788 / (date accessed: 20.05.2021)
9. White Paper on Artificial Intelligence: A European approach to excellence and trust // [Electronic resource] URL: https://ec.eu-ropa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence -feb2020_en.pdf (date accessed: 20.03.2021)
10. EDPB & EDPS call for ban on use of AI for automated recognition of human features in publicly accessible spaces, and some other uses of AI that can lead to unfair discrimination "// [Electronic resource] URL: https: // edpb. europa.eu/news/news/2021/ edpb-edps-call-ban-use-ai-automated-recognition-human-features-publicly-accessible_en (Date accessed: 20.07.2021)
11. Freeman R., Eecke P. EU's Artificial Intelligence Regulation - Tough Tests for Smart Products // [Electronic resource] URL: https://products.cooley.com/2021/04/21/eus-artificial-intelligence-regulation -tough-tests-for-smart-products / (date accessed: 20.05.2021)
12. MacCarthy M., Propp K. Machines learn that Brussels writes the rules: The EU's new AI regulation https://www.brookings.edu/ blog/techtank/2021/05/04/machines-learn-that-brussels- writes-the-rules-the-eus-new-ai-regulation / # cancel (date accessed: 03/26/2021)