Уже длительное время вопросы искусственного интеллекта (далее по тексту ИИ) обсуждаются в различном контексте. Но последние годы взрывной рост отдельных продуктов, особенно генеративного ИИ, значительно изменил подходы как общества в целом, так и законодателя в частности.

Во всем мире обсуждаются вопросы регулирования ИИ. В части стран ограничивается использование ИИ в отдельных сферах, к примеру, в некоторых штатах США запрещено использование ИИ для создания дипфейков, которые могут повлиять на исходы выборов.

В ЕС уже был принят EU AI Act (Регламент или Закон об ИИ)[1]), который детально регулирует ИИ системы и модели генеративного ИИ. Регламент является нормативно-правовым актом, имеющим непосредственное действие на территории стран-членов ЕС, и он не требует его признания отдельным законом каждой страны.
Ниже мы рассмотрим подход, выбранный европейским законодателем, а также текущие правовые коллизии, которые могут возникнуть при использовании ИИ в деятельности компаний.

Закон ЕС об ИИ
13 марта 2024 года Закон Европейского Союза об ИИ был окончательно принят. Этот закон является первым всеобъемлющим правовым актом, который регулирует системы ИИ в целом, а не реагирует на отдельные точечные вопросы.

Применимость закона
Закон об ИИ имеет экстра-территориальное действие. Такой подход не является новым и активно применяется в различных законах в цифровой сфере как в зарубежных странах, так и в России (например, в законе о персональных данных).

Закон может применяться и в отношении компаний, ИИ системы которых распространяются в ЕС либо если результаты работы ИИ систем предназначены для ЕС. Таким образом, о новом регулировании необходимо волноваться не только европейским компаниям, но и иным компаниям, которые таргетируют европейский рынок.

Что касается субъектного состава, то в основном Закон должны исполнять поставщики ИИ систем, на которых ложится основной пласт обязанностей. Тем не менее, пользователи ИИ также должны учитывать требования закона, когда используют ИИ в своих интересах.

Подход к регулированию
Подход ЕС основан на риск-ориентированном принципе, при котором устанавливаются правила, ограничивающие неприемлемое и опасное использование ИИ, но предоставляя разработчикам ИИ свободу в тех сферах, где риски для прав и свобод не столь критичны.

Были приняты следующие группы ИИ и его использования:

• Запрещенные способы использования ИИ
• Высокорисковые ИИ
• ИИ с ограниченным уровнем риска
• ИИ с низким уровнем риска
• Модели ИИ общего назначения

Запрещенные практики
ИИ, представляющие, по мнению законодателей в ЕС, неприемлемый риск для охраны здоровья, защиты и основных прав, полностью запрещены к использованию в ЕС.

В Законе содержится перечень запрещенных практик, которые включают:

• Манипулирование поведением. Использование приемов подсознательного воздействия или целенаправленных манипулятивных или обманных приемов для существенного искажения поведения, приводящее к значительному ущербу;
• Системы социального скоринга;
• Создание баз данных распознавания лиц. Использование ИИ, который создает или расширяет базы данных для распознавания лиц путем нецелевого сбора изображений лиц в интернете или на записях камер видеонаблюдения;
• Распознавание эмоций. Определение эмоций на рабочих местах или в образовательных учреждениях (за исключением медицинских целей и целей безопасности);
• Биометрическая категоризация с использованием чувствительных данных. Биометрические системы категоризации, которые индивидуально категоризируют человека на основе его биометрических данных для вывода или предположения о его расе, политических взглядах, членстве в профсоюзе, религиозных или философских убеждениях, половой жизни или сексуальной ориентации (за некоторыми исключениями в публичных интересах).

Определение относится ли конкретная ИИ система к запрещенным практикам ложится на плечи самих поставщиков ИИ систем на основании толкования Регламента об ИИ. В случае нарушения запрета компания несет риск наложения значительного штрафа.

Высокорисковые системы ИИ
К категории высокого риска Закон об ИИ относит системы, которые используются в отдельных сферах, а именно:

• ИИ, предназначенные для использования в качестве продукта, который попадает под специфическое регулирование ЕС. Например: игрушки; медицинские изделия; транспортные средства, лифтовое оборудование.
• ИИ, используемые в отдельных сферах: биометрия; критическая инфраструктура; образование и профессиональная подготовка; занятость; доступ и использование значимых частных и государственных услуг и преференций; правоохранительная деятельность; миграция; осуществление правосудия и выборы.

При этом исключения существуют, если использование ИИ в этих сферах не значительных рисков. Но для этого необходимо документально подтвердить отсутствие таких рисков.

Требования к высокорисковым ИИ включают:

• Создание, внедрение, документирование и поддержание системы управления рисками.
• Эффективное управление данными.
• Ведение технической документации.
• Обеспечение прозрачности и предоставление информации пользователям.
• Человеческого надзор за ИИ.
• Соответствие стандартам точности, надежности и кибербезопасности.

В основном эти требования должны исполняться поставщиками ИИ.

Отдельные обязанности предусмотрены для пользователей высокорисковых ИИ систем, то есть лиц, находящихся в ЕС и использующих ИИ для своих целей[2] или находящихся за пределами ЕС, если результаты применения ИИ используются в ЕС. Так, пользователи высокорискового ИИ должны исполнять следующие обязанности:

• следовать инструкциям поставщика при использовании ИИ;
• обеспечить человеческий надзор за системой при использовании;
• внедрить автоматическую запись событий в ИИ системе и ее хранение не менее 6 месяцев;
• информирование физических лиц, взаимодействующих с системой, об использовании ИИ.

ИИ с ограниченным уровнем риска
При отсутствии высоких рисков использование ИИ в отдельных сферах все равно несет риски. Для того, чтобы их снизить Закон об ИИ устанавливает требования по прозрачности в следующих случаях:

• ИИ, предназначенные для непосредственного взаимодействия с физическими лицами;
• ИИ, генерирующие контент;
• системы распознавания эмоций или биометрические системы категоризации;
• системы, создающие дипфейки.

ИИ с низким уровнем риска
Если ИИ система не попадает ни по одну категорию выше, то она относится к системе с низким уровнем риска.
В этом случае поставщики и пользователи таких систем должны лишь обеспечить надлежащую грамотность своего персонала при работе с ИИ.

Модели ИИ общего назначения (GPAI)
Учитывая действующий темп развития ИИ общего назначения, для этого типа модели установлены особые правила. В Регламенте ИИ под GPAI понимается модель ИИ, которая демонстрирует значительную универсальность и способна эффективно выполнять широкий спектр различных задач независимо от способа размещения модели на рынке и может быть интегрирована в различные последующие системы или приложения, включая модели, которые обучались на большом объеме данных на основании самоконтроля.

Одним из типичных примеров такой модели являются большие генеративные модели ИИ (Large generative AI models), которые позволяют гибко генерировать контент (включая видео, аудио и изображения) на основании запросов пользователей.

Поставщики моделей ИИ общего назначения обязаны составлять соответствующую техническую документацию, внедрить политику, обеспечивающую соблюдение авторских и смежных прав, раскрывать описание массива данных для обучения, проводить оценку модели и обеспечивать безопасность.

ЕС ввел довольно высокий уровень регулирования для ИИ систем с точки зрения требований к поставщикам ИИ систем, а также потенциальных штрафов за несоблюдение этих требований. Вероятнее всего, многие страны будут ориентироваться на подходы ЕС с учетом особенностей местного регулирования.

Важно, что для всех поставщиков ИИ в будущем необходимо будет учитывать реалии каждого рынка, так как во многих странах будет принято самостоятельное регулирование ИИ, а текущий этап развития, при котором у разработчиков ИИ во многом развязаны руки, подходит к концу. В частности, в России уже обсуждается и отдельное регулирование ИИ, и включение соответствующего регулирования в цифровой кодекс, чья концепция находится в стадии дискуссии.


Отдельные правовые проблемы использования ИИ
Несмотря на отсутствие специальных законов об ИИ в отдельных странах, в том числе в России, уже сейчас существующие юридические рамки накладывают определенные ограничение или создают правовую неопределенность.

Интеллектуальная собственность
Потенциальные нарушения прав на интеллектуальную собственность являются одной из первоочередных проблем, возникающих в контексте активного использования ИИ, особенно генеративных технологий. Уже известны претензии со стороны авторов произведений, которые выражают нежелание, чтобы их работы использовались для обучения ИИ.
Не углубляясь в вопросы защиты самих ИИ-технологий как объектов интеллектуальной собственности, проблема соблюдения прав интеллектуальной собственности при использовании ИИ может быть разделена на две основные составляющие:

• Входящую информацию, т.е. законность использования чужих произведений при обучении и использовании ИИ; и
• Исходящие материалы, т.е. возникновение прав на создаваемый объект в целом и распределение прав на него.

Законность использования чужих произведений для обучения ИИ зависит от законности получения доступа к такому произведению и цели использования.

Если мы говорим об общем обучении генеративного ИИ, например, для подготовки нового текста в стиле классиков 19 века, то использование произведений, находящихся в публичном доступе, лишь для обучения представляется допустимым использованием на основании ст. 1282 Гражданского кодекса РФ.

Однако, могут возникать спорные ситуации, когда ИИ получает незаконный доступ к материалам, которые доступны только на коммерческой основе для ограниченного использования, или использует произведения, опубликованные исключительно для некоммерческого использования, в коммерческих целях.

Использование чужих произведений для явно незаконных целей (например, перевод произведения на другой язык или создание производных произведений без разрешения автора) является нарушением исключительных прав, поскольку такие действия будут являться использованием произведения без согласия правообладателя. Поэтому, если компания планирует использовать ИИ в коммерческой деятельности, необходимо заранее оценить законность сбора данных, которые могут включать в себя чужую интеллектуальную собственность, а также цель использования ИИ.

При анализе второго вопроса – о распределении прав на созданный ИИ контент, подходы различаются. В большинстве стран объектам интеллектуальной собственности, созданные ИИ, не предоставляется охрана, к примеру, в США недавно в очередной раз отказали в охране авторским правом, произведению, созданному ИИ[3].

В России нам известен кейс о дипфейке с изображением Киану Ривза[4]. Суд рассмотрел вопрос о том, кто является «автором» дипфейка: ИИ или человек. В этом деле истец смог доказать наличие творческого труда и второстепенную вспомогательную роль дипфейк-технологии. Таким образом, суд и пришел к выводу о признании такого дипфейка объектом авторского права. Однако, дело сейчас находится на рассмотрении в кассационной инстанции, поэтому возможно изменение итогового решения.

Зачастую при использовании ИИ пользователь каким-либо образом корректирует итоговый результат работы ИИ (например, вносит правки в итоговый текст, подготовленный ИИ). Это позволяет утверждать, что совокупность действий пользователя по промпту (постановке задач для ИИ-модели) и редактуре итогового продукта ИИ является достаточным творческим вкладом человека, и признать авторские права за пользователем.

Критерии и пределы человеческого вмешательства будут определяться в конкретных делах и спорах и вряд ли можно выработать единые правила. Однако уже сейчас можно предположить, что введение простого промпта вида «кот, спящий на диване» и использование первого сгенерированного изображения вряд ли позволит такому «автору» защищать свои права. Однако же история промптов, которая оттачивает конкретные детали изображения с последующей финализацией изображения вручную создает более надежные основания для правовой защиты.
Таким образом, при надлежащем человеческом вовлечении ИИ становится лишь технологией для создания произведения человеком. Аналогичным образом использование фото или видеоредакторов не вызывает сомнений, что права на итоговый результат принадлежат автору, который создал произведение с помощью редактора.
Поэтому, если бизнес внедряет ИИ в процессы, которые связаны с созданием интеллектуальной собственности (к примеру, подготовка текстов, включая переводы, написание программного кода, создание изображений), рекомендуется вовлекать в эти процессы человека в пределах, достаточных для признания ИИ лишь инструментом, а не «автором» созданных произведений.

Защита нематериальных благ
Использование ИИ уже подняло ряд новых вопросов в части защиты нематериальных благ человека.
В частности, актуален вопрос о наличии прав на голос, особенно у узнаваемых лиц, чей голос является уникальным или узнаваемым и может принести дополнительные выгоды при использовании.

Озвучивание с помощью ИИ какого-либо контента голосом такого человека представляется недобросовестным действием, но выработанной позиции в этой части пока нет. На сегодняшний день наиболее безопасным способом использования такого голоса является получение согласия от его обладателя для исключения каких-либо рисков в будущем.

Более классические нематериальные блага также оказываются под угрозой, в частности право на изображение. Так, уже сейчас можно создавать видео-материалы без участия узнаваемых артистов или блогеров. Такие случаи использования также требуют заранее «очищенных» прав на использование изображений.

Таким образом, при создании какого-либо контента в отношении частных лиц необходимо учитывать и нематериальные блага и, при необходимости, получать согласия соответствующих лиц либо ссылаться на иные случаи, предусмотренные законом, к примеру, если соответствующее лицо на основании договора выступало «моделью» для создания дальнейшего контента ИИ.

Защита персональных данных
На сегодняшний день защита персональных данных является одной из наиболее насущных тем для многих государств. Почти везде приняты детальные законы, регулирующие порядок обработки данных[5]. И, безусловно, ИИ и его использование затрагивают и этот пласт отношений.

Если ИИ используется при сборе и обработке персональных данных, то при структурировании ваших отношений необходимо учитывать внедрение ИИ-технологий в политики обработки персональных данных, определяя основания для обработки данных и включая необходимые формулировки в согласия, если таковые собираются. Использование ИИ-систем, особенно сторонних поставщиков, должно соответствовать принятым мерам защиты персональных данных и не создавать дополнительных рисков утечек.

Таким образом, как и при внедрении любой другой технологии, использованию ИИ-систем в деятельности компании должен предшествовать аудит текущих процессов по обработке данных с внесением соответствующих изменений.
Одним из наиболее актуальных вопросов при обработке данных с помощью ИИ-технологий является «автоматизированное» принятие решений без участия человека. Ярким примером являются практики финансового рынка, где принятие решения о выдаче финансового продукта осуществляется ИИ либо определение риска в страховых продуктах.

В законах большинства стран такой способ обработки персональных данных охраняется дополнительно. Например, в соответствии с GDPR[6] субъект персональных данных имеет право отказаться от принятия таких решений, а такая обработка персональных данных может осуществляться на основании ограниченного выбора правовых оснований. В России регулирование еще строже[7] – принятие решений на основании автоматизированной обработки данных возможно только при наличии письменного согласия.

Соответственно, при внедрении автоматизированных решений необходимо проверить применимость законодательных ограничений и обеспечить соблюдение прав субъектов персональных данных.

Договорные отношения
Если компания планирует использование ИИ для исполнения договоров, то необходимо проверить текущие договорные отношения либо стандартные формы договоров, которые используются с клиентами.
Во-первых, почти всегда договорами предусмотрены положения о конфиденциальности, которые могут нарушаться при использовании ИИ системы третьих лиц.

Помимо конфиденциальности, имеющиеся данные могут признаваться и другим видом охраняемой информации, например, банковской тайной, врачебной тайной. Такая квалификация может накладывать дополнительные обязанности на владельцев информации.

Во-вторых, необходимо также оценивать сущность договора и возможность применения ИИ для его исполнения.
К примеру, если договором предполагается создание произведения, и важной составляющей является именно личность исполнителя и его/ее способности, таланты, опыт, то использование ИИ вместо самостоятельной деятельности можно будет рассматривать как ненадлежащее исполнение договора.

Таким образом, если при исполнении договора компания планирует использовать ИИ, то необходимо заранее проверить наличие противоречий с договоренностями сторон и согласовать использование ИИ, при необходимости.

Регулирование отношений внутри компании
Все компании по-разному относятся к внедрению ИИ в свои бизнес-процессы. Одни компании скептически воспринимают возможность замены человеческих функций технологиями, другие же активно внедряют ИИ-решения и видят положительные результаты от их использования. Однако независимо от отношения компании к ИИ, при его внедрении в бизнес-процессы или разрешении работникам использовать сторонние ИИ-продукты для выполнения рабочих функций необходимо провести всесторонний анализ юридических рисков, включая упомянутые выше.
Компания отвечает за действия работника. Соответственно, неправильное применение сотрудником ИИ-систем (например, нарушение чужих прав на интеллектуальную собственность либо передача конфиденциальной информации клиента в чат-бот третьего лица) повлекут ответственность именно для компании.

Для управления рисками необходимо установить допустимые пределы использования ИИ своими сотрудниками: когда ИИ можно использовать и нельзя; какие данные допустимо вносить в ИИ системы; порядок проверки и валидации результатов работы ИИ; уведомление работодателя об использовании ИИ. Для этого необходимо принять соответствующие внутренние локальные акты, которые будут обязательны для исполнения работниками, а их нарушение может повлечь дисциплинарную ответственность.

Надлежащая оценка как с юридической, так и этической точек зрения поможет снизить потенциальные риски и установить надлежащие бизнес-процессы с использованием ИИ.

Очевидно, что ИИ уже стал частью нашей повседневной реальности. Мы еще столкнемся с новым регулированием ИИ на территории всего мира, но уже сейчас важно анализировать потенциальные юридические риски, которые возникают и могут возникнуть в будущем.

Разработчики ИИ систем уже сейчас должны учитывать, что регулирование их деятельности станет актуальной в ближайшее время и создание ИИ систем будет подчиняться определённым правилам. Пользователи ИИ также должны учитывать все юридические (и этические) грани внедрения ИИ в свои процессы.