Что случилось
Еврокомиссия предлагает рассмотреть законопроект, который ограничит использование систем распознавания лиц и других технологий на основе ИИ, которые представляют угрозу для защиты персональных данных и личных интересов граждан ЕС. Это самая масштабная среди подобных законодательных инициатив.
Все технологии, о которых идет речь, поделили по степеням риска:
- Недопустимо высокий риск. Сюда отнесли алгоритмы, которые манипулируют поведением и влияют на выбор в той или иной области. Например, система социального скоринга в Китае. Такие технологии в ЕС хотят запретить;
- Высокий риск. Это, например, ИИ-системы онлайн-биометрии; скоринг при найме сотрудников, при оценке результатов экзамена и в банках (например, при выдаче кредита). Сюда также относятся ИИ-разработки для предсказания преступлений и оценки показаний в суде, роботизированная хирургия и беспилотники. Их предлагается жестко контролировать и при необходимости ограничивать;
- Умеренный риск. Здесь речь идет о голосовых роботах и чат-ботах. Их разрешат использовать при условии, что пользователи будут точно знать, что общаются с ИИ, а не человеком;
- Минимальный риск. Сюда относят всевозможные спам-фильтры и игровые сервисы, которые пока никак не будут регулировать.
Исключение сделают для ИИ-решений, которые применяют в вооруженных силах, для обеспечения безопасности, предотвращения терактов, а также поиска пропавших детей и преступников.
Также Еврокомиссия предлагает ввести механизм, который позволял бы блокировать и те технологии, которые уже используются, но в процессе эксплуатации стали опасными. Например, системы распознавания лиц, которые изначально создавались для обеспечения безопасности, а теперь используются для политического преследования.
Особое внимание в законопроекте уделяют биометрии и системам распознавания лиц. Такие технологии должны будут проходить предварительную оценку перед выходом на рынок. Их будут снабжать подробной информацией для пользователей и применять другие меры для снижения рисков. О том, как это будет выглядеть, подробно говорили в рамках Всемирного экономического форума.
Чтобы следить за выполнением будущего закона, страны ЕС создадут Европейский совет по искусственному интеллекту, в состав которого будут входить по одному представителю от каждого из 27 государств-членов ЕС, а также представитель Европейской комиссии и руководитель Европейской службы защиты данных. Совет займется подготовкой рекомендаций и всевозможных регламентов для тех, кто разрабатывает и внедряет технологии. Для финансирования проекта будут использовать программы «Цифровая Европа» и «Горизонт Европы», а также Фонд восстановления и устойчивости.
Европейские эксперты считают, что новому закону пока не хватает юридической конкретики. Например, нужно разобраться, какие именно риски ИИ-системы представляют для прав человека, верховенства закона и демократии. Также необходимо разработать более сложный и многоуровневый подход к определению рисков, который учитывал бы все факторы и условия применения конкретных технологий.
Андрей Незнамов, управляющий директор Центра регулирования ИИ «Сбера», отмечает: «В законопроекте указывается, что речь идет о ситуациях автоматической адаптации вводящих в заблуждение пользовательских интерфейсов, а также использовании уязвимостей человека и особых обстоятельств. Также упоминаются случаи применения пользователями методов ИИ для изменения фото, видео, аудио, фрагментов текста (в том числе дипфейков). Но, думаю, что это нюансы проекта документа. В итоговом тексте речь пойдет о манипулятивных возможностях алгоритмов в целом».
Чем это грозит
Согласно проекту, в каждом из 27 государств-членов ЕС должны будут создать органы для оценки рисков ИИ-технологий, их сертификации и инспектирования. Некоторые компании, чьи технологии не представляют высокого риска, смогут оценивать их самостоятельно. Сертификаты с оценкой действительны в течение пяти лет.
Компании, которые предоставят неверную информацию о своих разработках или не будут сотрудничать с этими органами, могут быть оштрафованы на сумму до 4% от годовой выручки.
Правила, описанные в законопроекте, будут действовать для европейских и зарубежных компаний, поставляющих технологии на базе ИИ на территории ЕС — включая российские. Им придется проходить процедуру оценки и сертификации для высокорискованных технологий, выпускать отдельные приложения или отключать некоторые опции для пользователей в ЕС. С такими проблемами могут столкнуться, как минимум, сервисы «Яндекса» и Mail.ru.
Как и любые другие подобные ограничения и регламенты, новый законопроект ставит в неравное положение разработчиков ИИ-технологий в ЕС и других странах — например, в США и Китае. Последние оказываются в более выгодном положении, тогда как европейским компаниям придется тратить дополнительные средства на выполнение новых правил. Это значит, что и цена их продуктов вырастет.
Сейчас документ еще в стадии рассмотрения, а на его проработку, принятие всех необходимых актов и создание соответствующих органов могут уйти годы. В первую очередь, меры коснутся компаний, которые поставляют системы распознавания лиц для госорганов, полиции и спецслужб.
Как регулируют ИИ и распознавание лиц сейчас
Во многом новый закон — это продолжение регламента GDPR, который действует в ЕС с 2018 года. Он касается защиты персональных данных и запрещает использование многих алгоритмов для сбора, анализа данных и распознавания лиц без прямого согласия пользователей.
В 2018 году были опубликованы Европейская стратегия в области искусственного интеллекта и Скоординированный план реализации европейской стратегии в области ИИ. В 2019-м — Руководящие принципы этичного ИИ, а в 2020-м — Оценочный лист для надежного ИИ. В 2020 году также вышла «Белая книга Комиссии по ИИ» и отчет о последствиях использования ИИ, интернета вещей и робототехники для человека. Тогда же были сделаны выводы о том, что необходимо доработать действующее законодательство для обеспечения безопасности подобных разработок.
Нормы ЕС в области распознавания лиц и других ИИ-систем считаются самыми жесткими для коммерческого сектора.
В США правила более мягкие, но в отдельных штатах — например, Калифорнии и Орегоне — распознавание лиц запрещено для полиции и госорганов. Сейчас власти рассматривают новое уточнение к 4-й поправке к Конституции США, которое ограничит отслеживание и продажу данных о геолокации смартфонов.
В Китае у властей есть практически неограниченный доступ к данным, получаемым с помощью ИИ-технологий. Государство отслеживает перемещения граждан, использует данные для системы социального мониторинга и контроля за отдельными народностями.
Как обстоят дела в России
Российские компании, которые работают на рынке ЕС, обязаны соблюдать нормы GDPR. В самой России системы распознавания лиц и другие ИИ-решения пока не регулируются отдельно, но есть Закон о защите персональных данных и отдельные инициативы в рамках нацпроекта «Цифровая экономика». Однако особых ограничений на применение этих технологий пока нет: компании лишь обязаны уведомлять об этом пользователей, спрашивать разрешение на публикацию фото и видео человека, а также защищать данные от утечек, но не от передачи третьим лицам.
В январе 2019 года в Минэкономразвития предложили ввести специальные правовые режимы для тестирования инновационных технологий — таких, как разработки на базе ИИ или беспилотники. Предполагается, что компании-разработчики на период тестирования будут освобождены от жесткого регулирования.
В марте 2021 года «Альянс ИИ», объединивший «Сбер», «Яндекс», «Газпром нефть», Mail.ru и МТС, сформулировал принципы этичного ИИ:
- Контролируемость и управляемость;
- Прозрачность и предсказуемость;
- Стабильность и надежность;
- Ответственное применение;
- Непредвзятость.
Они должны лечь в основу будущей законодательной инициативы.
По словам Незнамова из «Сбера», в каждом государстве формируются свои подходы к определенным аспектам применения ИИ, которые могут различаться. Целый ряд предложений разрабатывается сейчас на уровне Совета Европы и ЮНЕСКО.
«В России есть аналоги такого документа — это Концепция регулирования технологий ИИ до 2024 года, утвержденная правительством. Она подразумевает более взвешенный подход. Все-таки предлагаемое в ЕС регулирование является во многом уникальным и экспериментальным, а в чем-то, зачастую, и достаточно смелым», — добавил эксперт.