Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
Legal
R
elations
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal R
elations
100
Е. Н. Мельникова,
магистр права, юрисконсульт,
Университет ИТМО
ПРАВОВОЙ РЕЖИМ ПОСТАВЩИКА, ПОСТАВЩИКА
БАЗОВОЙ МОДЕЛИ И ПОЛЬЗОВАТЕЛЯ ПРИЛОЖЕНИЙ
ИСКУССТВЕННОГО ИНТЕЛЛЕКТА В ЕС СОГЛАСНО AI ACT
Аннотация.
Общественные отношения, складывающиеся по поводу создания
и использования приложений искусственного интеллекта нуждаются в правовом ре-
гулировании в первую очередь потому, что приложения искусственного интеллекта
могут нанести вред (ущерб) жизни, здоровью, имуществу людей и окружающей сре-
де. Справедливое распределение ответственности за такой вред (ущерб) может быть
возможно только в случае комплексного правового регулирования прав и обязанно-
стей основных участников жизненного цикла приложений искусственного интел-
лекта (хотя правовой режим иных участников тоже имеет определенное значение).
Первый опыт такого правового регулирования впервые предпринят в ЕС: в 2022–
2023 гг. в Европарламент внесены три проекта: регламента (сокращенно именуемый
AI Act), директивы об ответственности за искусственного интеллекта, директивы об
ответственности за дефектную продукцию. В настоящей работе проанализирован
правовой режим поставщика, поставщика базовой модели и пользователя прило-
жений искусственного интеллекта согласно AI Act, который будет установлен в ЕС
в случае завершения законодательного процесса принятием регламента.
Ключевые слова:
AI Act, обязанности, поставщик, базовая модель, пользо-
ватель, разработчик, искусственный интеллект
LEGAL REGIME OF THE SUPPLIER, SUPPLIER THE BASIC MODEL
AND USER OF ARTIFICIAL INTELLIGENCE APPLICATIONS IN THE EU
ACCORDING TO AI ACT
Abstract.
The public relations that are developing regarding the creation and use of
Artificial Intelligence applications (hereinafter referred to as «AI») need legal regulation,
primarily because AI applications can harm (damage) people’s lives, health, property
and the environment. A fair distribution of responsibility for such harm (damage) can be
possible only in the case of a comprehensive legal regulation of the rights and obligations
of the main participants in the life cycle of AI applications (although the legal regime
of other participants also has some significance). The first experience of such legal
regulation was first undertaken in the EU: in 2022-2023, three drafts were submitted to
the European Parliament: regulations (abbreviated as the AI Act), directives on liability
for AI, directives on liability for defective products. This paper analyzes the legal regime
of the supplier, the supplier of the basic model and the user of AI applications according
to the AI Act, which will be established in the EU if the legislative process is completed
by the adoption of the regulation.
Keywords
:
AI Act, responsibilities, provider, foundation model, deployer,
developer, user, Artificial Intelligence
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal
Relations
101
Введение.
Первые значимые попытки комплексного правового регулирова-
ния ИИ предприняты пока только в ЕС: комитеты Европейского парламента по
внутреннему рынку и гражданским свободам 11 мая 2023 года согласовали ос-
новные положения проекта Предложения о регламенте Европейского Парламента
и Совета, устанавливающем гармонизированные правила в области искусственно-
го интеллекта (Закон об искусственном интеллекте) и вносящем поправки в неко-
торые законодательные акты ЕС (далее – AI Act, регламент) [3]. Поправки, приня-
тые Европейским парламентом по предложению о регламенте, появились 14 июня
2023 года, а уже 20 июня 2023 года на сайте Европейского парламента появился
[4] документ на 681 страницах, представляющий собой сравнительный анализ
изменений текста AI Act в ходе законодательного процесса; в документе содер-
жатся положения первоначального проекта регламента (Commission Proposal), по-
правки Европейского парламента от 14 июня 2023 года (EP Mandate) и поправки
от 20 июня 2023 года Совета Европейского союза (Council Mandate), при этом
Commission Proposal претерпел такие существенные изменения, что от первона-
чальной редакции проекта регламента мало что осталось. По состоянию на август
2023 года AI Act все еще находится в процессе принятия. Размер настоящей статьи
не позволяет здесь привести анализ изменений некоторых ключевых положений
регламента в динамике, хотя это представляет определенный интерес. В настоя-
щем докладе в целях сокращения в случае расхождений между положениями EP
Mandate и Council Mandate, рассматриваются только положения проекта AI Act
в редакции Совета Европейского союза (Council Mandate). Если согласие между
Европейским парламентом и Советом Европейского союза будет достигнуто, AI
Act установит правовой режим участников жизненного цикла приложений ИИ
и тем самым внесет существенный вклад в регулирование гражданско-правовых
отношений, возникающих в сфере создания и использования ИИ.
С целью гражданско-правового регулирования ответственности за вред
(ущерб), причиненный ИИ, в сентябре 2022 года Европейская комиссия предло-
жила две директивы – Директиву об ответственности за ИИ [5] и Директиву об от-
ветственности за дефектную продукцию [6], которая обновит правила ответствен-
ности за продукцию, датируемые 1985 годом («Пересмотренная PLD»). Между
двумя указанными директивами и AI Act нет дублирования, документы дополня-
ют друг друга: пересмотренный PLD устанавливает обновленные правила, касаю-
щиеся строгой ответственности производителя за дефектную продукцию (ответ-
ственность без необходимости доказывать вину), а Директива об ответственности
AI рассматривает требования об ответственности, основанные на вине, с целью
компенсации ущерба лицам, пострадавшим в результате использования систем
ИИ с высоким уровнем риска.
Ожидается, что вместе эти три документа: AI Act и вышеуказанные директи-
вы – установят всеобъемлющий режим правового регулирования ИИ на террито-
рии ЕС и частично за ее пределами.
Приложения ИИ в терминологии регламента и директив называются систе-
мами искусственного интеллекта, поэтому в дальнейшем в данной работе оба тер-
мина будут использоваться как синонимы.
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
Legal
R
elations
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal R
elations
102
1. Сфера применения AI Act
Сфера действия регламента обозначена в ст. 2. AI Act. Согласно п. 1 ст. 2 AI
Act применяется к поставщикам, уполномоченным представителям поставщиков,
пользователям, производителям, импортерам и дистрибьюторам, затронутым ли-
цам (affected persons), которые находятся в ЕС и на здоровье, безопасность или ос-
новные права которых отрицательно влияет использование системы ИИ, которая
размещена на рынки или введена в эксплуатацию в рамках ЕС.
Экстерриториальное действие AI Act проявляется в его применении к раз-
работчикам, поставщикам услуг и предприятиям, учрежденным или расположен-
ным за пределами ЕС, при использовании результатов, производимых приложени-
ями ИИ в ЕС, или когда такие системы собирают или обрабатывают персональные
данные физических лиц, находящихся в ЕС или Европейской экономической зоне.
AI Act не применяется (ст. 2 п. 3-5):
– к пользователям – физическим лицам, использующим системы ИИ в лич-
ной непрофессиональной деятельности (п. 5с, Council Mandate);
– к компонентам ИИ, предоставляемым по бесплатным лицензиям с откры-
тым исходным кодом, за исключением случаев, когда они размещены на рынке или
введены в эксплуатацию поставщиком как часть системы ИИ с высоким уровнем
риска или запрещены (раздел II AI Act). Это исключение не применяется к базо-
вым моделям, определенным в ст. 3 (п. 5e, EP Mandate);
– к системам ИИ, которые используются в деятельности, касающейся воо-
руженных сил, обороны или национальной безопасности (п. 3, Council Mandate);
– к системам ИИ, включая их выходные данные, специально разработан-
ным и введенным в эксплуатацию исключительно с целью научных исследований
и разработок (п. 5a, Council Mandate);
– к научно-исследовательской деятельности, касающейся ИИ-систем (п. 5b,
Council Mandate);
– к исследованиям и испытаниям систем ИИ до их вывода на рынок или вво-
да в эксплуатацию, при условии, что эти действия осуществляются с соблюдени-
ем основных прав и применимого законодательства ЕС. Это исключение не рас-
пространяется на испытания в реальных условиях (п. 5d, EP Mandate).
AI Act не осуществляет непосредственное регулирование правоотношений
между участниками жизненного цикла приложений ИИ и потребителями, по-
скольку системы ИИ в ЕС подпадают под действие законодательства о защите
прав потребителей (п. 32a преамбулы, ЕР Mandate).
Очевидно, что из-под действия регламента выводятся основные значи-
мые сферы применения ИИ, развитие которых влияет на цифровой суверенитет
государства.
2. Классификация приложений ИИ по уровням риска в AI Act
В AI Act приложения ИИ классифицируются по уровням риска, в зависимо-
сти от сферы действия и степени потенциальной опасности, которую система ИИ
может представлять для человека и окружающей среды.
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal
Relations
103
Уровень 1. Неприемлемый риск
Системы ИИ с неприемлемым риском запрещены. Они включают в себя те,
которые допускают:
– когнитивно-поведенческое манипулирование людьми или конкретными
уязвимыми группами;
– социальную оценку, классификацию людей на основе поведения, социаль-
но-экономического статуса или личных характеристик;
– системы биометрической идентификации в режиме реального времени
и удаленной идентификации, такие как распознавание лиц.
Запрет применяется с учетом сферы действия регламента, обозначенной
в ст. 2. AI Act.
Уровень 2. Высокий риск
Системы ИИ, которые негативно влияют на безопасность или основные пра-
ва, делятся на две категории:
1. Системы ИИ, которые используются в продуктах, подпадающих под дей-
ствие законодательства ЕС о безопасности продукции.
2. Системы ИИ, относящиеся к восьми областям, перечислены в Приложении
III AI Act.
Уровень 3. Малый риск
К ИИ малой степени риска отнесены специализированные реализации мо-
делей ИИ, выход которых «имеет незначительное или подчиненное влияние на
решения и действия человека», например, это системы ИИ, которые генерируют
изображения, аудио- или видеоконтент. Для них регулирование сравнительно мяг-
кое, такие приложения ИИ должны соответствовать минимальным требованиям
прозрачности, которые позволили бы пользователям принимать обоснованные
решения. Пользователи должны быть осведомлены, когда они взаимодействуют
с ИИ. Приложения ИИ этой группы в настоящей статье не рассматриваются.
Генеративный искусственный интеллект (базовые модели)
В регламенте отдельно выделены базовые модели или генеративный ИИ
(модели ИИ типа GPT-4, применяющиеся в областях типа медицины, управле-
ния транспортными средствами и пр.), которые могут относиться к любой группе
риска.
Автономные системы ИИ (далее – АС) также могут относиться к любой груп-
пе риска. Согласно версии, предложенной Европейским парламентом и оставлен-
ной без изменения Советом Европейского союза, может быть отнесена к системам
высокого риска, если она создает риск причинения вреда здоровью и безопасно-
сти или риск неблагоприятного воздействия на основные права, который эквива-
лентен или превышает риск причинения вреда, создаваемый системами ИС высо-
кого риска и действует в одной из восьми сфер, отнесенных к Приложению III 2
(b) ст. 7 AI Act. AI Act не наделяет АС какими-либо особенностями по сравнению
с приложениями ИИ, действующими на основе несамообучающихся моделей.
Соответственно, ответственность лиц, контролирующих АС, не дифференциру-
ется по сравнению с неавтономными приложениями АС. Это логично, поскольку
полной автономии согласно регламенту, не предполагается: пользователи долж-
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
Legal
R
elations
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal R
elations
104
ны поручить человеческий надзор физическим лицам, обладающим необходимой
компетенцией, обучением и полномочиями (п. 1a ст. 29 Council Mandate).
Итак, AI Act классифицирует системы ИИ на основе вероятности причине-
ния ими вреда (ущерба), при этом большая часть регламента посвящена регули-
рованию прав и обязанностей участников жизненного цикла систем ИИ высокого
риска.
Рассмотрим, каков с точки зрения AI Act жизненный цикл приложения ИИ,
каковы его основные участники.
3. Участники жизненного цикла приложений ИИ в регламенте ЕС AI Act
Согласно п. 1a ст. 3 AI Act (Council Mandate), «жизненный цикл системы
ИИ» означает продолжительность работы системы ИИ от проектирования до вы-
хода из эксплуатации (отключение без возможности дальнейшего использования
или существенной модификацией системы ИИ).
Права и обязанности участников жизненного цикла приложений ИИ и, соот-
ветственно, ответственность за их несоблюдение (далее по тексту также «правовой
режим») зависят от уровня риска, к которому относится система ИИ. Участниками
жизненного цикла приложений, как представляется, являются поставщик, пользо-
ватель, производитель продукции, разработчик.
Поставщик (provider) – это любое лицо, включая государственный орган, ко-
торый разрабатывает систему ИИ или у которого есть система ИИ, разработанная
с целью ее размещения, и кто выводит эту систему на рынок или вводит ее в экс-
плуатацию под своим собственным именем или торговой маркой, будь то за плату
или бесплатно (п. 2 ст. 3 AI Act).
Отдельно выделена конструкция «малый поставщик» – микро- или малое
предприятие, что означает дифференцию правовых режимов поставщиков систем
ИИ в зависимости от их размера. Поставщика не следует путать с разработчиком,
правовой режим которого совершенно иной (см. ниже).
Поставщик базовой модели. Ст. 3 AI Act не дает определения поставщика ба-
зовой модели. Правовой режим поставщика базовой модели, обязанности которого
перечислены в ст. 28b, добавленной в ЕР Mandate, отличается от правового режи-
ма поставщика, обязанности которого закреплены в ст. 16 AI Act. Примечательно,
что из п. 2 ст. 28 AI Act в редакции ЕР и Council Mandate исчезло первоначальное
предложение о том, что поставщик, который первоначально разместил систему
ИИ с высоким уровнем риска на рынке или ввел ее в эксплуатацию, больше не
считается поставщиком для целей AI Act. Анализ ст. 28b (ЕР Mandate) а также дру-
гих положений AI Act позволяет прийти к выводу, что поставщик базовой модели
– это лицо, разместившее на рынке универсальную модель машинного обучения,
которая может быть адаптирована под широкий круг задач. Несмотря на кажу-
щееся сходство, не следует путать поставщика базовой модели с разработчиком
вообще и разработчиком базовой модели в частности.
Разработчик. Ст. 3 регламента не содержит определение понятия «разра-
ботчик». В первоначальном проекте регламента (Commission Proposal) разра-
ботчик не упоминается вовсе, однако его фигура появляется в п. 12c преамбулы
ЕР Mandate, где говорится, что разработчики бесплатных компонентов ИИ с от-
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal
Relations
105
крытым исходным кодом не должны быть обязаны соответствовать требованиям
регламента в части регулирования цепочки создания стоимости ИИ, и в частно-
сти, требованиям, установленным в отношении поставщика, который использо-
вал этот бесплатный компонент ИИ с открытым исходным кодом. Однако раз-
работчиков бесплатных компонентов ИИ с открытым исходным кодом следует
поощрять к внедрению широко распространенных методов документирования.
Согласно абз. «о» ст. 56 b ЕР Mandate Офис ИИ (The European Artificial Intelligence
Office) должен обеспечить мониторинг базовых моделей и организовать регу-
лярный диалог с разработчиками базовых моделей на предмет их соответствия
требованиям безопасности. Данные положения не изменены в Council Mandate.
Соответственно, в случае вступления AI Act в силу к категории разработчиков
будут относиться только разработчики бесплатных компонентов ИИ с открытым
исходным кодом, а разработчики базовых моделей попадут в поле зрения госу-
дарственного органа (Офис ИИ), который будет проверять действия таких разра-
ботчиков на соответствие регламенту.
Так, в отличие от поставщика базовой модели, разработчик базовой модели
не выводит ее на рынок за плату или по бесплатным лицензиям с открытым исход-
ным кодом, он может использовать базовую модель только в той мере, в которой
такое использование не подпадает под действие регламента, например, в личных,
научно-исследовательских целях.
Пользователь (user) означает любое лицо, включая государственный орган,
использующий систему ИИ, находящуюся в его ведении («under whose authority»),
за исключением случаев, когда система ИИ используется в ходе личной непрофес-
сиональной деятельности (п. 4 ст. 3 AI Act). Для облегчения понимания функций
пользователя следует упомянуть, что в редакции ЕР Mandate это же лицо обозна-
чалось как деплоер (deployer), что в переводе на русский язык означает «разработ-
чик» или «развертыватель». Это лицо, осуществляющее развертывание и запуск
приложения ИИ. Однако в Council Mandate в этом же значении снова употребля-
ется термин «пользователь», в роли которого может выступать любое лицо, ис-
пользующее систему ИИ. Можно ожидать, что в финальной версии AI Act термин
«deployer» окончательно уступит место термину «user». В целях настоящей статьи
будем употреблять термин «развертыватель» в значении «пользователь» как сино-
ним, тем более, что перевод слова «deployer» на русский язык – «развертыватель»,
не имеет общеупотребительного значения.
Следует согласиться с тем, что «любая организация, банки и даже супермар-
кеты могут квалифицироваться как пользователи в соответствии с предстоящим
регламентом, если они хотят внедрить системы ИИ с высоким уровнем риска» [2].
Производитель означает производителя по смыслу любого законодательства
ЕС о гармонизации, перечисленного в Приложении II. Соответственно, устанав-
ливая правовые режимы, AI Act различает фигуры поставщика и производителя
системы ИИ (п. 5а ст. 3 AI Act). Поскольку законодательство ЕС гармонизирует
обязательные требования к безопасности продукции на всей территории ЕС, про-
изводитель обязан соблюдать указанные требования. По всей видимости, AI Act
будет являться специальным нормативно-правовым актом по отношению к зако-
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
Legal
R
elations
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal R
elations
106
нодательству ЕС о гармонизации обязательных требований к безопасности про-
дукции, в которой содержатся приложения ИИ.
Оператор означает поставщика, производителя продукции, пользователя,
уполномоченного представителя, импортера и/или дистрибьютора (п. 8 ст. 3 AI
Act). Термин «оператор» объединяет всех лиц, которые контролируют систему
ИИ.
Представляется, что основными участниками жизненного цикла приложений
ИИ в AI Act являются поставщик, разработчик базовых моделей и пользователь.
Все они могут совпадать в одном лице, но чаще это разные организации.
Размер настоящего доклада не позволяет уделить внимание другим
операторам.
4. Правовой режим основных участников жизненного цикла приложе-
ний ИИ в регламенте ЕС «AI Act»
Рассмотрим правовой режим основных участников жизненного цикла прило-
жений ИИ, закрепленный в регламенте ЕС «AI Act», поскольку бремя ответствен-
ности за неблагоприятные последствия использования приложений ИИ должно
распределяться между участниками соответственно их обязанностям.
В докладе анализируется только правовой режим систем ИИ высокого риска.
Поставщик
Список обязанностей поставщика систем высокого риска закреплен в ст. 16
AI Act, хотя три фундаментальные обязанности закреплены уже в преамбуле ре-
гламента в редакции Council Mandate.
Первая обязанность, которая лежит на поставщике (п. 32a преамбулы AI Act)
– классификация приложений ИИ по уровню риска, которое он намерен выве-
сти на рынок. Если оказывается, что приложение ИИ соответствует признакам
систем высокого риска, то поставщик должен оценить, не представляет ли указан-
ная система ИИ значительный риск причинения вреда здоровью, безопасности,
основным правам или окружающей среде. До вывода на рынок, в идеале на ста-
дии разработки, поставщик направляет в компетентный орган соответствующее
уведомление. Если компетентный орган считает, что рассматриваемая система
ИИ была неправильно классифицирована поставщиком, она должна быть отозва-
на с рынка. Корреспондирующая обязанность закреплена в п. «е» ст. 16 AI Act
(Council Mandate).
Вторая обязанность поставщика (п. 42 преамбулы AI Act) –установление си-
стемы управления рисками, которая в соответствии с требованиями главы 2 AI
Act представляет собой непрерывный процесс, реализуемый на протяжении всего
жизненного цикла системы ИИ. Этот процесс должен гарантировать, что постав-
щик услуг идентифицирует и анализирует риски для здоровья, безопасности и ос-
новных прав лиц, которые могут быть затронуты системой ИИ в свете ее пред-
полагаемого назначения, включая возможные риски, возникающие в результате
взаимодействия между системой ИИ и средой, в которой она функционирует, и,
соответственно, принимает соответствующие меры по управлению рисками в све-
те современного уровня техники.
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal
Relations
107
Третья обязанность поставщика (п. 78 преамбулы AI Act) – иметь систему по-
стпродажного мониторинга по месту использования для обеспечения своевремен-
ного устранения возможных рисков, связанных с системами ИИ, которые продол-
жают «обучаться» после выхода на рынок или ввода в эксплуатацию. Поставщики
услуг также обязаны иметь действующую систему для сообщения соответствую-
щим органам о любых серьезных инцидентах или любых нарушениях националь-
ного законодательства ЕС, защищающих основные права в результате использо-
вания их систем ИИ. Корреспондирующие обязанности закреплены в п. «g» и «h»
ст. 16 AI Act (Council Mandate)).
Перечислим некоторые обязанности поставщика согласно ст. 16 AI Act,
а именно, поставщики должны:
– обеспечивать соответствие их приложений ИИ требованиям, изложенным
в главе 2 AI Act (п. «а» ст. 16 AI Act (Council Mandate)), в том числе, проходить
процедуру оценки рисков в соответствии со 43 AI Act;
– уведомлять физических лиц, которым поручен человеческий надзор за си-
стемами ИИ, о риске автоматизации или предвзятости подтверждения (п. «ab»
ст. 16 AI Act (ЕР Mandate, подтверждено Council Mandate)), чему корреспондирует
обязанность пользователя использовать систему ИИ в соответствии с инструкци-
ей, подготовленной поставщиком, включая осуществление мер по надзору за пер-
соналом в целях осуществления человеческого контроля за ИИ (ст. 29 AI Act);
– предоставить информацию об используемых наборах входных данных
(п. «ac» ст. 16 AI Act (ЕР Mandate, подтверждено Council Mandate));
– вести документацию (п. «с» ст. 16 AI Act (Council Mandate)) и журналы,
автоматически генерируемые системами ИИ, находящимися под их контролем
(п. «d» ст. 16 AI Act (Council Mandate));
– регистрировать системы ИИ высокого риска.
Согласно п. 1 ст. 43 AI Act поставщик должен выполнить одну из следую-
щих процедур: (a) процедуру оценки соответствия, основанную на внутреннем
контроле или (b) процедуру оценки соответствия, основанную на оценке системы
менеджмента качества и технической документации с привлечением нотифициро-
ванного органа.
Следовательно, основная обязанность поставщика – это оценка и управле-
ние рисками в течение всего жизненного цикла системы ИИ, направленные на
безопасность системы вплоть до ее отключения. Оценка и управление рисками
включают в себя, прежде всего, техническое документирование разработки и под-
готовку подробных инструкций для пользователя. Иные обязанности (например,
пострыночный, сообщение об инцидентах и пр.), как представляется, либо на-
правлены на удаление из хозяйственного оборота опасных приложений ИИ, либо
на улучшение качества приложений ИИ, включая уточнение инструкций.
Поставщик базовой модели (provider of foundation model)
Понятие базовой модели в Commission Proposal отсутствовало и появилось
в ходе законодательного процесса: ЕР Mandate добавил определение понятия ба-
зовой модели в ст. 3, а также закрепил обязательства поставщика базовой модели
в ст. 28b.
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
Legal
R
elations
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal R
elations
108
Согласно п. 1 «с» ст. 3 AI Act (ЕР Mandate), базовая модель означает модель
системы ИИ, которая обучается на обширных данных в масштабе (broad data at
scale), предназначена для обобщения выходных данных и может быть адаптирова-
на к широкому спектру задач.
Иными словами, это универсальная предобученная модель машинного об-
учения. Наиболее известны модели вида GPT, но ими круг базовых моделей не
ограничивается.
Согласно п. 1 ст. 28b AI Act (ЕР Mandate), поставщик базовой модели должен
до вывода на рынок или ввода в эксплуатацию убедиться, что она соответствует
требованиям, изложенным в ст. 28b, независимо от вида приложения, в которое
она встроена, и возмездности распространения (платно или на условиях свобод-
ной лицензии). Эти требования закреплены в п. 2 ст. 28b, из которых ключевыми
являются обязанности:
(а) предвидеть и оценивать последствия разработки для человека и окружаю-
щей среды, контролировать качество данных;
(b) обучать модель только на данных, которые подлежат эффективному кон-
тролю на протяжении всего своего жизненного цикла;
(c) спроектировать и обучить базовую модель так, чтобы на протяжении все-
го ее жизненного цикла она была безопасной и (d) отвечала требованиям соответ-
ствующих стандартов;
(e) разработать техническую документацию и понятные инструкции по ис-
пользованию, с тем чтобы дать возможность нижестоящим поставщикам выпол-
нять свои обязательства в соответствии со статьями 16 и 28(1) регламента;
(f) создать систему менеджмента качества для обеспечения и документиро-
вания соответствия модели требованиям ст. 28b AI Act;
(g) зарегистрировать базовую модель в базе данных ЕС.
Законодатель не ссылается на главу 2 AI Act, где установлены требования
к системам ИИ высокого риска не случайно. Это обусловлено в первую очередь
тем, что базовая модель – это программа для ЭВМ, а глава 2 регулирует обязан-
ности поставщиков систем ИИ, которые могут быть программно-аппаратными
комплексами (т. е. устройствами), в которых могут быть использованы (но далеко
не всегда) базовые модели AI Act и которые доводятся до пользователей и потре-
бителей, поэтому к программе для ЭВМ круг требований сужен обязанностями,
перечисленными в ст. 28b.
По сути, ст. 28b AI Act устанавливает требование к системе управления ри-
сками с упором на контроль качества данных и документирование, направленные
на обеспечение адекватности и безопасности системы ИИ на самом вышестоящем
уровне, где нижестоящий поставщик использует базовую модель вышестоящего
поставщика.
Следовательно, основная обязанность поставщика базовой модели – сплани-
рованная безопасность модели, которая достигается контролем качества обучаю-
щих данных в течение всего ее жизненного цикла.
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal
Relations
109
Пользователь
В п. 58a Преамбулы AI Act в редакции ЕР Mandate (без последующих измене-
ний в Council Mandate) указывается на то, что «риски, связанные с системами ИИ,
могут проистекать не только из способа проектирования таких систем, но и из того,
как такие системы ИИ используются. Таким образом, развертыватели (deployers)
систем ИИ играют важную роль в обеспечении защиты основных прав, дополняя
обязательства поставщика при разработке системы ИИ». В этой фразе достаточ-
но однозначно выражено отношение европейского законодателя к обязательствам
пользователя в обеспечении предотвращения вреда (ущерба) от использования
систем ИИ – как дополнительным по отношению к обязательствам поставщика.
Означает ли это субсидиарную ответственность за вред (ущерб)? Думается, что
нет – это работает иначе. Поскольку, согласно п. 1 ст. 29 AI Act, пользователь дол-
жен использовать систему ИИ в соответствии с инструкцией, предоставляемой
поставщиком, при этом контролировать систему должно только компетентное фи-
зическое лицо (п. 1а ст. 29 AI Act (Council Mandate)). Соответственно, если пользо-
ватель действует в строгом соответствии с инструкцией, а инцидент все же случа-
ется, то за неблагоприятные последствия инцидента должен отвечать поставщик.
Однако не все так однозначно: AI Act учитывает действия пользователя.
В этом же п. 58a Преамбулы далее указано, что пользователи лучше всего
понимают, как конкретно будет использоваться система ИИ, и, следовательно,
могут идентифицировать потенциальные значительные риски, которые не были
предусмотрены на этапе разработки, благодаря более точному знанию контекста
использования, людей или групп людей, которые могут быть затронуты, вклю-
чая уязвимые группы. Лица, осуществляющие развертывание (т. е. пользователи),
должны определить соответствующие структуры управления в данном конкрет-
ном контексте использования, такие как механизмы надзора за персоналом, проце-
дуры рассмотрения жалоб и процедуры возмещения ущерба. Пользователь систем
ИИ должен проводить оценку воздействия на основные права до ввода их в экс-
плуатацию и выполнять ряд связанных с этим обязанностей (детали определены
в ст. 29(a) AI Act (ЕР Mandate)), что требует огромных человеческих усилий и воз-
можностей, поэтому, согласно регламенту (58a Преамбулы, ЕР), эти обязательства
не должны распространяться на малые и средние предприятия, которые тем не
менее также должны стремиться к проведению вышеуказанной оценки. Если об-
наруженные риски не могут быть уменьшены, пользователи должны вообще воз-
держиваться от использования такой системы ИИ. Положительным моментом для
пользователей является то, что они смогут воспользоваться существующими оцен-
ками, проводимыми поставщиками, в той мере, в какой предоставляемая оценка
включает минимальные элементы, определенные AI Act. Это правило в значитель-
ной степени перекидывает обязанность по оценке рисков (а следовательно, и от-
ветственность за инциденты) обратно на поставщика. Учитывая то, что у боль-
шинства коммерческих компаний нет необходимых источников для проведения
оценки воздействия на основные права человека, неясно, как на практике будет ре-
ализовываться данное требование: вполне возможно, что очень формально и бес-
смысленно для защиты прав человека, но весьма обременительно как для постав-
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
Legal
R
elations
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal R
elations
110
щика, так и для пользователя. Не исключено, что на практике пользователи будут
избегать обязанности по оценке или проводить ее формально, целиком полагаясь
на документы (по оценке, инструкции и пр.), предоставляемые поставщиком.
Правило AI Act ((58a), ЕР Mandate), которое требует от пользователей в слу-
чае нарушения прав какой-либо группы лиц сообщать о результатах оценки воз-
действия системы ИИ на основные права национальным надзорным органам
и производить общедоступную публикацию отчета об оценке (видимо, без раз-
глашения сведений о затронутых физических лицах), напоминает требование об
уведомлениях в связи с утечкой данных, но вряд ли будет эффективно работать,
потому что содержит оценочное суждение «о результатах оценки воздействия си-
стемы ИИ на основные права», которое может оказаться необъективным, так как
критерии оценки не разработаны.
Согласно п. 6 ст. 29 AI Act требуется, чтобы пользователи проводили оцен-
ку воздействия на защиту данных (далее «data protection impact assessment» будет
обозначена как «DPIA») в соответствии с требованиями GDPR применительно
к ситуации, когда персональные данные обрабатываются на протяжении всего
жизненного цикла системы ИИ. ЕР Mandate внес два дополнения. Отмечается, что
эти новые обязательства заставят пользователей и контролеров данных активизи-
ровать свои усилия по обеспечению соответствия требованиям GDPR [2].
Государственные органы или организации широкого круга категорий, обяза-
ны зарегистрировать факт использования любой системы ИИ с высоким уровнем
риска в общедоступной базе данных. Другие участники развертывания могут за-
регистрироваться добровольно.
Очевидно, что у пользователя так же, как и у поставщика, много обязанно-
стей по обеспечению безопасности использования приложений ИИ, но эти обя-
занности в основном имеют «умозрительное содержание» могут быть исполнены
лишь формально, тем самым ничего или почти ничего не добавляя к укреплению
безопасности ИИ и защите прав человека.
Итак, мы рассмотрели права и обязанности основных участников жизненно-
го цикла приложений ИИ. Что в соответствии с AI Act является нарушением, за
которое полагается ответственность? Какая ответственность вытекает из обязан-
ностей операторов систем ИИ и как она распределяется?
5. Административная ответственность участников жизненного цикла
приложений ИИ за нарушение обязанностей согласно AI Act
AI Act предусматривает только административную ответственность за не-
соблюдение требований регламента. В ст. 71 перечислены штрафы операторов
и других участников жизненного цикла систем ИИ, причем самые крупные санк-
ции (30 000 000 EUR, а для МП – 6% от годового оборота по всему миру) пред-
усмотрены за нарушение ст. 5 AI Act, где перечислены запрещенные практики ис-
пользования ИИ. Также штрафы вводятся за следующие нарушения:
– обязательств поставщиков, установленные в ст. 16 AI Act;
– обязательств другими участниками жизненного цикла приложений ИИ (пе-
речислены конкретные статьи, где установлены различные обязательства).
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal
Relations
111
В ст. 72 AI Act перечислены штрафы, налагаемые на профсоюзные учрежде-
ния, агентства и ведомственные структуры – на государственные органы.
Распределение гражданско-правовой ответственности за вред, причиненный
приложениями ИИ, AI Act напрямую не регулирует.
Однако, как представляется, AI Act регулирует распределение граждан-
ско-правовой ответственности за вред (ущерб), причиненный приложениями ИИ
косвенно.
Так, к примеру, AI Act вводит понятие серьезного инцидента. В соответствии
со статьей п. 44 ст. 3 AI Act (Council Mandate) «серьезный инцидент» («serious
incident») означает любой инцидент или сбой в работе системы ИИ, который пря-
мо или косвенно приводит к любому из событий, перечисленных в п. 44 ст. 3.
В AI Act определены обязанности поставщика и пользователя по осущест-
влению человеческого надзора и контроля за работой системы ИИ и порядок дей-
ствий в случае серьезного инцидента (напр., ст. 62 AI Act, Council Mandate для
поставщика, ст. 65(1) AI Act, п. 4 ст. 29 AI Act, Council Mandate для пользователя).
Исполнение или неисполнение этих обязанностей имеет значение для распределе-
ния гражданско-правовой ответственности.
6. Влияние положений AI Act на распределение гражданско-правовой от-
ветственности за вред (ущерб), причиненный приложениями ИИ
По общему правилу, для установления состава гражданско-правового право-
нарушения истец должен доказать, что действия или бездействие ответчика при-
чинили вред (ущерб). Для этого истец должен доказать, что причиненный вред
был предсказуемым следствием поведения ответчика, однако в связи с появле-
нием систем ИИ с их непрозрачными процессами вывода результата это правило
работает неэффективно.
Поэтому Европейская комиссия разработала директиву об ответственно-
сти за ИИ [5], цель которой состоит в том, чтобы адаптировать деликтное право
к отличительным особенностям несчастных случаев, вызванных системами ИИ,
в частности, изменения касаются облегчения бремени доказывания наличия при-
чинно-следственной связи между применением ИИ и неблагоприятными послед-
ствиями [1].
Директива об ответственности за ИИ вводит опровержимую презумпцию
причинно-следственной связи между применением ИИ и причинением вреда
(ущерба). Как отмечается в комментарии к директиве, в ней проводится ограни-
ченная презумпция «связи между нарушением ответчиком обязанности прояв-
лять осторожность и результатами работы системы ИИ». Так, поставщик может
защититься от иска предъявлением доказательств установления у себя системы
управления рисками, соответствующей требованиям главы 2 AI Act, и тем самым
доказать надлежащее исполнение обязанности проявлять осторожность и долж-
ную осмотрительность. Дополнительно можно представить результаты пост-мар-
кетингового мониторинга, дополненного статистикой отсутствия серьезных ин-
цидентов. В этой связи возникает вопрос, кто будет нести ответственность за вред
(ущерб) в случае надлежащего исполнения всех наложенных регламентом «AI
Act» обязательств и поставщиком (включая поставщика базовой модели), и поль-
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
Legal
R
elations
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal R
elations
112
зователем, и другими участниками? На практике, вероятно, вопрос всегда будет
разрешаться в чью-то пользу, поскольку вряд ли ответчикам удастся представить
систему безупречного документирования. Однако если абстрагироваться и пред-
ставить себе, что имеются идеальные документы, подтверждающие соблюдение
всех требований AI Act, а вред (ущерб) все же причинен, т. е. впервые возник тот
самый серьезный инцидент, то кто будет отвечать в этом случае?
В случае если при вышеописанных обстоятельствах вред (ущерб) причинен
продуктом, в котором использовано приложение ИИ, то, согласно Пересмотренной
PLD, наличие дефекта изделия и причинно-следственная связь между дефектом
и вредом (ущербом) предполагаются. Согласно Пересмотренной PLD, также пред-
лагается облегчить бремя доказывания, когда истец сталкивается с чрезмерными
трудностями при доказательстве наличия дефекта и/или причинно-следственной
связи между дефектом и повреждением из-за технической сложности продукта.
Хотя в тексте Пересмотренной PLD конкретно не упоминаются системы ИИ и то-
вары с использованием ИИ, Комиссия ЕС прямо определила, что эти продукты
подпадают под действие этой презумпции.
Получается, что после принятия обеих директив и регламента в вышеука-
занном случае, приведенном в качестве абстрактного примера, отвечать должен
все-таки поставщик, даже при наличии у него системы идеального документиро-
вания, потому что есть опровержимая презумпция наличия причинно-следствен-
ной связи между дефектом и вредом (ущербом), причиненным продуктом, которая
при определенных обстоятельствах освобождает от ответственности пользовате-
ля. Представляется, что опровергнуть эту презумпцию поставщик сможет далеко
не всегда.
Заключение.
Состязательный характер судебного процесса и презумпции
можетт не обеспечивать в полной мере защиту основных прав человека, поэтому
вполне логично принятие регламента «AI Act», направленного на предотвращение
вреда (ущерба).
В целом AI Act направлен на регулирование правоотношений между опера-
торами систем ИИ, основными из которых являются поставщик, поставщик базо-
вых моделей и пользователь. AI Act защищает права потребителей опосредованно
– через установление обязанностей операторов систем ИИ.
Согласно AI Act, наиболее широкий круг обязанностей по обеспечению безо-
пасности приложений ИИ закреплен за поставщиком. У пользователя тоже доста-
точно обременительные обязанности. Однако если у поставщика обязанности по
обеспечению безопасности ИИ вполне материальные, то у пользователя они пред-
ставляются умозрительными по своей сути, поэтому их исполнение на практике
легко может превратиться в «набор отписок», так как состоят эти обязанности
в основном в документировании оценочных суждений.
Поэтому, как представляется, основное бремя обеспечения безопасности
приложений ИИ и ответственность за причиненный им вред (ущерб) в ЕС ло-
жится на поставщика, что последовательно проводится в регламенте «AI Act»,
Директиве об ответственности за ИИ и Директиве об ответственности за дефек-
тную продукцию.
Цифровые технологии в системе международно-правовых отношений
Digital
T
echnologies in the System of
I
nternational-
L
egal
Relations
113
Учитывая то, что пользователь потенциально может уйти от ответственно-
сти даже за свое виновное поведение, предоставив доказательства проявления
осторожности, заключающиеся, прежде всего, в документировании оценки воз-
действия использования системы ИИ на основные права человека, справедливый,
по мнению законодателя, баланс распределения ответственности за вред (ущерб),
причиненный приложениями ИИ, может быть легко нарушен несправедливым
сдвигом бремени ответственности в сторону поставщика. Это не только способно
затормозить развитие разработок в области ИИ, но и привести к существенному
удорожанию приложений ИИ для пользователей, которым придется нести значи-
тельные расходы на перенос бремени ответственности на поставщика, мало что
добавляя при этом к безопасности использования ИИ. Вместе эти два фактора
способны снизить темпы развития ИИ в ЕС.
В свете AI Act особенно сомнительны перспективы развития автономных си-
стем. Условие абз. «b» п.2 ст. 28b AI Act (ЕР Mandate), согласно которому постав-
щик базовой модели обязан обучать модель только на данных, которые подлежат
эффективному контролю на протяжении всего своего жизненного цикла, пред-
ставляется практически невыполнимым для самообучающихся моделей, в связи
с чем буквальное выполнение данного условия способно привести к невозможно-
сти коммерциализации моделей, обучающихся автономно. В дополнение к иным
требованиям, предъявляемым регламентом, вряд ли у поставщиков базовых моде-
лей останутся стимулы для работы там, где применяется AI Act. Впрочем, так же
как и у поставщиков приложений ИИ, а вслед за ними и у других операторов.
Список литературы
1. Amrita Vasudevan, A. Who Is Liable for AI-Driven Accidents? The Law Is Still
Emerging to establish negligence, a plaintiff needs to prove causation. 06.2023. URL:
https://www.cigionline.org
2. Demircan M. Deployers of High-Risk AI Systems: What Will Be Your Obligations
Under the EU AI Act? LSTS Research Group, Vrije Universiteit Brussel). June 2, 2023.
URL: https://competitionlawblog.kluwercompetitionlaw.com
3. Proposal for a regulation of the European Parliament and of the Council laying
down harmonised rules on Artificial Intelligence (Artificial Intelligence Act) and
amending certain union legislative acts. URL: https://eur-lex.europa.eu
4. Proposal for a regulation of the European Parliament and of the Council laying
down harmonised rules on Artificial Intelligence (Artificial Intelligence Act) and
amending certain union legislative acts. 2021/0106(COD). DRAFT. 20-06-2023 at
16h53. URL: https://www.europarl.europa.eu
5. Directive of the European Parliament and of the Council on adapting non-
contractual civil liability rules to artificial intelligence (AI Liability Directive). URL:
https://commission.europa.eu
6. Proposal for a directive of the European Parliament and of the Council on
liability for defective products. URL: https://eur-lex.europa.eu
