Регламент ЄС про штучний інтелект

Regulation (EU) 2024/1689, відомий як AI Act, став першою у світі комплексною спробою законодавчо врегулювати використання систем штучного інтелекту на рівні наднаціонального регулятора. Його ключова мета – захистити основоположні права людини, забезпечити безпеку ШІ-рішень і водночас не зупинити інновації.

Офіційно чинності Регламент набув 1 серпня 2024 року, однак передбачено, що його положення повинні вводитися поступово. Так, заборони щодо використання систем ШІ,  які створюють неприйнятний ризик, почали застосовуватися вже з 2 лютого 2025 року, у той час як деякі інші правила почнуть застосовуватися через 12 місяців, а повністю Регламент має бути застосований з 1 серпня 2026 року.

Регламент про ШІ застосовує ризик-орієнтований підхід, поділяючи всі системи на три категорії,  у залежності від серйозності пов’язаних із ними ризиків:

• Заборонені системи – ті, що створюють неприйнятний ризик для прав людини. Наприклад, до таких відносяться системи соціального скорингу на зразок китайських. 
• Системи з високим рівнем ризику, які мають підпадати під особливі законодавчі вимоги. Серед таких, наприклад, інструменти для аналізу резюме, рішення у сфері охорони здоров’я, критичної інфраструктури чи правосуддя. Ці системи допускаються до використання, однак лише після проходження оцінки відповідності, створення належної документації та задоволення інших визначених Регламентом вимог.
• Системи загального призначення, що прямо не заборонені, не віднесені до високоризикованих та залишаються здебільшого нерегульованими. Ці системи регулюються лише в частині прозорості, адже мають інформувати користувача, що він взаємодіє саме зі штучним інтелектом.

Інституційне забезпечення

Ефективне впровадження Регламенту потребує належного інституційного забезпечення, через що в ЄС було утворено одразу декілька органів:

• Офіс Єврокомісії з питань ШІ, який має повноваження з тлумачення та підтримки реалізації AI Act.
• Європейська рада зі штучного інтелекту, до складу якої входить по одному представнику з кожної держави-члена.
• Робоча група Європарламенту з нагляду за впровадженням Регламенту.

Кому адресований AI Act

Як зазначається у статті 2 Регламенту, його дія поширюється на декілька категорій осіб, серед яких:

• Постачальники, що розміщують на ринку або вводять в експлуатацію системи ШІ в ЄС, незалежно від того, де вони засновані чи розташовані, а також уповноважені представники таких постачальників.
• Особи, що розгортають системи ШІ, тобто використовують під своїм керівництвом, та засновані або розташовані в ЄС.
• Постачальники та розгортачі систем ШІ, засновані чи розташовані в третій країні, якщо при цьому результати роботи ШІ використовуються на території ЄС.
• Імпортери та дистриб’ютори систем ШІ.
• Виробники продукції, що розміщують на ринку або вводять в експлуатацію системи ШІ разом зі своєю продукцією.
• Постраждалі особи, які знаходяться в ЄС.

Таким чином, Регламент має екстериторіальний ефект, аналогічно до GDPR, і поширюється не лише на компанії, зареєстровані в ЄС, але й на інших осіб.

Заборонені системи: що саме вважається неприйнятним ризиком

AI Act однозначно забороняє використання ШІ-систем, які порушують основоположні права людини або потенційно загрожують демократії та свободі особи. Сюди відносяться:

• Системи, що застосовують підсвідомі техніки, цілеспрямовані маніпулятивні чи оманливі техніки, що можуть істотно викривити поведінку особи та суттєво обмежити її здатність приймати обґрунтовані рішення.
• Системи, що використовуються для оцінки або класифікації фізичних осіб на основі їхньої соціальної поведінки або відомих чи прогнозованих особистих характеристик.
• Системи, що використовуються для оцінки ризиків фізичної особи для оцінки або прогнозування ризику вчинення нею кримінального правопорушення.
• Системи, що створюють або розширюють бази даних розпізнавання облич шляхом нецільового вилучення зображень облич із інтернету або записів камер відеоспостереження.
• Системи, що використовуються для визначення емоцій фізичної особи в навчальному закладі або на роботі.
• Системи біометричної категоризації.
• Системи віддаленої біометричної ідентифкації в режимі реального часу.

Деякі з цих заборон мають винятки, однак загалом їх перелік виглядає саме так. Вони вже почали діяти з 2 лютого 2025 року, і порушення можуть тягнути за собою серйозні санкції.

Системи з високим ступенем ризику: вимоги та обмеження

ШІ-системи, що можуть істотно впливати на життя людей, визнаються такими, що створюють високий рівень ризику.

Система ШІ може бути визнана такою в разі, якщо виконуються обидві такі умови:

1. Система призначена для використання як компонент безпеки продукту, або ця система сама є продуктом, на який поширюється зазначене в Регламенті гармонізаційне законодавство ЄС; 
2. Продукт, компонентом безпеки якого є система ШІ або яким вона є, повинен пройти оцінку відповідності третьою стороною.

Зокрема до систем ШІ із високим ступенем ризику відносяться системи зі сфері біометрії, освіти та професійної підготовки, критичної інфраструктури, зайнятості та управління працівниками, доступу до приватних послуг та державних послуг, правоохорони, правосуддя та управління міграцією.

!!!У той же час, система не вважається високоризиковаю, якщо вона не становить значного ризику заподіяння шкоди здоров’ю, безпечі чи основоположним правам особи. 

Використання таких систем дозволене за умов дотримання суворих нормативних вимог, зокрема:

• Впровадження системи управління ризиками.
• Навчання ШІ лише на високоякісних, репрезентативних даних.
• Наявність технічної документації.
• Ведення автоматичного запису подій (логів).
• Забезпечення людського контролю над системою.
• Розробка з урахуванням прозорості, точності, кібербезпеки.

Регламент передбачає реєстрацію таких систем у публічному реєстрі ЄС, проходження оцінки відповідності, а також низку зобов’язань для постачальників, імпортерів і користувачів.

Системи загального призначення: мінімальні вимоги
та максимальна прозорість

До цієї категорії належить більшість “звичайних” застосунків ШІ, якими користуються пересічні громадяни, такі як чат-боти, системи рекомендацій, автоматизованої модерації контенту та інші. 

Регламент не встановлює жорстких технічних вимог для цієї категорії систем, однак вимагає дотримання належного рівня прозорості, що включає зобов’язання:

• Повідомляти користувача, що він має справу з ШІ (наприклад, якщо це чат-бот).
• Зазначати, що зображення або контент було згенеровано ШІ (наприклад, deepfake або текстові матеріали).
• Забезпечувати просте пояснення, як працює система у випадках, коли вона впливає на користувача.

Постачальники таких систем повинні складати та актуалізувати відповідну технічну документації, оновлювати та надавати інформацію іншим постачальникам, що мають намір інтегрувати систему ШІ у свої власні системи, впроваджувати політику для захисту авторських і суміжних прав тощо.

Як ЄС підтримує інновації у сфері ШІ: пісочниці та винятки

Попри чіткий фокус на регулюванні та безпеці, Регламент про ШІ не має на меті “придушити” інновації, а навпаки передбачає інституційні та процедурні механізми для стимулювання розвитку ШІ-рішень. 

Зокрема, AI Act зобов’язує держав-членів до створення щонайменше однієї “пісочниці” – спеціального середовища, де розробники можуть тестувати ШІ-рішення у реальних умовах, але з обмеженим правовим ризиком-регулювання ШІ до 2 серпня 2026 року. Для підтримки їх створення та функціонування Єврокомісія може надавати технічну підтримку, консультації та різні інструменти.

У створених регуляторних “пісочницях” можуть оброблятися раніше законно зібрані персональні дані, однак виключно з метою розробки, навчання та тестування певних систем ШІ та за умови дотримання всіх встановлених Регламентом умов. 

У виняткових випадках тестування систем ШІ з високим ризиком можливе навіть поза “пісочницями”, якщо виконані вимоги Регламенту: наявність плану тестування, інформування осіб, дотримання вимог щодо безпеки тощо.

Таким чином, AI Act поєднує принцип обережності із прагненням до технологічного прогресу, створюючи простір для безпечного експерименту.

Підготовка України до регулювання ШІ: стратегія, дорожня карта та Біла книга

Україна, як країна-кандидат на вступ до Європейського Союзу, вже сьогодні формує стратегію гармонізації свого підходу до ШІ із європейським Регламентом. Головним орієнтиром у цьому процесі є Дорожня карта з регулювання штучного інтелекту, яку Міністерство цифрової трансформації України презентувало восени 2023 року.

Український підхід до майбутнього закону базується на концепції “bottom-up” — поступового переходу від саморегуляції до обов’язкових норм, аби дати час бізнесу, громадськості та державі адаптуватись.

 План реалізується у два етапи:

1. Підготовчий етап (2023–2025):
   1. надання бізнесу інструментів для самооцінки та відповідності майбутньому регулюванню;
   2. створення компетентного органу з питань штучного інтелекту
   3. підвищення обізнаності громадян щодо правових і технологічних аспектів штучного інтелекту.
2. Етап імплементації:
   1. поступове прийняття закону, гармонізованого з Регламентом ЄС про штучний інтелект;
   2. можливе використання механізму поетапного впровадження найбільш складних положень;
   3. врахування вимог ЄС у процесі наближення до членства.

У червні 2024 року в рамках Дорожньої карти Україна презентувала Білу книгу, що деталізує бачення нормативного врегулювання штучного інтелекту. Одним із ключових інструментів стало запровадження моделі Trusted Flagger – незалежних громадських організацій, які зможуть фільтрувати скарги на порушення прав людини при використанні ШІ-платформ.

Цей механізм дозволить:

• швидше реагувати на порушення цифрових прав;
• зменшити навантаження на самі платформи;
• забезпечити участь громадянського суспільства у контролі за штучним інтелектом.

Міністерство цифрової трансформації вже досягло попередніх домовленостей щодо залучення двох провідних українських ГО, що мають великий досвід роботи у сфері цифрових прав: ГО Цифролаба та ЦЕДЕМ. Зазначені організації вже виявили бажання долучитися до роботи у статусі Trusted Flagger, проте інші організації також можуть повідомити про бажання долучитися до співпраці шляхом надання відповіді на Білу книгу.

Мінцифри України також створило WINWIN AI Center of Excellence – перший у Європі центр для комплексної інтеграції штучного інтелекту в державні процеси, зокрема в оборону, медицину, освіту та бізнес. 

Серед ключових напрямів і цілей:

• розробка національної ШІ-стратегії; 
• адаптація європейського законодавства у сфері штучного інтелекту;
• розвиток ШІ-асистентів для державних послуг.

Підсумки: на що варто звертати увагу вже сьогодні

Запровадження регулювання штучного інтелекту в Європейському Союзі – це новий стандарт відповідального використання новітніх технологій, що вже впливає на глобальні ланцюги постачання та моделі ведення бізнесу. 

Компаніям, які працюють зі штучним інтелектом або планують виходити на європейських ринок необхідно адаптуватися до вимог AI Act вже зараз, тим паче, що запровадження відповідного регулювання на теренах України лише питання часу. 

Відповідальний бізнес уже зараз може здійснити декілька важливих кроків:

1. Провести аудит власних ШІ-систем аби визначити, під яку категорію ризику вони підпадають та чи не порушують законодавства у сфері захисту приватних даних.
2. Забезпечити базову прозорість у відповідності до європейських вимог, зокрема чітко попереджати про те, що той чи інший контент було створено з використанням штучного інтелекту.
3. Підготувати внутрішню документацію для управління ризиками.
4. Слідкувати за світовими та українськими ініціативами, аби вчасно підготуватися до запровадження регулювання. За бажання можна долучитися до обговорень та публічних консультацій.
5. Звернутися по юридичну консультацію, аби напевно розбіратися в усіх тонкощах законодавства та якісно підготуватися до його суворих вимог. 

Штучний інтелект – це вже не майбутнє, а сучасність. І майбутнє належить не лише тим, хто розробляє інновації, а й тим, хто впроваджує їх відповідально.

Контактна інформація

Якщо ви хочете стати нашим клієнтом або партнером ви можете зв’язатися з нами через електронну пошту: support@manimama.eu.

Чи надіслати повідомлення в Telegram: @ManimamaBot.

Запрошуємо на наш сайт: https://manimama.eu/.

Також доєднуйтесь до нашого Telegram-каналу: Manimama Legal Channel.

---

Manimama Law Firm надає можливість компаніям, що працюють як провайдери віртуальних гаманців та бірж, вийти на ринки на законних підставах. Ми готові запропонувати відповідну підтримку в отриманні ліцензії з меншими установчими та операційними витратами. Ми пропонуємо запуск KYC/AML, підтримку в оцінці ризиків, юридичні послуги, юридичні висновки, консультації щодо загальних положень про захист даних, контракти та всі необхідні юридичні та бізнес-інструменти для початку діяльності провайдера послуг з обміну віртуальних активів.

---

Зміст цієї статті має на меті надати загальне уявлення про предмет, а не розглядатися як юридична консультація.