Авторка: Дарина Бойко 

Біла книга з регулювання штучного інтелекту (ШІ) в Україні підкреслює важливість чинного українського законодавства, яке частково застосовне для регулювання ШІ, зокрема Закон України “Про захист персональних даних”. Проте положення поточного Закону недостатньо регулюють питання використання ШІ, особливо в контексті захисту даних. Відсутні чіткі стандарти, які б регламентували відповідальність у випадку порушення конфіденційності чи неправомірного доступу до персональної інформації із використанням ШІ.

Прийнятий у першому читанні законопроєкт №8153 “Про захист персональних даних” пропонує ширші правила автоматизованої обробки персональних даних за зразком Загального регламенту про захист даних ЄС (General Data Protection Regulation,  надалі – GDPR) і може безпосередньо регулювати технології ШІ. У цьому контексті важливо визначити, як цей  Законопроєкт може вплинути на використання систем ШІ для автоматизованої обробки персональних даних в Україні та імплементацію європейського законодавства, зокрема у питанні ШІ.

Гармонізація українського законодавства з регулюванням ЄС

Законопроєкт від 25.10.2022 №8153 “Про захист персональних даних” пропонує нові правила, які стосуються регулювання обробки персональних даних, зокрема автоматизованої обробки.

У пояснювальній записці до законопроєкту йдеться, що чинне законодавство не враховує правовідносини, повʼязані з технологічним розвитком. Теперішні положення гальмують реалізацію “інноваційних рішень” як у приватному, так і в публічному секторі. У такий спосіб до інструментів автоматизованої обробки персональних даних, на які діятиме регулювання, можуть входити, зокрема, технології ШІ.

Законопроєкт також передбачає імплементацію положень GDPR, приводячи законодавство України у відповідність із ним, що є логічним і очікуваним у контексті європейської інтеграції.

GDPR, який набув чинності 25 травня 2018 року, накладає жорсткі зобовʼязання на організації, які здійснюють обробку персональних даних громадян і резидентів держав ЄС. 

Крім того, 1 серпня 2024 року набув чинності Закон ЄС про ШІ (AI Act), окремі положення якого теж регламентують використання штучного інтелекту при обробці персональних даних. Згідно зі Статтею 2, положення Закону не впливають на дію норм GDPR. Водночас, оскільки розробка та використання систем ШІ передбачають обробку персональних даних, Закон намагається створити “гармонізовані правила” для забезпечення прав субʼєктів персональних даних.

Закон ЄС про ШІ накладає зобовʼязання на інших субʼєктів, зокрема розробників, постачальників та користувачів, які розгортають системи штучного інтелекту. Водночас ці субʼєкти можуть бути контролерами (володільцями в поточній українській термінології) або операторами (розпорядниками), якщо вони використовують персональні дані при розробці систем ШІ, обробляють дані субʼєктів персональних даних або використовують систему ШІ для обробки персональних даних.

Профілювання

Хоча законопроєкт №8153 не містить стандартів безпосередньо для штучного інтелекту, у ньому пропонуються нові поняття, повʼязані з автоматизованою обробкою персональних даних. Зокрема це “профілювання”, що передбачає автоматизовану обробку персональних даних з метою аналізу індивідуальних характеристик субʼєкта персональних даних.

Згідно з законопроєктом, профілювання – це “форма автоматизованої обробки персональних даних, яка полягає у обробці персональних даних з метою оцінки певних індивідуальних характеристик, зокрема, аналізу та передбачення варіантів (моделей) поведінки суб’єкта персональних даних (в тому числі в професійній діяльності), його майнового стану, стану здоров’я, особистих уподобань, інтересів, надійності, місцезнаходження або пересування”. Термін узгоджується з визначенням, наданим у GDPR.

Зі свого боку Закон ЄС про ШІ також використовує визначення профілювання, зазначене у GDPR. Однак Закон накладає додаткові заборони й обмеження на певні практики ШІ, що стосуються профілювання. До забороненого використання, зокрема, входить оцінка або прогнозування ризику вчинення фізичною особою кримінального злочину на основі профілювання. 

Окрім цього, будь-які системи ШІ, що виконують профілювання фізичних осіб у критичній інфраструктурі, освіті, працевлаштуванні, правопорядку, управлінні міграцією та правосудді, вважаються системами високого ризику. Розробники таких систем повинні проводити управління даними, перевіряти їхню релевантність та запровадити систему управління ризиками.

Право на захист від автоматизованого прийняття рішення

Відповідно до ст. 25 законопроєкту, надається право на захист від автоматизованого прийняття рішення. Згідно з її положеннями, забороняється прийняття рішень щодо субʼєкта персональних даних виключно на основі автоматизованої обробки. Це може стосуватись сфер, у яких можуть застосовуватись інструменти зі штучним інтелектом, зокрема предиктивної аналітики, систем прийняття рішень тощо.

GDPR, на противагу, акцентує увагу на профілюванні як одній із можливих форм для здійснення автоматизованого прийняття рішень. Таке відокремлення важливе, тому що не кожна форма автоматизованого прийняття рішень передбачає профілювання. До прикладу, оскільки профілювання включає прогнозування та оцінку поведінки субʼєктів, автоматизована класифікація на основі певних характеристик з метою отримання статистичних даних не вважатиметься профілюванням.

Виключення із законопроєкту “профілювання” як однієї з форм автоматизованого прийняття рішення може призвести до створення прогалин у регулюванні та зловживання персональними даними.

Водночас ст. 18 законопроєкту зобовʼязує контролера (володільця) надавати інформацію про наявність механізму автоматизованого прийняття рішень, зокрема профілювання, під час обробки персональних даних, що узгоджується зі ст. 13 та 14 GDPR.

У контексті автоматизованого прийняття рішень Закон ЄС про ШІ встановлює ряд специфічних вимог та регуляцій, що стосуються застосування штучного інтелекту. Він забороняє використання технологій ШІ, якщо вони:

• використовують маніпулятивні методи, які спотворюють поведінку та погіршують прийняття рішень;
• класифікують осіб та групи на основі їхніх характеристик або поведінки, надаючи соціальну оцінку;
• використовуються для біометричної категоризації;
• формують висновки щодо емоцій фізичних осіб у сфері працевлаштування та навчальних закладах.

Закон ЄС про ШІ, як і GDPR, визначає людський нагляд як гарантію захисту персональних даних при автоматизованому прийнятті рішень. GDPR, відповідно до ст. 25, зобовʼязує контролера (володільця) вжити необхідних заходів для реалізації принципів захисту даних. Положення про забезпечення контролером захисту персональних даних пропонуються і в ст. 29 законопроєкту.

Прозорість

GDPR також передбачає, що контролер повинен розкривати інформацію про логіку, значимість та передбачувані наслідки обробки для субʼєкта персональних даних. Згідно з українським законопроєктом, контролер зобовʼязаний інформувати субʼєкта про алгоритми, що використовуються для автоматизованого прийняття рішень, зокрема із застосуванням технологій ШІ.

Окрім цього, за прикладом GDPR, ст. 39 законопроєкту передбачає, що  здійсненні систематичного автоматизованого аналізу особистісних характеристик осіб, зокрема при використанні профілювання, контролер (володілець) даних також зобовʼязаний проводити оцінку впливу такої обробки на права та свободи людини. За результатами такої оцінки він повинен скласти висновок, який має містити інформацію про підстави, необхідність та пропорційність обробки, оцінку її ризиків, та заходи для реагування на ризики.

Це означає, що при використанні інструментів ШІ для прийняття автоматизованих рішень, які мають юридичні або інші серйозні наслідки для субʼєкта, контролер (володілець) даних зобовʼязаний пояснювати логіку роботи цих технологій та інформувати про заходи, спрямовані на зменшення ризиків.

Хоча Закон ЄС про ШІ не накладає додаткових зобовʼязань щодо прозорості на контролерів та операторів (розпорядників) персональних даних, він встановлює додаткові вимоги для розгортання систем ШІ. Стандартам прозорості повинна відповідати документація, облік та інформація щодо використання систем штучного інтелекту. Окрім того, розробники повинні інформувати фізичних осіб про те, що вони взаємодіють із системою штучного інтелекту.

Що означатиме прийняття законопроєкту для регулювання ШІ?

Оскільки Біла книга з регулювання ШІ в Україні пріоритезує “bottom-up” підхід до регулювання ШІ на найближчі 2-3 роки, це передбачає “саморегуляцію” галузі без прийняття окремого законодавства щодо ШІ. Український уряд пропонуватиме інструменти та рекомендації щодо відповідальної розробки та використання систем ШІ до імплементації європейського Закону про ШІ. Для впровадження підходу необхідно орієнтуватись на чинне законодавство, яке регулює повʼязані сфери, такі як обробка та захист даних.

У цьому контексті GDPR розглядається як основа для вдосконалення національного законодавства щодо  захисту персональних даних, оскільки в процесі євроінтеграції відповідні вимоги будуть неодмінно висунуті Україні. Хоча законопроєкт №8153 пропонує імплементацію багатьох ключових стандартів GDPR щодо автоматизованої обробки даних, його положення залишаються недостатньо конкретними для застосування в контексті технологій штучного інтелекту.

GDPR дійсно допускає розробку ШІ в спосіб, який забезпечує баланс між захистом даних та сприянням інноваціям. Водночас Регламент надає обмежені стандарти безпосередньо для цих технологій. Експерти Дослідницької служби Європейського Парламенту визнають, що GDPR містить нечіткі положення та відкриті стандарти, застосування яких часто вимагає балансу інтересів, що може бути недостатнім для сфери ШІ. У контексті використання ШІ розмитість вимог посилюється швидким розвитком технологій, їхньою складністю та широким діапазоном їхнього впливу.

У ЄС заповнити цю прогалину намагається Закон про ШІ, який пропонує розширені правила саме для розробки й використання технологій штучного інтелекту. Закон зосереджений на визначенні рівнів ризику, пов'язаних із використанням різних типів систем ШІ, і встановлює відповідні вимоги щодо їхнього регулювання не лише на етапі обробки даних, але й розробки та використання самих систем. Це створює більш чіткі та специфічні рамки для застосування технологій штучного інтелекту в ЄС, адже вони фокусуються на ризиках, які притаманні виключно цим технологіям.

Отже, хоча теперішній український підхід до регулювання ШІ є доволі адаптивним та гнучким, його застосування є недостатнім для захисту від ризиків, які можуть виникнути в ході застосування ШІ, зокрема щодо захисту персональних даних. У звʼязку з цим, варто розглянути питання створення додаткових норм і стандартів для ШІ, що можна зробити до регулювання ШІ на національному рівні і в рамках реформи українського законодавства щодо захисту персональних даних.

Висновки і рекомендації

Незважаючи на те, що законодавчі ініціативи України в сфері захисту персональних даних можуть стати важливим кроком для забезпечення базового рівня захисту даних в умовах швидкого розвитку технологій ШІ, цього може бути недостатньо для повноцінної регуляції в цьому сегменті. Законопроєкт, хоч і пропонує загальні принципи щодо обробки персональних даних, не охоплює специфіку технологій ШІ. Тому для ефективного регулювання цієї сфери необхідно розробити окремі норми, які б враховували особливості розробки та застосування технологій ШІ.

З огляду на те, що в Україні наразі відсутнє цілісне законодавче регулювання ШІ, теперішній підхід, що покладається на наявні стандарти законодавства про захист персональних даних, не може забезпечити достатній рівень безпеки даних при застосуванні ШІ. Для ефективної інтеграції стандартів для галузі ШІ в українське законодавство необхідно передбачити чіткіші й детальніші правила захисту даних, зокрема в контексті етики, прозорості алгоритмів і моніторингу за використанням ШІ у чутливих сферах. Для цього доцільно врахувати, зокрема, наступне:

1. Удосконалення окремих положень законопроєкту, які частково стосуються ШІ. Для уникнення зловживань та недобросовісного використання технологій ШІ необхідно, зокрема, уточнити певні положення щодо автоматизованого прийняття рішень. Важливо чітко розрізняти різні форми автоматизованого прийняття рішень, зокрема профілювання, яке передбачає прогнозування та оцінку поведінки осіб, і менш ризиковані методи, як-от статистичний аналіз чи класифікація. У контексті застосування ШІ для автоматизованого прийняття рішень чіткі та зрозумілі формулювання можуть допомогти мінімізувати ризики для прав субʼєктів персональних даних.
2. Визначення етичних та правових принципів для галузі ШІ. Вдосконалення певних положень законопроєкту може бути недостатнім для забезпечення належного захисту даних при розробці та використанні ШІ. Важливо розглянути можливість створення додаткових стандартів, які зобов'язують розробників і користувачів ШІ дотримуватись принципів прозорості, неупередженості, дотримання прав людини та запобігання дискримінації. Крім того, необхідно запровадити спеціальні вимоги до обробки даних у контексті ШІ, зокрема щодо безпеки даних та їхньої анонімізації, коли це можливо.
3. Міжнародна співпраця у сфері регулювання ШІ. З огляду на те, що в Україні планується імплементація Закону ЄС про ШІ на наступному етапі регулювання, необхідно активно співпрацювати з міжнародними партнерами, особливо з державами ЄС, для адаптації практик у сфері регулювання ШІ, а також для обміну досвідом щодо побудови ефективних стандартів у цій галузі. Міжнародна співпраця дозволить запровадити ефективні наглядові й моніторингові механізми та забезпечити узгодженість національного законодавства з міжнародними вимогами.