Чи адаптували ви бізнес до АІ кодексу ЄС? Давайте розбирати деталі

Чому бізнесу варто звернути увагу

AI Act встановлює обов’язкові вимоги для моделей ШІ, але не описує механізмів їх виконання. Це створює невизначеність. У компаній виникає питання, що саме потрібно робити, щоб уникнути штрафів і перевірок.

Кодекс знімає цю невизначеність. Він не додає нових зобов’язань, але пропонує інструменти для їх практичного виконання. Для компанії це означає, якщо ви дотримуєтеся Кодексу, то ваші дії визнаються належним способом виконання закону.

Під час консультацій ми чули від багатьох компаній: «Ми готові дотримуватися правил, але не хочемо розробляти власні політики з нуля». Саме тому Кодекс містить шаблони документації та рекомендації, які можна одразу застосовувати. Це економить час і ресурси.

Хто підпадає під нові правила

Основна увага Кодексу зосереджена на постачальниках моделей GPAI тобто на тих, хто розробляє і випускає системи штучного інтелекту загального призначення, включно з генеративними. Однак сфера його дії значно ширша.

Положення Кодексу стосуються також компаній, які поширюють або інтегрують такі моделі в ЄС. Навіть open-source спільноти опиняються у фокусі, якщо їхні проєкти можуть створювати системні ризики.

Особлива категорія – моделі системного ризику. Це найбільш потужні системи, здатні впливати на безпеку, права людини чи критичну інфраструктуру. Саме для них передбачено найсуворіші вимоги.

Обговорення open-source стало одним із найскладніших. Частина експертів наполягала, що будь-яка модель з відкритим кодом має бути звільнена від правил. Але аргумент безпеки переважив. Ми погодилися, що невеликі дослідницькі проєкти не потребують суворого нагляду, але потужні системи з відкритим кодом мають виконувати ті самі вимоги, що й комерційні.

Основні блоки Кодексу

Документ складається з трьох ключових напрямів: прозорість, авторське право та безпека. Кожен із них безпосередньо впливає на те, як бізнес працюватиме зі штучним інтелектом у найближчі роки.

Прозорість

Компанії повинні вести документацію про свої моделі: архітектуру, використані набори даних, енергоспоживання, передбачувані сфери застосування. Ці матеріали необхідно зберігати щонайменше десять років.

Частину даних рекомендується робити публічною, щоб підвищувати рівень довіри на ринку. Водночас компанія сама визначає, що є відкритою інформацією, а що становить комерційну таємницю.

Тут бізнес хвилювався найбільше. На зустрічах ми чули: «Якщо ми будемо змушені розкривати всю архітектуру, ми втратимо конкурентну перевагу». Тому у фінальному тексті залишили механізм, за яким компанія може відмовити у публікації чутливих даних, але зобов’язана надати їх регулятору на вимогу. 

Авторське право

Окремий блок Кодексу присвячений правомірності використання даних. Для навчання моделей можна використовувати лише ті матеріали, доступ до яких є законним.

Додатково компанії повинні враховувати машинозчитувані сигнали правовласників. Йдеться про технічні інструкції або цифрові позначки, що обмежують використання контенту: robots.txt, метадані, інші індикатори. Їх ігнорування вважатиметься порушенням Кодексу.

Також необхідно створити процедури для обробки скарг та призначити відповідальних осіб, які зможуть швидко реагувати на претензії.

Обговорення блоку про авторське право було одним із найскладніших, адже фактично йшлося про межу між охороною інтелектуальної власності та розвитком ШІ. Правовласники вимагали чітких гарантій, щоб їхній контент не використовувався без контролю. Бізнес, своєю чергою, наголошував, що надмірні заборони зроблять навчання моделей економічно та технічно нереалістичним. У результаті ми закріпили два ключові принципи. По-перше, компанія повинна мати юридичне підтвердження, що матеріали для навчання використані на законних підставах (через ліцензію, відкриту угоду чи інший правовий механізм). По-друге, якщо автор встановлює машинозчитувані сигнали, які обмежують використання його контенту, розробник зобов’язаний їх врахувати.

Безпека та управління ризиками

Найбільш деталізований блок Кодексу стосується моделей системного ризику. Для них встановлюються додаткові обов’язки, які виходять за рамки прозорості й авторського права.

Компанії зобов’язані створити систему управління ризиками. Це не разовий документ, а постійний процес, зокрема виявлення загроз, їх аналіз, визначення критеріїв прийнятності. Якщо ризики виявляються неприйнятними, розвиток чи випуск моделі має бути призупинений до усунення загроз.

Окрім цього, необхідно впроваджувати сучасні технічні та кіберзахисні заходи. Серед них очищення і фільтрація даних, моніторинг результатів роботи моделі, контроль доступу користувачів, поступове і контрольоване розширення функціоналу.

Особливу увагу приділено захисту від витоку ваг моделі. У разі втрати параметрів нейронної мережі контроль над системою переходить до сторонніх осіб, що може мати критичні наслідки.

Перед випуском системно ризикової моделі на ринок постачальник зобов’язаний підготувати Safety and Security Model Report. У ньому описується архітектура, ризики, заходи безпеки та обґрунтовується їхня ефективність. Для найбільш потужних моделей такі звіти необхідно оновлювати не рідше ніж раз на півроку.

У цьому розділі ми спиралися на практики фінансового сектора, де управління ризиками давно є обов’язковим. Для ШІ це так само критично, бо потужна модель без контролю ризиків може перетворитися на загрозу для багатьох користувачів. З юридичної точки зору компанія має довести, що здатна виявляти неприйнятні ризики, документувати їх і, за потреби, призупиняти розвиток продукту. Це вимагає внутрішніх політик, визначення відповідальних осіб і регулярної звітності. Без цього будь-який інцидент може розглядатися як наслідок недбалості з відповідними правовими та репутаційними наслідками.

Практичні виклики та кроки для бізнесу

Виконання Кодексу вимагає від компаній змін у внутрішніх процесах. Якщо раніше технічні характеристики моделей часто не фіксувалися системно, тепер кожна з них повинна мати свій “паспорт”. Використання наборів даних потребує аудиту та підтвердження їх правомірності. Захист від витоку ваг моделі стає не лише технічним, а й юридичним завданням, адже неконтрольоване використання може спричинити відповідальність. Компаніям також доведеться формувати організаційну культуру комплаєнсу.

Щоб вчасно адаптуватися, бізнесу варто почати вже зараз:

• провести інвентаризацію моделей і визначити ті, що підпадають під GPAI та системні ризики;
• перевірити правомірність наборів даних;
• налагодити процес створення та збереження документації;
• призначити відповідальних за комплаєнс і обробку скарг;
• для потужних моделей підготувати систему управління ризиками та шаблони звітів безпеки.

Підсумки

Робота над Кодексом показала, що ЄС намагається поєднати безпеку з реаліями бізнесу. Саме тому:

• передбачено перехідний період (до 2027 року для вже існуючих моделей);
• запроваджено рік «добросовісних зусиль», коли неповне виконання не карається;
• додано шаблони документації, щоб компанії не створювали все «з нуля».

Як юрист, я вважаю це ключовим сигналом, що регулятор готовий працювати разом із бізнесом, а не проти нього. Але цей період «м’якого режиму» швидко мине. Тому виграють ті компанії, які почнуть адаптацію зараз.

Кодекс GPAI не є лише рекомендаціями, а практичною інструкцією, яка допомагає компаніям виконати вимоги AI Act, знизити юридичні ризики та продемонструвати прозорість для клієнтів і партнерів. Бізнес, що розпочне підготовку зараз, отримає не тільки захист від можливих санкцій, але й конкурентну перевагу на європейському ринку.

Опубліковано AIN.UA

Посилання на статтю