Розбираємо регулювання штучного інтелекту: ризик-орієнтований підхід AI Act, перетин із GDPR, права на згенерований контент та відповідальність за AI-рішення.
Чому штучний інтелект потребує регулювання
Штучний інтелект перейшов із лабораторій у щоденні продукти: від чат-ботів і генерації контенту до систем прийняття рішень у фінансах, медицині й HR. Разом із можливостями зросли й ризики — упереджені рішення, непрозорість алгоритмів, масова обробка даних і складність визначення відповідального за шкоду.
Регулятори світу реагують на це новими правилами. Найвпливовіший документ — Регламент ЄС про штучний інтелект (AI Act), який задає глобальний орієнтир так само, як свого часу GDPR для даних. Для українських компаній, що продають AI-продукти на європейський ринок, ці вимоги стають практичними вже зараз.
В Україні наразі немає окремого закону про AI, але діє національна стратегія та підхід поетапного впровадження, зорієнтований на гармонізацію з ЄС. У межах практики IT Law ми допомагаємо AI-компаніям підготуватися до вимог завчасно, а не наздоганяти їх під тиском регулятора.
Ризик-орієнтований підхід AI Act
Ключова ідея AI Act — ризик-орієнтований підхід: обсяг вимог залежить від рівня ризику конкретної системи. Регламент поділяє AI-системи на кілька категорій.
- Неприйнятний ризик — практики, що заборонені (наприклад, соціальний скоринг державою, маніпулятивні системи);
- Високий ризик — системи у критичних сферах (медицина, найм, кредитування, освіта), до яких застосовуються суворі вимоги;
- Обмежений ризик — системи з обов’язком прозорості, зокрема інформування користувача про взаємодію з AI;
- Мінімальний ризик — більшість звичайних застосунків, що регулюються мінімально.
Для систем високого ризику передбачені вимоги до управління даними, документації, прозорості, людського нагляду та точності. Окремо регламент встановлює зобов’язання для постачальників моделей загального призначення. Тому перший крок для будь-якого AI-продукту — коректно класифікувати його за рівнем ризику, бо від цього залежить весь обсяг подальших обов’язків.
AI та персональні дані
AI-системи навчаються й працюють на великих масивах даних, серед яких часто є персональні. Тому на них поширюється GDPR та Закон України «Про захист персональних даних». Це породжує низку питань: на якій підставі дані використовуються для навчання, як забезпечується прозорість і чи можна реалізувати право на видалення даних із навченої моделі.
Особливу увагу GDPR приділяє автоматизованому прийняттю рішень, що породжує юридичні наслідки для особи. У таких випадках людина має право на роз’яснення логіки рішення та на втручання людини. Для AI у HR, кредитуванні чи страхуванні це прямий практичний обов’язок.
Перетин AI і даних вимагає узгодженої системи відповідності. Як вибудувати її, ми пояснили у статтях про GDPR для українського IT та про кібербезпеку й витік персональних даних.
Кому належать права на AI-контент
Генеративний AI створює тексти, зображення й код, і одразу постає питання: кому належать права на згенерований результат. Традиційне авторське право охороняє твори, створені людиною. Контент, згенерований повністю машиною без творчого внеску людини, у багатьох правопорядках не отримує повноцінної охорони авторським правом.
Це створює ризик для бізнесу, що покладається на AI-генерацію: такий результат може бути складно захистити від копіювання. Додатковий ризик — порушення чужих прав: якщо модель навчалася на захищених творах, згенерований контент може відтворювати їх і порушувати права третіх осіб.
Тому в договорах з AI-сервісами важливо чітко врегулювати права на результат і гарантії щодо відсутності порушень. Питання захисту контенту й бренду ми ведемо в межах практики інтелектуальної власності, а права на код — у статті захист коду та IP.
Відповідальність за рішення AI
Коли AI-система завдає шкоди — помилковим медичним висновком, дискримінаційним відмовленням у кредиті чи дефектним кодом — постає питання, хто відповідає: розробник моделі, постачальник продукту чи користувач. Чіткої універсальної відповіді поки немає, і саме тому регулятори активно працюють над правилами відповідальності за AI.
Для бізнесу це означає необхідність заздалегідь розподілити ризики договірно: між постачальником AI-сервісу та клієнтом, між компанією та її користувачами. Договори мають містити застереження про межі застосування, відмову від гарантій придатності для критичних рішень і розумне обмеження відповідальності.
Водночас повне зняття відповідальності, особливо у сферах високого ризику, не спрацює — регулятор і суд можуть його відхилити. Ми допомагаємо вибудувати збалансовану договірну модель, що враховує і захист бізнесу, і вимоги закону.
Що робити українському AI-бізнесу вже зараз
Навіть за відсутності окремого українського закону про AI відкладати підготовку не варто. Якщо продукт орієнтований на ЄС, вимоги AI Act застосовуються за принципом екстериторіальності, подібно до GDPR. Перші практичні кроки прості: класифікувати систему за рівнем ризику, навести лад із даними для навчання та забезпечити прозорість для користувачів.
Далі — врегулювати права на згенерований контент, розподілити відповідальність у договорах і підготувати документацію, яку очікують корпоративні клієнти та інвестори. Компанії, що зроблять це завчасно, отримають конкурентну перевагу, а не змушені будуть гасити пожежі під тиском перевірок.
Регулювання AI лише посилюватиметься, тому правову основу варто закладати разом із продуктом. Більше матеріалів — у розділі IT-право, а аудит вашого AI-продукту замовте на консультації.
Послуги напряму: Вступ і супровід у режимі Дія.City, Договори з розробниками (B2B та гіг-контракти), Відповідність GDPR і захист персональних даних.