Наприкінці березня у ChatGPT стався масштабний витік даних, після якого регулятори персональних даних різних країн почали змагання “хто влучніше врегулює штучний інтелект”.

Пальму першості і приз глядацьких симпатій імені нас за найкращий піар хід і експертний коментар отримує італійський Garante. Цей наглядовий орган у сфері захисту персональних даних дуже ємко і лаконічно сказав: il Garante blocca ChatGPT. I справді, пересічного глядача це інтригує більше, ніж наприклад кілометровий гайд про AI і захист даних британського регулятора.

Так а що не так? Чо італійці блокують?

Ну витекли ті дані. Не псіхуй, починемо, як то кажуть. Але, ніт. Наразі Garante висуває як мінімум дві претензії до OpenAI. Перша – незаконний збір даних. Друга – відсутність системи перевірки віку неповнолітніх. Це вже два досить жорсткі порушення GDPR, які можуть загітувати і решту 26 наглядових органів ЄС скоординувати зусилля. Іспанський регулятор вже стукає до Європейської ради із захисту даних і намагається поставити ChatGPT на порядок денний найближчого пленарного засідання.

Поки OpenAI сидить на нічних зідзвонах з Garante, розслідування розпочинають ще у Канаді і Штатах. Єдина проблема з такими розслідуваннями, принаймні в ЄС, GDPR – це більш базовий закон і регулятори лише починають розуміти, що їм варто регулювати також AI. Словом, тепер до нього якось потрібно навчитись застосовувати 99 існуючих статей GDPR. Однак ChatGPT – не перший AI продукт, відносно якого ведеться розслідування. Попередньо відсутність правозастосовної практики не стала на заваді французам і італійцям оштрафувати Clearview AI по максимуму (по 20 млн) і змусити видалити фото резидентів Франції і Італії.

А тут ще що, новий закон на підході?

ЄС нині розробляє спеціальний закон – AI Act. Він є частиною нової європейської цифрової стратегії, що крім AI містить ще цілий суп із літер: DMA, DSA, DGA і DA. Зокрема, AI Act передбачає створення нових регуляторів. Як будуть перетинатись їх обов’язки і обов’язки старих регуляторів щодо захисту даних, хто ж його знає.

Відомо лише, що компанії муситимуть повідомляти новим органам до виходу на ринок ЄС про те, чи система AI навчена високоякісними даними, належним чином розроблена і протестована. Як і GDPR, новий акт буде розповсюджуватись на всі компанії, що планують вихід на ринок ЄС. Штрафи плануються до 30 млн або до 6% річного обороту, вибір на користь млн чи % буде залежати від того, яка сума більше.

Певні AI системи будуть заборонені. Наприклад, системи, що використовують техніки впливу на підсвідомість, спрямовані на вразливі верстви населення або забезпечують віддалену біометричну ідентифікацію в реальному часі. Постачальники AI систем високого ризику потраплять під цілу купу зобов’язань. Зокрема, щодо прозорості роботи систем: користувачі повинні розуміти, що система робить і як нею користуватись, а тому компанії зобов’яжуть оприлюднювати інструкції і технічну документацію, можливо навіть специфікації по датасетах.

На додаток, комісія ЄС готує AI Liability Directive, яка має полегшити процедуру притягнення до позадоговірної відповідальності, якщо випущена на ринок система AI шкоду таки заподіяла.

Плани грандіозні. Трьох сіамських братів — DMA, DSA, DGA — із запланованих п’яти законів у ЄС вже прийняли. AI Act трохи затримується, бо після виходу ChatGPT у листопаді парламент ЄС додатково прописує положення щодо великих мовних моделей і систем AI загального призначення, які першочергово планувалось вивести з-під законодавчого контролю. Імовірно, вже у травні парламент, рада та комісія ЄС почнуть фінальні дебати.