Рада міністрів Іспанії представила законопроєкт про належне використання та управління штучним інтелектом (ШІ), який регулює практичне застосування цієї технології.

Документ розвиває положення Європейського регламенту про штучний інтелект, узгодженого інституціями ЄС 8 грудня 2023 року та схваленого Європейським парламентом 13 березня минулого року.

Законопроєкт, відкритий для публічних консультацій, конкретизує питання, включені до регламенту, та адаптує їх до правової системи Іспанії. Він встановлює, які програми ШІ заборонені, які можна використовувати з дозволу, а які не потребують нагляду. У випадку систем біометричного розпізнавання в реальному часі, які викликали найбільше суперечок під час переговорів щодо регламенту, вказується, в яких виняткових випадках влада може дозволити їх використання.

Також встановлюється режим санкцій і схема штрафів, конкретизуються органи, які будуть стежити за дотриманням нормативних вимог, і визначається, як ідентифікувати контент, згенерований за допомогою ШІ.

Основні питання, на які відповідає новий закон:

• Які обов'язки накладає нова нормативна база?
• Коли вона почне діяти?
• Які штрафи передбачені для тих, хто порушує закон?

Законопроєкт, який буде розглядатися в терміновому порядку, має повернутися до Ради міністрів після періоду публічних консультацій, який завершується 26 березня (триватиме лише вісім днів), а потім пройти через парламент для отримання схвалення. Текст може бути змінений в процесі, хоча навряд чи істотно. Він має набути чинності в першій половині цього року, оскільки деякі зобов'язання, такі як підготовка звітів, встановлені на серпень 2025 року.

Нова нормативна база розвиває Європейський регламент про ШІ, який, своєю чергою, встановив підхід до класифікації програм ШІ відповідно до ризику, який вони становлять для суспільства. Таким чином, системи, які виходять за межі свідомості людини, або навмисно маніпулятивні техніки, ті, що використовують її вразливість, або ті, що роблять висновки про емоції, расу чи політичні погляди людей, є «неприйнятно ризикованими» і, отже, заборонені.

До категорії «високого ризику», що передбачає постійний нагляд з боку органів влади, належать системи віддаленої біометричної ідентифікації в режимі реального часу, системи біометричної категоризації або розпізнавання емоцій. Також системи, що впливають на безпеку критичної інфраструктури, і ті, що пов'язані з освітою (оцінка поведінки, системи прийому та іспити), працевлаштуванням (підбір персоналу) і наданням основних державних послуг, правозастосуванням або управлінням міграцією.

Решта програм вважаються «низькоризикованими» і можуть використовуватися без обмежень. Нормативні акти передбачають створення національного реєстру систем ШІ, в якому будуть перелічені системи «високого ризику».

Автоматичні системи розпізнавання облич можна використовувати в Іспанії в деяких випадках і за умови згоди громадян, яких це стосується. Поліція, наприклад, використовує цю технологію для просування в деяких розслідуваннях. З важливим нюансом: їх не можна використовувати в громадських місцях в режимі реального часу (наприклад, для ідентифікації або пошуку когось, хто проходить повз вулицю).

Законопроєкт присвячує цілий розділ системам біометричної ідентифікації (термін, який охоплює розпізнавання облич та інші технології) віддалено в реальному часі, які «заборонені, якщо їх використання не є суворо необхідним». Додаток II до законопроєкту визначає такі причини, які б виправдовували його використання: «вибірковий пошук конкретних жертв викрадень, торгівлі людьми або сексуальної експлуатації», а також «зниклих безвісти осіб», «запобігання конкретній, значній та неминучій загрозі для життя або фізичної безпеки фізичних осіб або реальній та поточній або реальній та передбачуваній загрозі терористичного акту» та «місцезнаходження або ідентифікація особи, підозрюваної у скоєнні» тяжкого злочину, такого як тероризм, торгівля людьми, сексуальна експлуатація неповнолітніх, вбивство, викрадення або зґвалтування.

Орган, зацікавлений у використанні цих систем, повинен подати дозвіл «на кожен випадок використання», в якому вказуються причини терміновості, яку особу або осіб необхідно ідентифікувати, в якій географічній та часовій зоні та на яких фактах базується запит. Відповідь має бути надана протягом максимум 48 годин. У разі відхилення дозволу «використання негайно припиняється, а всі отримані результати негайно відкидаються та знищуються».

Відповідальними за дозвіл або відмову у використанні віддалених біометричних систем в режимі реального часу будуть суди з адміністративних питань.

Нагляд за алгоритмами буде централізовано Іспанським агентством з нагляду за штучним інтелектом (Aesia). Однак управління та обробка біометричних даних буде відповідальністю Іспанського агентства із захисту даних (AEPD); системи ШІ, які можуть вплинути на демократію, будуть компетенцією Центральної виборчої комісії; а ті, що можуть вплинути на відправлення правосуддя, будуть залежати від Генеральної ради судової влади.

Коли орган нагляду вважатиме, що система ШІ, яка не класифікується як система високого ризику, може бути такою, буде розпочато процес перегляду, який має бути вирішений протягом 72 годин. Крім того, «будь-який громадянин, за допомогою анонімної інформації, може ініціювати початок санкційної процедури», причому Aesia відповідає за централізацію цих скарг.

Перші щорічні звіти про використання систем віддаленої біометричної ідентифікації в реальному часі або з затримкою мають бути опубліковані до 31 грудня цього року. Крім того, Aesia має опублікувати перший звіт до 2 серпня «про стан фінансових і людських ресурсів» компетентних національних органів.

Новий президент AEPD Лоренцо Котіно заявив минулого тижня на зустрічі з журналістами, на якій була присутня ця газета, що для виконання нових завдань, покладених на Агентство цим законопроектом, Агентству знадобиться збільшення штату.

Законопроєкт встановлює, що «коли системи ШІ генерують синтетичний аудіо-, зображення, відео- або текстовий контент», необхідно «позначати результати виводу таким чином, щоб можна було виявити їх штучну природу». Не вказано, яким має бути це маркування, але вказано санкції, які можуть бути застосовані за його відсутність (див. наступний розділ).

Також буде обов'язково інформувати фізичних осіб про їх вплив на систему розпізнавання емоцій або біометричної категоризації.

«Дуже серйозні» порушення тягнуть за собою штраф від 7,5 до 35 мільйонів євро або від 2% до 7% світового річного обсягу бізнесу. До цього випадку входить використання заборонених технологій, систем віддаленої біометричної ідентифікації в реальному часі, які не мають дозволу, невидалення даних цієї ідентифікації, якщо цього вимагає влада, або неповідомлення про використання цієї технології.

«Серйозні» порушення караються штрафом від 7,5 до 15 мільйонів євро або від 2% до 3% світового річного обсягу бізнесу. Непозначення водяним знаком контенту, згенерованого ШІ, відмова від застосування тимчасових заходів, накладених владою, або виведення на ринок програм «високого ризику» без попередньої реєстрації, підпадають під цю категорію.

На третьому щаблі знаходяться «незначні» порушення, які тягнуть за собою штрафи від 6 000 до 500 000 євро або від 0,5% до 1% світового річного обсягу бізнесу, і які в основному накладатимуться у разі надання «неповної, неточної або оманливої» інформації, коли цього вимагає влада.

Ситуація змінюється, коли порушення скоюють органи влади: в цьому випадку покарання набагато м'якші. Настільки, що деякі юристи, такі як Борха Адсуара, вважають це скандальним. «Навіщо включати в додаток заборонені адміністрацією види використання, якщо немає жодних наслідків? Мені невідомо жодної санкції чи догани посадовій особі чи органу влади за неналежне поводження з персональними даними. З ШІ буде те ж саме», — скаржиться цей експерт з цифрового права.

Таким чином, законопроєкт встановлює, що суб'єкту, який вчинив порушення, буде зроблено зауваження і можуть бути встановлені «заходи, які необхідно вжити для припинення поведінки або виправлення наслідків скоєного порушення, за винятком накладення адміністративних штрафів». Крім того, передбачені «дисциплінарні заходи, коли для цього є достатні підстави». У разі, якщо будь-який орган державної влади зловживає ШІ, ігноруючи попередні технічні звіти, відповідальним буде зроблено зауваження.