Круг причастных и вещи своими именами
Предполагается, что проектируемые нормы будут распространяться на всех участников оборота ИИ-технологий: разработчиков моделей, операторов систем, владельцев сервисов и конечных пользователей. За рамки выведены оборона, национальная безопасность и охрана правопорядка — кроме случаев, когда это предусматривают отраслевые акты.
Документ закрепляет понятийный аппарат: искусственный интеллект, модель ИИ, система ИИ, сервис ИИ, большие фундаментальные модели, доверенные модели и другие термины получают легальные определения.
На каких принципах строится регулирование
В основе риск-ориентированный подход: требования к применению ИИ устанавливаются с учетом вероятности и масштаба возможного ущерба — жизни и здоровью граждан, имуществу и деловой репутации физических и юридических лиц, безопасности и технологической независимости государства, окружающей среде и иным охраняемым законом ценностям.
В числе других принципов — верховенство прав и свобод человека, уважение свободы воли, обеспечение технологической независимости, безопасность, а также учет традиционных российских духовно-нравственных ценностей.
Что осталось за скобками? Персональные данные…
Проект упоминает защиту персональных данных как один из принципов регулирования. Однако механизм защиты не раскрыт.
Для обучения ИИ-систем в медицине нужны данные из реальной клинической практики — то есть информация о состоянии здоровья конкретных людей. А по закону такая информация относится к специальным персональным данным, обработка которых допускается только в случаях, прямо предусмотренных законом.
Для использования этих данных в целях обучения ИИ необходимо согласие субъекта. На практике его получение сопряжено с серьезными затруднениями:
- Данные собирает медицинская организация, а использует для обучения ИИ другой субъект — разработчик. Требуется согласие пациента на передачу данных конкретному третьему лицу для конкретной цели.
- Для обучения на ранее собранных данных, субъект которых уже умер, формально необходимо согласие наследников.
Полина Габай, кандидат юридических наук, председатель совета учредителей НАЭЦЗ, медицинский адвокат:
«Отдельной проблемой является само понятие «обезличивания персональных данных» согласно Закону №152-ФЗ.
Согласно ст.3 обезличивание персональных данных − действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
При этом в мировой практике проводится разграничение между «обезличиванием» и «анонимизацией» персональных данных. Под анонимизацией понимают процесс обработки персональных данных, в результате которого становится абсолютно невозможно определить принадлежность персональных данных конкретному субъекту.
Таким образом, согласно действующему законодательству, обезличенные персональные данные все равно остаются персональными данными, на которые распространяется действие Закона №152-ФЗ.
Такой вариант не упрощает сбор и обработку информации для целей обучения и развития ИИ-систем, потому как обязывает соблюдать требования Закона №152-ФЗ».
Но как разрешить эти затруднения, проект умалчивает.
Доверенные модели и специальный реестр
Одно из нововведений — институт доверенных моделей ИИ. В государственных информационных системах и на объектах критической информационной инфраструктуры разрешено использовать только модели, включенные в специальный реестр.
Условия включения:
- подтверждение соответствия требованиям безопасности (проверку проводят ФСТЭК и ФСБ);
- соответствие отраслевым требованиям качества;
- обработка данных осуществляется исключительно на территории России.
Суверенные модели и ограничения для зарубежных технологий
Законопроект вводит понятия суверенных и национальных больших фундаментальных моделей. Все стадии их разработки, обучения и эксплуатации должны проходить на территории России с участием только российских компаний и граждан, а наборы данных для обучения — формироваться внутри страны.
Отдельное положение предусматривает возможность ограничивать или запрещать зарубежные ИИ-технологии в случаях, установленных законодательством. Какими будут эти случаи, покажет дальнейшее развитие регуляторики.
Кто и когда отвечает
Разработчик, оператор и владелец сервиса будут нести ответственность за результаты, нарушающие закон, если заведомо знали или должны были знать о возможности их получения.
Для медицины проект не меняет сложившегося положения: окончательное решение в вопросах диагностики и лечения остается за врачом. Ранее мы уже разбирались в этом вопросе вместе с экспертом.
Игорь Тюрин, доктор медицинских наук, профессор, заместитель директора по научной работе НИИ КиЭР ФГБУ «НМИЦ онкологии им. Н.Н. Блохина» Минздрава России, главный внештатный специалист по лучевой и инструментальной диагностике Минздрава России:
Есть и другие предпосылки ответственности клиник за ошибки ИИ, которые проект также не меняет.
Полина Габай, кандидат юридических наук, председатель совета учредителей НАЭЦЗ, медицинский адвокат:
«На сегодняшний день общие принципы юридической ответственности в случае причинения вреда жизни и здоровью человека при оказании медицинской помощи с использованием систем ИИ неизменны.
Сейчас ИИ-решения в российской медицине используются не вместо врача, а в помощь врачу, в том числе в качестве «второго мнения».
Указом Президента РФ №490 определены общие принципы выстраивания юридической ответственности в ходе создания нормативно-правовой базы для регламентации общественных отношений, связанных с развитием и использованием ИИ. В частности, установлено, что не допускается делегирование системам ИИ ответственного нравственного выбора (в том числе принятие любых решений, способных оказать влияние на жизнь или здоровье человека), а также делегирование ответственности за последствия принятия решений. Ответственность за все последствия работы систем ИИ всегда несет физическое или юридическое лицо, признаваемое субъектом ответственности в соответствии с законодательством РФ».
Что получают граждане
Законопроект закрепляет:
- Уведомление. Продавцы и исполнители услуг обязаны сообщать о применении ИИ при автономном принятии решений.
- Право на отказ. В ряде случаев гражданин может потребовать оказания услуги без использования ИИ. Перечень таких ситуаций определит Правительство.
- Досудебное обжалование. Решения госорганов и организаций с государственным участием, принятые с помощью ИИ, можно обжаловать в досудебном порядке.
- Компенсация вреда. Гражданин вправе требовать возмещения ущерба, причиненного неправомерным использованием ИИ.
Что это значит для клиник? Если клиника использует чат-бот с ИИ-технологией для записи пациентов, ей придется уведомлять об этом. И стоит заранее позаботиться о полноте информации о специалистах и сценариях ответа на вопросы — от этого зависит позиция клиники в суде, если вдруг возникнет спор. Мы уже рассказывали, как полнота информирования помогла клинике в деле о «навязанном враче», когда пациентка желала попасть к конкретному специалисту, а ее записали «не к тому».
Интеллектуальная собственность
Результаты, созданные с помощью ИИ, охраняются по правилам ГК РФ, если соответствуют критериям охраноспособности — независимо от того, создал их человек или система.
Иными словами, если взять с сайта клиники-конкурента сгенерированное ИИ изображение без разрешения правообладателя, последствия будут такими же, как при незаконном использовании работы штатного дизайнера или контента, приобретенного по лицензии.
Кристина Черчесова, эксперт НАЭЦЗ, руководитель отдела маркетинга и PR:
Владельцев сервисов обяжут уведомлять пользователей о правилах и ограничениях использования результатов ИИ, а в договорах указывать, кому принадлежат права на сгенерированный контент.
При этом извлечение информации из объектов, защищенных авторскими или патентными правами, для создания наборов данных и обучения ИИ не будет считаться нарушением — при условии, что экземпляр произведения получен правомерно либо обнародован и доступен для анализа.
Часть 1 статьи 10 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»