Professional Documents
Culture Documents
ПРАВА ЛЮДИНИ В ЕПОХУ ШТУЧНОГО ІНТЕЛЕКТУ ВИКЛИКИ ТА ПРАВОВЕ РЕГУЛЮВАННЯ
ПРАВА ЛЮДИНИ В ЕПОХУ ШТУЧНОГО ІНТЕЛЕКТУ ВИКЛИКИ ТА ПРАВОВЕ РЕГУЛЮВАННЯ
ШТУЧНОГО ІНТЕЛЕКТУ
ВИКЛИКИ ТА ПРАВОВЕ РЕГУЛЮВАННЯ
2024
Права людини в епоху штучного інтелекту: виклики та правове регулювання — методичний матеріал, у
якому розглядаються питання впливу новітніх технологій штучного інтелекту на права людини та підходи
до його правового регулювання. А також запропоновані рекомендації щодо управління інтелектуальною
системою відповідно до вимог національного законодавства та міжнародних стандартів.
Дана публікація розроблена в рамках міжнародного проєкту EU4DigitalUA у взаємодії з Офісом Омбудсма-
на та Міністерством цифрової трансформації України.
Уляна Шадська
Андрій Ніколаєв, Юлія Деркаченко, Володимир Бегей, Гордій Румянцев, Олег Дубно, Олександр Марченко
Проєкт EU4DigitalUA є частиною підтримки України Європейським Союзом. Погляди, думки та висновки,
висловлені в тексті, належать виключно авторам і не обов›язково представляють позицію проєкту, Євро-
пейського Союзу або FIIAPP.
ПРАВА ЛЮДИНИ В ЕПОХУ
ШТУЧНОГО ІНТЕЛЕКТУ
ВИКЛИКИ ТА ПРАВОВЕ РЕГУЛЮВАННЯ
2024
ЗМІСТ
ПЕРЕДМОВА . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3. МІЖНАРОДНІ ПРИНЦИПИ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
ПЕРЕДМОВА
Сьогодні штучний інтелект використовується майже в усіх сферах життєдіяльності людини. Новіт-
ні технології здатні виконувати різноманітні завдання: управляти автомобілем, виробничими про-
цесами на підприємствах, генерувати текст, музику, розпізнавати обличчя та голоси людей, вико-
нувати функції персонального асистента в смартфоні тощо. Вони вбудовані в різні пристрої, які
щодня використовуються в державній політиці, міській інфраструктурі, бізнесі або просто в побуті.
Попри широкі перспективи для суспільства, які можуть створювати інтелектуальні системи, по-
трібно також звернути увагу на етичні та правові аспекти їх використання, зокрема вплив на пра-
ва та свободи людини.
Один із серйозних ризиків полягає в порушенні права на приватність1. Неправомірне або помил-
кове використання конфіденційної інформації про фізичну особу в системах штучного інтелекту
може призвести до негативних для неї наслідків. Особливо коли це стосується даних, наприклад,
про здоров’я людини, її статевої або етнічної приналежності, біометричних даних тощо. Це стосу-
ється як самої сутності технологій, так і особливостей їх застосування, що може призводити до
складності оскарження автоматизованих рішень, упередженості або дискримінації. Ці аспекти ча-
сто пов’язані між собою.
Зацікавлені сторони, які беруть участь у життєвому циклі системи штучного інтелекту, включаючи
організації чи окремих осіб, які розробляють, розгортають або використовують її, повинні запрова-
дити організаційні та технічні заходити, щоб робота таких технологій була безпечною та відповіда-
ла положенням законодавства й міжнародним стандартам. Потрібна комплексна програма управ-
ління інтелектуальною системою, яка буде передбачати глибокий аналіз її роботи, зокрема впливу
на права і свободи людини. Як показує практика, це може виявитися складним завданням, оскільки
потрібно розуміти не тільки суть таких технологій і параметри їх використання, а ще й соціальний
і юридичний контексти.
1 Понад 57 % споживачів розглядають використання штучного інтелекту при зборі та обробці персональних даних як значну за-
грозу для їхньої конфіденційності, згідно з дослідженням Міжнародної асоціації професіоналів у галузі захисту даних (IAPP) 2023
року. Режим доступу: https://iapp.org/resources/article/privacy-and-consumer-trust-summary/
наглядових органів у цій сфері, у тому числі Іспанського агентства з питань захисту даних (AEPD),
Уповноваженого з питань інформації у Великій Британії (ICO), Національної комісії з обчислюваль-
ної техніки та свобод у Франції (CNIL) та інших. Також розглянуті експертні висновки, коментарі та
рекомендації Уповноваженого Верховної Ради України з прав людини, Міністерства цифрової
трансформації України, інших органів державної влади та українських громадських організацій.
У грудні 2020 року Кабінет Міністрів України та творчість. Це поняття може бути розширено,
затвердив2 Концепцію розвитку штучного інте- оскільки ШІ вже може виходити за межі люд-
лекту в Україні, у якій визначені мета, принципи ських можливостей4.
та завдання розвитку таких технологій— як од-
ного з пріоритетних напрямів у сфері науко- Суб’єкти ШІ — це усі ті, хто бере участь у жит-
во-технологічних досліджень3. тєвому циклі системи, включаючи організації та
окремих осіб, які розгортають або керують ШІ.
У Концепції терміни використовуються в тако-
му значенні: Зацікавлені сторони — установи, організації, а
також приватні особи, які безпосередньо чи
Штучний інтелект (далі — технології ШІ) — ор- опосередковано залучені до системи ШІ5.
ганізована сукупність інформаційних техноло-
гій, із застосуванням якої можливо виконувати
складні комплексні завдання шляхом викори-
стання системи наукових методів досліджень
та алгоритмів обробки інформації, отриманої
або самостійно створеної під час роботи, а та-
кож створювати та використовувати власні
бази знань, моделі прийняття рішень, алгорит-
ми роботи з інформацією та визначати способи
досягнення поставлених завдань.
числі в Україні, велися дискусії11 щодо компа- через технологію ідентифікації швидко знайти
нії Clearview AI, яка розробляє технології роз- небезпечного злочинця тощо.
пізнавання облич. Її система працює за допо-
могою ШІ й машинного навчання для збору та Питання можуть стосуватися як самої сутності
аналізу величезної кількості зображень люди- технологій ШІ, так і особливостей їх застосу-
ни, які вона отримує в мережі. Clearview AI вання. Це може бути пов’язано з відсутністю
заявила, що її продукт може ідентифікувати прозорості в розробленні та діяльності систем;
осіб за фотографіями, зробленими в реально- ризиками упередженості та дискримінації;
му часі, порівнюючи їх із зображеннями у сво- складністю оскарження автоматизованих рі-
їй базі даних, зібраними з відкритих джерел в шень. Ці аспекти часто пов’язані між собою13.
інтернеті, таких як соціальні мережі, вебсай-
ти новин та інші публічно доступні ресурси. Через недостатню прозорість алгоритмів ШІ мо-
Проблема в тому, що ця компанія збирає пер- жуть виникати ситуації, коли люди, права яких
сональні дані осіб без їхньої згоди, що викли- порушують дії або рішення системи, не знають
кало занепокоєння щодо правомірності такої причини того, чому так відбулося, зокрема, чому
діяльності. У США проти Clearview AI було їм було відмовлено в певній послузі або до них
подано груповий позов, у якому компанію об- застосовано певне рішення. Наприклад, компа-
винуватили в продажі біометричних даних нія Amazon розглядала резюме на вакантні по-
органам правопорядку12. Також діяльність сади за допомогою ШІ, але через деякий час
цієї компанії заборонили в деяких європей- виявилося, що програма відхиляла всі заявки за
ських країнах. Попри це вона й надалі надає гендерними ознаками14. Ще один з резонансних
свої послуги по всьому світу. Неоднозначний скандалів був пов’язаний з доступом громадян
характер цього питання породжує численні до соціальної допомоги в Нідерландах15. У 2014
дискусії, які змушують у правовому полі зна- році під егідою Міністерства соціальних справ та
ходити баланс між перевагами технологій і праці Нідерландів кілька міст розпочали вико-
ризиками. З одного боку, застосування ШІ ристовувати систему Systeem Risico Indicatie
може порушувати права людини, а з іншого — (далі—SyRI), спроєктовану для виявлення фактів
розв’язувати суспільні проблеми, наприклад шахрайства у сфері соціального забезпечення
населення. У процесі аналізу ризиків шахрайства NeurIPS, ICML, ICLR — для машинного нав-
SyRI обробляла дані отримувачів соціальної до- чання тощо) та провідних рецензованих
помоги. Пізніше виявилося, що оцінювання ризи- виданнях;
ків у секторі, до якого належали люди з нижчими • недосконалість механізмів ухвалення
доходами, відбувалося нерівномірно, що викли- управлінських рішень у публічній сфері, за-
кало обурення в суспільстві та обвинувачення бюрократизованість системи надання ад-
влади в дискримінації, оскільки потенційні бене- міністративних послуг, обмеженість до-
фіціари не мали змоги зрозуміти механізми ухва- ступу до інформації та її низька якість,
лення рішень у роботі цієї системи. У 2020 році недостатній рівень впровадження елек-
нідерландський суд визнав незаконним викори- тронного документообігу між державними
стання поточної версії SyRI, мотивуючи своє рі- органами, а також низький ступінь оциф-
шення порушенням права людини на приватне рованості даних, що перебувають у влас-
та сімейне життя відповідно до статті 8 Європей- ності державних органів;
ської конвенції з прав людини і основоположних • складність перевірки відповідності роботи
свобод. Суд відзначив непрозорість системи, яка систем ШІ законодавству та етичним прин-
збирає надмірну кількість персональних даних ципам;
без конкретних цілей. • відсутність єдиних підходів, що застосову-
ються при визначенні критеріїв етичності
Сьогодні в Україні мало досліджень подібних під час розроблення та використання тех-
випадків, але це не означає, що їх нема. Можна нологій ШІ для різних галузей, видів діяль-
сказати, що роботу в цьому напрямі тільки роз- ності та сфер національної економіки;
почато, зокрема це видання також має на меті • наявність ризиків зростання рівня безро-
привернути увагу суспільства до потреби вжи- біття у зв’язку з використанням технологій
вати заходи для вивчення потенційних про- ШІ;
блем використання ШІ як у приватному, так і • низький рівень цифрової грамотності, поін-
державному секторі. формованості населення щодо загальних
аспектів, можливостей, ризиків і безпеки
Як указано16 в Концепції розвитку штучного інте- використання ШІ;
лекту в Україні, впровадження інформаційних • недостатній рівень інформаційної безпеки
технологій є важливою складовою соціально-е- та захисту даних в інформаційно-телеко-
кономічної, науково-технічної, оборонної та мунікаційних системах державних органів
будь-якої іншої діяльності. Зокрема, зайняття внаслідок застарілості автоматичних сис-
Україною значного сегмента світового ринку тем виявлення та оцінювання інформацій-
технологій ШІ та провідних позицій у міжнарод- них загроз, невикористання потенціалу
них рейтингах17. Проте відсутність концептуаль- прогнозування та передбачення загроз з
них засад державної політики в цій галузі не метою своєчасної підготовки системи до
дозволяє створювати та розвивати конкуренто- можливої атаки;
спроможне середовище. Це свідчить про по- • зростання кількості спроб несанкціонова-
требу розв’язання таких проблем як: ного втручання в роботу автоматизованих
системи, комп’ютерних мереж;
• низький рівень інвестицій у проведення • відсутність або недосконалість правового
досліджень зі ШІ у закладах вищої освіти; регулювання ШІ (у тому числі у сферах
• незначна кількість публікацій у виданнях освіти, економіки, публічного управління,
провідних галузевих конференцій (CVPR\ кібербезпеки, оборони), а також недоско-
ICCV\ECCV — для комп’ютерного зору, налість законодавства про захист персо-
нальних даних.
Кінець 2023 року Досягнуто політичної згоди щодо положень Регламенту про штучний інтелект.
Початок 2024 року Очікується ухвалення остаточної версії Регламенту про штучний інтелект.
Кінець 2025 — початок Очікується, що після ймовірного 18–24-місячного перехідного періоду набере
2026 року чинності Регламенту про штучний інтелект у ЄС.
Навколо AI Act точиться багато дискусій. З од- характеристики. Ця умова призначена для
ного боку, лунають думки, що такий закон по- зниження потенційної упередженості сис-
винен обмежувати застосування деяких тех- тем і кількості дискримінаційних рішень;
нологій ШІ, які можуть становити небезпеку y передбачає обмеження для систем, що по-
для прав і свобод людини. З іншого — ствер- тенційно можуть становити ризик для прав
джують, що такий акт може зашкодити розвит- людини або державних інтересів. Напри-
ку інновацій і соціальному прогресу загалом. клад, це стосується проблем дискриміна-
Попри ці дискусії, усі сторони єдині в позиції, ції, дезінформації та інших маніпуляцій в ін-
що технології ШІ потребують правового регу- формаційному просторі тощо;
лювання. Експерти ГО «Центр демократії та y встановлює вимоги для певних систем ШІ
верховенства права» проаналізували37 новий щодо необхідності інформування користу-
AI Act, виділивши важливі аспекти, на які варто вачів про те, що вони взаємодіють із систе-
звернути увагу. Зокрема, новий Регламент у мою ШІ, а не людиною;
ЄС: y вимагає сприяти складанню Кодексів по-
ведінки для суб’єктів ШІ залежно від цільо-
y вимагатиме створення системи управлін- вого призначення відповідних систем;
ня ризиками протягом усього життєвого y акцентує на потребі прозорості в розро-
циклу ШІ, а не тільки на етапі розробки; бленні та використанні систем ШІ;
y запроваджує обов’язкову сертифікацію для y створює спеціальні регуляторні пісочниці.
певних систем ШІ, зокрема тих, що здій- Концепція регуляторних пісочниць — один
снюють обробку особливих категорій да- з інноваційних заходів, запропонованих AI
них, широкомасштабне профілювання лю- Act, покликаний сприяти впровадженню
дей, освітніх або професійних оцінювальних систем ШІ в практику.
систем або критичної інфраструктури;
y містить положення про набори даних, які Отже, регулювання ШІ в країнах ЄС базується
повинні бути актуальними, повними, без на ризикорієнтованому підході, також запро-
помилок та мати відповідні статистичні понованому в Білій книзі38 штучного інтелекту у
2020 році. Але тоді в ній були описані лише два
рівні ризику, потім це питання детальніше ви-
35 Contentious areas in the EU AI Act trilogues. Режим досту- вчили і сформували чотири рівні:
пу: https://iapp.org/news/a/contentious-areas-in-the-eu-ai-
act-trilogues/
36 Artificial Intelligence Act: Council calls for promoting safe y системи ШІ з мінімальним ризиком або не-
AI that respects fundamental rights. Режим доступу: https:// ризикові;
www.consilium.europa.eu/en/press/press-
releases/2022/12/06/artificial-intelligence-act-council-calls-
for-promoting-safe-ai-that-respects-fundamental-rights/
37 Ольга Петрів. Штучний інтелект та Artificial intelligence\ 38 Commission White Paper on Artificial Intelligence: A European
act: час для юридичних рамок. Режим доступу: https://cedem. approach to excellence and trust, COM (2020) 65 final (February 19,
org.ua/analytics/artificial-intelligence-act/ 2020).
У Концепції запропонована візія для суспіль- свободи. Робота ШІ повинна бути макси-
ства, де захист прав людини стоїть на рівні з мально прозорою, тому в Концепції перед-
технологічним прогресом. Протягом розро- бачена система звітування з боку розроб-
блення цього документа досліджувався реаль- ників чи користувачів, особливо, якщо
ний вплив таких систем. Були враховані думки відбувається збір та обробка персональних
різних соціальних груп, які висловили своє ба- даних. Такі звіти мають бути сформовані в
чення потреби чіткого правового регулювання зрозумілій формі та містити не тільки пові-
ШІ й державних гарантій захисту в разі настан- домлення про використання таких систем,
ня ризиків. Ця Концепція включає технічний до- а ще й мати оцінку впливу на права людини.
даток, у якому сформовані конкретні кроки, які 5. Право на захист від автоматизованого ух-
можуть зробити громади, держані органи та валення рішень. Якщо люди стикаються з
інші сторони, щоб запровадити ключові прин- негативними наслідками внаслідок рішень,
ципи захисту від негативного впливу ШІ. ухвалених системами ШІ, вони мають право
на оскарження й виправлення. Тобто якщо
Відповідно до Концепції можна виділити де- рішення, яке стосується людини, ухвалила
кілька ключових аспектів, яким приділено машина, тоді такий результат має бути пе-
увагу: ревірений і контрольований.
У різних міжнародних положеннях запропоно- без прямого контролю людини, тому на всіх
вано низку принципів, які утворюють загально- рівнях повинна просуватися концепція етич-
прийняті стандарти розвитку та правового ре- ного та відповідального ШІ, зокрема, яка має
гулювання технологій ШІ44. Наприклад, включати:
міжнародна група експертів Європейської ко-
місії опублікувала посібник з етики для надій- a. Прозорість та підзвітність — необхідність
ного штучного інтелекту45, де сформовано кон- пояснювати та обґрунтувати рішення про
цептуальні правила роботи ШІ залежно від розроблення та використання ШІ, які мають
контексту його використання. Зокрема, мова вплив на права і свободи людини.
йде про: b. Відповідальність і ролі людей виявляти по-
милки або неправомірні результати.
a. Законність. Необхідно дотримуватися всіх
законів і правил, визначених у міжнародних Розглянемо декілька принципів, які згадуються
і національних положеннях. в міжнародних документах та практиках.
b. Етика та відповідальність. Робота ШІ повин-
на відповідати етичним принципам і цінно-
стям як місцевих, так і глобальних спільнот.
c. Надійність. Системи ШІ мають бути надійни-
ми та безпечними для людини.
чи дотримано цей принцип, можна за допомо- лише на випадок, що вони можуть стати в при-
гою таких питань: годі в майбутньому.
y Чи дані збираються тільки для досягнення У контексті систем ШІ виникають певні викли-
конкретних цілей (немає надлишкових да- ки, пов’язані з принципом мінімізації даних,
них)? оскільки часто технології вимагають значного
y Чи здійснюється аналіз обсягу даних? обсягу інформації. Серед можливих підходів
y Чи існує процедура видалення надлишко- для забезпечення відповідності цьому принци-
вих даних? пу в системах ШІ особливу увагу слід приділи-
ти плануванню обробки даних. Експерти з
Наприклад, якщо формується база персональ- юридичної та технічної сфер повинні спільно
них даних (номери телефонів, електронні визначати належні обсяги даних, враховуючи
адреси тощо) для організації навчального кур- конкретний контекст подальшого їх викори-
су, автоматичної розсилки матеріалів та оцінки стання. Системи ШІ здатні досягати більшої
результатів, то не потрібно додатково збирати статистичної точності при використанні різних
адреси місця реєстрації проживання людей. У інформаційних джерел. Проте такий підхід од-
разі, якщо така інформація збирається, це по- ночасно може збільшувати ризик порушення
трібно обґрунтувати. Іншими словами, прин- приватності осіб. Тому важливо знаходити ба-
цип полягає в тому, що не варто збирати дані ланс між цими аспектами.
конфіденційності провінції Онтаріо70 Енн Ка- моделі (LLM) — це ChatGPT, Luminous або
вукян71. У 2009 році вона опублікувала доку- Bard. У багатьох установах такі інструменти
мент, де пояснила, що «вбудована конфіденці- тепер стали частиною повсякденного робочо-
йність» означає, що компанії повинні активно го процесу, але часто їх використання не вре-
розглядати питання захисту даних протягом гульовано. Той факт, що мовні моделі зазвичай
усього циклу їх обробки (full lifecycle працюють у хмарі, несе різні ризики порушення
protection): від збору інформації до її видален- захисту персональних даних. Тому Комісар з
ня. Починати роботу потрібно ще на етапі про- питань захисту даних і свободи інформації у
єктування, гарантувавши, що всі дані надійно Гамбурзі опублікував72 у листопаді 2023 року
зберігаються, а потім своєчасно знищуються. контрольний список питань щодо використан-
Принципи privacy by design і privacy by default ня чат-ботів на основі великих мовних моделей
ухвалені більшістю країн як стандарт у сфері (LLM) відповідно до вимог законодавства про
захисту даних. Так, у статті 25 GDPR визначено: захист персональних даних. У цьому документі
виділено ключові аспекти, які необхідно врахо-
«Зважаючи на сучасний рівень розвитку, ви- вувати при використанні чат-ботів на базі LLM,
трати на реалізацію, специфіку, обсяг, кон- у тому числі:
текст і цілі обробки, а також ризики різної
ймовірності та тяжкості для прав і свобод y формулювання чітких внутрішніх інструк-
фізичних осіб, які може спричинити обробка, цій про те, коли та за яких умов слід вико-
контролер повинен, у момент визначення за- ристовувати генеративні інструменти ШІ;
собів обробки та в момент власне обробки, y залучення спеціаліста із захисту даних
вжити необхідних технічних і організаційних (DPO) для розробки внутрішніх інструкцій,
заходів, таких як використання псевдонімів, організації відповідних процесів з оцінки
призначених для результативної реалізації впливу на захист даних (DPIA);
принципів захисту даних, зокрема, мінімізації y забезпечення конфіденційності даних у ре-
даних, і включення необхідних гарантій до зультатах роботи ШІ;
обробки для досягнення відповідності вимо- y усунення ризиків щодо витоків даних, упе-
гам цього Регламенту та забезпечення захи- редженості та дискримінації у результатах
сту прав суб’єктів даних. Контролер повинен роботи ШІ тощо.
вжити відповідних технічних і організаційних
заходів для гарантування того, що за замов- Отже, законодавство, зокрема GDPR, зобов’я-
чуванням буде здійснювати обробку лише зує забезпечити право людини на захист пер-
тих персональних даних, які є необхідними сональних даних на кожному етапі їх обробки,
для кожної спеціальної цілі обробки. Такий починаючи з проєктування продукту або по-
обов’язок застосовують до кількості зібраних слуги ШІ. Підхід «конфіденційність за допомо-
персональних даних, ступеня їхньої обробки, гою дизайну» використовується скоріше для
періоду їхнього зберігання та їхньої доступ- запобігання ризикам, а не усунення наслідків.
ності». Іншими словами, люди не повинні доводити
своє право на недоторканість приватного
Наприклад, генеративний ШІ у вигляді чат-бо- життя, воно повинно захищатися за замовчу-
тів пропонує можливість швидко та легко ство- ванням.73
рювати різний контент. Відомі великі мовні
оцінювання персональних аспектів, що стосу- y Якщо обробка даних має такий характер,
ються фізичних осіб, яке ґрунтується на автома- що витік цієї інформації може нести загрозу
тизованому опрацюванні, в тому числі профай- для здоров’я або фізичної безпеки людей80.
лінгу, та на якому ґрунтуються рішення, що мають y Застосовується масштабне профілювання
юридичні наслідки щодо фізичної особи чи подіб- людей81.
ним чином істотно впливають на фізичну особу».
Згідно із Законом про цифрові послуги (Digital
y Широкомасштабного опрацювання спеці- Services Act, DSA), який у 2022 році набув чин-
альних категорій даних: (B) «широкомасш- ності в ЄС, передбачені спеціальні положення
табного опрацювання спеціальних катего- для великих онлайн-платформ або пошукових
рій даних, вказаних у статті 9 (1), та систем — Very Large Online Platforms (VLOP) та
персональних даних про судимості і кримі- Very Large Search Engines (VLSE), що налічують
нальні злочини, вказані в статті 10». понад 45 мільйонів користувачів. Такі суб’єкти
y Громадський моніторинг: (C) «систематич- зобов’язані щороку проводити широкомасш-
ного та широкомасштабного моніторингу табне оцінювання ризиків можливого негатив-
зони, що знаходиться у відкритому досту- ного впливу їхніх сервісів, наприклад, щодо до-
пі»78. ступу до нелегальних товарів, контенту чи
поширення дезінформації. Окрім того, VLOP і
Відповідно до статті 29 GDPR особа, що збирає VLSE повинні проводити всеосяжний аналіз
дані, встановлює відповідні інструкції для їх об- загроз для основоположних прав людини і гро-
робки та захисту. Робоча група органів ЄС у мадянина. Наприклад, у зв’язку із цим у компанії
сфері захисту персональних даних опублікува- Google заявили, що внесли низку змін до своєї
ла79 керівні принципи, які можуть виступати ін- політики. Зокрема, розширено доступ [регуля-
дикаторами обробки з високим ступенем ри- торів] до даних, що стосуються ведення адрес-
зику, наприклад, коли: них рекламних кампаній, а також розкрито
більше інформації про модерування сервісів і
y Обробка персональних даних здійснюєть- пошукових систем. У компанії Meta повідомили
ся за допомогою інноваційних технологій, про те, що Facebook та Instagram припинили
зокрема ШІ. вести рекламні кампанії, націлені на підлітків.
y Застосовується автоматизоване ухвален-
ня рішень. Разом з тим, якщо проаналізувати рекомендації
y Обробка медичних, біометричних або ге- державних регуляторів у сфері захисту персо-
нетичних даних (окрім випадків, коли це нальних даних у європейських країнах, то біль-
здійснюється медичними працівниками для шість з них наголошує, що навіть якщо обробка
надання допомоги людині). даних за допомогою систем ШІ не належить до
y Обробка, яка включає відстеження геоло- категорій високого ризику, де закон зобов’язує
кації або поведінки людини, включаючи, ок- здійснювати DPIA, з урахування розвитку тех-
рім іншого, онлайн-середовище. нологій й того, що ще немає остаточного розу-
y Обробка персональних даних дитини, зо- міння реального впливу на права і свободи
крема в маркетингових цілях.
людини, усе одно варто робити оцінювання ризиків83. Оскільки проєкти використання ШІ
ризиків82. дуже різні, у тому числі різні цілі та процеси об-
робки персональних даних, має бути складена
Процес оцінювання ризиків можна здійснювати індивідуальна адаптована методологія оціню-
в декілька етапів. Наприклад, спочатку — проа- вання ризиків, з розбивкою на етапи застосу-
налізувати напрями роботи у сфері обробки вання технології. Для виконання цього процесу
персональних даних загалом. Далі — визначи- можна залучати сторонніх експертів, які мають
ти, для чого потрібно проводити цю процеду- відповідну кваліфікацію в цій сфері. З огляду на
ру, адже від мети аналізу буде залежати сце- складний і динамічний характер ШІ, це не тіль-
нарій і зміст його методології, а також те, ки допоможе ефективно долати виклики у сфе-
скільки треба часу, ресурсів і який очікуваний рі захисту даних, а ще й може слугувати конку-
результат. Для початку треба скласти методо- рентною перевагою.
логію оцінювання, сконцентровану саме цій ді-
яльності. Коли є детальний профіль суб’єкта
(тобто конкретної організації), визначена ціль і
методологія аналізу, настає етап оцінювання
5.3. ВИЗНАЧЕННЯ ПІДСТАВ ДЛЯ дані, крім випадків, коли потреби захисту
ОБРОБКИ ПЕРСОНАЛЬНИХ основоположних прав і свобод суб’єкта
ДАНИХ персональних даних у зв’язку з обробкою
його даних переважають такі інтереси.
Якщо система ШІ передбачає обробку персо-
нальних даних, то така діяльність повинна бути Хоча використання ШІ принципово не відрізня-
обґрунтованою згідно із законом. Тобто має ється від іншої обробки даних, але все-таки іс-
бути правова основа. У статті 11 Закону Украї- нують деякі особливості. Наприклад, системи,
ни «Про захист персональних даних» визначе- засновані на машинному навчанні, потребують
ні підстави для обробки персональних даних: використання даних для навчання, перш ніж
вони будуть застосовуватися на етапі роботи.
1. згода суб’єкта персональних даних на об- За умови, що цей етап навчання дуже відрізня-
робку його персональних даних; ється від етапу оперативного впровадження
2. дозвіл на обробку персональних даних, на- системи ШІ. Його виняткова мета — підвищен-
даний володільцю персональних даних від- ня продуктивності системи ШІ. Водночас важ-
повідно до закону виключно для здійснен- ливо зазначити, що правова підстава як «нау-
ня його повноважень; кові дослідження» сама собою не може бути
3. укладення та виконання правочину, сторо- правовою основою для обробки. Тільки ті пра-
ною якого є суб’єкт персональних даних вові основи, що прямо перелічені в законі.84
або який укладено на користь суб’єкта
персональних даних чи для здійснення за- Важливо звернути увагу, якщо системи ШІ
ходів, що передують укладенню правочину впроваджує суб’єкт владних повноважень, то
на вимогу суб’єкта персональних даних; відповідно до статті 19 Конституції України
4. захист життєво важливих інтересів суб’єк- його посадові особи зобов’язані діяти лише на
та персональних даних; підставі, у межах повноважень і в спосіб, що
5. необхідність виконання обов’язку воло- передбачені Конституцією та законами Украї-
дільця персональних даних, який передба- ни. З огляду на це положення, наприклад, орга-
чений законом; ни державної влади або місцева влада, може
6. необхідність захисту законних інтересів здійснювати обробку персональних даних
володільця персональних даних або тре- (будь-яка дія або сукупність дій) лише за наяв-
тьої особи, якій передаються персональні ності повноважень, законної підстави й об-
ґрунтованої мети та в спосіб, передбачений
законом. Тобто не потрібно отримувати згоду
суб’єкта персональних даних у тих випадках,
коли дозвіл на збір інформації прямо передба-
чений законом. Водночас недостатньо мати
повноваження, має бути обґрунтована мета та
чітка процедура.
y наскільки первинна мета пов’язана з но- 5.5. ВИЗНАЧЕННЯ РОЛІ ПІД ЧАС
вою; ОБРОБКИ ПЕРСОНАЛЬНИХ
y контекст, у якому початково оброблялися ДАНИХ
персональні дані;
y специфіку та характер даних (наприклад, Розуміння ролі зацікавлених сторін ШІ у проце-
чи відносяться вони до особливої категорії сі обробки персональних даних необхідне для
тощо); визначення обсягу їх прав та обов’язків. Напри-
y вірогідність настання негативних наслідків клад, з огляду на міжнародну практику, велика
для осіб, чиї дані обробляються; увага зосереджена на рішеннях, які має ухва-
y можливість гарантування належного рівня лити саме володілець даних89. Зокрема про:
захисту обробки нової інформації.
y джерело та характер даних, що вико-
Наприклад, впровадження системи ШІ на ос- ристовуються для навчання моделі ШІ;
нові машинного навчання здійснюється пое- y цільовий результат моделі (що передбача-
тапно. Спочатку відбувається навчання, що пе- ється або класифікується);
редбачає проєктування, розроблення системи y загальні види алгоритмів машинного нав-
ШІ. Далі — оперативне розгортання системи чання, які будуть використовуватися для
ШІ, отриманої на першому етапі. З погляду за- створення моделей з даних (наприклад,
хисту персональних даних ці два кроки не від- нейронні мережі);
повідають одній й тій самій цілі й тому мають y вибір ознак, які можуть використовуватися
бути розділені. У двох випадках цілі обробки в кожній моделі;
персональних даних мають бути окремо визна- y ключові параметри моделі (наприклад, на-
чені, бути чіткими та мати законні підстави88. скільки складним може бути дерево рі-
Скажімо, системи розпізнавання обличчя мож- шень або скільки моделей буде включено в
на використовувати для багатьох цілей, таких життєвий цикл);
як запобігання злочинності, або ж аутентифіка- y те, яким чином моделі будуть тестуватися
ція та позначення осіб у соціальних мережах. та оновлюватися: як часто, з використан-
Кожне із цих застосувань може вимагати іншої ням яких видів даних, як буде оцінюватися
законної підстави. постійна продуктивність тощо90.
2. З’явилася правова норма, яка вимагає чи Коли системи ШІ залучають кілька організацій
дозволяє обробку даних з новою метою. до обробки даних, визначити ролі може бути
складно. Можуть виникнути питання про типи
Наприклад, через відповідні зміни в законодав- сценаріїв, коли організація чи установа стане
стві повноваження органу збільшені, і він отри- володільцем даних. Наприклад, організація на-
мав право виконувати додаткові функції, пов’я- дає хмарний сервіс для зберігання даних, а та-
зані з обробкою персональних даних. кож набір загальних інструментів для машин-
ного навчання. Особи, які використовують цей
сервіс, за логікою закону будуть вважатися во-
лодільцями (контролером) даних, оскільки вони
вирішують, які дані й моделі використовувати,
параметри моделей і процеси їх оцінювання,
про логіку ухвалення автоматизованих рішень, а На практиці може виникнути питання: яка об-
також про можливі наслідки» такої обробки для робка розглядається як автоматизована99?
них. Потрібно забезпечити своєчасний людський Системи ШІ виконують різні ролі, тобто це оз-
контроль і втручання, якщо автоматизована си- начає, що можуть брати участь у різних етапах
стема дає збій, помилку або на вимогу суб’єкта процесу ухвалення рішень. Коли ШІ ухвалює
даних тощо. рішення, яке має юридичні наслідки для осіб,
варто поставити такі питання:
Існує багато причин, чому люди не хочуть ко-
ристуватися автоматизованою системою: вона y Який це вид рішення (чи воно лише автома-
може призвести до непередбачуваних резуль- тизоване)?
татів; вона може посилювати упередження чи y Коли ухвалюється це рішення?
бути недоступною; може просто бути незруч- y У якому контексті система ухвалює рішен-
ною; а може замінити паперовий або ручний ня?
процес, до якого вже звикли. Однак люди часто y Які кроки призводять до цього рішення?
стикаються з відсутністю альтернативи. Це не-
правильний підхід з погляду забезпечення юри- Як зазначено вище, законодавство вимагає за-
дичних гарантій захисту. Людина повинна мати безпечити заходи безпеки під час обробки
право вибору або ж заперечити проти викори- персональних даних для здійснення автомати-
стання автоматизованої обробки, окрім випад- зованих рішень, які мають юридичний або по-
ків, коли така система встановлена відповідно дібний за значущістю вплив на осіб. Ці заходи
до вимог закону, в інтересах національної без- охоплюють право осіб:
пеки, економічного добробуту. Але в кожному
разі потрібно зробити так, щоб не допустити y запросити втручання людини;
негативних наслідків для людини. y висловити свою точку зору;