Штучний інтелект відкриває бізнесу нові можливості, але водночас створює правові ризики: від втрати конфіденційної інформації до порушення авторських прав та правової невизначеності внаслідок укладання договорів ШІ-агентами.


У статті розглянемо, на що компаніям слід звертати увагу при використанні ШІ, щоб мінімізувати ці ризики.


Віталій Кулинич


Віталій Кулинич, старший юрист Asters


Можливості та юридичні ризики впровадження ШІ у бізнесі


Технологія штучного інтелекту разом зі значними можливостями для компаній, зокрема щодо створення контенту, аналітики, виконання дій від імені користувача, несуть значні ризики, зокрема юридичні. Найбільш характерними з них є наступні:


    

  • порушення вимог транскордонного законодавства, яке регулює ШІ;
    • 

  • втрата конфіденційної інформації;
    • 

  • протиправна обробка персональних даних;
    • 

  • втрата прав на контент, створений за допомогою ШІ, чи порушення прав інтелектуальної власності інших осіб;
    • 

  • відсутність загального правила щодо можливості укладання договорів ШІ агентами, дії агентів всупереч інтересам компаній.
    • 



Вимоги транскордонного законодавства щодо ШІ


В Україні наразі відсутнє спеціальне законодавство щодо регулювання ШІ. Проте українські компанії можуть потрапляти під правила іноземного законодавства, яке регулює ШІ та діє транскордонно.


Особливо важливим є Закон ЄС про ШІ, який набув чинності 1 серпня 2024 року та встановлює комплексні правила для розробки, введення в обіг і використання систем та моделей ШІ. Він поширюється й на українських розробників та розгортувачів, якщо:


    

  • їхні моделі чи системи ШІ постачаються в ЄС;
    • 

  • у ЄС використовуються результати роботи таких систем.
    • 



Залежно від ризиків, які створюють системи та моделі ШІ, вказаний закон поділяє їх на категорії та встановлює для них відповідні правила:


    

  • Моделі ШІ загального призначення (із системним ризиком) – діють з 2 серпня 2025 р.;
    • 

  • Заборонені системи ШІ – діють з 2 лютого 2025 р.;
    • 

  • Автономні системи ШІ високого ризику – почнуть діяти з 2 серпня 2026 р.;
    • 

  • Системи ШІ високого ризику, які є компонентами безпеки продукції – почнуть діяти з 2 серпня 2027 р.;
    • 

  • Системи ШІ для взаємодії з людьми, створення контенту та обробки біометричних даних – почнуть діяти з 2 серпня 2026 р.
    • 



Читайте ще: Усе, що треба знати про бронювання працівників: розбираємось з експертами




Конфіденційна інформація та ШІ


Дані, які обробляються моделями ШІ, можуть використовуватися для їхнього подальшого навчання. Це створює ризик витоку конфіденційної інформації, оскільки інші користувачі можуть отримати доступ до таких даних моделі.


Щоб зменшити ризики, компанії можуть:


    

  • Розгортати моделі локально на своєму обладнанні. Це обмежує доступ сторонніх, але такі моделі часто менш потужні та складніші у використанні, ніж хмарні.
    • 

  • Використовувати хмарні моделі з ізоляцією даних, коли умови використання гарантують, що введена інформація не застосовується для навчання та захищена технічно.
    • 



Персональні дані та ШІ


Ізолювання даних критично важливе при обробці персональних даних, особливо якщо вони належать до конфіденційної інформації.


Без такого ізолювання неможливо отримати належну згоду фізичної особи на обробку персональних даних через необмежене коло осіб, які можуть мати доступ до даних, використаних для навчання хмарних моделей.


Ізоляція даних також дозволяє реалізовувати права суб’єктів персональних даних, зокрема право дізнатися, чи обробляються їхні дані, та відкликати згоду на таку обробку.


Згода на обробку персональних даних системами ШІ має враховувати специфіку такої обробки, зокрема, містити:


    

  • інформацію щодо мети такої обробки;
    • 

  • дозвіл на обробку іншими особами (розгортувачами систем ШІ);
    • 

  • окремий дозвіл на передачу даних іноземним компаніям-розгортувачам систем ШІ.
    • 



Інтелектуальна власність при використанні ШІ, втрата прав на контент


В Україні законодавство, застосовне до створеного ШІ-контенту, передбачає право особливого роду (sui generis) на неоригінальні об’єкти, згенеровані комп’ютерною програмою (ст. 33 Закону «Про авторське право і суміжні права»). Майнові права на такий контент належать постачальникам систем ШІ або їхнім користувачам, тому важливо, щоб умови використання систем гарантували, що права на створений контент належать компанії-користувачу.


Якщо ж контент є оригінальним твором фізичної особи, створеним за допомогою системи ШІ, то немайнові права належать працівнику, а майнові – компанії, якщо інше не передбачено договором (ст. 14 Закону).


Компанії також мають враховувати ризики порушення прав інтелектуальної власності інших осіб на контент, використаний при навчанні моделі ШІ. Тому важливо звернути увагу на завірення постачальників моделі щодо відсутності таких порушень, та чи бере він на себе ризики, якщо відповідні спірні ситуації все-таки виникають.


З іншого боку, слід врахувати ризик втрати авторських прав компанії, якщо напрацювання працівників використовуються для навчання моделей ШІ. Ізоляція таких напрацювань допомагає мінімізувати такий ризик.


Читайте ще: Звільнення за угодою сторін: що має знати працівник?




Використання ШІ-агентів для укладення договорів


Системи ШІ, що діють від імені користувачів та укладають договори, набувають популярності. Однак, загальний підхід, закріплений у законодавстві Україні (ст. 638 ЦК) не передбачає можливості укладення договорів комп’ютерними програмами, винятки є лише для окремих типів договорів (ст. 650 ЦК – ринки капіталу, аукціони тощо).


Компанії можуть мінімізувати ризики такої невизначеності, підтверджуючи умови договорів після їхнього узгодження ШІ-агентом або вчиняючи конклюдентні дії, що засвідчують волю компанії (ст. 205 ЦК). Підхід з додатковим підтвердженням захищає також від укладення договорів ШІ-агентами всупереч інтересам компанії.


Що важливо прописати у внутрішніх документах щодо використання ШІ на роботі


Зважаючи на ризики про які йшлося вище, важливо прописати у таких документах наступне:


    

  • Процедури для дотримання вимог Закону ЄС про ШІ (якщо застосовно).
    • 

  • Порядок обробки ШІ конфіденційної інформації та персональних даних, який, зокрема, передбачає таку обробку лише системами ШІ, доступ до яких контролюється компанією.
    • 

  • Порядок використання ШІ при створенні контенту, який, зокрема, передбачає використання для цього лише тих систем ШІ, доступ до яких контролюється компанією.
    • 

  • Закріплення у договорах умов, що майнові права на об’єкти інтелектуальної власності належать компанії.
    • 

  • Порядок підтвердження компанією умов договорів, узгоджених ШІ-агентами, та вчинення конклюдентних дій (оплата, відправка товарів), що підтверджують волевиявлення компанії на їх укладення.
    • 



Чи може бізнес легально використовувати контент, створений ШІ?


Коротко – так. Однак, компанія має вчинити певні дії, спрямовані на виникнення у неї прав на такий контент та зменшення ризиків порушення прав інтелектуальної власності інших осіб, про які зазначалося вище.


Читайте ще: Релокація, дистанційка, повістки: як закон захищає працівників?