Anton Tarasiuk: Нове регулювання штучного інтелекту в ЄС AI & BigData Online Day 2023 Spring Website - www.aiconf.com.ua Youtube - https://www.youtube.com/startuplviv FB - https://www.facebook.com/aiconf

1. НОВЕ РЕГУЛЮВАННЯ
АІ В ЄС

2. В Італії забанили Chat-Gpt.
Вчора.

3. Причина бану
1. No way for ChatGPT to continue processing data in breach of privacy laws. The Italian SA imposed an immediate temporary limitation
on the processing of Italian users’ data by OpenAI, the US-based company developing and managing the platform. An inquiry into the
facts of the case was initiated as well.
2. A data breach affecting ChatGPT users’ conversations and information on payments by subscribers to the service had been reported on
20 March. ChatGPT is the best known among relational AI platforms that are capable to emulate and elaborate human conversations.
3. In its order, the Italian SA highlights that no information is provided to users and data subjects whose data are collected by Open AI;
more importantly, there appears to be no legal basis underpinning the massive collection and processing of personal data in order
to ‘train’ the algorithms on which the platform relies.

4. Причина бану
1. As confirmed by the tests carried out so far, the information made available by ChatGPT does not always match factual circumstances, so
that inaccurate personal data are processed.
2. Finally, the Italian SA emphasizes in its order that the lack of whatever age verification mechanism exposes children to receiving
responses that are absolutely inappropriate to their age and awareness, even though the service is allegedly addressed to users aged
above 13 according to OpenAI’s terms of service.
3. OpenAI is not established in the EU, however it has designated a representative in the European Economic Area. It will have to notify the
Italian SA within 20 days of the measures implemented to comply with the order, otherwise a fine of up to EUR 20 million or 4% of the
total worldwide annual turnover may be imposed.

5. Причина бану
Personal information we collect:
1. User Content: When you use our Services, we may collect Personal Information that is included in the input, file
uploads, or feedback that you provide to our Services (“Content”).
2. Communication Information: If you communicate with us, we may collect your name, contact information, and
the contents of any messages you send (“Communication Information”).
We may use Personal Information for the following purposes:
● To develop new programs and services;

6. План
1. Artificial intelligence act
2. Trustworthy AI guidance & ALTAI
3. Cases

7. Антон Тарасюк —
managing partner at Legal IT Group
● IT / privacy lawyer
● CIPP/E & data protection officer
● Privacy / IT law speaker (more than
50+ conferences)
● Notable legal practitioner in ІТ by
"Ukrainian law firms 2021"
● 10+ years of legal experience in
tech law: IT contracts, GDPR, IP in
IT, tech disputes, startup funding

8. IP, персональні дані,
дискримінація

9. Кейси. BIAS
- Сексизм при хайрингу
- Compas та расизм при оцінці можливості повторного злочину
- Таргентинг в фб з сексизмом і расизмом
- Расизм при лікуванні

10. Кейси. IP
- Who owns the content generated by ChatGPT?
- “I do not own the content that I generate. I am a machine learning model developed and owned by
OpenAI, and the content generated by me is subject to OpenAI's license and terms of use”.

11. Кейси. Персональні дані
- ScatterLab: Science of Love
- Med-tech стартапи та PETS. homologic encryption, federated learning
- Clearview AI case in the UK

12. Artificial Intelligence Act (або Регламент про
штучний інтелект) – пропозиція регламенту від
Європейської Комісії щодо регулювання
використання штучного інтелекту

13. AI ACT
Європейська Комісія виділила наступні цілі, яких намагається досягти прийняттям цього проекту:
● гарантувати, що системи штучного інтелекту, що розміщуються та використовуються на
ринку ЄС, є безпечними та поважають чинне законодавство, що стосується захисту
основних прав, та цінності Євросоюзу;
● забезпечення правової визначеності для сприяння інвестиціям та інноваціям у сфері
штучного інтелекту;
● покращити управління та ефективне забезпечення виконання чинного законодавства про
основні права та вимоги безпеки, що застосовуються до систем штучного інтелекту;
● сприяти розвитку єдиного ринку для законних, безпечних та надійних програм, що
використовують штучний інтелект, та запобігти фрагментації ринку.

14. Що регулюватиме AI Act
Розглянемо, з чого складається AI Act. Пропозиція
регламенту містить 12 розділів (titles) та 85 статей в них

15. Екстериторіальність
Описує предмет регламенту, межі застосування та основні
визначення, що використовуються у тексті закону.
Пропонується, щоб цей регламент мав екстериторіальний характер,
тобто міг бути застосований до компаній, які знаходяться за межами
території Євросоюзу.

16. Як не можна використовувати?
Містить заборонені практики використання штучного інтелекту,
що описані в статті 5 регламенту.
Одним із прикладів таких заборонених практик є користування
системами, що використовують будь-яку вразливість певної групи осіб
через їхній вік, фізичні чи розумові вади з метою спотворення
поведінки такої особи, що може завдати фізичної чи психологічної
шкоди цій або іншій особі.

17. високо-ризикові АІ
Є найбільш об’ємним та присвячений high-risk системам штучного інтелекту.
Він складається з п’яти підрозділів (chapters), які встановлюють, у яких випадках система
штучного інтелекту буде вважатись високо ризикованою, вимоги до таких систем
(управління ризиками, керування даними, складання технічної документації, запис подій
(логів), прозорість та надання інформації користувачам, нагляд людини, точність,
надійність, безпека), обов’язки постачальників та користувачів високо ризикованих систем
і інших сторін, положення щодо notifying authorities та notified bodies та такі інструменти як
стандарти, оцінка відповідності, сертифікати та реєстрація.

18. Прозорість
Четвертий розділ стосується зобов’язань щодо прозорості для деяких систем
штучного інтелекту. Зокрема, в ньому описується використання технології
«діпфейк» (deepfake AI).
Так, за статтею 52 AI Act, користувачі системи штучного інтелекту, яка генерує або
маніпулює зображення, аудіо- чи відеоконтент, який помітно нагадує існуючих осіб,
об’єкти, місця чи інші об’єкти чи події та може здатися особі автентичним або
правдивим, повинні розкрити інформацію про те, що такий контент був штучно
створений або маніпульований.

19. Пісочниці
П’ятий розділ містить заходи на підтримку інновацій та описує регуляторні
пісочниці зі штучного інтелекту.
Мета створення таких пісочниць полягає в тому, щоб розробники у сфері штучного
інтелекту та регулятори мали змоги співпрацювати у контрольованому просторі.
Пілотний проект першої регуляторної пісочниці зі штучного інтелекту був
представлений в червні 2022 році в Брюсселі спільно урядом Іспанії та Єврокомісією.

20. Управління розвитком
Присвячений питанням управління.
Статті 56-58 стосуються European Artificial Intelligence Board (Європейської
ради з питань штучного інтелекту), а саме її створення, структура та завдання.
Стаття 59 описує процес призначення національних компетентних органів
(national competent authorities).

21. База даних
Складається з однієї статі 60, що описує створення та підтримку бази даних
Євросоюзу для автономних високоризикованих систем штучного
інтелекту.
Це завдання покладається на Єврокомісію, що діє у співпраці з країнами-
членами ЄС.

22. Життя з АІ
Складається з трьох підрозділів:
● У першому описується постмаркетинговий моніторинг (аналіз досвіду
використання систем ШІ, що розміщуються на ринку) провайдерами та
постмаркетинговий моніторинг високо ризикованих систем штучного інтелекту.
● У другому описуються зобов’язання щодо обміну інформацією про інциденти та
несправності в системах.
● Третій підрозділ присвячений виконанню регламенту, а саме ринковому нагляду та
контролю систем штучного інтелекту на ринку Євросоюзу, доступу до даних та
документації, процедурі роботи з системами штучного інтелекту, що представляють
ризик на національному рівні та іншим питанням, що врегульовані статтями 63-68
регламенту.

23. Штрафи
Дев’ятий розділ містить 69 статтю та присвячений питанням створення Codes of conduct (кодексу поведінки), а
десятий розділ описує конфіденційність та штрафи, що можуть бути накладені на компанії. Так, регламент
передбачає три рівні штрафів:
● штраф у розмірі до 30 мільйонів євро або до 6 відсотків від загального світового річного обороту компанії
за попередній фінансовий рік, залежно від того, що більше, за порушення статей 5 та 10 AI Act.
● за порушення інших вимог та зобов’язань регламенту передбачений штраф у розмірі до 20 мільйонів євро
або до 4 відсотків від загального світового річного обороту компанії за попередній фінансовий рік,
залежно від того, що більше.
● передбачається штраф у розмірі до 10 мільйонів євро або до 2 відсотків від загального світового річного
обороту компанії за попередній фінансовий рік, залежно від того, що більше, якщо компанія надала
невірну, неповну або оманливу інформації уповноваженим органам та національним компетентним
органам у відповідь на запит.
Адміністративні штрафи також можуть бути накладені на інституції, агенції та органи ЄС, суми штрафів
визначені в статті 72.

24. Trustworthy AI guidance
& ALTAI

25. The Guidelines put forward a set of 7 key requirements that AI systems
should meet in order to be deemed trustworthy. A specific assessment list
aims to help verify the application of each of the key requirements:
● Human agency and oversight: AI systems should empower human beings, allowing them to make informed
decisions and fostering their fundamental rights. At the same time, proper oversight mechanisms need to be
ensured, which can be achieved through human-in-the-loop, human-on-the-loop, and human-in-command
approaches.
● Technical Robustness and safety: AI systems need to be resilient and secure. They need to be safe, ensuring a
fall back plan in case something goes wrong, as well as being accurate, reliable and reproducible. That is the only
way to ensure that also unintentional harm can be minimized and prevented.
● Privacy and data governance: besides ensuring full respect for privacy and data protection, adequate data
governance mechanisms must also be ensured, taking into account the quality and integrity of the data, and
ensuring legitimised access to data.

26. The Guidelines put forward a set of 7 key requirements that AI systems
should meet in order to be deemed trustworthy. A specific assessment list
aims to help verify the application of each of the key requirements:
● Transparency: the data, system and AI business models should be transparent. Traceability mechanisms can help achieving
this. Moreover, AI systems and their decisions should be explained in a manner adapted to the stakeholder concerned.
Humans need to be aware that they are interacting with an AI system, and must be informed of the system’s capabilities and
limitations.
● Diversity, non-discrimination and fairness: Unfair bias must be avoided, as it could could have multiple negative implications,
from the marginalization of vulnerable groups, to the exacerbation of prejudice and discrimination. Fostering diversity, AI
systems should be accessible to all, regardless of any disability, and involve relevant stakeholders throughout their entire life
circle.
● Societal and environmental well-being: AI systems should benefit all human beings, including future generations. It must
hence be ensured that they are sustainable and environmentally friendly. Moreover, they should take into account the
environment, including other living beings, and their social and societal impact should be carefully considered.
● Accountability: Mechanisms should be put in place to ensure responsibility and accountability for AI systems and their
outcomes. Auditability, which enables the assessment of algorithms, data and design processes plays a key role therein,
especially in critical applications. Moreover, adequate an accessible redress should be ensured.

27. Які запитання?
Could the AI system affect human autonomy by generating over-reliance by end-users?
Did you ensure a ‘stop button’ or procedure to safely abort an operation when needed?
Did you plan fault tolerance via, e.g. a duplicated system or another parallel system (AI-based or ‘conventional’)?
Did you put processes in place to ensure that the level of accuracy of the AI system to be expected by end-users and/or subjects is properly communicated?
Did you establish mechanisms to ensure fairness in your AI system?
Did you assess whether there could be groups who might be disproportionately affected by the outcomes of the AI system?
Did you ensure that the AI system can be audited by independent third parties?
Did you establish a process to discuss and continuously monitor and assess the AI system's adherence to this Assessment List for Trustworthy AI (ALTAI)?

28. Дякую за увагу!
a@legalitgroup.com