Искусственный интеллект перестал быть футуристической игрушкой и постепенно становится еще одним самым обычным инструмент бизнеса (и очень скоро им станет, над чем самым активным образом работают едва ли не лучшие умы и во что вкладываются совсем не шуточные бюджеты).
Нейросети уже фильтруют резюме, прогнозируют спрос, пишут код и даже дают юридические советы.
Но по мере того как алгоритмам будет делегироваться все больше полномочий, актуализируется и также крайне неудобный, но фундаментальный вопрос: кто должен отвечать за ошибки ИИ, которые явно не заставят себя ждать?
Не пропустите: О чем ChatGPT лучше не спрашивать, чтобы не усугубить
Есть мнение, что начинать разбор сего полета следует с базовой аксиомы: у т.н. «искусственного интеллекта» нет правосубъектности. Ни в международном праве, ни в российском законодательстве алгоритм не является личностью.
Это означает, что подать в суд на ChatGPT или оштрафовать нейросеть «Сбера» невозможно. ИИ — это всегда объект, инструмент, такой же, как молоток или экскаватор, пусть и бесконечно более сложный. Следовательно, за любым действием цифрового разума всегда стоит конкретное физическое или юридическое лицо.
И понятия «ошибка алгоритма» в юридическом поле тоже не существует (пока, по крайней мере) — есть лишь ошибка человека, который этот алгоритм внедрил, настроил и не проконтролировал.
Работодатель как главный стрелочник
В отношениях с внешним миром — клиентами, партнерами и госорганами — крайним всегда будет бизнес. Ведь именно конкретная фирма (компания, корпорация, банк, АО, ООО, ЗАО и т.д.) выбирает ИИ-инструменты, внедряет их в процессы и, что важнее всего, извлекает из них прибыль. А где прибыль, там и риски.
Если чат-бот банка дезинформирует клиента, если алгоритм динамического ценообразования нарушит антимонопольное законодательство или если автопилот доставки повредит чужое имущество, юридическое лицо-оператор должно за это понести ответственность. Ссылки на то, что «система сама так решила» или «произошел технический сбой», для суда аргументом не являются.
В российском праве это закреплено статьей 1068 ГК РФ: юридическое лицо возмещает вред, причиненный его работником при исполнении трудовых обязанностей. Поскольку ИИ — это инструмент в руках работника, цепочка ответственности замыкается на работодателе.
Ситуация внутри компании выглядит несколько иначе. Может ли бизнес переложить ответственность на сотрудника, который нажал не ту кнопку?
Здесь вступает в силу Трудовой кодекс РФ. Если сотрудник использовал одобренный компанией ИИ-инструмент, действовал строго по инструкции и в рамках трудового договора, любые убытки от ошибки нейросети ложатся на плечи бизнеса как коммерческий риск.
Однако несколько иная картина образуется, когда речь заходит о так называемом «теневом ИИ» (Shadow AI). Если сотрудник самовольно, без ведома руководства, загружает конфиденциальную базу клиентов в условный общедоступный чат-бот для анализа, он создает прямую угрозу утечки данных.
В таком случае работника можно привлечь к дисциплинарной ответственности (вплоть до увольнения за разглашение коммерческой тайны), а в случае доказанного прямого действительного ущерба — и к материальной ответственности.
Но здесь работодателю придется … приложить некоторые усилия: доказать вину сотрудника, факт нарушения процедур и прямую причинно-следственную связь между использованием «левого» софта и убытками.
Между 152-ФЗ и отсутствием профильного закона
В отличие от Евросоюза, где уже принят масштабный AI Act, классифицирующий системы ИИ по уровням риска, в России единого «Закона об ИИ» пока не существует. Регулирование носит фрагментарный характер с опорой на Национальную стратегию развития ИИ до 2030 года и существующие нормы гражданского и административного права.
Однако это не значит, что мы находимся в правовом вакууме. Уже сейчас существуют жесткие ограничения, о которых бизнес часто забывает.
Ключевой барьер для бесконтрольного внедрения алгоритмов — это статья 16 Федерального закона № 152-ФЗ «О персональных данных». Она прямо запрещает принятие решений, порождающих юридические последствия в отношении субъекта персональных данных, исключительно на основании автоматизированной обработки.
Что это значит на практике?
Если HR-система фирмы автоматически, без участия рекрутера, отправляет отказы кандидатам на основе анализа резюме нейросетью — это является нарушением закона. Если скоринговая система банка автоматически отказывает в кредите без возможности пересмотра решения человеком — это тоже зона риска.
Закон требует, чтобы субъект (сотрудник или клиент) дал письменное согласие на такое принятие решений, а также имел возможность заявить возражение. Любой человек, пострадавший от «вердикта» машины, имеет право потребовать разъяснений порядка работы алгоритма и пересмотра решения живым сотрудником.
Кроме того, в России активно развивается практика привлечения к ответственности владельцев источников повышенной опасности. Пока это касается в основном физических носителей ИИ (беспилотных такси, дронов, промышленных роботов), но логика судов неумолима: владелец технологии отвечает за любой вред, причиненный этой технологией, независимо от своей вины, если не докажет умысел потерпевшего или форс-мажор. Это создает дополнительный контур ответственности для компаний, внедряющих физические киберсистемы.
Не пропустите: Наш краткий глоссарий самых популярных терминов из сферы ИИ
Человек в контуре: от пассивности к управлению рисками
Главная проблема сегодня — не в самой технологии, а в культуре ее использования. Ошибки ИИ редко возникают из-за «восстания машин». Чаще всего это следствие галлюцинаций генеративных моделей, на которые слепо положился человек, или использования некачественных данных для обучения.
Попытка полностью заменить человеческое суждение автоматикой — самый короткий путь к судебному иску.
Поэтому, как заявляют эксперты, стандартом для российского бизнеса должен стать принцип Human-in-the-Loop («человек в контуре»). ИИ — это помощник, второй пилот, но штурвал всегда должен оставаться в руках человека. Особенно это касается решений с юридическими или финансовыми последствиями.
Работодатели, которые игнорируют этот факт и пускают внедрение нейросетей на самотек, рискуют не только деньгами, но и репутацией, восстановить которую будет сложнее, чем переписать код.
Худшая стратегия для предпринимателя сейчас — это пассивность и надежда на то, что «оно как-нибудь само урегулируется». Пока законодатель только подступает к масштабному регулированию, бизнес должен выстраивать внутреннюю «оборону» самостоятельно.
Чтобы минимизировать риски ответственности за ошибки ИИ, руководителям необходимо предпринять конкретные шаги уже сейчас:
- разработать внутренние политики — четко прописать, какие ИИ-инструменты разрешены, а какие — под строгим запретом;
- определить зоны ответственности — кто согласовывает результат работы нейросети перед его отправкой клиенту;
- маркировать контент и предупреждать — если в рекламе или в чат-ботах техподдержке используются дипфейки, потребителя об этом следует информировать обязательное (в России уже готовятся законопроекты об обязательной маркировке контента, созданного ИИ), ибо лучше играть на опережение;
- обучать персонал — это не просто тренд, а способ юридической защиты. Если сотрудник прошел инструктаж о рисках ИИ и расписался в журнале, а потом нарушил правила, работодателю будет проще доказать отсутствие своей вины в инциденте (в части умысла) и переложить часть ответственности на нарушителя;
- внедрить процедуру верификации — ни одно решение алгоритма, касающееся найма, увольнения или крупных финансовых транзакций, не должно вступать в силу без финального клика живого специалиста.
Не пропустите: Надо и развивать ИИ, и защищаться от него — Мантуров
ИТОГО
Ответственность за ошибки ИИ — это не вопрос далекого кибербудущего. Это суровая реальность сегодняшнего дня, требующая от бизнеса не столько технологической, сколько управленческой и юридической зрелости.
Технологии меняются, но принцип остается прежним: прибыль получает тот, кто умеет управлять рисками, а не тот, кто просто быстрее всех установил модный софт.