15 травня в Мінцифри повідомили про те, що Україна підписала Рамкову конвенцію про штучний інтелект та права людини. Документ визначає принципи, яких держава має дотримуватися у формуванні законодавства та застосуванні ШІ-продуктів у публічному секторі. Але що це означає для бізнесу? Про це в колонці для Scroll.media розповів Петро Білик, партнер, керівник практики АІ в «Юскутум».

Конвенція Ради Європи щодо штучного інтелекту (CETS 225) нещодавно стала частиною міжнародного права, її вже підписали понад 15 країн, включаючи США, Канаду, Велику Британію, Японію, Ізраїль, країни Європейського Союзу, а 15 травня 2025 року і Україна. Для України це продовження виконання міжнародних зобовʼязань щодо безпеки ШІ, згідно з The Bletchley Declaration. 

Конвенція спрямована на те, щоб інновації базувалися на фундаментальних свободах, людській гідності й принципах верховенства права. Документ вперше встановлює обов’язкові стандарти для усього життєвого циклу ШІ: від розробки до впровадження й експлуатації, зосереджуючи увагу на прозорості, недискримінації, захисті приватності, надійності та безпеці технологій. 

При цьому конвенція починає діяти до того, як набуває чинності АІ Акт в ЄС.  

Для бізнесу, що займається розробкою або впровадженням ШІ, це не лише нове юридичне зобов’язання, але й можливість переглянути свої стратегії та отримати конкурентну перевагу під час виходу на глобальні ринки.

Які практичні кроки має зробити бізнес, щоб відповідати цим новим міжнародним стандартам та отримати від них максимум користі? Давайте розбиратися. 

Що визначає Конвенція?

Конвенція дає визначення «системи штучного інтелекту» та задає фундаментальні етичні та операційні стандарти, які мають бути інтегровані в усі фази розробки, тестування та експлуатації ШІ-систем: 

1. Гідність людини й індивідуальна автономія. Визнання того, що жодна технологія не може підміняти свободу вибору або обмежувати гідність особистості. 
2. Рівність та недискримінація. Забезпечення справедливого ставлення до всіх користувачів незалежно від статі, раси, віку чи соціального статусу, зі спеціальним акцентом на гендерну рівність та захист вразливих груп. 
3. Конфіденційність і захист персональних даних. Відповідність міжнародним та локальним стандартам з обробки даних відповідно до Статті 11; запровадження прозорих політик збору, обробки та зберігання інформації. 
4. Прозорість і нагляд. Маркування контенту, згенерованого ШІ, відкритий доступ до опису логіки прийняття рішень та можливість аудиту відповідно до Статей 8 і 15. 
5. Відповідальність та підзвітність. Встановлення чітких ролей і процедур для притягнення до відповідальності у випадках негативного впливу на права людини (Статті 9, 14). 
6. Надійність та безпечна експлуатація. Постійне тестування якості, безпеки та стійкості систем на всіх етапах життєвого циклу (стаття 12). 
7. Сприяння інноваціям через контрольовані середовища («пісочниці»). Використання регуляторних пісочниць для ефективного тестування та вдосконалення ШІ в безпечному правовому полі (стаття 13). 

Всі сторони-підписанти Конвенції зобов’язані впровадити законодавчі та адміністративні механізми для дотримання цих принципів, що створює обов’язкову нормативну структуру, яку також повинні поважати приватні суб’єкти, як самостійно, так і діючи від імені публічних органів. А стаття 3 прямо розширює сферу дії Конвенції на приватних суб’єктів, а не лише на державні органи.   

Чи стосується Конвенція бізнесу? 

Коротка відповідь: так, безумовно стосується. 

Конвенція чітко поширює свою дію на приватний сектор. Вона розрізняє діяльність, що ведеться приватними компаніями самостійно, та діяльність, що виконується на замовлення держави. 

Компанії зобов’язані впроваджувати стратегії управління ризиками, коли їхня діяльність з ШІ може вплинути на права людини або демократичні процеси. Хоча сама Конвенція не передбачає прямої юридичної відповідальності за її порушення, вона зобов’язує Україну ухвалити законодавство, яке гарантуватиме користувачам систем ШІ право на захист у разі порушення їхніх прав. Крім того, в Україні вже діє низка нормативно-правових актів, які передбачають відповідальність за зловживання, що можуть бути пов’язані з використанням ШІ – зокрема, за незаконне стеження, порушення авторських прав чи неправомірну обробку персональних даних тощо.

Але є винятки, коли положення Конвенцій не застосовуються. Наприклад щодо систем ШІ в оборонних технологіях, а також пов’язані з національною безпекою, питань національної оборони виключені зі сфери дії конвенції. Окрім цього вимоги Конвенції не поширюються на використання ШІ в дослідницьких роботах, якщо звісно вони не порушують права людини.

Конвенція відкриває для бізнесу нові можливості, адже Компанії, які першими адаптуються до нових вимог, отримають репутаційні та операційні переваги. 

Відповідність стандартам підвищує довіру з боку споживачів, великих корпоративних клієнтів, інвесторів і регуляторів, знижує ризик судових позовів і забезпечує стійкість до майбутніх змін у правовому полі. 

Першопрохідці зможуть формувати кращі практики, впливати на процедури (стаття 23) і брати участь у створенні галузевих стандартів. Конвенція підтримує інноваційні пілотні проєкти у контрольованих «пісочницях» (sandbox), що дозволяє бізнесу безпечно тестувати новітні рішення та прискорювати виведення їх на ринок. 

Таким чином, компанії, що почнуть імплементацію цих рекомендацій вже зараз, отримають значні конкурентні переваги та будуть готові до глобальних регуляторних змін у сфері ШІ. 

Ключові зобов’язання бізнесу у сфері ШІ 

1. Права людини та недискримінація. Бізнес має гарантувати, що ШІ-системи не порушують фундаментальні права людини та не спричиняють дискримінацію (Статті 4, 10, 17, 18). Особлива увага приділяється запобіганню алгоритмічним упередженням і формуванню інклюзивних механізмів тестування. 
2. Демократія та верховенство права. Заборонено використання ШІ для підриву демократичних інститутів, втручання у виборчі процеси або незаконне спостереження (стаття 5). Компанії повинні відмовлятися від проєктів, що загрожують незалежності суду чи свободі слова. 
3. Прозорість, відповідальність і нагляд. Необхідно повідомляти кінцевого користувача про взаємодію з ШІ та надавати докладну документацію для оскарження рішень (Статті 8, 14, 15). Внутрішні аудити та регулярні звіти підвищують довіру до рішень на основі ШІ. 
4. Управління ризиками та надійність. Запровадження системного підходу до ідентифікації, оцінки, запобігання та пом’якшення ризиків для прав людини і демократії (стаття 16). Належна увага до безпеки та якості алгоритмів гарантує стійкість бізнес-моделей. 
5. Захист персональних даних та конфіденційність. Відповідність нормам законодавства про захист персональних даних та іншим локальним стандартам обробки даних, впровадження політик мінімізації збору та обмеження доступу (стаття 11). 
6. Право на оскарження. Створення доступних механізмів звернення та відновлення порушених прав, розкриття логіки рішень на вимогу постраждалих (стаття 14). 
7. Безпечні інновації. Активне використання регуляторних «пісочниць» для тестування інноваційних проєктів із залученням компетентних органів, що прискорює виведення продукту на ринок і мінімізує юридичні ризики (стаття 13). 
8. Впровадження та контроль. Кожна держава має створити незалежні наглядові органи для перевірки відповідності Конвенції (стаття 26) та регулярно звітувати про результати (стаття 24). Дослідницькі та R&D-ініціативи не підпадають під дію документа до моменту впливу на права людини чи демократичні процеси. 
9. Надійність. Бізнес має впровадити системи тестування та верифікації якості, безпеки й стійкості ШІ-систем на всіх етапах життєвого циклу (стаття 12). 
10. Безпечні інновації. Використання регуляторних «пісочниць» для тестування й підготовки ШІ-рішень у контрольованому середовищі, що дозволяє проводити експерименти без ризику порушення прав людини чи норм демократії (стаття 13). 
11. Документування та звітність. Забезпечення детальної фіксації процедур управління ризиками, висновків оцінки впливу та результатів імплементації заходів, що стане основою для внутрішніх і зовнішніх аудитів, а також регулярної звітності перед регуляторними органами (Статті 16, 24). 

Імплементації конвенції та обраний Україною підхід 

Конвенція Ради Європи з ШІ передбачає гнучкі механізми імплементації. Україна може прийняти як спеціальний закон, який буде зобовʼязувати виконання положень Конвенції, так і альтернативні регуляторні та добровільні заходи, що забезпечують дотримання принципів Конвенції.

Україна, імовірно, буде рухатися шляхом обраного bottom up-підходу, надавати рекомендації щодо відповідального впровадження ШІ, впроваджувати методологію HUDERIA для оцінки ризиків систем ШІ, розвивати регуляторну «пісочницю» (sandbox) та приділяти увагу саморегулюванню. 

Така модель є насамперед можливістю підготуватися до впровадження суворішого регулювання, що вже з’являється в ЄС, США (наприклад, у Каліфорнії, Колорадо) та інших країнах. В майбутньому українське законодавство у сфері ШІ базуватиметься на принципах Конвенції та буде обовʼязковим для бізнесу.

Після підписання Конвенції Україна має ще ратифікувати її через Верховну Раду.  

Як бізнесу підготуватися до нових вимог

Ключові кроки, які бізнесу слід зробити вже зараз: 

1. Проведення аудиту діяльності у сфері ШІ. Виконання методології оцінки впливу на права людини (HUDERIA), особливо якщо ви працюєте з чутливими даними (медицина, банківський сектор, правоохоронні органи, освіта). 
2. Документування процесів. Ретельна фіксація функціональності ШІ-систем, джерел даних, результатів оцінки ризиків і заходів із їхнього пом’якшення. 
3. Підготовка документації, оновлення внутрішніх політик, умов користування та іншої документації відповідно до положень Конвенції. 
4. Забезпечення прозорості, впровадження технічних рішень для аудиту, моніторингу та прозорого маркування контенту, створеного ШІ. 
5. Налагодження ефективних процедур реагування, створення механізмів для обробки скарг та запитів на перегляд рішень, ухвалених із застосуванням ШІ. 

Висновок  

Юридична відповідність новим міжнародним стандартам є необхідною для компаній, що працюють у країнах-учасницях Конвенції або мають бізнес-інтереси в цих юрисдикціях, адже ці країни будуть приймати свої нормативно-правові акти відповідно до даних міжнародних зобовʼязань. 

Компанії, які першими адаптуються до нових стандартів, отримають конкурентні переваги, завоювавши довіру регуляторів, клієнтів та інвесторів. 

Автор: Петро Білик, партнер, керівник практики АІ в «Юскутум».