Етичний борг: регулювання в умовах відкриттів ШІ (2026)

Структурну проблему регулювання ШІ можна описати одним реченням: право базується на передбачуваності, а ШІ генерує наслідки, яких ще ніхто не бачив на момент написання норм. AI Act намагається вирішити цю проблему, але не розв’язує її до кінця.

Етичний борг — це різниця між тим, що технологія вже вміє, і тим, що суспільство встигло осмислити, врегулювати та захистити від зловживань. Це поняття аналогічне технічному боргу в інженерії програмного забезпечення: короткі шляхи, обрані зараз, дають швидкий ефект, але накопичують витрати, які комусь доведеться сплатити пізніше.

У випадку ШІ етичний борг зростає з кількох причин одночасно. По-перше, цикли інновацій коротші за законодавчі цикли. Постанова ЄС потребує від пропозиції Комісії до набрання чинності в середньому від трьох до п’яти років. Мовна модель проходить наступне покоління кожні рік-два. По-друге, побічні ефекти систем ШІ часто приховані до моменту впровадження у великих масштабах. Упередження в моделі рекрутингу виявляється після тисяч рішень, а не після одного.

Ми в Cashcrown спостерігаємо цей шаблон при кожному впровадженні: компанія хоче автоматизувати процес, який на папері виглядає безризиковим, а під час аудиту виявляється, що навчальні дані містять дискримінаційні патерни, успадковані від попередніх людських рішень. Етичний борг не віртуальний. Він у даних.

AI Act набрав чинності у серпні 2024 року. У 2025 році почали діяти заборони для систем неприпустимого ризику та вимоги прозорості для моделей GPAI. Чинним терміном для повних вимог до систем високого ризику з Додатка III залишається серпень 2026 року. У межах пакета спрощення (Digital Omnibus) Комісія запропонувала перенести цей термін на 2 грудня 2027 року — проте до ухвалення Парламентом і Радою обов’язковою датою лишається серпень 2026 року, тож компаніям варто планувати відповідність під цей термін. Це перша у світі спроба регулювання ШІ через призму ризику, а не через тип технології.

Ключова логіка AI Act: чим вищий ризик для основних прав і безпеки, тим суворіші вимоги.

Чого AI Act не вирішує: не визначає, як вимірювати упередженість моделі в специфічних дослідницьких контекстах. Не говорить, хто несе відповідальність, коли система ШІ в ланцюжку постачальників дає збій на етапі висновування. І не відповідає на питання, як регулювати модель, яка навчається після впровадження, змінюючи свою поведінку непередбачуваним для розробників чином.

Тут ai-governance стає практичним інструментом, а не лише юридичним поняттям: компанія або дослідницька установа повинна мати власні процеси управління ШІ, бо регулювання недостатньо.

Упередженість, успадкована з даних.

Модель, навчена на історичних даних, відтворює історичну несправедливість. Алгоритм оцінки кредитного ризику, натренований на даних 1990–2010 років, може неминуче надавати перевагу демографічним групам, які мали тоді кращий доступ до кредиту, не тому, що він поганий, а тому, що дані погані.

Регуляторне рішення (вимога аудиту упередженості для систем високого ризику) є необхідним, але недостатнім. Закон визначає, що аудит має відбутися. Не говорить, хто його проводитиме, яким інструментом і як інтерпретувати результати в контексті специфічної галузі. Це рішення залишається за дослідником або інженером системи.

На практиці впроваджень ми бачимо, що компанії запитують: «чи пройшла наша модель аудит», а не «чи працює наша модель справедливо для кожної підгрупи користувачів». Перша відповідь відповідає закону. Друга — етична.

Пояснюваність і право на обґрунтування.

Explainability — це технічна здатність пояснити, чому модель ухвалила певне рішення. РОДО ст. 22 гарантує право не піддаватися виключно автоматизованому рішенню та право вимагати людського перегляду. AI Act розширює ці вимоги для систем високого ризику.

Проблема в тому, що «пояснюваність» з точки зору регулювання (документ про те, що систему було перевірено) відрізняється від операційної пояснюваності (користувач розуміє, чому система відхилила заявку). Моделі з найвищою ефективністю, як глибокі нейронні мережі, часто найважче пояснити мовою, зрозумілою для неспеціаліста.

Ми в Cashcrown для кожної системи прийняття рішень для клієнтів застосовуємо шар обґрунтувань: модель генерує рішення, окремий компонент генерує обґрунтування природною мовою, а human-oversight перевіряє узгодженість обох перед наданням користувачеві. Це не вимога AI Act для всіх систем, але ми вважаємо, що це етичний мінімум для будь-якої системи, яка впливає на рішення людини.

Відповідальність у ланцюжку ШІ.

Хто відповідає, коли система ШІ, створена компанією A, впроваджена компанією B і використана компанією C, завдає шкоди користувачеві? AI Act запроваджує поділ на постачальників і впроваджувачів, але ланцюжки часто довші: базова модель від одного постачальника, шар налаштувань — від іншого, впровадження виконує третій. Відповідальність розмита між ланками. Регулювання лише починає це вирішувати. Тим часом етичні рішення ухвалюють конкретні люди в конкретних компаніях.

Human-oversight в контексті AI Act — це вимога для систем високого ризику. В контексті етики досліджень і впроваджень — це щось більше: це проектне рішення, яке визначає, де людина залишається відповідальною за результат.

Шаблон, який ми використовуємо при впровадженні аналітичних агентів, розрізняє три типи контрольних точок:

Automation bias, тенденція приймати результати автоматизованих систем без критичної оцінки, — це реальне психологічне явище. Чим швидша і впевненіша система, тим сильніше спокуса пропустити перевірку. Добре спроектований human-gate не сповільнює процес. Він захищає від цієї конкретної помилки.

РОДО і AI Act — це дві окремі постанови з частково перекривними вимогами. РОДО регулює персональні дані. AI Act регулює системи ШІ. На практиці більшість систем ШІ обробляють персональні дані, тому обидва акти застосовуються одночасно.

DPIA (оцінка впливу на захист даних) є обов’язковою, коли обробка персональних даних може спричинити високий ризик для прав фізичних осіб. Для систем ШІ, які відповідають критеріям високого ризику з AI Act, DPIA практично завжди є обов’язковою.

Ключові точки перетину:

• Автоматичне профілювання у великих масштабах (РОДО ст. 22 + AI Act класифікація високого ризику)
• Чутливі дані в навчанні моделей (РОДО ст. 9 + AI Act вимоги до управління даними)
• Право на видалення даних та вектори в базі знань моделі (РОДО ст. 17 + відсутність чіткого механізму в AI Act)

Остання точка залишається відкритою. Якщо персональні дані потрапили до моделі як частина навчального набору, їх видалення з вихідної бази не усуває їх впливу на ваги моделі. Регулювання цього не вирішує. Вирішує архітектура системи: системи RAG з окремою базою знань дозволяють видаляти документи без перевчання моделі. Це проектне рішення з етичними наслідками.

Етичний борг не зникає через ухвалення закону. Він зменшується через усвідомлені проектні рішення, процеси та організаційну культуру. На основі впроваджень, які ми спостерігаємо, можна виділити кілька практичних шарів:

Реєстр систем ШІ. Кожна система ШІ, що використовується в організації, має бути каталогізована: мета, навчальні дані, цільова аудиторія, рівень ризику за AI Act, відповідальна особа. Без реєстру немає governance.

Аудит упередженості перед впровадженням. Не сертифікація, а структуровані питання: звідки походить навчальний набір, які групи представлені надмірно, які були історичні рішення в цих даних і чи хочуть їх закріпити.

Документування обмежень системи. Кожна система ШІ має межу впевненості. За цією межею відповідь має надходити до людини, а не до кінцевого користувача. Визначення цієї межі перед впровадженням — етичне рішення, а не лише технічне.

Огляд після впровадження. Системи ШІ дрейфують. Вхідні дані змінюються. Поведінка моделі через шість місяців експлуатації може відрізнятися від поведінки під час тестування. Регулярні огляди результатів на наявність систематичних аномалій є частиною відповідального впровадження.

Детальніше про те, як організувати процеси управління даними для ШІ, у статті про governance даних для ШІ, а про те, як виявляти ризики в системах прийняття рішень, — у статті про проблему чорної скриньки.

Частково. Заборони на застосування систем неприпустимого ризику набули чинності у лютому 2025 року. Постачальники моделей загального призначення (GPAI) мають обов’язки щодо прозорості з серпня 2025 року. У межах пакета Digital Omnibus Комісія запропонувала перенести повні вимоги для систем високого ризику (Додаток III) із серпня 2026 на 2 грудня 2027 року; пропозицію ще не ухвалено, тож чинним терміном лишається серпень 2026 року, і саме під цей термін слід готуватися. Компаніям, які впроваджують системи ШІ, слід перевірити, чи підпадають їхні випадки використання під категорію високого ризику, і якщо так, розпочати підготовку технічної документації та оцінки відповідності завчасно.

AI Act визначає системи високого ризику через Додаток III: це рекрутинг, оцінка кредитоспроможності, біометричні системи, управління критичною інфраструктурою, рішення щодо доступу до державних послуг, системи медичної діагностики, що впливають на лікування, та кілька інших категорій. Якщо система обробляє персональні дані та впливає на рішення, які мають суттєві наслідки для життя, працевлаштування або фінансів фізичної особи, вона, ймовірно, є системою високого ризику. У разі сумнівів безпечніше провести DPIA та проконсультуватися з DPO.

Частково. Методи, як SHAP, LIME та attention maps, дають локальні пояснення: чому модель ухвалила саме це рішення для конкретного входу. Глобальне пояснення всієї моделі, як повна причина кожного рішення, недосяжне для глибоких нейронних мереж. Хороша практика — проектувати системи, в яких локальне пояснення генерується автоматично для кожного рішення та доступне користувачеві на вимогу, особливо в системах високого ризику.

Штрафи подібні за структурою до РОДО: до 35 мільйонів євро або 7% глобального річного обороту за порушення щодо систем неприпустимого ризику, до 15 мільйонів євро або 3% за інші порушення. Для систем GPAI — до 15 мільйонів євро або 3% обороту. Європейське управління з питань ШІ (AI Office) здійснює нагляд за моделями GPAI, а національні органи нагляду забезпечують дотримання решти норм.

Не через купівлю інструменту. Через три питання до кожної системи ШІ, яка вже працює: (1) Хто відповідає за результати цієї системи? (2) Які навчальні дані використовувалися і звідки вони походять? (3) Що відбувається, коли система помиляється? Відповідь на ці три питання виявляє більше етичних прогалин, ніж більшість формальних аудитів. Стаття про відповідальну інновацію та про роль людини в циклі розкривають ці теми в контексті конкретних впроваджень.

Тема регулювання ШІ нерозривно пов’язана з питанням про те, як LLM генерують гіпотези у дослідницькій практиці. Якщо ви впроваджуєте систему ШІ у своїй організації і хочете оцінити, де перебувають ваші етичні процеси, інструмент оцінки готовності допоможе виявити прогалини до того, як станеться інцидент.