Рынок IT буквально захлестнула волна проектов на базе искусственного интеллекта. Прототипы, MVP, SaaS-сервисы, кастомные решения — все от стартапов до гигантов рванули «в ИИ». Продают все: чат-боты, автогенераторы контента, рекомендательные движки, модели для скоринга, анализа документов и даже «юридических советников на нейросетях».
Продажи идут, интерес заказчиков велик. Но в этом забеге за будущим одно звено по-прежнему остается за бортом: юристы.
В большинстве случаев команды разработки даже не задумываются, какие юридические последствия могут повлечь за собой непродуманный подход к разработке и продаже ИИ-продуктов. А ведь речь идет не только об ответственности, но и о деньгах, репутации, потенциальных блокировках и даже уголовных рисках.
В большинстве случаев команды разработки даже не задумываются, какие юридические последствия могут повлечь за собой непродуманный подход к разработке и продаже ИИ-продуктов. А ведь речь идет не только об ответственности, но и о деньгах, репутации, потенциальных блокировках и даже уголовных рисках.
Слепые зоны, которые могут дорого стоить, или что чаще всего упускают команды, работающие с ИИ:
- Источник данных: откуда берутся обучающие выборки? Есть ли права на эти данные? Согласованы ли они с пользователями? Не нарушается ли чья-то конфиденциальность?
- Лицензии и open source: можно ли использовать этот датасет/модель в коммерческих целях? Что требует лицензионное соглашение? Какую ответственность несет компания, если нарушит условия?
- Права на результат работы ИИ: кому принадлежат сгенерированные тексты, изображения, коды? Что говорит заказчику договор?
- Ошибки ИИ и ответственность: что будет, если ИИ принял неверное решение и заказчик понес убытки? Или, хуже, пострадал человек?
- Обработка персональных данных: если ИИ собирает, хранит или анализирует данные пользователей, соответствует ли это требованиям 152-ФЗ, GDPR, других законов?
- Условия распространения: в какой юрисдикции будет продаваться продукт? Какой договор нужен — лицензионный? Сервисный? Смешанный?
Почему юрист нужен с самого начала
Юрист в ИТ-компании — не тот, кто «сделает договор в конце». Это член команды, который поможет избежать ошибок до того, как они станут проблемами. Особенно, когда дело касается ИИ, где нет устоявшейся практики и правовая среда меняется быстрее, чем модели обновляются.
Юрист:
- предупреждает риски и защищает бизнес от штрафов и исков;
- формирует грамотную договорную базу;
- помогает продукту соответствовать требованиям законодательства с самого начала;
- участвует в выработке стратегии защиты интеллектуальных прав.
И самое главное — создает доверие к продукту со стороны клиентов, инвесторов и пользователей.
Ниже чек-лист для юристов, которые сталкиваются с ИИ-продуктами в своих компаниях. Он поможет понять, какие вопросы обязательно нужно обсудить с разработчиками и менеджерами продукта, прежде чем выпускать решение на рынок.
ИИ уже здесь, и он создает не только возможности, но и новую юридическую реальность. Лучше встретить ее во всеоружии :)
Внутренний опросник для юридического аудита
Продукты с ИИ на базе Open Source
Продукты с ИИ на базе Open Source
- 1. Open Source компоненты
- 1.1. Какие open source библиотеки или фреймворки используются в продукте? (название, версия, ссылка на репозиторий)
- 1.2. Под какими лицензиями распространяются эти компоненты? (MIT, Apache 2.0, GPL, LGPL, BSD и др.)
- 1.3. Модифицировались ли open source компоненты нашей командой? Если да — какие?
- 1.4. Встраиваются ли open source модули напрямую в дистрибутив конечного продукта?
- 1.5. Осуществлялся ли аудит на предмет совместимости лицензий open source компонентов с коммерческим использованием?
- 2. Продукт и модель распространения
- 2.1. Какая модель распространения планируется? (SaaS, On-premise, API-доступ, ПО, исходный код и пр.)
- 2.2. Планируется ли передача продукта клиентам или только предоставление доступа?
- 2.3. Предусмотрены ли вендорские ограничения или условия использования?
- 2.4. Планируется ли размещение продукта на маркетплейсах (Google Cloud, AWS, GitHub Marketplace и т.п.)?
- 3. Обработка данных
- 3.1. Обрабатывает ли продукт персональные данные? Если да – чьи? (пользователей, клиентов и т.д.)
- 3.2. Какие категории персональных данных обрабатываются?
- 3.3. Где хранятся данные? (серверы, локации)
- 3.4. Используются ли третьи сервисы для хранения/обработки данных (например, Google Cloud, Yandex Cloud и т.д.)?
- 3.5. Есть ли согласие пользователей/клиентов на обработку данных?
- 3.6. Выполняются ли требования152-ФЗ, GDPR (если обрабатываются данные граждан ЕС) и других применимых законов?
- 4. Искусственный интеллект
- 4.1. Какую роль ИИ играет в продукте? (анализ, прогноз, генерация контента и т.д.)
- 4.2. На каких данных обучалась модель? (источники, правовой статус, лицензии, согласия)
- 4.3. Возможна ли интерпретация решений ИИ? (прозрачность, explainability, документация)
- 4.4. Предусмотрены ли механизмы контроля или ручного подтверждения решений ИИ?
- 4.5. Кто несет ответственность в случае ошибки ИИ?
- 5. Интеллектуальная собственность
- 5.1. Кто является правообладателем кода, моделей, данных, UI/UX и пр.?
- 5.2. Участвовали ли во внедрении продукта контрибуторы, фрилансеры, сторонние команды? Есть ли с ними договоры и акты передачи прав?
- 5.3. Имеются ли сторонние библиотеки или код, использованные без лицензии?
- 5.4. Планируется ли регистрация: товарного знака, патента, базы данных, ПО?
- 6. Договоры и пользовательские документы
- 6.1. Подготовлены ли документы: EULA, SLA, Privacy Policy, лицензионный договор и пр.?
- 6.2. Указаны ли: ограничения, отказ от ответственности, порядок обновлений, разрешение споров и др.?
- 7. Безопасность и комплаенс
- 7.1. Проходил ли продукт внутреннюю проверку на уязвимости и соответствие политикам безопасности?
- 7.2. Соответствует ли архитектура продукта требованиям ИБ клиентов (если это B2B)?