Рынок IT буквально захлестнула волна проектов на базе искусственного интеллекта. Прототипы, MVP, SaaS-сервисы, кастомные решения — все от стартапов до гигантов рванули «в ИИ». Продают все: чат-боты, автогенераторы контента, рекомендательные движки, модели для скоринга, анализа документов и даже «юридических советников на нейросетях».
Продажи идут, интерес заказчиков велик. Но в этом забеге за будущим одно звено по-прежнему остается за бортом: юристы. В большинстве случаев команды разработки даже не задумываются, какие юридические последствия могут повлечь за собой непродуманный подход к разработке и продаже ИИ-продуктов. А ведь речь идет не только об ответственности, но и о деньгах, репутации, потенциальных блокировках и даже уголовных рисках.
Слепые зоны, которые могут дорого стоить, или что чаще всего упускают команды, работающие с ИИ:
Источник данных: откуда берутся обучающие выборки? Есть ли права на эти данные? Согласованы ли они с пользователями? Не нарушается ли чья-то конфиденциальность?
Лицензии и open source: можно ли использовать этот датасет/модель в коммерческих целях? Что требует лицензионное соглашение? Какую ответственность несет компания, если нарушит условия?
Права на результат работы ИИ: кому принадлежат сгенерированные тексты, изображения, коды? Что говорит заказчику договор?
Ошибки ИИ и ответственность: что будет, если ИИ принял неверное решение и заказчик понес убытки? Или, хуже, пострадал человек?
Обработка персональных данных: если ИИ собирает, хранит или анализирует данные пользователей, соответствует ли это требованиям 152-ФЗ, GDPR, других законов?
Условия распространения: в какой юрисдикции будет продаваться продукт? Какой договор нужен — лицензионный? Сервисный? Смешанный?
Почему юрист нужен с самого начала
Юрист в ИТ-компании — не тот, кто «сделает договор в конце». Это член команды, который поможет избежать ошибок до того, как они станут проблемами. Особенно, когда дело касается ИИ, где нет устоявшейся практики и правовая среда меняется быстрее, чем модели обновляются.
Юрист:
предупреждает риски и защищает бизнес от штрафов и исков;
формирует грамотную договорную базу;
помогает продукту соответствовать требованиям законодательства с самого начала;
участвует в выработке стратегии защиты интеллектуальных прав.
И самое главное — создает доверие к продукту со стороны клиентов, инвесторов и пользователей.
Ниже чек-лист для юристов, которые сталкиваются с ИИ-продуктами в своих компаниях. Он поможет понять, какие вопросы обязательно нужно обсудить с разработчиками и менеджерами продукта, прежде чем выпускать решение на рынок.
ИИ уже здесь, и он создает не только возможности, но и новую юридическую реальность. Лучше встретить ее во всеоружии :)
Внутренний опросник для юридического аудита
Продукты с ИИ на базе Open Source
1. Open Source компоненты
1.1. Какие open source библиотеки или фреймворки используются в продукте? (название, версия, ссылка на репозиторий)
1.2. Под какими лицензиями распространяются эти компоненты? (MIT, Apache 2.0, GPL, LGPL, BSD и др.)
1.3. Модифицировались ли open source компоненты нашей командой? Если да — какие?
1.4. Встраиваются ли open source модули напрямую в дистрибутив конечного продукта?
1.5. Осуществлялся ли аудит на предмет совместимости лицензий open source компонентов с коммерческим использованием?
2. Продукт и модель распространения
2.1. Какая модель распространения планируется? (SaaS, On-premise, API-доступ, ПО, исходный код и пр.)
2.2. Планируется ли передача продукта клиентам или только предоставление доступа?
2.3. Предусмотрены ли вендорские ограничения или условия использования?
2.4. Планируется ли размещение продукта на маркетплейсах (Google Cloud, AWS, GitHub Marketplace и т.п.)?
3. Обработка данных
3.1. Обрабатывает ли продукт персональные данные? Если да – чьи? (пользователей, клиентов и т.д.)
3.2. Какие категории персональных данных обрабатываются?
3.3. Где хранятся данные? (серверы, локации)
3.4. Используются ли третьи сервисы для хранения/обработки данных (например, Google Cloud, Yandex Cloud и т.д.)?
3.5. Есть ли согласие пользователей/клиентов на обработку данных?
3.6. Выполняются ли требования152-ФЗ, GDPR (если обрабатываются данные граждан ЕС) и других применимых законов?
4. Искусственный интеллект
4.1. Какую роль ИИ играет в продукте? (анализ, прогноз, генерация контента и т.д.)
4.2. На каких данных обучалась модель? (источники, правовой статус, лицензии, согласия)
4.3. Возможна ли интерпретация решений ИИ? (прозрачность, explainability, документация)
4.4. Предусмотрены ли механизмы контроля или ручного подтверждения решений ИИ?
4.5. Кто несет ответственность в случае ошибки ИИ?
5. Интеллектуальная собственность
5.1. Кто является правообладателем кода, моделей, данных, UI/UX и пр.?
5.2. Участвовали ли во внедрении продукта контрибуторы, фрилансеры, сторонние команды? Есть ли с ними договоры и акты передачи прав?
5.3. Имеются ли сторонние библиотеки или код, использованные без лицензии?
5.4. Планируется ли регистрация: товарного знака, патента, базы данных, ПО?
6. Договоры и пользовательские документы
6.1. Подготовлены ли документы: EULA, SLA, Privacy Policy, лицензионный договор и пр.?
6.2. Указаны ли: ограничения, отказ от ответственности, порядок обновлений, разрешение споров и др.?
7. Безопасность и комплаенс
7.1. Проходил ли продукт внутреннюю проверку на уязвимости и соответствие политикам безопасности?
7.2. Соответствует ли архитектура продукта требованиям ИБ клиентов (если это B2B)?