Искусственный интеллект как субъект права: кто несет ответственность за автоматизированные решения?

Наталья Жбанова - Основатель и генеральный директор юридической компании Consult us. Внедрение систем искусственного интеллекта (ИИ) и алгоритмов, принимающих решения, перестало быть футуристической концепцией. Автоматизированный кредитный скоринг, роботизированные собеседования, системы анализа больших данных для найма, «умные» контракты и даже медицинская диагностика — ИИ уже здесь. В области права уже имеются решения, принятые искусственным интеллектом, это, в первую очередь, наши автомобильные штрафы, решения о которых принимаются в автоматизированном режиме, поиск запрещенного контента на сайтах и последующие штрафы за его размещение со стороны Роскомнадзора. Однако правовое поле не успевает за технологическим рывком. Ключевой вопрос: если алгоритм ошибся, кто понесет ответственность перед пострадавшим потребителем, клиентом или работником?

Субъекты ответственности: разработчик, оператор, владелец? С точки зрения действующего законодательства большинства стран, включая Россию, ИИ не является субъектом права. Это инструмент, созданный и используемый человеком. Такой же, как калькулятор или Excel. Поэтому ответственность ищется среди «живых» юридических и физических лиц.

Разработчик (создатель алгоритма, модели данных). Может нести ответственность, если докажут, что вред причинен из-за дефекта в конструкции, разработке или обучении системы (например, по аналогии с законодательством о правах потребителей). Однако сложность в том, что разработчик часто не контролирует данные, на которых система дообучается, и контекст ее применения. Так, известно, что у создателей ИИ-системы claude есть целый отдел программистов, которые пытаются понять алгоритмы обучения этого ИИ. Владелец / Оператор системы (лицо, использующее ИИ для принятия решений). Это наиболее вероятный кандидат. Компания, которая применяет ИИ для оценки клиентов, сотрудников или пациентов, остается субъектом правоотношений. Именно она оказывает услугу, принимает окончательное решение. Суды и надзорные органы (например, Прокуратура, Роскомнадзор, ФАС) будут предъявлять претензии именно к ней, а не к абстрактному алгоритму. Закон «О персональных данных» (152-ФЗ) прямо возлагает ответственность на оператора, осуществляющего автоматизированную обработку данных. Заказчик (лицо, по чьему заданию внедряется система). Может быть привлечен к солидарной ответственности, особенно если именно его требования (например, к скорости или критериям отбора) привели к созданию необъективной или дискриминационной модели.

В конечном счете ответственность за решения, принятые искусственным интеллектом, несет тот, за чьей подписью эти решения вышли в свет. Серые зоны и пробелы в регулировании

Проблема «черного ящика»: Когда решения принимаются сложными нейросетями, даже разработчики не всегда могут объяснить логику вывода. Это противоречит фундаментальным правовым принципам, таким как право на справедливое решение и состязательность процесса. Как можно оспорить решение, которое никто не может внятно расшифровать? Ответственность за самообучение: Если система в процессе эксплуатации дообучалась на «грязных» или смещенных данных оператора и стала принимать дискриминирующие решения, где грань между ошибкой разработчика и халатностью оператора? Проблема распределенной ответственности: В цепочке «разработчик облачной ИИ-платформы — интегратор — конечный оператор» сложно установить, на каком именно этапе возникла фатальная ошибка. Отсутствие специального закона: В России, как и в большинстве стран, нет единого комплексного закона об ИИ. Регулирование фрагментарно и строится на нормах ГК РФ, законов о персональных данных, о защите прав потребителей, трудового законодательства. Проект федерального закона «Об информации, информационных технологиях и о защите информации» только формирует базовые понятия в области ИИ, но не решает всех проблем ответственности.

Почему «это решил алгоритм» — не аргумент? Для суда или контролирующего органа использование ИИ — это внутренний процесс компании, который не отменяет ее обязательств перед третьими лицами. Если система дискриминирует кандидатов по полу (что выявлялось в практике зарубежных HR-систем), ответственность за нарушение трудового законодательства понесет работодатель. Если кредитный скоринг несправедливо отказал гражданину, отвечать будет банк или МФО по закону о защите прав потребителей. Алгоритм — не щит, а, скорее, фактор повышенного риска, требующий особого контроля. Какие юридические риски бизнес часто упускает?

Риск дискриминации и смещения: Алгоритмы, обученные на исторических данных, могут унаследовать и закрепить человеческие предубеждения (например, против определенных возрастных, гендерных или этнических групп). Нарушение законодательства о персональных данных: Автоматизированное принятие решений с правовыми последствиями для субъекта данных требует особой прозрачности и, во многих случаях, получения отдельного согласия (ст. 10 152-ФЗ — данные о расовой, национальной принадлежности и т.п.). Репутационные риски и утрата доверия: Скандал из-за несправедливого или необъяснимого решения ИИ может нанести ущерб, несопоставимый с экономией от автоматизации. Риски, связанные с «цифровым залогом»: Использование чужих ИИ-сервисов создает зависимость и риски утечки критически важных бизнес-данных и ноу-хау. Уже в настоящее время есть скандалы, связанные с утечкой программного обеспечения и персональных данных — не известно, в какой момент ИИ захочет выгрузить ту информацию, которую в него случайно загрузил пользователь вместе с документами. Пример – ситуация с Samsung, когда их разработчик загрузил в Open AI программный код, и все секретные разработки компании стали доступны другим пользователям. Контрактные риски: Непрописанные в договорах с разработчиками и интеграторами вопросы ответственности, права на дообученные модели, отсутствие гарантий. Это новое поле деятельности для человечества, пока не очень понятно, какие именно риски несет сам процесс и его продукты.

Базовые меры предосторожности для бизнеса уже сейчас

Принцип «человек в контуре»: закрепите обязанность ключевые, имеющие правовые последствия решения перепроверять и утверждать ответственному сотруднику. Определите четкие границы автономности ИИ. Проведение юридического и этического аудита ИИ-системы перед внедрением: проверка на соответствие законодательству, выявление потенциальных смещений в данных и алгоритмах. Разработка внутренней политики по этичному использованию ИИ, включающей принципы прозрачности, справедливости, подотчетности и безопасности. Тщательная проработка договоров с вендорами: распределение ответственности, гарантии, порядок расследования инцидентов, права на интеллектуальную собственность. Обеспечение прозрачности (объяснимости): по возможности выбирайте или требуйте от разработчиков такие решения, логику которых можно если не до конца понять, то хотя бы проверить и протестировать. Страхование киберрисков и рисков, связанных с ИИ, как часть общей стратегии управления рисками.

Вывод Пока законом не определены аспекты использования ИИ, вся полнота ответственности лежит на людях и компаниях, которые его создают, владеют и используют. Бизнес, внедряющий автоматизированные системы принятия решений, должен осознавать, что он не перекладывает ответственность на алгоритм, а принимает на себя новые, сложные юридические риски. Упреждающее управление этими рисками через аудит, внутренний контроль и юридическое сопровождение — не опция, а необходимое условие для безопасного и устойчивого развития в эпоху цифровой трансформации.