Договоры с поставщиками ИИ и корпоративные закупки ИИ: юридическое руководство для компаний
Закупка ИИ — это не обычная закупка программного обеспечения. Компаниям, внедряющим инструменты ИИ, следует проверить условия поставщика, использование данных, конфиденциальность, право на результаты, человеческий надзор, ответственность, права аудита, безопасность, регуляторный риск и стратегию выхода, прежде чем встраивать ИИ в свои бизнес-процессы.
Искусственный интеллект входит в компании через множество дверей.
Некоторые инструменты ИИ одобряются руководством; некоторые внедряются ИТ-отделами; некоторые встроены в существующее ПО; некоторые используются маркетинговыми командами, отделами кадров, разработчиками, командами поддержки, консультантами или сотрудниками, пробующими генеративные инструменты ИИ. Это создаёт новую юридическую проблему: компания может использовать ИИ, так и не проверив договор надлежащим образом.
Риск не теоретический. Поставщик ИИ может обрабатывать персональные данные, хранить запросы, использовать их для улучшения моделей, ограничивать свою ответственность, отказываться от гарантий точности, ограничивать право на результаты, привлекать иностранных субобработчиков, сохранять за собой права на приостановку, изменять продукт, интегрировать сторонние модели или требовать, чтобы клиент принял широкую ответственность за поведение пользователей. В обычном ПО эти вопросы важны; в ИИ они могут стать центральными.
Поэтому закупку ИИ следует рассматривать как стратегический юридический процесс, а не как рутинную покупку подписки. Это руководство объясняет, что компаниям следует проверить, прежде чем закупать, развёртывать или масштабировать инструменты ИИ.
1. Закупка ИИ — это не обычная закупка программного обеспечения
Традиционная закупка ПО часто сосредоточена на функциональности, объёме лицензии, цене, уровнях обслуживания, поддержке, безопасности и расторжении. Закупка ИИ требует всего этого — и большего. Компания должна понимать, какие данные использует система ИИ, обрабатывает ли она персональные данные, можно ли вводить конфиденциальную информацию, сохраняются ли запросы и результаты, используются ли данные клиента для обучения модели, можно ли использовать результаты коммерчески, гарантирует ли поставщик точность, может ли инструмент создавать нарушающий права контент, требуется ли человеческая проверка, затрагивает ли система физических лиц, применяются ли регуляторные обязанности, кто несёт ответственность, если результат причинит вред, и может ли компания объяснить систему регуляторам, клиентам или инвесторам.
Фундаментальное отличие в том, что системы ИИ способны порождать результаты, а не просто выполнять заранее определённые функции. Это усложняет распределение юридической ответственности. Компании не следует подписывать договор об ИИ так, будто она покупает обычное офисное ПО.
2. Начните со сценария использования
Прежде чем проверять договор, компания должна определить сценарий использования. Один и тот же инструмент ИИ может нести разные риски в зависимости от того, как он используется. Инструмент ИИ для резюмирования внутренних протоколов совещаний отличается от инструмента, применяемого для предварительного отбора заявлений о приёме на работу, оценки кредитного риска, рекомендации медицинского лечения, поддержки юридического анализа, проверки страховых требований, выработки рекомендаций клиентам, мониторинга работы сотрудников, анализа данных детей, обработки чувствительной медицинской информации, автоматизации решений по комплаенсу или прямого взаимодействия с потребителями.
Юридическая проверка должна начинаться с пяти вопросов: что будет делать система ИИ? Какие данные она обрабатывает? Кто полагается на результат? Что может пойти не так? И кто несёт ответственность, если это произойдёт? Без чёткого сценария использования договор невозможно оценить надлежащим образом.
3. Определите роль поставщика ИИ
Перед подписанием компания должна определить роль поставщика. Поставщик может быть провайдером модели, платформой SaaS, провайдером API, системным интегратором, реселлером, облачным провайдером, обработчиком данных, самостоятельным контролёром данных, субподрядчиком, разработчиком индивидуальной модели или поставщиком сторонней модели, обёрнутой в его собственный продукт.
Это важно, потому что ответственность следует за контролем. Реселлер может не контролировать базовую модель; платформа может опираться на другого провайдера базовой модели; системный интегратор может настроить инструмент, но не владеть им; ориентированный на клиента поставщик ИИ может привлекать несколько субобработчиков. Договор должен делать цепочку видимой. Если что-то пойдёт не так, компания должна знать, кто отвечает за модель, платформу, обработку данных, интеграцию, безопасность и поддержку.
4. Должная осмотрительность поставщика ИИ
Компаниям следует проводить должную осмотрительность поставщика ИИ перед подписанием. Она не должна быть несоразмерно обременительной для инструментов с низким риском; однако для критически важных или чувствительных сценариев проверка поставщика необходима. Компания должна спросить, кто предоставляет базовую модель, построен ли инструмент на собственной или сторонней модели, где размещаются данные, используются ли данные клиента для обучения, можно ли отключить такое использование, сохраняются ли запросы и результаты, как долго хранятся журналы, какие имеются сертификаты безопасности, перечислены ли субобработчики и могут ли они меняться без уведомления, поддерживает ли поставщик запросы на удаление, доступны ли права аудита или информации, тестировалась ли система на предвзятость или точность, есть ли документация для рискового или регулируемого использования, есть ли у поставщика процедуры реагирования на инциденты и что произойдёт, если сервис будет приостановлен или прекращён.
Должная осмотрительность поставщика — это не недоверие. Это профессиональная закупка.
5. Договор о защите данных
Если инструмент ИИ обрабатывает персональные данные, может потребоваться договор о защите данных. Договор должен охватывать роли сторон, цель обработки, категории персональных данных и субъектов данных, инструкции клиента, конфиденциальность, меры безопасности, субобработчиков, трансграничные передачи, содействие в запросах субъектов данных, уведомление о нарушениях, удаление или возврат данных, аудиты, хранение, использование для обучения, а также технические и организационные меры.
ИИ создаёт особые сложности, поскольку данные могут появляться в запросах, загруженных документах, истории чата, эмбеддингах, журналах, наборах данных для дообучения, аналитике и журналах результатов. Договор не должен лишь констатировать, что «применяется законодательство о защите данных»; он должен объяснять, как система ИИ фактически обрабатывает данные.
6. Данные клиента и обучение моделей
Один из важнейших вопросов — может ли поставщик использовать данные клиента для обучения или улучшения моделей. Это следует тщательно проверить. Данные клиента могут включать запросы, загруженные документы, внутренние записи, информацию о клиентах, данные сотрудников, бизнес-данные, конфиденциальные файлы, код, юридические документы, медицинские данные, финансовые данные, обратную связь и результаты.
Договор должен определять, может ли поставщик использовать эти материалы для обучения моделей, дообучения, улучшения сервиса, аналитики, отладки, мониторинга злоупотреблений, безопасности или разработки продукта. Если компания не хочет, чтобы её данные использовались для обучения, договор должен прямо это устанавливать. Корпоративное соглашение об ИИ в идеале должно обеспечивать более строгий контроль, чем потребительский инструмент ИИ.
7. Конфиденциальность и профессиональная тайна
Инструменты ИИ могут создавать риски для конфиденциальности, особенно для компаний, работающих с делами клиентов, материалами совета директоров, юридическими документами, финансовой отчётностью, персональными данными, кадровыми записями, медицинской информацией, исходным кодом, коммерческими тайнами, целями поглощения, материалами споров, страховыми требованиями, интеллектуальной собственностью или стратегическими планами. Договор с поставщиком должен содержать обязательства о конфиденциальности, достаточно строгие для уровня чувствительности информации.
Компаниям в сфере профессиональных услуг, юридических услуг, финансов, страхования, здравоохранения, технологий и консалтинга следует быть особенно осторожными. Компании также следует внутренне определить, что никогда нельзя загружать в инструменты ИИ при отсутствии утверждённых средств защиты. Договорная конфиденциальность и внутренняя политика по ИИ должны работать вместе.
8. Информационная безопасность
Инструменты ИИ следует проверять на безопасность: шифрование при передаче и хранении, контроль доступа, аутентификацию, административный контроль, ведение журналов, разделение данных, управление уязвимостями, тестирование на проникновение, реагирование на инциденты, доступ персонала поставщика и субподрядчиков, резервное копирование и восстановление, удаление данных, сертификаты безопасности, уведомление клиента, отчёты аудита, безопасность API, ограничения частоты запросов и предотвращение злоупотреблений.
Проверка безопасности должна быть соразмерна риску. Общедоступный ИИ-помощник для написания неконфиденциальных маркетинговых черновиков может не требовать той же проверки, что и инструмент для медицинских записей, финансовых данных, мониторинга сотрудников или юридических документов — но компания должна проводить это различие осознанно.
9. Трансграничные передачи и облачный хостинг
Инструменты ИИ часто облачные, и данные могут размещаться, быть доступными или обрабатываться в нескольких юрисдикциях. Это важно для компаний, работающих в Турции, Северном Кипре, Великобритании, Европейском союзе или на других трансграничных рынках. Договор должен определять место хостинга, места доступа поддержки, субобработчиков, механизм и гарантии трансграничной передачи, риск государственного доступа, варианты локализации данных, а также места резервного копирования и аварийного восстановления.
Компаниям не следует предполагать, что данные остаются локальными лишь потому, что сервис продаётся локально. Пока пользователь обращается к платформе из Турции, данные могут размещаться в Европе, обрабатываться через провайдера модели из США и поддерживаться глобальной командой. Такая структура может быть приемлема, но она должна быть понятна.
10. Право на результаты и коммерческое использование
Компании закупают инструменты ИИ отчасти потому, что им нужны результаты — текст, код, изображения, дизайн, отчёты, переводы, резюме, рекомендации, аналитика, бизнес-планы, ответы клиентам, описания продуктов, юридические или комплаенс-черновики и маркетинговые материалы. Договор должен регулировать, может ли компания использовать результаты коммерчески.
Ключевые вопросы: кому принадлежит результат, передаёт ли поставщик права или сохраняет их, какие ограничения на использование, могут ли аналогичные результаты создаваться для других пользователей, защищены ли результаты правом интеллектуальной собственности, отвечает ли клиент за их проверку, предоставляет ли поставщик возмещение за интеллектуальную собственность и что происходит, если результат нарушает права третьих лиц. Компании следует быть осторожной с использованием созданных ИИ результатов для ценных брендовых активов, программного кода, рекламных кампаний, регулируемых рекомендаций или клиентских поставок без проверки. Результат ИИ следует рассматривать как черновик, пока он не подтверждён юридически и коммерчески.
11. Риск интеллектуальной собственности третьих лиц
Системы ИИ могут создавать контент, который напоминает или содержит охраняемые материалы третьих лиц, что может вызвать споры об авторском праве, товарных знаках, коммерческих тайнах, правах на базы данных, лицензиях на ПО, правах личности, конфиденциальной информации или правах на дизайн. Договор должен регулировать, гарантирует ли поставщик отсутствие нарушений, предоставляет ли возмещение, исключает ли возмещение пользовательские запросы, есть ли пределы требований, исключены ли некоторые сценарии использования, должен ли клиент следовать документации, есть ли фильтрация результатов и помогает ли поставщик в защите от требований.
Многие договоры с поставщиками ИИ ограничивают ответственность за результаты. Компании не следует предполагать, что поставщик полностью защитит её, если третье лицо заявит о нарушении.
12. Точность, галлюцинации и надёжность
Системы ИИ могут выдавать уверенные, но ошибочные результаты. Это часто называют галлюцинацией, но юридически это больше, чем технический вопрос: это может привести к ошибочным решениям, вводящим в заблуждение заявлениям, некачественным услугам, профессиональной небрежности, вреду потребителям или нарушению договора. Договор должен регулировать, гарантирует ли поставщик точность, предоставляются ли результаты «как есть», требуется ли человеческая проверка, пригоден ли инструмент для предполагаемого использования, отказывается ли поставщик от регулируемого или профессионального использования, является ли система лишь вспомогательной, ведутся ли журналы результатов и нужно ли сообщать об ошибках.
Компания должна определить, когда результатам ИИ можно доверять и когда человеческая проверка обязательна. В решениях с высоким риском ИИ не должен становиться невидимым лицом, принимающим решения.
13. Человеческий надзор
Человеческий надзор должен быть встроен как в договор, так и во внутренний процесс. Релевантные вопросы: кто проверяет результаты ИИ? Является ли проверка обязательной или факультативной? Какую квалификацию должен иметь проверяющий? Может ли проверяющий отменить решение системы? Получает ли проверяющий достаточную информацию? Помечаются ли результаты как созданные ИИ? Есть ли путь эскалации? Документируются ли решения? И могут ли затронутые лица оспорить результаты?
Человеческий надзор бессмыслен, если человек лишь формально одобряет систему ИИ. В регулируемых или чувствительных сценариях надзор должен быть структурированным, журналируемым и проверяемым.
14. Положения об ответственности
Договоры об ИИ часто содержат жёсткие ограничения ответственности поставщика. Поставщик может исключать или ограничивать ответственность за ошибочные результаты, потерю данных, косвенные убытки, упущенную выгоду, перерыв в деятельности, требования по интеллектуальной собственности, регуляторные штрафы, злоупотребление пользователями, отказ сторонней модели, инциденты безопасности, бета-функции, профессиональное использование и решения, принятые на основе результатов. Компания должна проверить, является ли предел ответственности адекватным — низкая плата за подписку может сопровождаться пределом, коммерчески бессмысленным относительно риска.
Для критически важного для бизнеса ИИ компании следует рассмотреть переговоры о более высоких пределах; неограниченной ответственности за нарушения конфиденциальности и защиты данных; возмещении за интеллектуальную собственность; ответственности за нарушение безопасности; регуляторном сотрудничестве; сервисных кредитах; правах на расторжение; и требованиях к страхованию. Контроль риска должен быть определяющим: если поставщик контролирует модель, безопасность и обработку данных, он должен принять соразмерную ответственность.
15. Возмещения
Возмещения особенно важны в договорах об ИИ. Компания должна оценить, нужно ли ей возмещение за нарушение интеллектуальной собственности третьих лиц, нарушение защиты данных по вине поставщика, нарушение конфиденциальности, инцидент безопасности, регуляторное нарушение, вызванное системой поставщика, нарушение заверений поставщика, несанкционированное использование данных клиента для обучения, требования, вытекающие из материалов поставщика, и требования, вытекающие из действий субподрядчиков. Поставщик, в свою очередь, может требовать возмещения от клиента за незаконные вводимые данные, злоупотребление платформой, нарушение политики допустимого использования, нарушение прав третьих лиц, использование в запрещённых отраслях и непроверку результатов.
Возмещения должны быть сбалансированными и привязанными к контролю. Клиент не должен принимать ответственность только за риски, созданные системой поставщика.
16. Политики допустимого использования
Поставщики ИИ часто включают политики допустимого использования, которые могут запрещать использование для незаконной деятельности, дискриминации, биометрической идентификации, слежки, оружия, обмана, регулируемых рекомендаций, решений с высоким риском, медицинских или юридических консультаций, кредитного скоринга, решений о найме, политического влияния, обработки, связанной с детьми, скрейпинга, автоматизированного спама или вредоносного контента. Компании следует тщательно их проверить.
Организация может неосознанно использовать инструмент ИИ способом, нарушающим политику допустимого использования поставщика, что может привести к приостановке, расторжению, потере доступа или отказу в поддержке. Если предполагаемое использование компании близко к ограниченной области, перед развёртыванием следует получить письменное разъяснение.
17. Уровни обслуживания и непрерывность бизнеса
Инструменты ИИ могут стать операционно важными. Если компания интегрирует ИИ в поддержку клиентов, проверку документов, программирование, логистику, комплаенс или аналитику, сбой может повлиять на бизнес. Договор должен охватывать обязательства по доступности, окна технического обслуживания, время реакции поддержки, уровни серьёзности инцидентов, процедуры резервного копирования, аварийное восстановление, доступность API, ограничения частоты запросов, доступность моделей, изменения моделей, прекращение функций, сервисные кредиты и расторжение при повторных сбоях.
Компании также следует спросить, сможет ли она продолжать работу, если сервис ИИ станет недоступным. Закупка ИИ должна включать планирование непрерывности бизнеса.
18. Изменения моделей и изменения продукта
Системы ИИ меняются. Поставщик может обновлять модели, удалять функции, менять фильтры безопасности, изменять поведение результатов, менять цены, менять лимиты API, добавлять новых субобработчиков или прекращать определённые функции — и эти изменения могут повлиять на бизнес компании. Договор должен охватывать уведомление о существенных изменениях, возможность отклонить изменения, контроль версий, обновление документации, тестирование перед крупными изменениями, обратную совместимость, права клиента на расторжение, экспорт данных и содействие в миграции.
Для использования с низким риском изменения моделей могут быть приемлемы. Для регулируемого, встроенного или ориентированного на клиента ИИ неконтролируемые изменения могут создавать юридические и операционные риски.
19. Права аудита и документация
Компаниям может потребоваться документация, чтобы удовлетворить клиентов, инвесторов, регуляторов или внутреннее управление. Договор должен регулировать, предоставляет ли поставщик документацию по безопасности, информацию об обработке данных, документацию модели, оценки рисков, отчёты аудита, сертификаты соответствия, списки субобработчиков, историю инцидентов, информацию о тестировании на предвзятость, при необходимости документацию, связанную с Законом ЕС об ИИ, технические спецификации и журналы изменений.
Полные права аудита у крупных поставщиков ИИ могут быть недоступны, но компании всё же следует стремиться к достаточной информации для оценки риска. Клиент, который не может объяснить свою цепочку поставок ИИ, может столкнуться с трудностями при должной осмотрительности, регуляторной проверке или судебном споре.
20. Риск Закона ЕС об ИИ в договорах с поставщиками
Закон ЕС об ИИ создаёт обязанности для разных субъектов в зависимости от их роли и уровня риска системы ИИ. Даже компании за пределами ЕС может потребоваться оценить риск этого закона, если она предлагает системы ИИ, сервисы на базе ИИ или результаты на рынках ЕС. Поэтому договоры с поставщиками ИИ должны оценивать, может ли система ИИ быть высокорисковой, является ли компания провайдером или оператором, предоставляет ли поставщик необходимую документацию, доступны ли инструменты человеческого надзора, ведутся ли журналы, предоставляются ли инструкции по использованию, доступна ли информация об управлении рисками, сотрудничает ли поставщик в запросах по соответствию и пригоден ли инструмент для предполагаемого использования, ориентированного на ЕС.
Даже там, где Закон об ИИ не применяется напрямую, он может стать коммерческим стандартом при трансграничных закупках. Международные клиенты могут ожидать документацию по управлению ИИ в рамках должной осмотрительности поставщика.
21. Отраслевая закупка
Закупка ИИ должна быть более строгой в определённых отраслях — здравоохранение, финансы, страхование, занятость, образование, юридические услуги, недвижимость, транспорт, кибербезопасность, государственный сектор, критическая инфраструктура, услуги для детей и ориентированные на потребителя платформы. В этих отраслях договор должен охватывать отраслевые обязанности.
Например, медицинский ИИ может требовать клинической проверки, проверки конфиденциальности и безопасности; финансовый ИИ может требовать объяснимости, справедливости и аудиторских следов; страховой ИИ может влиять на оценку риска, требования и риск дискриминации; ИИ для занятости может требовать прозрачности и оценки предвзятости; юридический ИИ может требовать конфиденциальности и профессиональной проверки; а образовательный ИИ может затрагивать несовершеннолетних и чувствительные данные учащихся. Общие условия для ИИ редко достаточны для регулируемых сценариев.
22. Внутренняя политика закупок ИИ
Компаниям следует принять внутреннюю политику закупок ИИ, которая определяет, кто может утверждать инструменты ИИ, какие инструменты запрещены, когда требуется юридическая проверка, проверка защиты данных, безопасности и руководства, когда требуется опросник поставщика, когда человеческий надзор обязателен, какие данные нельзя загружать, как сотрудники сообщают об инцидентах с ИИ, как хранятся договоры и кто отвечает за инвентаризацию ИИ.
Без внутренней политики закупка ИИ становится фрагментированной — разные отделы могут приобретать разные инструменты, принимать несогласованные условия и создавать скрытый риск. Централизованный процесс закупок ИИ не обязан останавливать инновации; он защищает компанию, одновременно допуская ответственное внедрение.
23. Теневой ИИ и использование сотрудниками
Сотрудники могут использовать инструменты ИИ без ведома руководства — один из самых распространённых рисков. Примеры включают загрузку документов клиентов в общедоступные инструменты ИИ, резюмирование договоров с помощью ИИ, генерацию кода с неизвестным лицензионным риском, написание ответов клиентам с помощью ИИ, перевод конфиденциальных документов, анализ данных сотрудников, создание маркетингового контента с неясным статусом интеллектуальной собственности и использование личных аккаунтов для рабочих задач.
Компании следует напрямую решать проблему теневого ИИ. Реалистичная политика должна определять утверждённые инструменты, запрещать определённые вводимые данные, разъяснять правила конфиденциальности, требовать человеческой проверки, обеспечивать обучение, создавать канал для сообщений, избегать нереалистичных тотальных запретов и давать сотрудникам безопасные альтернативы. Сотрудники обычно используют ИИ, потому что он помогает им работать быстрее — юридическое решение состоит в контролируемом внедрении, а не в отказе.
24. Стратегия выхода и возврат данных
Компаниям следует подумать об окончании отношений с поставщиком ИИ до подписания. Договор должен охватывать права на расторжение, экспорт данных, экспорт результатов, удаление данных клиента, сертификаты удаления, содействие в миграции, сохранение конфиденциальности, продолжение использования результатов, период сворачивания, удаление из обучающих наборов данных, где это возможно, закрытие аккаунта, сохранение журналов поставщиком и удаление субподрядчиками.
Выход особенно важен, когда система ИИ встроена в операции. Компания не должна быть привязана к поставщику без возможности вернуть данные, сохранить доказательства и безопасно мигрировать.
25. Тревожные сигналы в договорах об ИИ
Компаниям следует быть осторожными, когда условия поставщика предусматривают, что: данные клиента могут использоваться для обучения без чёткого отказа; поставщик имеет широкие права на использование запросов и результатов; ответственность почти полностью исключена; возмещение за интеллектуальную собственность не предоставляется; обязательства о конфиденциальности слабы; удаление данных неясно; субобработчики могут меняться без уведомления; трансграничные передачи не раскрыты; обязательства по безопасности расплывчаты; поставщик отказывается от любой ответственности за точность; результаты нельзя использовать коммерчески; сервис может быть широко приостановлен; политика допустимого использования слишком широка или расплывчата; поддержка или реагирование на инциденты не предоставляются; односторонние изменения разрешены без значимого уведомления; применимое право и юрисдикция неподходящи; или корпоративное использование основано на потребительских условиях.
Тревожный сигнал не всегда означает, что договор нельзя подписать. Он означает, что риск нужно понять, обсудить или контролировать внутри компании.
26. Практический чек-лист закупки ИИ
Перед закупкой инструмента ИИ компаниям следует спросить: каков предполагаемый сценарий использования и является ли инструмент внутренним или ориентированным на клиента? Обрабатывает ли он персональные данные или конфиденциальную информацию? Могут ли данные клиента использоваться для обучения модели? Где размещаются данные, есть ли субобработка и трансграничные передачи и законны ли они? Кому принадлежат запросы и результаты и можно ли использовать результаты коммерчески? Есть ли защита от нарушения интеллектуальной собственности? Ясны ли пределы точности и требуется ли человеческая проверка? Приемлемы ли пределы ответственности и сбалансированы ли возмещения? Достаточна ли документация по безопасности и доступны ли права аудита или информации? Используется ли инструмент в регулируемой отрасли и может ли возникнуть риск Закона ЕС об ИИ? Есть ли внутренняя политика по ИИ, обучены ли сотрудники и контролируется ли теневой ИИ? Что произойдёт, если сервис будет приостановлен, и можно ли вернуть или удалить данные при выходе? И завершены ли юридическая проверка, проверка защиты данных и безопасности?
Ответы затем должны формировать решение о закупке — подписать, провести переговоры, ограничить сценарий использования или отказаться.
Часто задаваемые вопросы
Почему договоры с поставщиками ИИ отличаются от обычных договоров на программное обеспечение?
Инструменты ИИ могут обрабатывать чувствительные данные, выдавать непредсказуемые результаты, использовать данные клиента для улучшения моделей, создавать риски для интеллектуальной собственности, затрагивать физических лиц и опираться на сложные цепочки субподрядчиков. Эти вопросы требуют более тщательной юридической проверки, чем обычная закупка ПО.
Может ли поставщик ИИ использовать данные нашей компании для обучения своей модели?
Это зависит от условий поставщика. Компаниям следует проверить, можно ли использовать запросы, загруженные документы, результаты или обратную связь для обучения или улучшения сервиса, и доступны ли отказ от такого использования или корпоративные средства защиты.
Кому принадлежат результаты, созданные ИИ?
Право собственности зависит от условий инструмента ИИ, применимого права и характера результата. Компаниям не следует предполагать, что они владеют результатами или вправе использовать их в коммерческих целях, не проверив договор.
Каковы основные юридические риски закупки ИИ?
Основные риски включают защиту данных, конфиденциальность, нарушение интеллектуальной собственности, ошибочные результаты, ограничения ответственности поставщика, трансграничные передачи, безопасность, теневой ИИ, риски регулируемых отраслей, релевантность Закона ЕС об ИИ и неясные права выхода.
Должна ли у компаний быть внутренняя политика по ИИ?
Да. Внутренняя политика по ИИ помогает контролировать использование сотрудниками, утверждённые инструменты, запрещённые вводимые данные, человеческую проверку, конфиденциальность, защиту данных, одобрение закупок и сообщение об инцидентах.
Релевантно ли соблюдение Закона ЕС об ИИ за пределами ЕС?
Это может быть релевантно, если системы ИИ, результаты или сервисы на базе ИИ предлагаются на рынке ЕС или используются клиентами из ЕС. Это также может влиять на коммерческие ожидания при международных закупках.
Должны ли договоры об ИИ содержать положения о человеческом надзоре?
В чувствительных или значимых сценариях — да. Договор и внутренний процесс должны чётко определять, когда требуется человеческая проверка и кто отвечает за проверку результатов.
Что компаниям следует сделать перед подписанием договора с поставщиком ИИ?
Определить сценарий использования; провести должную осмотрительность поставщика; проверить обработку данных, конфиденциальность, интеллектуальную собственность, ответственность, безопасность, трансграничные передачи, допустимое использование, права аудита, регуляторный риск и условия выхода.
Заключение
Закупка ИИ превращается в юридический вопрос уровня совета директоров. Компания, внедряющая ИИ без проверки условий поставщика, может подвергнуться рискам защиты данных, нарушениям конфиденциальности, требованиям по интеллектуальной собственности, ошибочным результатам, злоупотреблениям сотрудников, регуляторной проверке, жалобам клиентов и операционной зависимости.
Самый сильный подход — не избегать ИИ, а закупать его с дисциплиной. Компаниям следует понять систему, проверить договор, контролировать данные, определить человеческий надзор, распределить ответственность, сохранить доказательства, обучить сотрудников и спланировать выход. ИИ может создавать ценность только тогда, когда поддерживающая его юридическая структура достаточно прочна, чтобы нести риск.
Чем может помочь Terziolu & Partners
Terziolu & Partners консультирует компании, инвесторов, основателей и частных клиентов по юридическим вопросам в Турции, Северном Кипре и трансгранично. Наша работа может включать проверку договоров с поставщиками ИИ; консультирование по корпоративной закупке ИИ; подготовку чек-листов должной осмотрительности поставщиков ИИ; составление условий ИИ SaaS и клиентских условий; подготовку внутренних политик закупок ИИ; консультирование по вопросам защиты данных, связанным с ИИ; проверку рисков конфиденциальности и обучающих данных; консультирование по праву на результаты ИИ и риску интеллектуальной собственности; оценку договорного риска, связанного с Законом ЕС об ИИ; поддержку юридической должной осмотрительности, связанной с ИИ, при инвестициях и поглощениях; и при необходимости координацию с техническими консультантами, консультантами по защите данных и иностранными консультантами.
Обратитесь к нашей команде по вопросу договора с поставщиком ИИ, корпоративной закупки ИИ или управления ИИ.
Эта статья предназначена только для общих информационных целей и не является юридической консультацией. Риски закупки ИИ и договоров с поставщиками могут различаться в зависимости от системы ИИ, условий поставщика, обрабатываемых данных, отрасли, юрисдикции, договорной структуры, регуляторного риска, клиентской базы, предполагаемого использования и времени получения консультации. Не следует предпринимать или воздерживаться от каких-либо действий, полагаясь на эту публикацию. Перед закупкой, развёртыванием, интеграцией системы ИИ или опорой на неё следует получить юридическую, техническую, связанную с защитой данных, кибербезопасностью и коммерческую консультацию по конкретному случаю. Направление запроса в Terziolu & Partners не создаёт отношений «адвокат — клиент», пока поручение не будет официально принято в письменной форме.