Глава 1
Исследование рисков использования киберфизических систем, искусственного интеллекта, роботов и объектов робототехники, в том числе с учетом требований информационной безопасности

В настоящем разделе мы предпримем попытку рассмотрения основных вопросов, связанных с выявлением, предупреждением и минимизацией рисков в процессе использования киберфизических систем, технологий искусственного интеллекта и робототехники в различных сферах общественных отношений, а также обоснуем необходимость правового регулирования указанных процессов.

Данная тема слабо освещена в отечественной правовой научной литературе. Наиболее системно риски, связанные с использованием технологий искусственного интеллекта раскрыты в 2017 г. П.М. Морхатом в монографии «Искусственный интеллект: правовой взгляд» [1]. Имеется ряд публикаций и других ученых-правоведов, которые затрагивали в своих исследованиях проблемы рисков при эксплуатации искусственного интеллекта, роботов и объектов робототехники. К примеру, И.В. Понкин и А.И. Редькина в статье «Искусственный интеллект с точки зрения права» выявили имеющие существенное значение для правового регулирования основные риски и неопределенности, связанные с искусственным интеллектом [2]; в коллективной монографии под редакцией А.В. Незнамова раскрыты тенденции зарубежного законодательства в области страхования рисков при использовании роботов и технологий искусственного интеллекта [3].

Однако можно с полной определенностью говорить о взятом Россией курсе на развитие информационного общества и устойчивый социально-экономический рост в условиях поступательного изменения экономического уклада посредством интеграции определенных достижений развития цифровых технологий, о чем свидетельствует первый этап исследования по фундаментальной научной теме: «Теория правового регулирования искусственного интеллекта, роботов и объектов робототехники в Российской Федерации» [4].

Тема рисков при использовании искусственного интеллекта и объектов робототехники неоднократно поднималась в зарубежной научной литературе, причем рассмотрению предавались как широкие теоретические вопросы выявления и оценки рисков в процессе использования искусственного интеллекта и роботов в различных сферах жизнедеятельности, так и более практические и узкие разработки, которые могут быть востребованы в прикладной деятельности по созданию и эксплуатации конкретных роботизированных объектов.

Исходные понятия

Для анализа рисков использования современных роботизированных и инфокоммуникационных технологий необходимо определиться с понятийным аппаратом.

Понятия «киберфизические системы» (далее – КФС), «искусственный интеллект» (далее – ИИ) и «робот» имеют множество определений [5]. В научной правовой литературе авторский и наиболее подробный тезаурус на русском языке рассматриваемых понятий представлен П.М. Морхатом в работе «Право и искусственный интеллект: Тезаурус» [6], а также в коллективной монографии под ред. А.В. Незнамова [7].

Однако в рамках настоящей работы мы будем придерживаться следующей терминологии, которая установлена в законодательстве и в нормативно-технической документации:

а) в Федеральном законе от 24.04.2020 № 123‐ФЗ и в Указе Президента РФ от 10.10.2019 № 490 ИИ раскрыт как комплекс технологических решений, позволяющий имитировать когнитивные функции человека (включая самообучение и поиск решений без заранее заданного алгоритма) и получать при выполнении конкретных задач результаты, сопоставимые, как минимум, с результатами интеллектуальной деятельности человека. Комплекс технологических решений включает в себя информационно-коммуникационную инфраструктуру (в том числе информационные системы, информационно-телекоммуникационные сети, иные технические средства обработки информации), программное обеспечение (в том числе использующие методы машинного обучения), процессы и сервисы по обработке данных и поиску решений [8, 9]; в ГОСТ Р 43.0.8—2017 и ГОСТ Р 43.0.7—2011 ИИ трактуется более лаконично как «моделируемая (искусственно воспроизводимая) интеллектуальная деятельность мышления человека» [10, 11];

б) в ГОСТ Р 60.0.0.4—2019/ИСО 8373:2012. Национальный стандарт Российской Федерации. Роботы и робототехнические устройства. Термины и определения» робот^[1] (robot) определен весьма конкретно как «исполнительный механизм, программируемый по двум или более степеням подвижности, обладающий определенной степенью автономности и способный перемещаться во внешней среде с целью выполнения задач по назначению» [12].

В этом же стандарте дано понятие: «Робототехника (robotics) – наука и практика разработки, производства и применения роботов» [12]. Понятие «объект робототехники» ни в правовых, ни в технических нормах не закреплено. Исходя из приведенного понятия робототехники, к объектам робототехники можно отнести различные классы и категории роботов и робототехнические системы.

Термин КФС (англ. – Сyber Physical Systems, CPS) пока что нормативно не раскрыт, но, как правило, в научной литературе отечественные [14, 15, 273] и зарубежные [16, 17] специалисты в области информационной безопасности под КФС подразумевают единую информационно-технологическую среду, обеспечивающую интеграцию вычислительных ресурсов в физические процессы. Это техническая система, в которой взаимосвязаны вычислительные элементы и элементы физической природы, служащие источниками и потребителями информации.

Как видим, научная трактовка понятия КФС и нормативные, нормативно-технические трактовки понятий ИИ и робота имеют существенные различия. Так, ИИ определен на основе компьютерного моделирования весьма широко, КФС совмещает инфокоммуникационные технологии с физическими компонентами, а понятие робота не позволяет охватить широкий спектр классов и категорий роботов, которые имеют существенные различия. Исходя из приведенных терминов КФС, ИИ и роботов, можно утверждать, что подходы к выявлению и оценке рисков их использования, в том числе с учетом требований информационной безопасности могут быть различными и обладать определенными особенностями, быть в зависимости от специфики отдельных сфер их применения.

Следовательно, общие риски с учетом обеспечения информационной безопасности, свойственные всем видам КФС, ИИ, роботам и объектам робототехники, и соответственно возможности их правового регулирования будут лежать в плоскости нормативных правовых актов в данной области. А непосредственно риски использования отдельных разновидностей КФС, ИИ и роботов должны конкретизироваться при помощи технического нормирования, поскольку необходима разработка разных правил оценки и управления рисками для различных классов устройств. Именно по этому пути пошли как страны ЕС в развитии европейской роботизированной промышленности, исходя из смысла содержания Резолюции Европейского Парламента (далее – Резолюция) [18], так и наше государство.

Так, в Резолюции содержатся рекомендации по установлению критериев классификации роботов; по необходимости прохождения специальной регистрации и об обязательности оснащения роботов «черным ящиком», в котором записываются данные по каждой выполняемой операции, включая логику принятия решений; обоснование разработки правил тестирования новых роботов в реальных условиях; обоснование необходимости внедрения обязательного страхования для определенных видов роботов.

Важным документом для исследования рисков использования технологий ИИ является Руководство по этике для ИИ, принятое в ЕС [18]. Одним из трех основных принципов использования ИИ является принцип «не навредить». Руководством установлены общие правила разработки таких технологий: они должны быть безопасными, подотчётными, не носить дискриминационного характера, быть поднадзорными человеку.

Перечисленные документы ЕС, по сути, являются базовым юридическим фундаментом правового регулирования риск-ориентированного подхода использования современных роботизированных и инфокоммуникационных технологий.

В Российской Федерации проблемы обеспечения информационной безопасности при использовании КФС, ИИ, роботов и объектов робототехники путем учета, оценки и управления рисками находит свое отражение как в нормативных актах различного уровня (законы, указы Президента, постановления Правительства РФ, ведомственные нормативно-правовые акты), так и в нормативно-технических документах (технические регламенты, национальные стандарты).

Безусловно, что для успешного функционирования роботизированных и инфокоммуникационных технологий должны учитываться возникающие в результате такой деятельности риски [19].

Что такое риски?

Этимология слова «риск» (из французского risquе – «риск», итальянского risico) произошло из др. – греч. ῥιζικόν— «утёс», др. – греч. ῥίζα – «подножие горы»; «рискова́ть» – первоначально означало «лавировать между скал» [20]. Классически правовой риск рассматривается как присущая человеческой деятельности объективно существующая и в определённых пределах способная к оценке и волевому регулированию вероятность понесения субъектами правоотношений негативных последствий вследствие наступления неблагоприятных событий, закономерно связанных с разнообразными предпосылками (факторами риска) [21].

Следует также отметить активно развивающуюся реляционную теорию риска. Boholm Å., Corvellec H., раскрывая ее сущность, отмечают, что указанная теория выводит риски из расположенного познания, которое устанавливает отношения риска в контексте определенных непредвиденных обстоятельствах и определенном причинном воздействии. Сильная сторона реляционной теории, согласно концепции авторов, состоит в том, что она позволяет интерпретировать природу риска; отвечать вопросы о том, что относится к рискам и почему, а также предлагает новые подходы к управлению рисками, так как повышает уровень информированности о них всех заинтересованных субъектов [22].

Так, Head G.L.Э рассматривая теоретические вопросы корпоративного управления всевозможными рисками, делает акцент на субъективные факторы продуцирования рисков. Разные поколения управленцев, находившихся у руля управления корпорациями, имеют разные взгляды на один и тот же риск. Это касается также отдельно взятого индивида. Субъективные взгляды управленцев на корпоративном уровне могут иметь решающее значение на организацию управления реалиями рисков. Меняющаяся стратегия управления рисками может резко изменить действия менеджеров по управлению рисками [23].

Риск в классическом понимании в любых сферах жизнедеятельности людей (без использования КФС, ИИ или роботов) носит двойственный субъект-объектный характер, соответственно, элементы риска подразделяются на объективные (факторы и ситуация риска) и субъективные (субъект и волевое регулирование)» [21, c. 20]. Как правило, в гражданско-правовых отношениях «правовой риск – это текущий или будущий риск потери дохода, капитала или возникновения убытков в связи с нарушениями или несоответствием внутренним и внешним правовым нормам, таким как законы, подзаконные акты регуляторов, правила, регламенты, предписания, учредительные документы» [21, c. 21].

Представляется важным принятая в национальных стандартах России терминология рисков. Пункт 1.1 Национального стандарта Российской Федерации ГОСТ Р 51897—2011/Руководство ИСО 73:2009 от 16.11.2011 «Менеджмент риска. Термины и определения» [24] и пункт 3.1 Национального стандарта Российской Федерации ГОСТ Р ИСО 31000—2019 «Менеджмент риска. Принципы и руководство» [25], дают определение понятию риска как «следствия влияния неопределенности на достижение поставленных целей», давая также нижеследующие разъяснения: «Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/ или негативное). Цели могут быть различными по содержанию… и назначению (стратегические, общеорганизационные, относящиеся к разработке проекта, конкретной продукции и процессу). Риск часто характеризуют путем описания возможного события и его последствий или их сочетания. Риск часто представляют в виде последствий возможного события (включая изменения обстоятельств) и соответствующей вероятности. Неопределенность – это состояние полного или частичного отсутствия информации, необходимой для понимания события, его последствий и их вероятностей».

Следует отметить, что в научной литературе высказывается точка зрения о том, что восприятие дефиниции риска в контексте неопределенности не является правильным. Так, T Ward S., Chapman C. разграничивают понятия «неопределенность» и «риск», отмечая при этом, что термин «риск» в большей степени поощряет перспективу угрозы, а неопределённость имеет широкое смысловое толкование. Акцент на неопределенности, по мысли авторов, улучшит управляемость рисками при реализации проекта, так как предоставит дополнительный управленческий ресурс для управления возможностями [26].

Статьей 2 Федерального закона от 27.12.2002 № 184‐ФЗ (действ. ред.) «О техническом регулировании» понятие риск определяется как «вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда» [27]. Понятие «риск» неразрывно связано с понятием «безопасность». Авторы комментария к закону подчеркивают, что «даже после принятия всех мер безопасности некоторый риск, именуемый, как правило, остаточный, всегда будет присутствовать. Такой риск рассматривается как допустимый, т. е. приемлемый для каждой конкретной ситуации с учетом существующих общественных ценностей (в т. ч. экономических, политических факторов, традиций) в конкретной стране и в конкретное время» [28]. Безусловно, при оценке и управлении рисками при использовании КФС, ИИ, роботов и объектов робототехники принцип допустимости рисков будет лежать в основе правового регулирования.