что такое регулирование ИИ в ЕС / AI Act

AI Act (Регламент Европейского парламента и Совета 2024/1689) — это первый в мире комплексный законодательный акт, устанавливающий гармонизированные правила для искусственного интеллекта на территории Европейского союза. Его цель — гарантировать высокий уровень защиты здоровья, безопасности и фундаментальных прав граждан, одновременно стимулируя инновации и свободное движение ИИ-продуктов и услуг на внутреннем рынке ЕС. Регулирование построено на риск-ориентированном подходе: чем выше потенциальная опасность системы ИИ, тем строже предъявляемые к ней требования.

📊 Уровни риска и регулирующие меры AI Act

Закон распределяет все системы искусственного интеллекта по четырём категориям риска. В 2026 году полностью вступают в силу требования даже для самых сложных сегментов, поэтому важно чётко понимать каждую категорию.

Категория риска Описание и примеры Ключевые обязательства Срок вступления в силу
🚫 Недопустимый риск Системы, представляющие явную угрозу правам и безопасности. Пример: социальный скоринг госорганами, манипулятивные техники с использованием подсознательных стимулов, биометрическая категоризация на основе чувствительных данных. Полный запрет на размещение на рынке, ввод в эксплуатацию и использование в ЕС. 2 февраля 2025 г. (уже действует)
⚠️ Высокий риск ИИ в критической инфраструктуре (транспорт, энергетика), медицинских устройствах, рекрутинге, образовании, правоприменении, миграции и пограничном контроле. Широкая категория Приложения III. Обязательная сертификация соответствия, система управления рисками, техническая документация, человеческий надзор, регистрация в базе данных ЕС. 2 августа 2026 г. (основная масса систем по Приложению III)
🟡 Ограниченный риск (требования прозрачности) Чат-боты, дипфейки, системы генерации изображений/аудио/видео, системы распознавания эмоций или биометрической категоризации (не запрещённые). Маркировка AI-контента, раскрытие факта взаимодействия с машиной, уведомление о дипфейках. 2 февраля 2025 г. (уже действует)
🟢 Минимальный риск ИИ-фильтры спама, рекомендательные системы, видеоигры, большинство промышленных применений без критического воздействия. Добровольные кодексы поведения, общие нормы права без дополнительной обязательной сертификации. Не ограничено, стандартные нормы законодательства ЕС
🤖 Модели общего назначения (GPAI) Большие генеративные модели (GPT-подобные), мультимодальные флагманские модели. Отдельная двухуровневая категория. Техническая документация, политика соблюдения авторских прав, публичный отчёт о данных. Для моделей с системным риском — оценка и смягчение рисков, кибербезопасность. 2 августа 2025 г. (правила GPAI), уточнённые кодексы практики к 2026 г.
🧪 Регуляторные песочницы Контролируемая среда для тестирования инновационных ИИ-продуктов под надзором национальных органов. Государства-члены обязаны создать как минимум одну песочницу; упрощённый доступ для стартапов и МСП. С 2025 г., с постоянным расширением до 2026 г.

🔑 Главные обязательства для участников рынка в 2026 году

Поскольку к 2 августа 2026 года вступает в силу наиболее масштабный блок требований к высокорисковому ИИ, компаниям необходимо внедрить следующие процедуры:

  • Система управления рисками на протяжении всего жизненного цикла — постоянный итеративный процесс идентификации, оценки и смягчения известных и предсказуемых рисков.
  • Техническая документация и ведение записей (логирование) — подробное описание дизайна, данных, алгоритмов, метрик точности, позволяющее надзорным органам проверять соответствие.
  • Человеческий контроль (human oversight) — встроенные механизмы, позволяющие оператору понимать, контролировать и при необходимости отменять решения ИИ.
  • Оценка соответствия и маркировка CE — для систем из Приложения III обязательна внутренняя проверка или сертификация с привлечением нотифицированного органа, после чего наносится знак CE и регистрируется в общеевропейской базе данных.
  • Мониторинг после размещения на рынке — система сбора и анализа жалоб, инцидентов, отклонений в работе; серьёзные инциденты необходимо сообщать в течение 15 дней (или 72 часов для критических).

⚙️ Модели общего назначения (GPAI) и цепочка создания стоимости

Отдельные правила действуют для провайдеров моделей общего назначения, таких как большие языковые и мультимодальные модели. Даже если конечный продукт не классифицируется как высокорисковый, разработчик GPAI модели обязан раскрыть техническую документацию, данные об обучении и обеспечить соблюдение авторских прав. Модели с системным риском (с вычислительным порогом >1025 FLOP) проходят строгую оценку, тестирование на защищённость (red-teaming) и постоянный мониторинг. В 2026 году завершается внедрение Кодекса практики, уточняющего эти обязанности.

🌍 Экстерриториальное действие и надзор

AI Act применяется не только к компаниям из ЕС. Любой провайдер или пользователь, чья система ИИ оказывает воздействие на лиц, находящихся в Союзе, обязан соблюдать регламент, независимо от места регистрации бизнеса. Надзор осуществляют национальные компетентные органы, координируемые Европейским советом по искусственному интеллекту (AI Board). За несоблюдение предусмотрены штрафы до 35 миллионов евро или до 7% от глобального годового оборота — это самые строгие санкции в цифровом законодательстве ЕС.

❓ FAQ по смежным темам

Какие штрафы за нарушение AI Act?
Структура штрафов ступенчатая: до 35 млн евро или 7% мирового оборота за запрещённые практики; до 15 млн или 3% за нарушение требований к высокорисковым системам; до 7,5 млн или 1,5% за предоставление неверной информации. Для МСП и стартапов при определении размера штрафа учитывается их экономическая состоятельность.
Как AI Act повлияет на стартапы и малый бизнес?
Регламент предусматривает упрощённые процедуры и «регуляторные песочницы», где можно тестировать продукт под наблюдением властей. Для микропредприятий действуют послабления в части документирования системы качества. Кроме того, создаются цифровые хабы и каналы поддержки, финансируемые программой Digital Europe.
Относится ли AI Act к системам, разработанным за пределами ЕС?
Да, если результаты работы такой системы используются на территории ЕС или влияют на людей, находящихся в Союзе. Например, американский стартап, предлагающий ИИ-сервис для банков ЕС или HR-платформу, обязан соблюдать AI Act.
Что такое нотифицированный орган по AI Act и когда он нужен?
Нотифицированный орган — независимая лаборатория или инспекция, аккредитованная на государственном уровне для проведения оценки соответствия высокорисковых систем ИИ. Привлекается для систем, указанных в Приложении III, если производитель выбирает внешнюю сертификацию или она обязательна для отдельных продуктов (например, медицинские устройства).
Чем AI Act отличается от GDPR?
GDPR защищает персональные данные, тогда как AI Act регулирует безопасность, прозрачность и подотчётность самих систем ИИ. Регламенты пересекаются: например, обучающие данные для ИИ должны обрабатываться с учётом GDPR, а процедуры оценки воздействия на защиту данных (DPIA) могут объединяться с оценкой рисков по AI Act.
Будут ли исключения для open-source моделей?
AI Act содержит частичное исключение для свободно распространяемых моделей (open-source) в части требований к документации GPAI моделей, если модели не являются системными рисками. Однако, если такая модель тонко настраивается в высокорисковую систему, ответственность переходит на субъекта, который интегрирует её в конечный продукт.
Оцените:
( Пока оценок нет )
Фотофайл - лучшие картинки и фото
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Теперь напиши комментарий!x