Что требует EU AI Act
Перейти к разделу
Почему EU AI Act меняет правила игры
EU AI Act (Регламент 2024/1689 Европейского Парламента и Совета) — первый в мире комплексный правовой фреймворк для регулирования искусственного интеллекта. Он вступает в силу постепенно, и ключевой дедлайн — август 2026 года — охватывает большинство обязательств, напрямую затрагивающих технические команды.
Если ваша команда разрабатывает, внедряет или использует ИИ-системы в ЕС, этот регламент распространяется на вас. Не важно, стартап вы из пяти человек или корпорация с тысячами сотрудников. Важен тип ИИ-системы, которую вы эксплуатируете.
EU AI Act применяется не только к компаниям со штаб-квартирой в ЕС. Он распространяется на всех, кто предлагает ИИ-системы на рынке ЕС или использует результаты работы ИИ-систем в ЕС. Если европейские пользователи используют ваше приложение, регламент распространяется на вас.
Временные рамки
EU AI Act вступил в силу 1 августа 2024 года, но применяется поэтапно. Как технический специалист, вам нужно знать ключевые этапы:
- Февраль 2025 — запрет недопустимых практик ИИ (социальный скоринг, манипулятивный ИИ, несанкционированная биометрическая идентификация в реальном времени)
- Август 2025 — правила для моделей ИИ общего назначения (GPT, Claude, Gemini) — в основном касается поставщиков моделей
- Август 2026 — основной дедлайн: требования к высокорисковым ИИ-системам, обязательства операторов, требования прозрачности
- Август 2027 — требования к высокорисковым ИИ-системам в регулируемых секторах (здравоохранение, финансы, транспорт)
Август 2026 года — ваш основной дедлайн. К этому времени ваши ИИ-системы должны быть классифицированы, задокументированы и технически соответствовать требованиям. Не начинайте в июле 2026 — внедрение занимает месяцы.
Категории риска — основа всего
Весь EU AI Act построен на одной концепции: категории риска. Каждая ИИ-система попадает в один из четырёх уровней риска, и все обязательства вытекают из этой классификации.
Недопустимый риск (запрещено)
ИИ-системы, полностью запрещённые в ЕС. Социальный скоринг, манипулятивные техники, нецелевая биометрическая идентификация в реальном времени. Если вы делаете что-либо из этого — остановитесь. Никакой чеклист соответствия вам не поможет.
Высокий риск
ИИ-системы со значительным влиянием на людей — решения о найме, кредитный скоринг, медицинская диагностика, системы безопасности. К этим системам предъявляются строжайшие требования: управление данными, прозрачность, надзор человека, точность, надёжность.
Ограниченный риск
ИИ-системы с обязательствами по прозрачности — чат-боты, дипфейки, контент, сгенерированный ИИ. Пользователи должны быть проинформированы, что взаимодействуют с ИИ или что контент был создан ИИ.
Минимальный риск
Большинство распространённых ИИ-приложений — спам-фильтры, системы рекомендации контента, ИИ-ассистенты для написания кода. Специфических обязательств по AI Act нет, но общие правовые требования по-прежнему применяются.
На кого распространяется — роли в экосистеме
EU AI Act определяет три основные роли с разным уровнем ответственности:
- Поставщик (provider) — разрабатывает ИИ-систему или выводит её на рынок. Наивысший уровень ответственности. Если вы создаёте собственную ML-модель или ИИ-продукт, вы — поставщик.
- Оператор (deployer) — использует ИИ-систему под своим руководством. Средний уровень ответственности. Если вы интегрируете ChatGPT API в своё приложение, вы — оператор.
- Импортёр/Дистрибьютор — импортирует или распространяет ИИ-системы в ЕС. Актуально для реселлеров и системных интеграторов.
Большинство технических команд являются операторами — вы используете ИИ-модели (Claude, GPT, Gemini) в своих приложениях. Но если вы дообучили модель или создали свою, к вам может применяться более строгая роль поставщика.
Что это значит для вашей команды сегодня
Паниковать не нужно, но начинать нужно. Первый шаг — аудит: определите все ИИ-системы, которые ваша команда разрабатывает или использует. Для каждой определите категорию риска и вашу роль (поставщик или оператор). Это фундамент, на котором вы будете строить стратегию соответствия.
Составьте список всех ИИ-систем, которые ваша команда разрабатывает, внедряет или использует. Для каждой системы запишите: 1. Название и назначение системы 2. Какую ИИ-модель использует (собственная, дообученная, сторонний API) 3. На кого влияет результат системы (сотрудники, клиенты, общественность) 4. В какую категорию риска, вероятно, попадает система 5. Ваша роль (поставщик или оператор) Если у вас более 3 систем в категории высокого риска, расставьте приоритеты по дате запуска.
Подсказка
Не забывайте о «фоновых» ИИ-системах — алгоритмы автоматических рекомендаций, ИИ во внутренних HR-процессах, чат-боты поддержки клиентов. Мы часто не осознаём, сколько ИИ-систем уже используем.
- EU AI Act — первый комплексный регламент об ИИ; распространяется на всех, кто предлагает или использует ИИ в ЕС
- Ключевой дедлайн — август 2026 года для большинства обязательств
- Система категорий риска (недопустимый, высокий, ограниченный, минимальный) определяет ваши обязательства
- Большинство технических команд — операторы, использующие сторонние ИИ-модели
- Первый шаг: провести аудит всех ИИ-систем и классифицировать их