···

Акт ЄС про штучний інтелект 2025: усе, що потрібно знати, щоб залишатися попереду

20 Червня, 2025
by
EU AI Act 2025: Everything You Need to Know to Stay Ahead

Вступ та огляд законодавства

Закон про штучний інтелект Європейського Союзу (EU AI Act) є першою у світі комплексною рамкою для регулювання ШІ, що має на меті забезпечити надійний штучний інтелект, який дотримується безпеки, основних прав та суспільних цінностей digital-strategy.ec.europa.eu. Закон був запропонований Європейською комісією у квітні 2021 року і, після тривалих переговорів, формально ухвалений у середині 2024 року europarl.europa.eu europarl.europa.eu. Він впроваджує підхід, заснований на ризиках до управління ШІ, накладаючи зобов’язання, пропорційні потенційному рівню шкоди системи ШІ artificialintelligenceact.eu.

Хронологія прийняття закону: Ключові етапи включають схвалення Європейським парламентом у 2023–2024 роках та офіційну публікацію 12 липня 2024 року, що призвела до набуття чинності Закону 1 серпня 2024 року artificialintelligenceact.eu artificialintelligenceact.eu. Проте його положення впроваджуються поступово протягом наступних років:

  • 2 лютого 2025: Заборона систем ШІ з неприйнятним ризиком. Усі практики ШІ, що визнані “неприйнятним ризиком” (див. нижче), із цієї дати стають забороненими europarl.europa.eu. Держави-члени ЄС також почали впроваджувати програми підвищення грамотності населення щодо ШІ artificialintelligenceact.eu.
  • 2 серпня 2025: Набрання чинності правилами прозорості та врядування. Нові правила для моделей ШІ загального призначення (foundation models) та органів управління ШІ вступають у дію artificialintelligenceact.eu digital-strategy.ec.europa.eu. На рівні ЄС розпочинає роботу Офіс ШІ (пояснюється далі), і з цього моменту можуть застосовуватися штрафи за недотримання orrick.com orrick.com.
  • 2 серпня 2026: Повне застосування основних вимог. Більшість зобов’язань Закону про ШІ – особливо щодо впровадження систем ШІ високого ризику – стають обов’язковими через 24 місяці після набуття чинності digital-strategy.ec.europa.eu. До цього часу постачальники нових систем високого ризику мають відповідати вимогам перед виведенням систем на ринок ЄС.
  • 2 серпня 2027: Завершення пролонгованих термінів. Для певних систем ШІ, вбудованих у регульовану продукцію (наприклад, медичні прилади на основі ШІ), передбачений триваліший перехідний період (36 місяців) до 2027 року для відповідності вимогам digital-strategy.ec.europa.eu. Також постачальники вже існуючих моделей ШІ загального призначення (розміщених на ринку до серпня 2025 року) мають оновити їх до вимог Закону до 2027 року artificialintelligenceact.eu.

Цей поетапний графік дає організаціям час на адаптацію, у той час як першочергові заходи (наприклад, заборона шкідливих застосувань ШІ) дозволяють своєчасно протидіяти найсерйознішим ризикам europarl.europa.eu. Далі ми розглянемо систему класифікації ризиків та її значення для зацікавлених сторін у сфері ШІ.

Класифікація на основі ризику: неприйнятний, високий, обмежений і мінімальний ризик

Згідно із Законом ЄС про ШІ, кожна система ШІ класифікується за рівнем ризику, який визначає її регулювання artificialintelligenceact.eu. Чотири рівні ризику включають:

  • Неприйнятний ризик: Такі застосування ШІ розцінюються як явна загроза безпеці чи основним правам і повністю заборонені у ЄС digital-strategy.ec.europa.eu. Закон прямо забороняє вісім практик, зокрема: ШІ, що використовує підсвідомі чи маніпулятивні техніки з нанесенням шкоди, експлуатує вразливі групи (діти, особи з інвалідністю) у небезпечний спосіб, державне “соціальне оцінювання” громадян та певні засоби прогнозуючої поліцейської діяльності artificialintelligenceact.eu artificialintelligenceact.eu. Зокрема, ідентифікація за біометричними ознаками в режимі реального часу (наприклад, розпізнавання облич у публічних місцях онлайн) для правоохоронних органів загалом заборонена digital-strategy.ec.europa.eu. Існують обмежені винятки — наприклад, поліція може використовувати розпізнавання облич у реальному часі для запобігання терористичній загрозі чи пошуку зниклої дитини, але тільки за судовим рішенням і під суворим контролем europarl.europa.eu. Суть у тому, що будь-яка система ШІ, чиє саме застосування суперечить цінностям ЄС (наприклад, соціальний кредитний рейтинг чи ШІ, що безпідставно прогнозує злочинну поведінку) не може бути впроваджена digital-strategy.ec.europa.eu.
  • Високий ризик: Системи ШІ, що становлять серйозну загрозу здоров’ю, безпеці або основним правам, належать до категорії високого ризику. Вони допускаються до ринку лише за наявності суттєвих запобіжних заходів. Використання із високим ризиком визначається двома шляхами: (1) компоненти ШІ, що критичні для безпеки та вже регулюються законами ЄС про безпеку продукції (наприклад, ШІ в медичних пристроях, автомобілях, авіації тощо) artificialintelligenceact.eu; або (2) застосування ШІ у спеціальних сферах, визначених у Додатку III до Закону artificialintelligenceact.eu. Додаток III охоплює критичну інфраструктуру, освіту, працевлаштування, основні послуги, правоохоронні органи, контроль кордонів та систему правосуддя europarl.europa.eu europarl.europa.eu. Наприклад, ШІ в освіті (оцінювання екзаменів або ухвалення рішень щодо вступу) вважається високоризиковим через вплив на життєві перспективи digital-strategy.ec.europa.eu. Також системи для добору персоналу чи управління на робочому місці (наприклад, сканери резюме) та системи кредитного скорингу належать до високоризикових digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Навіть робот-хірург або діагностичний інструмент також високоризикові, якщо вони є частиною медичного виробу чи можуть загрожувати життю digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Системи такого типу жорстко регулюються — перед впровадженням постачальники мають впровадити суворі заходи контролю ризиків та пройти процедуру оцінки відповідності (деталі у наступному розділі) cimplifi.com. Усі системи високого ризику реєструються у базі даних ЄС для забезпечення прозорості та нагляду cimplifi.com. При цьому Закон передбачає вузькі винятки, щоб не всі несуттєві сфери потрапляли під категорію “високого ризику” — наприклад, якщо ШІ лише допомагає приймати рішення людині або виконує другорядну функцію, система може бути звільнена від статусу високого ризику artificialintelligenceact.eu. Але в цілому усі системи ШІ, що виконують вагомі функції у зазначених сферах, трактуються як високоризикові та мають відповідати суворим вимогам.
  • Обмежений ризик: До цієї категорії відносять системи, які не є високоризиковими, але все ж таки мають певні зобов’язання з прозорості artificialintelligenceact.eu. Акт не накладає на них значних обмежень, окрім вимоги інформувати людей про застосування ШІ. Наприклад, чат-боти чи віртуальні помічники мають однозначно повідомляти користувача, що він спілкується із машиною, а не людиною digital-strategy.ec.europa.eu. Аналогічно, генеративний ШІ, що створює синтетичні зображення, відео чи аудіо (deepfake), має бути розроблений таким чином, щоб позначати контент, створений ШІ — наприклад, за допомогою водяних знаків чи підписів, аби глядачі не були введені в оману europarl.europa.eu digital-strategy.ec.europa.eu. Мета — зберегти довіру людини через прозорість. За винятком цих правил розкриття, ШІ з обмеженим ризиком може використовуватися без попереднього погодження. Закон здебільшого розглядає більшість споживчих застосунків ШІ як обмежений ризик, де головною вимогою є повідомлення користувачів. Наприклад, якщо ШІ змінює голос чи створює реалістичне зображення — таке застосування не заборонене, але контент повинен бути чітко позначений як створений ШІ, щоб уникнути обману europarl.europa.eu.
  • Мінімальний (або відсутній) ризик: Усі інші системи належать до найнижчої категорії, що складає переважну більшість застосувань ШІ. Вони несуть незначні або рутинні ризики, тому не підлягають додатковим новим зобов’язанням згідно із Законом про ШІ artificialintelligenceact.eu digital-strategy.ec.europa.eu. Прикладами є антиспам-фільтри, алгоритми рекомендацій, ШІ у відеоіграх чи незначні утиліти у програмному забезпеченні. Для них Закон зберігає “невтручання” — їх можна розробляти і використовувати на попередніх умовах (відповідно до чинних законів про захист прав споживачів чи приватності), але без нових спеціальних процедур для ШІ. ЄС прямо визнає, що більшість систем ШІ наразі є малоризиковими і не мають обмежуватися надмірними вимогами digital-strategy.ec.europa.eu. Регулювання орієнтоване на винятки (високого і неприйнятного ризику), тоді як ШІ із мінімальними ризиками залишається необтяженим, що стимулює подальші інновації у цих сферах.

Таким чином, модель ЄС на основі ризиків напряму забороняє найгірші практики у сфері ШІ, суворо контролює чутливі застосування та майже не втручається в інші cimplifi.com. Подібний поетапний підхід має захищати громадян від шкоди, не вводячи “однакове регулювання для всіх” для всіх застосувань ШІ. Далі розглянемо, що означає дотримання вимог для тих, хто розробляє чи впроваджує ШІ, зокрема у категорії високого ризику.

Обов’язки для розробників (постачальників) та впроваджувачів (користувачів) ШІ

Вимоги до відповідності високоризикових систем ШІ: Якщо ви розробляєте систему штучного інтелекту, що визначена як високоризикова, Закон ЄС про ШІ накладає детальний перелік обов’язків до і після виходу системи на ринок. Вони по суті відображають практики галузей з критичною безпекою й захисту даних, тепер застосовані і до ШІ. Постачальники (розробники, які виводять систему на ринок) високоризикових систем ШІ повинні, серед іншого:

  • Впровадити систему управління ризиками: Протягом усього життєвого циклу системи ШІ має діяти безперервний процес управління ризиками artificialintelligenceact.eu. Це означає ідентифікацію передбачуваних ризиків (наприклад, загрози безпеці, упередженість чи помилки), їхній аналіз і оцінку, а також застосування заходів для зниження ризиків від етапу розробки до постексплуатаційного супроводу artificialintelligenceact.eu. Це аналог «безпеки за дизайном» – передбачити, як ШІ може зазнати невдачі чи завдати шкоди, і вирішувати ці питання на ранніх етапах.
  • Забезпечити високу якість даних і управління ними: Навчальні, валідаційні й тестові датасети мають бути релевантними, репрезентативними і якомога вільнішими від помилок чи упередженості artificialintelligenceact.eu. Закон підкреслює необхідність уникати дискримінаційних наслідків, тому постачальник повинен аналізувати свої дані на наявність дисбалансів або помилок, які можуть призвести до несправедливого поводження з людьми digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Наприклад, при розробці ШІ для рекрутингу слід переконатися, що навчальні дані не відображають минулі гендерні чи расові упередження при наймі. Управління даними також стосується відстеження їхнього походження та обробки, щоб було можливо зрозуміти й аудіювати роботу ШІ.
  • Технічна документація та ведення записів: Розробники повинні підготувати розгорнуту технічну документацію для підтвердження відповідності системи ШІ artificialintelligenceact.eu. Документація має містити опис призначення системи, її дизайн, архітектуру, алгоритми, навчальні дані, а також впроваджені заходи з управління ризиками artificialintelligenceact.eu. Вона повинна бути достатньою для того, щоб регулятори могли оцінити, як працює система і чи відповідає вона вимогам закону. Додатково високоризикові системи ШІ мають бути спроєктовані так, щоб вести логи своїх операцій, тобто автоматично фіксувати події або рішення для відстежуваності й аналізу після виходу на ринок artificialintelligenceact.eu digital-strategy.ec.europa.eu. Наприклад, система ШІ, що приймає рішення про кредит, може записувати вхідні дані та підстави кожного рішення. Такі логи допомагають виявити помилки чи упередженість і є ключовими у разі інциденту чи перевірки дотримання вимог.
  • Людський нагляд та чіткі інструкції: Постачальники повинні будувати систему так, щоб користувач чи оператор міг здійснювати ефективний людський нагляд artificialintelligenceact.eu. Це може передбачати інструменти або функції, які дозволяють людині втрутитися або контролювати роботу ШІ. Постачальник також має надати детальні інструкції для використання впроваджувачеві artificialintelligenceact.eu. Інструкції повинні пояснювати, як правильно встановити й експлуатувати ШІ, його обмеження, очікуваний рівень точності, заходи людського нагляду та ризики зловживань artificialintelligenceact.eu. Ідея в тому, що компанія, яка впроваджує ШІ (впроваджувач), може наглядати й керувати ним лише тоді, коли розробник забезпечив її необхідними знаннями та засобами. Наприклад, виробник ШІ для медичної діагностики зобов’язаний інструктувати лікарню щодо інтерпретації результатів і пояснювати, коли рішення має перевіряти лікар.
  • Продуктивність, надійність і кібербезпека: Високоризикові системи ШІ повинні забезпечувати належний рівень точності, надійності та кібербезпеки відповідно до свого призначення artificialintelligenceact.eu. Постачальники мають тестувати й налаштовувати моделі, щоб мінімізувати рівень помилок і запобігати непередбачуваній поведінці. Також впроваджуються запобіжники від зловмисних втручань чи зламів (кібербезпека), бо скомпрометований ШІ може бути небезпечним (уявіть атаку на ШІ-систему управління дорожнім рухом). На практиці це передбачає стрес-тести ШІ в різних умовах і впевненість, що система витримує різноманітність входів без критичних збоїв artificialintelligenceact.eu. Про будь-які відомі обмеження (наприклад, зниження точності для певних груп чи сценаріїв) слід інформувати й максимально їх усувати.
  • Система управління якістю: Для об’єднання всіх цих аспектів постачальники мають впровадити систему управління якістю artificialintelligenceact.eu. Це формалізований організаційний процес забезпечення постійної відповідності – подібно до стандартів якості ISO – який охоплює всі аспекти: від стандартних процедур розробки до управління інцидентами й оновленнями. Це інституціалізує відповідність закону, щоб створення безпечного й правомірного ШІ не було разовим зусиллям, а стало сталою практикою для постачальника.

Перш ніж високоризикова система ШІ потрапить на ринок ЄС, постачальник має пройти оцінку відповідності, щоб підтвердити виконання всіх цих вимог. Багато таких систем підлягають самооцінці, коли постачальник власноруч перевіряє відповідність і видає декларацію про відповідність ЄС. Однак якщо ШІ є частиною певної регульованої продукції (наприклад, медичний пристрій чи автомобіль), нотифікований орган (незалежний третій оцінювач) повинен сертифікувати відповідність ШІ згідно з чинними правилами для продукції cimplifi.com. У будь-якому випадку системи ШІ, що відповідають вимогам, позначаються маркуванням CE, яке свідчить про відповідність стандартам ЄС, і реєструються в загальнодоступній базі даних високоризикових систем ШІ ЄС cimplifi.com. Така база дозволяє регуляторам і громадськості знати, які високоризикові ШІ діють та хто за них відповідає.

Обов’язки впроваджувачів (користувачів): Закон також покладає відповідальність на користувачів або операторів, які впроваджують високоризикові ШІ професійно. (Це компанії або органи влади, що використовують ШІ, а не кінцеві користувачі чи споживачі.) Основні обов’язки впроваджувачів: дотримуватися інструкцій постачальника щодо використання, організувати людський нагляд відповідно до рекомендацій, а також моніторити ефективність ШІ під час реальної експлуатації digital-strategy.ec.europa.eu. Якщо впроваджувач помічає непередбачену поведінку ШІ чи проблеми з безпекою, він повинен вжити заходів (включно з можливим припиненням використання) і повідомити про це постачальника й регуляторів. Впроваджувачі також мають вести логи під час роботи ШІ (фіксуючи його результати й рішення, доповнюючи автоматичні логи системи) і повідомляти про серйозні інциденти чи збої регуляторам artificialintelligenceact.eu. Наприклад, лікарня, яка використовує інструмент діагностики на основі ШІ, має повідомити, якщо через систему допущена помилкова діагностика із завданням шкоди пацієнту. Такі обов’язки користувача гарантують, що нагляд зберігається після впровадження – ШІ не просто запускаються сам по собі, а перебувають під людським контролем із зворотним зв’язком до розробника та регуляторів.

Варто зазначити, що користувачі малого масштабу (наприклад, невелика компанія) не звільняються від цих обов’язків, якщо впроваджують високоризиковий ШІ, але автори закону мають намір завдяки документації й підтримці постачальників зробити дотримання правил посильним. У законі також розрізняються користувачі та сторонні особи, яких це стосується – останні (наприклад, споживач, якому відмовлено рішенням ШІ) не мають обов’язків за цим законом, але мають права, такі як подання скарги на проблемні ШІ-системи europarl.europa.eu.

Вимоги до прозорості (поза межами високого ризику): Окрім систем із високим ризиком, Акт про штучний інтелект зобов’язує впроваджувати певні заходи прозорості для окремих систем ШІ незалежно від рівня ризику. Ми торкалися цього під час обговорення “обмеженого ризику”. Конкретно, будь-яка система ШІ, яка взаємодіє з людьми, генерує контент або веде спостереження за людьми, повинна надати відповідне розкриття інформації:

  • Системи ШІ, що взаємодіють із людьми (наприклад, чат-боти чи голосові помічники), повинні інформувати користувача про те, що вони є ШІ. Наприклад, онлайн-чатбот служби підтримки клієнтів має чітко вказувати, що він автоматизований, щоб користувачі не були введені в оману, думаючи, що спілкуються із реальною людиною digital-strategy.ec.europa.eu.
  • ШІ, який генерує або маніпулює контентом (зображення, відео, аудіо чи текст) у спосіб, який може ввести в оману, має забезпечити, щоб цей контент був позначений як створений ШІ digital-strategy.ec.europa.eu. Головний приклад — дипфейки: якщо ШІ створює реалістичне зображення або відео людини, яка насправді не робила чи не говорила того, що відображено, такий медіаконтент має бути маркований (за винятком використання у сатирі, мистецтві чи дослідженнях безпеки, для яких можливе звільнення від вимоги). Мета — протидіяти обману й дезінформації через чітке розкриття джерела створення медіа.
  • Системи ШІ, що використовуються для біометричного спостереження (наприклад, камери з розпізнаванням обличчя) або розпізнавання емоцій, повинні попереджати людей про свою роботу, у разі технічної можливості. (І як було зазначено, багато таких застосувань взагалі заборонені або класифікуються як високоризикові з жорсткими обмеженнями).
  • Генеративні моделі ШІ (часто названі базовими моделями, наприклад, великі мовні моделі на кшталт ChatGPT) мають окремі вимоги щодо прозорості та надання інформації. Навіть якщо генеративна модель формально не класифікована як високоризикова, постачальник повинен розкривати певну інформацію: наприклад, контент, створений ШІ, повинен бути позначений, а також слід опублікувати підсумок про об’єкти авторського права, що використовувалися для навчання моделі europarl.europa.eu. Це потрібно для інформування користувачів і творців про можливу інтелектуальну власність у навчальній вибірці та задля відповідності праву ЄС europarl.europa.eu. Від генераторів також очікується, що вони запобігатимуть створенню незаконного контенту, наприклад шляхом вбудування фільтрів або обмежувачів у модель europarl.europa.eu.

Коротко кажучи, прозорість є наскрізною темою Акта про ШІ — чи це високоризикова система (з детальною документацією та інформуванням користувачів), чи малоризиковий чат-бот (з простим повідомленням “Я ШІ”), головна ідея — пролити світло на “чорні скриньки” ШІ. Це не лише надає сили користувачам і дотичним особам, але й полегшує підзвітність: якщо щось піде не так, буде паперова стежка того, що саме мав робити ШІ і як він розроблявся.

ШІ загального призначення (Foundation Models): Помітною новацією фінальної версії Акта став блок правил для моделей ШІ загального призначення (GPAI) — це широкі моделі ШІ, натреновані на великих масивах даних (часто за допомогою самонавчання), які можна адаптувати для різних завдань artificialintelligenceact.eu. Прикладами є великі мовні моделі, генератори зображень та інші “базові” моделі, які технологічні компанії створюють, а потім дозволяють іншим використовувати або донавчати. Акт визнає, що хоч ці моделі й не прив’язані до конкретних високоризикових сценаріїв, вони можуть пізніше бути інтегровані у високоризикові системи чи спричинити системні впливи. Тож він встановлює вимоги до постачальників GPAI-моделей навіть тоді, коли їхні продукти ще не вийшли на споживчий ринок.

Усі постачальники GPAI-моделей мають публікувати технічну документацію щодо своєї моделі (що описує процес розробки й можливості) та надавати інструкції для розробників, які використовують модель далі, про те, як її експлуатувати із дотриманням закону artificialintelligenceact.eu artificialintelligenceact.eu. Вони також повинні дотримуватися авторського права — тобто їх навчальні дані мають відповідати праву ЄС — та оприлюднювати підсумок використаних даних для навчання (щонайменше — огляд джерел) artificialintelligenceact.eu. Такі вимоги мають зробити нині непрозорий світ великих моделей ШІ більш відкритим.

Важливо, що Акт розрізняє закриті пропрієтарні моделі й ті, що оприлюднені з відкритим кодом. Для відкритих GPAI-моделей (де ваги й код моделі є у відкритому доступі) встановлені полегшені вимоги: вони зобов’язані виконати тільки кроки щодо авторського права та прозорості даних для навчання, але не повний обсяг технічної документації чи інструкції з експлуатації — за винятком випадків, якщо їхня модель становить “системний ризик” artificialintelligenceact.eu. Це виняток створено, щоб не гальмувати відкриту інновацію та дослідження. Однак якщо відкрита модель надзвичайно потужна і може мати серйозний вплив, вона не вийде із-під нагляду лише через відкритий код.

Акт визначає “GPAI-моделі із системним ризиком” як надпотужні моделі, що можуть мати далекосяжні наслідки для суспільства. Критерієм є, зокрема, якщо на навчання моделі було витрачено понад 10^25 обчислювальних операцій (FLOPs) — це маркер для визначення найпотужніших та найресурсоємніших моделей artificialintelligenceact.eu. Постачальники таких високовпливових моделей повинні проводити додаткові оцінки та тестування (зокрема, “адверсаріальні” тести на вразливості) та активно зменшувати системні ризики, які вони виявили artificialintelligenceact.eu. Вони також зобов’язані повідомляти про серйозні інциденти із своєю моделлю до Європейського офісу ШІ та національних органів, а також гарантувати міцну кібербезпеку для моделі та її інфраструктури artificialintelligenceact.eu. Ці заходи мають врахувати ризики, пов’язані із появою потужних ШІ (на кшталт GPT-4 і вище), що потенційно здатні спричиняти масову шкоду (наприклад, сприяти новим формам дезінформації, кібернападів тощо). Акт фактично каже: якщо ви створюєте найпередовіший загальний ШІ, мусите бути особливо обережні й тісно працювати з регуляторами europarl.europa.eu artificialintelligenceact.eu.

Для заохочення співпраці Акт передбачає, що дотримання Кодексів поведінки чи майбутніх гармонізованих стандартів може бути одним зі способів виконати вимоги для GPAI-постачальників artificialintelligenceact.eu. Насправді, ЄС уже впроваджує Кодекс практики щодо ШІ, яким до виходу стандартів можуть скористатись учасники ринку digital-strategy.ec.europa.eu. Офіс ШІ очолює цю роботу, щоб деталізувати, як саме розробники базових моделей можуть дотримуватися законодавства digital-strategy.ec.europa.eu. Кодекс є добровільним, але може слугувати механізмом “безпечної гавані” — якщо компанія його дотримується, регулятор вважатиме, що вона діє відповідно до закону.

В цілому вимоги до ШІ в Акті охоплюють увесь життєвий цикл: від проєктування (оцінка ризиків, перевірка даних) через розробку (документація, тестування) до впровадження (прозорість для користувача, нагляд) і після запуску (моніторинг, повідомлення про інциденти). Відповідність вимогам потребуватиме мультидисциплінарних зусиль — розробникам ШІ знадобляться не лише дата-науковці та інженери, але й юристи, керівники ризиків та етики для комплексного контролю. Далі розглянемо, як забезпечується виконання актy та що трапиться, якщо компанії порушують вимоги.

Механізми виконання, наглядові органи та санкції

Для нагляду за цим масштабним регулюванням Акт ЄС про ШІ передбачає багаторівневу структуру управління та контролю за виконанням. Вона включає національні органи у кожній державі-члені, новостворений центральний Європейський офіс ШІ та координацію через Раду з ШІ. Модель виконання частково базується на досвіді ЄС щодо безпеки продукції та регулювання захисту даних (як мікс національних регуляторів та європейської ради у GDPR).

Національні компетентні органи: Кожна держава-член ЄС повинна призначити один або декілька національних органів, відповідальних за нагляд за діяльністю у сфері ШІ (часто їх називають органами ринкового нагляду для ШІ) orrick.com. Ці органи будуть здійснювати щоденні перевірки дотримання вимог – наприклад, перевірятимуть, чи відповідає високоризиковий продукт ШІ вимогам ринку, або розглядатимуть скарги громадськості. Вони мають повноваження, подібні до вже чинного законодавства про безпеку продукції (Регламент (ЄС) 2019/1020): можуть вимагати у постачальників інформацію, проводити інспекції і навіть вилучати з ринку системи ШІ, що не відповідають вимогам orrick.com. Вони також здійснюють моніторинг ринку щодо систем ШІ, які можуть обходити правила чи становити непередбачені ризики. Якщо система ШІ визнається такою, що не відповідає вимогам або є небезпечною, національні органи можуть накладати штрафи або вимагати відкликання/зняття системи з ринку.

У кожній країні цю функцію, ймовірно, буде покладено на вже існуючий регулятор або створено новий орган (є пропозиції, що питання ШІ можуть взяти на себе органи захисту даних чи галузеві регулятори, наприклад, агентства з медичних виробів для медичного ШІ, щоб використати їхню експертизу). До серпня 2025 року країни-члени повинні призначити і запустити діяльність своїх регуляторів у сфері ШІ artificialintelligenceact.eu, а до 2026 року у кожній країні має бути створений щонайменше один регуляторний пісочниця для ШІ (контрольоване середовище для тестування інноваційного ШІ під наглядом) artificialintelligenceact.eu.

Європейське бюро з питань ШІ: На рівні ЄС створено новий орган – Бюро з питань ШІ при Європейській комісії (зокрема у складі DG CNECT) artificialintelligenceact.eu. Це центральний регулятор, що фокусується на ШІ загального призначення та транскордонних питаннях. За Актом, Бюро має виключні повноваження з нагляду щодо правил для постачальників моделей GPAI orrick.com. Це означає, що якщо OpenAI, Google чи будь-яка компанія надає велику модель ШІ, яку використовують по всій Європі, саме Бюро буде головним органом, що стежить, аби ці постачальники виконували свої обовʼязки (технічна документація, управління ризиками тощо). Бюро може безпосередньо вимагати інформацію і документацію у постачальників фундаментальних моделей і вимагати коригуючих дій, якщо ті не дотримуються правил orrick.com. Бюро також розглядатиме випадки, коли одна і та ж компанія є і постачальником фундаментальної моделі, і розробником високоризикової системи на її основі – щоби не виникало прогалин між національним та європейським наглядом orrick.com.

Окрім нагляду, Бюро з питань ШІ виконує широку роль у моніторингу тенденцій і системних ризиків ШІ. Йому доручено аналіз нових високоризикових або непередбачених питань ШІ (особливо тих, що повʼязані з GPAI), а також воно може проводити оцінку потужних моделей artificialintelligenceact.eu. Бюро буде укомплектоване експертним штатом (Комісія вже набирає для нього фахівців з ШІ artificialintelligenceact.eu) і співпрацюватиме з незалежною Науковою панеллю експертів з ШІ, які консультуватимуть з технічних питань artificialintelligenceact.eu. Важливо, що Бюро розроблятиме добровільні кодекси поведінки й рекомендації для індустрії – щоб допомогти розробникам ШІ дотримуватись вимог (це особливо корисно для стартапів/МСП) artificialintelligenceact.eu. Бюро координуватиме роботу із державами-членами для забезпечення єдиної практики застосування норм та навіть допомагатиме у спільних розслідуваннях, якщо питання стосується кількох країн artificialintelligenceact.eu artificialintelligenceact.eu. Тобто, Бюро – це європейська спроба централізувати регулювання ШІ для підсилення національних органів, – своєрідний аналог Європейської ради із захисту даних у сфері GDPR, але з більшими прямими повноваженнями у певних сферах.

Рада з питань ШІ: Акт створює нову Європейську раду з питань штучного інтелекту, яка складається з представників органів держав-членів з питань ШІ (а також спостерігачів від Європейського інспектора із захисту даних і Бюро ШІ) artificialintelligenceact.eu. Завдання Ради – забезпечувати узгоджене застосування по всій Європі: обмін найкращими практиками, розробка консультативних висновків чи рекомендацій, координація трансграничних стратегій нагляду artificialintelligenceact.eu. Бюро з питань ШІ виступає секретаріатом Ради: організовує зустрічі та допомагає у підготовці документів artificialintelligenceact.eu. Рада може сприяти, наприклад, розробці стандартів або обговорювати потребу зміни Додатків до Акту з часом. Це міжурядовий форум, що допоможе зберегти єдність і не допустити різного трактування, яке могло б роз’єднати європейський ринок ШІ.

Санкції за недотримання: Акт про ШІ передбачає значні штрафи за порушення, продовжуючи стримуючу логіку GDPR. Існує три рівні адміністративних штрафів:

  • За найбільш серйозні порушення – а саме впровадження заборонених практик ШІ (неприйнятне, заборонене законом використання) – штрафи можуть сягати 35 мільйонів євро або 7% світового річного обороту, залежно від того, що більше orrick.com. Це дуже високий верхній поріг (значно більше, ніж максимальні 4% у GDPR). Це показує, наскільки серйозно ЄС ставиться, наприклад, до створення прихованих систем соціального скорингу чи незаконного біометричного спостереження – це прирівнюється до найтяжчих корпоративних правопорушень.
  • За інші порушення вимог Акту (наприклад, невиконання зобов’язань щодо високоризикового ШІ, відсутність реєстрації системи, невпровадження заходів прозорості), максимальний штраф складає 15 мільйонів євро або 3% світового обороту orrick.com. Це стосується більшості випадків недотримання: наприклад, компанія не проводить оцінку відповідності чи приховує інформацію від регулятора – ці порушення потрапляють у цей розділ.
  • За надання регулятору некоректної, оманливої або неповної інформації (наприклад, під час перевірки або у відповідь на запит), штраф може сягати 7,5 мільйона євро або 1% обороту orrick.com. Цей найменший рівень здебільшого застосовується за перешкоджання чи відмову сприяти регулятору.

Важливо, що закон передбачає: МСП (малі та середні підприємства) повинні отримувати штрафи нижче верхньої межі, тоді як для великих компаній можливий високий рівень стягнень orrick.com. Тобто, суми €35 млн/7% чи €15 млн/3% – це максимуми; регулятор має право самостійно визначати розмір і зважає на розмір та фінансові можливості порушника. Для МСП це може бути сума у мільйонах, а не відсоток від обороту, щоб уникнути надмірного впливу, а для великих технологічних компаній – штраф у відсотках, щоби він був реально відчутним orrick.com.

Ці санкції почнуть діяти з 2 серпня 2025 року для більшості вимог orrick.com. (Саме з цієї дати застосовуються розділ про управління та статті про санкції). Однак для нових вимог стосовно моделей ШІ загального призначення штрафи почнуть діяти на рік пізніше — з 2 серпня 2026 року, у той же час, коли стають обов’язковими вимоги до фундаментальних моделей orrick.com. Такий перехідний період дає постачальникам фундаментальних моделей час на підготовку.

Щодо процедур та гарантій: компанії матимуть права, такі як право бути почутими перед визначенням санкції, а також обов’язкову конфіденційність чутливої інформації, наданої регуляторам orrick.com. Закон також зазначає, що на відміну від деяких інших законів ЄС, Комісія (через AI Office) не має широких повноважень проводити раптові обшуки чи примусово отримувати свідчення самостійно – хіба що тимчасово перебирає роль національного органу orrick.com. Це свідчить про певні обмеження, ймовірно спрямовані на заспокоєння побоювань щодо надмірного втручання.

Роль AI Office в забезпеченні виконання: Європейська Комісія через AI Office може самостійно ініціювати процеси забезпечення виконання у певних випадках, зокрема щодо загального призначення ШІ (foundation models). Це новий механізм – історично Комісія не займалася безпосереднім забезпеченням виконання правил для продуктів (її роль була швидше в нагляді й координації), за винятком сфери конкуренції. Завдяки AI Act Комісія отримує пряміші інструменти контролю: AI Office може розслідувати провайдера foundation model, запитувати широкий перелік документів (подібно до антимонопольних розслідувань) orrick.com, і навіть проводити симульовані кібератаки або оцінки моделі штучного інтелекту для перевірки її безпеки artificialintelligenceact.eu. Підприємства, які потрапили під таку перевірку, можуть відчути щось схоже на антимонопольне розслідування: на думку аналітиків Orrick, це навантаження вимогою надати тисячі документів, зокрема внутрішні чернетки orrick.com. Досвід Комісії у великих розслідуваннях свідчить: у вагомих справах щодо ШІ буде задіяно значні ресурси. Це підвищує нормативні вимоги для розробників ШІ, але й засвідчує серйозність намірів ЄС централізовано контролювати дотримання правил щодо фундаментального ШІ, який виходить за межі національних кордонів.

Контроль за високоризиковим ШІ: Для традиційних високоризикових застосувань ШІ (наприклад, система кредитного скорингу в банку чи використання ШІ поліцією міста), головними контролюючими залишаються національні органи. Проте AI Office та AI Board допомагатимуть їм, особливо якщо проблеми впливають на кілька країн. Закон дозволяє спільні розслідування, коли кілька національних регуляторів співпрацюють (за підтримки AI Office), якщо ризики ШІ-системи перетинають кордони artificialintelligenceact.eu. Це не дозволяє, скажімо, щоб ШІ, який використовується по всьому ЄС, розглядалася лише одним органом без урахування позиції інших країн.

Нарешті, передбачено процес оскарження та перегляду: компанії можуть оскаржувати рішення щодо забезпечення виконання через національні суди (чи зрештою – суди ЄС, якщо йдеться про рішення Комісії), а сам закон підлягатиме періодичному перегляду. До 2028 року Комісія має оцінити, наскільки ефективно функціонують AI Office та нова система artificialintelligenceact.eu, і кожні кілька років вона переглядатиме, чи потребують оновлення категорії ризику чи відповідні списки (Додаток III та ін.) artificialintelligenceact.eu. Такий адаптивний підхід до управління є критично важливим з огляду на швидкий розвиток ШІ – ЄС має намір вдосконалювати правила з часом, відповідно до потреб.

Підсумовуючи, Закон ЄС про штучний інтелект виконуватиметься мережею регуляторів із European AI Office у ролі центрального вузла для координації, напрацювання підходів та прямого контролю за foundation models. Санкції дуже значні – на папері це одні з найбільших штрафів у сфері ІТ-регулювання – тобто ігнорування вимог не є опцією. Організації мають з самого початку вбудовувати відповідність закону у свої ШІ-проєкти і не ризикувати накладанням штрафів чи примусовим відключенням своїх ШІ-систем.

Вплив на галузі та приклади застосування

Вплив Закону про ШІ залежить від галузі, адже закон прямо визначає певні сектори як високоризикові. Ось як ключові напрямки – охорона здоровʼя, фінанси, правоохоронна діяльність і освіта – будуть змінені:

  • Охорона здоровʼя та медичні пристрої: ШІ відкриває великі можливості для медицини (від діагностики захворювань до роботизованих операцій), проте за цим законом такі застосування часто автоматично визначаються як високоризикові. Фактично, будь-який компонент ШІ у медичному пристрої, який підпадає під дію окремої регуляції, розглядатиметься як високоризиковий emergobyul.com. Наприклад, штучний інтелект для аналізу рентгенів чи алгоритм, що рекомендує варіанти лікування, мають відповідати цим новим вимогам (окрім вже чинних медичних стандартів). Постачальники таких ШІ повинні проходити сувору оцінку відповідності (ймовірно, з використанням процедури CE-маркування для медтехніки). Вони мають гарантувати клінічну якість і безпеку, що повністю відповідає вимогам до точності та управління ризиками. Пацієнти й медперсонал отримають більше гарантій – ШІ має бути надійним, а його обмеження – прозорими. Однак розробники медичного ШІ стикнуться зі зростанням витрат на R&D і документацію для доведення відповідності. Можемо очікувати дещо повільніше впровадження інновацій у сфері ШІ у європейській медицині до проходження повного регуляторного огляду goodwinlaw.com. З іншого боку, закон стимулює експериментування через регуляторні “пісочниці”: лікарні, стартапи та регулятори можуть співпрацювати в контрольованих випробуваннях ШІ-систем (наприклад, діагностичних помічників), щоб отримати докази безпеки та ефективності перед масштабним запровадженням. До 2026 року в кожній країні-члені має запрацювати щонайменше одна регуляторна “пісочниця” для ШІ у сферах на кшталт охорони здоровʼя artificialintelligenceact.eu. Підсумок: європейський медичний ШІ стане безпечнішим та більш стандартизованим, але виробникам доведеться дуже обережно дотримуватись вимог, щоб вчасно виводити рятівні інновації на ринок.
  • Фінанси й страхування: Закон відводить чимало фінансових сервісів на ШІ до категорії високого ризику. Зокрема, системи для оцінки кредитоспроможності – тобто алгоритми, які вирішують отримати вам кредит чи з якою ставкою, – визнано високоризиковими, бо вони впливають на доступ до критично важливих послуг digital-strategy.ec.europa.eu. Це означає: банки та фінтех-компанії, що використовують ШІ для схвалення кредитів, скорингу чи розрахунку страхових премій, мають забезпечити в цих системах недискримінаційність, прозорість і аудит. Доведеться вести документацію про процес навчання моделей (наприклад, щоб довести, що алгоритм не занижує оцінки мешканцям певних районів чи етнічних груп – ці проблеми відомі для “чорних скринь” кредитних моделей). Клієнти отримають більше прозорості: хоч сам AI Act прямо не дає права на пояснення рішення як GDPR, вимога надання чіткої інформації користувачам означає, що кредитори мають, щонайменше, повідомляти про використання ШІ та загальні принципи його роботи digital-strategy.ec.europa.eu. Ще один приклад – ШІ у виявленні шахрайств і протидії відмиванню грошей: такі системи можуть підпадати або під високий ризик (коли зачіпають основоположні права), або ж вимоги про прозорість для обмеженого ризику. Фінансові компанії повинні розгорнути ефективне управління ШІ – тобто поширити свої фреймворки управління ризиком моделей на нові критерії AI Act. На початковому етапі це витрати – залучення фахівців із тестування упередженості чи підготовка документації, – але результатом стане справедливіший, контрольований ШІ у фінансовій сфері. Клієнти побачать менше упереджень у скорингових рішеннях і знатимуть, що регулятори контролюють ці технології. Компанії, що використовують ШІ для андеррайтингу у страхуванні (моделювання ризику для медичних/життєвих полісів), теж підпадають під високий ризик artificialintelligenceact.eu і повинні захищатися від несправедливих дискримінацій (наприклад, не допускати підвищення премій ШІ через захищені ознаки здоровʼя). В цілому закон стимулює розвиток більш прозорого й підзвітного ШІ у фінансах, що має зміцнити довіру споживачів до таких продуктів у середньостроковій перспективі.
  • Правоохоронна діяльність та громадська безпека: У цій сфері закон діє дуже обережно через ризики для громадянських прав. Деякі застосування ШІ для поліції повністю заборонені як неприйнятні: наприклад, ШІ для “соціального скорингу” чи предиктивної поліції, що профілює особу за можливою злочинністю, заборонені artificialintelligenceact.eu artificialintelligenceact.eu. Також тривале обговорення викликала система розпізнавання облич у реальному часі у публічних місцях: поліції такі інструменти заборонені за винятком надзвичайних ситуацій (і то зі строгими процедурами погодження) europarl.europa.eu. Європейські служби безпеки не можуть просто запустити мережі онлайн-відеоспостереження з розпізнаванням облич – це можливо лише у вузько визначених випадках серйозної загрози та після судового дозволу. Інші інструменти для поліції визнаються високоризиковими – їх дозволено застосовувати, але під контролем. Наприклад, ШІ для аналізу минулих даних про злочини для розподілу патрулів, чи ШІ для оцінки доказів або профілювання підозрюваних теж підпадає під високий ризик digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Поліція чи прикордонники, що користуються такими системами, повинні проводити оцінки впливу на фундаментальні права та залишати ключові рішення остаточно за людиною, а не ШІ. Також створюється європейська база даних усіх використаних високоризикових ШІ-систем для правоохоронних органів – це підвищує прозорість і дає змогу громадськості частково контролювати їх впровадження (частина інформації, звісно, залишиться обмеженою через чутливість). Для органів правопорядку закон може означати більшу бюрократію (реєстрація, погодження інструментів із повідомленим органом тощо), і це може уповільнити запровадження нових рішень. Але ці заходи мають запобігти зловживанням – наприклад, ситуаціям, коли “чорний ящик” ШІ вирішує міру покарання чи ставить прапор на кордоні без права оскарження. Окремий пункт – технології аналізу емоцій: закон забороняє AI, що намагається визначити емоції в поліційних допитах, на співбесідах чи іспитах – як небезпечні та ненадійні digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Тож для європейської поліції основний фокус – підтримка людини аналітикою, а не делегування рішень “машині”, й категорична відмова від небезпечних і антиутопічних практик. Закон намагається досягти балансу – дати ШІ допомагати у безпеці, але не ціною основних прав і свобод громадян.
  • Освіта та працевлаштування: ШІ у сфері освіти – наприклад, програми для оцінювання екзаменів чи рекомендації для розподілу студентів – вважаються високоризиковими, оскільки впливають на майбутнє людини digital-strategy.ec.europa.eu. Заклади освіти чи постачальники ed-tech-інструментів, які впроваджують ШІ для оцінювання, виявлення плагіату тощо, повинні забезпечити точність і відсутність упередженості в цих рішеннях. Неправильний алгоритм, що занижує оцінки окремим категоріям студентів, чи технічний збій на іспиті можуть кардинально змінити життєвий шлях, тож обґрунтовано трактуються як високий ризик. Міністерства й університети мусять обережно аналізувати постачальників ШІ й детально документувати кожен алгоритм, що впливає на вступ чи оцінку. Студенти мають бути поінформовані про використання ШІ (прозорість) і мати можливість/право оскаржити рішення – нові вимоги підтримують саме такий підхід. Водночас у сфері праці ШІ для прийому на роботу й управління HR (скринінг резюме, рейтинг кандидатів чи моніторинг продуктивності) – також високоризикові digital-strategy.ec.europa.eu. Компаніям треба буде довести, що ці інструменти розроблено й протестовано на справедливість (щоб уникнути, наприклад, повторення гендерної упередженості у відборі персоналу). Закон може “струснути” ринок технологій підбору кадрів – багато автоматизованих платформ доведеться серйозно модернізовувати, щоб продовжувати працювати в ЄС, і, можливо, повернути частину рішень людям. У найпростішому варіанті кандидати побачать повідомлення “Вашу заявку може обробляти ШІ” та зможуть вимагати пояснення рішень – прозорість насамперед. Позитив – справедливість і підзвітність у наймі: ШІ перестає бути “таємним фільтром”, а стає контрольованим інструментом. Для HR-відділів виклик – інтегрувати ці перевірки, не занадто ускладнюючи/уповільнюючи процес відбору. Й тут можуть стати у пригоді “пісочниці”: HR-тех-стартап може випробовувати свою робочу ШІ-систему в регуляторній “пісочниці”, отримуючи відгуки, чи відповідає вона вимогам справедливості, перед масштабним запуском на ринку.

У інших галузях, спеціально не визначених у законі, ефект залежить від конкретних застосувань. Наприклад, критична інфраструктура (енергомережі, транспорт) із впровадженням ШІ для оптимізації роботи визнається високоризиковою, якщо збій створює загрозу безпеці artificialintelligenceact.eu. Тож комунальні та транспортні оператори мають проходити сертифікацію для своїх автоматизованих систем керування. Маркетинг і соціальні мережі (алгоритми таргетингу реклами чи рекомендації контенту) загалом віднесено до мінімального/обмеженого ризику – прямо AI Act їх не регулює, хоч дія інших законів (DSA тощо) лишається актуальною.

Однією з примітних сфер є споживчі товари та робототехніка – якщо ШІ інтегрується в споживчі товари (іграшки, побутова техніка, транспортні засоби), починають діяти закони про безпеку продукції. Наприклад, іграшка з ШІ, яка взаємодіє з дітьми, може бути високоризиковою, особливо якщо вона здатна небезпечно впливати на поведінку дітей europarl.europa.eu. Закон спеціально забороняє іграшки, які використовують голосовий ШІ для заохочення шкідливої поведінки у дітей europarl.europa.eu. Тому компанії, що розробляють іграшки та ігри з використанням ШІ, мають бути дуже обережними з контентом та функціями. Загалом ті галузі, які мають справу з людським життям, можливостями чи правами, стикаються з найсуттєвішими новими правилами. У цих секторах ймовірно відбудеться культурний зсув у бік «етики та комплайенсу ШІ» – з появою таких ролей, як спеціаліст з дотримання вимог для ШІ чи етичний ревізор. Можливі тимчасові затримки через аудит та вдосконалення систем, але у довгостроковій перспективі може зрости довіра суспільства до ШІ у цих сферах. Наприклад, якщо батьки довірятимуть, що ШІ, який оцінює їхню дитину, має гарний нагляд щодо справедливості, вони можуть бути більш відкритими до використання ШІ в освіті.

Вплив на бізнес: МСП, стартапи і глобальні компанії

Закон ЄС про ШІ вплине на організації будь-якого розміру – від спритних стартапів до багатонаціональних технологічних гігантів, особливо якщо вони пропонують продукти чи сервіси ШІ в Європі. Витрати на комплайєнс та обов’язки будуть суттєвими, але закон також містить заходи підтримки або коригування для малих підприємств. Через екстериторіальну дію навіть глобальним компаніям за межами ЄС варто звернути увагу. Малі і середні підприємства (МСП): МСП та стартапи часто є основними інноваторами у сфері ШІ – фактично, оцінюється, що 75% інновацій у ШІ походить від стартапів seniorexecutive.com. ЄС свідомо не хотів «розчавити» цих гравців комплайєнсом, тому в законі є положення, сприятливі для МСП. Наприклад, штрафи за порушення для МСП у абсолютних сумах є нижчими orrick.com, що запобігає руйнівним санкціям для малих компаній. Прямо передбачено, що регуляторні пісочниці мають бути безкоштовно та з пріоритетним доступом для МСП thebarristergroup.co.uk. Ці пісочниці (запрацюють з 2026 року в кожній державі-члені) дозволять стартапам тестувати ШІ-системи під наглядом і отримувати фідбек щодо комплайєнсу без ризику санкцій під час тестування. Це можливість ітерувати продукт разом із регулятором – потенційно сприймати комплайєнс не як перешкоду, а як спільне проектування. Крім цього, Європейська комісія запустила «AI Pact» та інші програми підтримки разом із законом digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. AI Pact – це добровільна програма із закликом компаній до раннього дотримання та обміну найкращими практиками, з особливим акцентом на допомогу небагатим на ресурси учасникам. Закон також передбачає, що AI Office надаватиме інструкції, шаблони та ресурси для МСП artificialintelligenceact.eu. Можливо з’являться типові зразки планів з управління ризиками або чек-листи документації, які може використати стартап із 10 людей, а не наймати велику юридичну команду. Попри цю підтримку, багато стартапів все ж занепокоєні тягарем комплайєнсу. Вимоги (описані вище), як-от системи менеджменту якості або оцінка відповідності, можуть лякати невелику команду з обмеженим персоналом. Існує ризик, що інновації уповільняться чи переорієнтуються географічно: якщо запускати продукт ШІ у Європі надто складно, стартап може вирішити виходити спочатку на інші ринки (наприклад, у США), а інвестори можуть віддавати перевагу регіонам із «легшими» правилами seniorexecutive.com seniorexecutive.com. Як сказав один технологічний CEO, чіткі правила дають упевненість, але надмірно жорсткі «можуть відштовхнути гідні, важливі дослідження на інші ринки» seniorexecutive.com. Деякі засновники стартапів вважають закон надто широким і обтяжливим, побоюючись, що компанії на ранніх стадіях розвитку не справляться з витратами на комплайєнс і вирішать переїхати за межі ЄС seniorexecutive.com. Щоб це пом’якшити, політики ЄС зазначають, що стандарти та процедури комплайєнсу будуть максимально спрощеними. Наприклад, можуть з’явитися стандартизовані модулі оцінки відповідності, яких може дотримуватися невеликий провайдер, або сертифікаційні послуги, що акумулюють витрати між кількома МСП. Серед експертів обговорюється навіть ідея «грантів на комплайєнс» або субсидій – фінансування для допомоги стартапам у покритті витрат на дотримання нових правил seniorexecutive.com. Якщо такі стимули дійсно з’являться (на рівні ЄС чи національному), це полегшить тягар. У будь-якому разі МСП варто почати з віднесення своїх ШІ-систем до категорій ризику і сфокусуватися на високоризикових. Багато стартапів у сфері ШІ можуть з’ясувати, що їхній продукт насправді має мінімальний чи обмежений ризик і їм потрібно лише додати десь розкриття інформації, а не впроваджувати повну комплайєнс-програму. Для стартапів у високоризикових сферах (як-от медтех чи HR-рішення) дуже важливо рано співпрацювати з регуляторами (через пісочниці чи консультації). Закон прямо заохочує «проінноваційний підхід» до застосування – тобто регулятори мають ураховувати потреби дрібних учасників і не застосовувати покарання за одним шаблоном, особливо на початковому етапі seniorexecutive.com. Ймовірно, на практиці буде своєрідний пільговий період, коли компанії, що щиро прагнуть дотриматись вимог, будуть отримувати підтримку, а не штрафи. Глобальні та неєвропейські компанії: Як і GDPR, закон про ШІ має екстериторіальну дію. Якщо система ШІ виводиться на ринок ЄС або її результати використовуються в ЄС, правила застосовуються незалежно від місцезнаходження провайдера artificialintelligenceact.eu. Це означає, що компанії зі США, Азії чи інших держав не можуть ігнорувати закон про ШІ, якщо мають клієнтів чи користувачів у Європі. Наприклад, компанія з Силіконової долини, що продає HR-інструмент з ШІ європейським клієнтам, повинна забезпечити відповідність цього інструменту вимогам ЄС (або інакше її клієнти в ЄС не зможуть ним користуватись легально). Для великих глобальних технологічних компаній (Google, Microsoft, OpenAI та ін.) закон вже впливає на поведінку. Ще до ухвалення закону деякі компанії почали впроваджувати більше прозорості чи контролю у своїх ШІ-продуктах, очікуючи регулювання. Наприклад, виробники генеративного ШІ працюють над інструментами для маркування AI-генерованого контенту, а також оприлюднюють інформацію про свої навчальні дані та обмеження моделей у відповідь на тиск ЄС. Є також точка зору, що відповідність закону про ШІ може стати конкурентною перевагою чи знаком якості – так само, як продукти з відміткою «GDPR-compliant» вважають дружніми до приватності, так і продукти, які відповідають закону ЄС про ШІ, можуть сприйматися як більш надійні у світі. Однак для глобальних компаній важливо балансувати різні юрисдикції. Правила ЄС можуть не повністю збігатися, наприклад, із майбутніми вимогами у США. Деякі штати чи федеральні інструкції в США можуть суперечити або вимагати іншої звітності. Міжнародні компанії можуть стандартизуватись на найсуворіший режим (часто саме європейський), щоб одразу покрити всі ринки – як це сталося з GDPR, коли багато фірм поширили права GDPR на інші ринки. Можливо, провайдери ШІ впроваджуватимуть європейські практики прозорості (наприклад, маркуватимуть результати ШІ) глобально, для послідовності. Закон може фактично експортувати норми «довірчих» ШІ за ЄС на інші ринки, якщо великі компанії запровадять зміни до всіх своїх продуктів. Утім, залишатиметься ризик фрагментації: якщо інші регіони підуть іншим шляхом, глобальним компаніям доведеться підтримувати окремі версії AI-продуктів чи функції для різних ринків. Наприклад, AI-додаток може мати окремий «EU режим» із додатковими гарантіями. Згодом це не ефективно, тому зростатиме тиск на міжнародне узгодження (про це далі). З точки зору корпоративної стратегії великі компанії, ймовірно, створять спеціальні команди дотримання вимог для ШІ (якщо вони цього ще не зробили) для аудиту своїх ШІ-систем щодо положень закону. Може з’явитися ринок наявки аудиторських фірм зі ШІ, що надаватимуть сертифікаційні послуги — нова екосистема, подібна до аудитів у сфері кібербезпеки, яку використовуватимуть як великі, так і середні компанії для перевірки відповідності ще до офіційної перевірки регулятором.

Ще одним наслідком є вплив на інвестиції: як інвестори венчурного капіталу, так і корпоративні покупці проводитимуть due diligence на відповідність Акту про штучний інтелект. Стартапи можуть отримувати від інвесторів питання: «Чи зроблена у вас оцінка ризиків щодо AI Act? Ви перебуваєте у пісочниці чи маєте план отримання маркування CE, якщо це потрібно?» — аналогічно до того, як дотримання вимог до приватності стало пунктом перевірки під час раундів фінансування після впровадження GDPR. Компанії, які зможуть продемонструвати відповідність, можуть легше залучати партнерів і продажі в Європі, тоді як ті, хто цього не зможе, виглядатимуть як більш ризиковані ставки.

Підсумовуючи, для МСП і стартапів цей закон є «палкою з двома кінцями» — він приносить прозорість і, можливо, конкурентну перевагу для рішень «відповідального ШІ», але також підвищує планку для участі в певних високо ризикованих сферах. Для глобальних компаній Акт фактично може встановити де-факто глобальний стандарт для регулювання ШІ (як це зробив GDPR для захисту даних) і ці вимоги треба буде інтегрувати у життєві цикли розробки ШІ-продуктів. ЄС сподівається, що сприяючи довірі через регулювання, насправді підвищить рівень впровадження ШІ — бізнес і споживачі почуватимуться більш комфортно, знаючи, що ШІ регулюється. Але це справедливо лише за умови, якщо відповідність досяжна; інакше інновації можуть переміститись у менш зарегульовані юрисдикції.

Наслідки для інновацій, інвестицій у ШІ та міжнародного узгодження

Акт ЄС про штучний інтелект викликав широкі дискусії щодо його загального впливу на сферу ШІ — чи буде він гальмувати інновації чи навпаки стимулювати їх? Як він вплине на глобальні практики регулювання ШІ? Ось кілька основних очікуваних наслідків:

Інновації: гальмо чи прискорювач? Критики стверджують, що суворі правила Акту, особливо щодо високоризикових рішень на основі ШІ, можуть уповільнити експериментальні інновації, особливо для стартапів, які й рухають більшість передових розробок (seniorexecutive.com). Вимоги щодо відповідності (документація, оцінки тощо) можуть подовжити цикли розробки і відволікати ресурси від чистих R&D. Наприклад, дослідницькій команді з ШІ доведеться витратити кілька додаткових місяців на валідацію даних і підготовку звітів про відповідність, перш ніж випустити продукт. Є занепокоєння щодо потенційного «відтоку інновацій», коли топові таланти чи компанії у сфері ШІ вирішать базуватися у регіонах зі слабшим регулюванням seniorexecutive.com. Якщо в Європі стане надто складно працювати, наступний проривний ШІ може бути створений у США чи Азії, а потім адаптований під Європу (або не пропонуватиметься там взагалі).

Ми вже бачимо, що деякі сервіси на базі ШІ (особливо генеративні ШІ-додатки) блокують користувачів з ЄС або відкладають запуск у ЄС, виправдовуючи це регуляторною невизначеністю. З часом, якщо Акт вважатимуть надто обтяжливим, Європа ризикує відстати у впровадженні ШІ порівняно з державами зі слабшим регуляторним тиском.

З іншого боку, багато представників індустрії вважають, що чіткі правила можуть сприяти інноваціям, зменшуючи невизначеність seniorexecutive.com. Акт формує передбачуване оточення — компанії знають «правила гри» і можуть інновувати впевнено, оскільки за дотримання гайдлайнів їхній ШІ не буде раптово заборонений або розкритикований публікою. Часто вказувана перевага — що Акт посилить довіру суспільства до ШІ, що критично для впровадження. Якщо громадяни довірятимуть, що ШІ в Європі перевіряється на безпеку й справедливість, вони охочіше користуватимуться такими рішеннями, що прийде до зростання ринку. Бізнес може бути більш схильний інвестувати в ШІ-проекти, маючи чітку структуру відповідності, а не боячись анархії чи майбутніх скандалів і судових позовів.

По суті, Акт намагається знайти баланс: він додає «тертя» (нагляд, підзвітність) із розрахунком, що це забезпечить довгострокову стійку інновацію, а не короткострокову «несанкціоновану» інновацію. Запровадження пісочниць і фокус на МСП свідчить, що ЄС усвідомлює: занадто багато бар’єрів = втрачені інновації, і активно намагається це компенсувати.

Є також думка, що етична інновація ШІ може стати конкурентною перевагою. Європейські компанії можуть спеціалізуватися на таких ШІ, які з самого початку прозорі та орієнтовані на людину, отримуючи перевагу, коли глобальний попит на відповідальний ШІ зростає. Вже зараз сектор етики та комплаєнс-тулів у ШІ зростає — від програм для виявлення упередженості до платформ документації моделей — частково завдяки очікуваним регулюванням на кшталт цього.

Інвестиції в ШІ: У короткостроковій перспективі витрати на відповідність — це новий «податок» на розробку ШІ, що може зробити інвесторів трохи обережнішими, або ж вони спрямовуватимуть кошти на задоволення комплаєнс-потреб. Деякі ВК-фонди та приватні інвестори можуть уникати стартапів з найзарегульованіших сфер ШІ, якщо в тих немає чіткого плану відповідності (або якщо потенціал ринку не переважує витрати на відповідність). Натомість ми можемо побачити зростання інвестицій у певних сферах:

  • RegTech для ШІ: Компанії, що пропонують рішення для дотримання вимог AI Act (наприклад, сервіси аудиту ШІ, автоматизації документації, інструменти моніторингу моделей) можуть опинитися на піку інвестицій, адже попит на їхні продукти зростатиме.
  • Перевірка відповідності та стандарти для ШІ: Може з’явитися фінансування для проектів ШІ, які здатні відповідати або перевершувати регуляторні вимоги — і таким чином виділятися. Наприклад, модель ШІ, доведено зрозуміла та справедлива, може приваблювати клієнтів і інвесторів концепцією «відповідність закладена у дизайн».

Сам ЄС спрямовує інвестиції у ШІ-дослідження та інновації, орієнтовані на довіру. Через такі програми, як Horizon Europe і Digital Europe Programme, кошти спрямовуються у ШІ-проекти, що наголошують на прозорості, стійкості та відповідності цінностям ЄС. Тож державне фінансування сприяє інноваціям, але у напрямках, що вважаються прийнятними.

Можливим результатом є те, що деякі нішеві сфери ШІ можуть процвітати в Європі (ті, що легко відповідають вимогам, наприклад ШІ для медицини, де можна довести користь для безпеки), тоді як інші можуть відставати (наприклад, ШІ для модерації соцмереж, якщо її визнають занадто ризикованою або складною для комплаєнсу — гіпотетично). Також ми можемо побачити зсув від рішень ШІ для кінцевих споживачів до В2В-рішень у Європі — оскільки ті, що зорієнтовані на споживача, приваблюють більше уваги регуляторів (особливо, якщо впливають на поведінку), а корпоративний ШІ, що використовується лише всередині компаній, легше узгодити з вимогами регулювання.

Глобальне узгодження чи фрагментація: На міжнародному рівні за AI Act пильно стежать. Він цілком може стати шаблоном, який підхоплять інші демократичні країни. Вже зараз Бразилія ухвалила законопроєкт з ризик-орієнтованою моделлю в стилі ЄС cimplifi.com, а такі країни, як Канада, розробили власні законопроєкти щодо ШІ (AIDA), які фокусуються на високовпливовому ШІ та зниженні ризиків cimplifi.com. Ці ініціативи натхненні підходом ЄС. Якщо кілька юрисдикцій ухвалять подібні рамки, ми наблизимося до уніфікації — а це вигідно для ШІ-компаній, адже зменшить кількість різнорідних вимог до відповідності.

Втім, не всі йдуть тим самим шляхом, що і ЄС. Сполучене Королівство поки зайняло більш м’яку, принципо-орієнтовану позицію, надаючи перевагу гайдлайнам від галузевих регуляторів замість одного окремого закону cimplifi.com. Велика Британія акцентує на інноваціях і заявляє, що не хоче перенадмірно регулювати молоду індустрію. Можливо, AI Act з’явиться і там, але він, ймовірно, буде менш жорстким і приписуючим, ніж у ЄС. Японія та інші країни також декларували більше добровільний підхід, орієнтований на етичні принципи замість обов’язкових норм.

У Сполучених Штатах наразі відсутній федеральний закон щодо ШІ, аналогічний Акту ЄС. Натомість у США був оприлюднений необов’язковий Blueprint for an AI Bill of Rights, у якому окреслені широкі принципи — безпека, недискримінація, захист даних, прозорість і людська альтернатива weforum.org, але це більше політичний документ, аніж закон. Вірогідніше, у США буде галузеве регулювання ШІ (наприклад, FDA регулюватиме ШІ у медичних пристроях, фінансові регулятори — ШІ у банкінгу) і використання вже існуючих законів щодо дискримінації чи відповідальності. В кінці 2023 і у 2024 році США активізували зусилля: адміністрація Байдена видала виконавчий указ щодо ШІ (жовтень 2023), який серед іншого зобов’язує розробників найпотужніших моделей передавати уряду результати тестів безпеки та регулювати ШІ у сферах біобезпеки та громадянських прав. Та це лише указ, а не закон. Тим часом, Конгрес організовує слухання та готує проєкти законів, але станом на середину 2025 ще жоден із них не було ухвалено. Ймовірний сценарій для США — це мозаїка: окремі штати матимуть власні закони про ШІ (наприклад, зобов’язання прозорості для deepfake чи регулювання рекрутингових алгоритмів), а федеральні агентства слідкуватимуть за відповідністю чинним законам (FTC — проти недобросовісних ШІ-практик, EEOC — заборона упередженого рекрутингу тощо), а не за один всеохоплюючий закон.

Це означає, що у короткостроковій перспективі компанії зіштовхнуться з розбіжним ландшафтом регулювання: жорсткий режим у ЄС, гнучкіший (але такий, що розвивається) підхід у США, та різні моделі в інших країнах. Аналітики Senior Executive прогнозують, що США і надалі дотримуватимуться галузевої стратегії для збереження конкурентної переваги, а Китай продовжить політику посилення контролю, тоді як Велика Британія, Канада, Австралія можуть обмежитися гнучкими гайдлайнами seniorexecutive.com. Така фрагментація створює виклики — компаніям доведеться адаптувати свої рішення під різні регіональні вимоги, що є неефективним, витратним і може загальмувати глобальне впровадження ШІ, адже доведеться забезпечувати комплаєнс з різними рамками.

З позитивного боку, існують активні зусилля щодо міжнародної координації: ЄС та США через свою Раду з торгівлі та технологій мають робочу групу з питань ШІ, щоб прагнути до спільних підходів (вони вже працювали над такими темами, як термінологія та стандарти штучного інтелекту). G7 запустила Хіросімський процес зі штучного інтелекту у середині 2023 року для обговорення глобального врядування ШІ, і серед ідей була розробка кодексу поведінки для компаній зі штучного інтелекту на міжнародному рівні. Організації як ОЕСР та ЮНЕСКО встановили принципи ШІ, до яких приєдналися багато країн (включно зі США, ЄС, і навіть Китаєм у випадку ОЕСР) – ці принципи охоплюють знайомі теми (справедливість, прозорість, підзвітність). Є сподівання, що це може стати базовим рівнем для узгодження регулювання.

У довгостроковій перспективі деякі вважають, що ми можемо отримати зближення щодо основних принципів, навіть якщо юридичні механізми відрізняються seniorexecutive.com. Наприклад, майже всі погоджуються, що ШІ не має бути небезпечним або явно дискримінаційним – шляхи контролю за цим можуть різнитися, але мета (безпечніший, справедливіший ШІ) є спільною. Можливо, через діалоги чи навіть міжнародні угоди, ми побачимо часткову гармонізацію. Фрагментований старт може зрештою привести до більш єдиної системи норм seniorexecutive.com, особливо з огляду на глобалізацію самого ШІ (важко обмежити можливості штучного інтелекту в під’єднаному світі).

Лідерство та конкуренція у сфері ШІ: Існує також геополітичний вимір. ЄС позиціонує себе як лідера у етичному регулюванні ШІ. Якщо його модель набуде світового поширення, ЄС отримає важелі впливу у встановленні стандартів (аналогічно тому, як GDPR вплинув на захист даних по всьому світу). З іншого боку, якщо Акт сприйматимуть як такий, що стримує розвиток ШІ в Європі, тоді як інші регіони стрімко розвиваються, ЄС можуть критикувати за створення конкурентних недоліків для себе. Американські технологічні компанії наразі лідирують у багатьох сферах ШІ, а Китай активно інвестує в цю галузь. Ставка Європи – що довірливий (надійний) ШІ у довгостроковій перспективі переможе над нерегульованим ШІ, але чи так буде насправді – покаже час.

Перші ознаки у 2025 році свідчать про наявність обох тенденцій: Деякі компанії у сфері ШІ заявляють, що європейські правила спонукають їх розробляти кращий внутрішній контроль (позитивний ефект), тоді як інші призупинили певні сервіси в Європі (негативний ефект). Також ми бачимо, як міжнародні компанії взаємодіють з регуляторами ЄС — наприклад, великі лабораторії ШІ вже ведуть перемовини з ЄС, як впровадити, скажімо, водяні знаки для ШІ-контенту, що свідчить про вплив Акту вже зараз на дизайн світових продуктів.

З точки зору інвестицій та досліджень, слід очікувати більших зусиль у таких сферах ШІ, як пояснюваність, зниження упередженості та верифікація – адже цього потребує дотримання закону. ЄС фінансує багато досліджень у цих напрямах, що може призвести до проривів, які зроблять ШІ безпечнішим і легшим для регулювання (наприклад, нові методи інтерпретації нейромереж). Якщо такі прориви відбудуться, вони можуть бути корисні для всіх, а не лише для Європи.

Підсумовуючи, Акт ЄС про ШІ — це сміливий експеримент у регулюванні, який може або встановити світовий стандарт врядування штучного інтелекту, або, якщо він буде невдало налаштованим, ризикує ізолювати екосистему ШІ ЄС. Найбільш імовірно, що він матиме суттєвий вплив: інновації у сфері ШІ не припиняться, але адаптуються до нових регулювань. Компанії та інвестори вже коригують свої стратегії — вбудовують вимоги відповідності у свої продуктові плани, враховують вартість впровадження ШІ в ЄС, а дехто може переключитися на застосування з меншими ризиками або інші ринки. На міжнародному рівні ми стоїмо на роздоріжжі: чи піде світ шляхом ЄС (до більш уніфікованих світових стандартів штучного інтелекту), чи побачимо розкол, коли ШІ розвиватиметься по-різному під впливом різних філософій регулювання? Наступні кілька років, коли положення Акту повністю запрацюють, а інші країни відреагують, стануть показовими.

Глобальне регулювання ШІ: Акт ЄС проти США, Китаю (та інших)

Акт ЄС про ШІ не існує у вакуумі — це частина ширшого світового руху щодо подолання викликів штучного інтелекту. Порівняймо його з підходами Сполучених Штатів та Китаю — інших світових супердержав у сфері ШІ з дуже різними філософіями регулювання, а також згадаймо деякі інші країни:

США («Blueprint for an AI Bill of Rights» та майбутні політики): США наразі застосовують менш централізований, більш принциповий підхід. У жовтні 2022 Бюро з науки та технологічної політики Білого дому випустило Проєкт Білля про права щодо штучного інтелекту — це набір із п’яти основних принципів для проектування та використання автоматизованих систем weforum.org:

  1. Безпечні та ефективні системи – Американці мають бути захищені від небезпечного або несправного ШІ (наприклад, штучний інтелект має тестуватися та контролюватися щодо відповідності призначеному використанню) weforum.org.
  2. Захист від дискримінації алгоритмами – ШІ не має несправедливо дискримінувати і має застосовуватись у рівноправний спосіб weforum.org. Це пов’язано з чинним цивільним законодавством; по суті, ШІ не має стати лазівкою для дискримінації там, де людині це було б заборонено законом.
  3. Захист приватності даних – Люди мають контролювати використання своїх даних у ШІ та бути захищеними від зловживань weforum.org. Це не новий закон про приватність, але підкреслює, що ШІ не має її порушувати і має використовувати мінімум даних.
  4. Повідомлення та пояснення – Люди мають знати, коли використовується система ШІ і розуміти, чому вона прийняла рішення, що їх стосується weforum.org. Це закликає до прозорості та пояснюваності, подібної до вимог прозорості в ЄС.
  5. Альтернативи, обдумування і втручання людини – Там, де це доречно, повинна бути можливість відмовитися або звернутися за переглядом до людини weforum.org. Наприклад, якщо ШІ відмовляє вам у важливому (іпотека чи ще щось), ви маєте право оскаржити це у людини або отримати повторний розгляд.

Ці принципи значною мірою відображають мету Акту ЄС (безпека, справедливість, прозорість, людський контроль), але важливо, що цей Білль про права зі ШІ не є законом — це рамкова політика без обов’язкової сили weforum.org. На даний момент це стосується переважно федеральних агенцій, спрямовуючи, як уряд повинен закуповувати і використовувати ШІ. Очікується, що це стане прикладом і для індустрії, і справді деякі компанії демонструють підтримку цим принципам. Але дотримання є добровільним; штрафів напряму за цей Білль про права немає.

Крім цього, США поки що спираються на чинне законодавство для боротьби з грубими порушеннями у сфері ШІ. Наприклад, Федеральна торгова комісія (FTC) попередила компанії, що може карати за несправедливі чи оманливі практики з використанням ШІ (наприклад, неправдиві твердження щодо того, на що здатен ШІ, або небезпечне для споживача застосування ШІ). EEOC (Комісія з рівних можливостей у працевлаштуванні) розглядає, як закони про зайнятість застосовуються до інструментів підбору персоналу з використанням ШІ – наприклад, якщо система стабільно відмовляє кандидатам літнього віку, це порушення антивікових законів. Тобто, в США відбувається нагляд, але через загальні закони, а не спеціальні правила щодо ШІ.

Водночас ландшафт у США починає змінюватися. У 2023-2024 роках у Конгресі розгорнулися серйозні дискусії щодо регулювання ШІ через стрімкий розвиток генеративного ШІ. Подано кілька законопроєктів (щодо маркувань для deepfake, прозорості ШІ, систем відповідальності тощо), хоч жоден ще не прийнято. Обговорюється створення федерального інституту безпеки штучного інтелекту або надання нових повноважень агентствам для нагляду за ШІ. Ймовірно, у США найближчими роками з’явиться конкретніше регулювання ШІ, але це буде більш точковий підхід, а не «всеохоплюючий» акт як у ЄС. США традиційно регулюють по секторах — наприклад, використання ШІ у медичній сфері підпадає під контроль FDA, й FDA вже видав настанови щодо «програмного забезпечення як медичного пристрою», що охоплює частину алгоритмів ШІ. Інший приклад — фінансові регулятори (як CFPB чи OCC) приділяють увагу моделям кредитування з використанням ШІ та можуть забезпечити справедливість через чинне фінансове законодавство.

В одній сфері США вже пішли рішуче вперед — штучний інтелект у питаннях національної безпеки: нещодавнє розпорядження уряду США вимагає, щоб розробники передових моделей штучного інтелекту ділилися результатами тестів безпеки з урядом, якщо їхні моделі можуть мати суттєві наслідки для національної безпеки (наприклад, моделювання небезпечних біологічних агентів). Це більш цілеспрямований підхід порівняно з ЄС, який не має спеціального розділу щодо національної безпеки, окрім застосувань правоохоронних органів.

Підсумовуючи, американський підхід наразі м’який та заснований на принципах, з акцентом на інновації та чинні правові норми. Компанії заохочують (але поки що не зобов’язують) дотримуватися етичних принципів. Відмінність від ЄС у тому, що ЄС вимагає дотримання цих принципів законом із перевірками та штрафами, а США поки лише радять дотримуватись їх і покладаються на ринок і широкі закони для контролю. Чи зійдуться згодом США з ЄС (ухваливши власний акт щодо ШІ чи низку правил) – важливе питання. В США лунають голоси за посилення регулювання для конкурентоспроможності та суспільної довіри, але є й чимало попереджень щодо зарегулювання, яке може загальмувати галузь. Ймовірний компромісний варіант: вимагати прозорість для критичних систем ШІ або сертифікацію для чутливих застосувань без повної режиму класифікації ризиків.

Регулювання та стандарти штучного інтелекту в Китаї: Китай має зовсім іншу політичну систему, і його підходи до AI-врегулювання відображають такі пріоритети: соціальна стабільність, контроль над інформацією та стратегічне лідерство в сфері AI. Китай швидко розширює нормативну базу, застосовує суворий підхід особливо щодо контенту й використання, переважно через адміністративні правила.

Ключові елементи підходу Китаю включають:

  • Обов’язкова перевірка й цензура AI-контенту: У серпні 2023 року Китай запровадив Тимчасові заходи для генеративних AI-сервісів cimplifi.com. Ці правила вимагають, щоб будь-який генеративний AI, що пропонується на публіку (наприклад, чат-боти чи генератори зображень), забезпечував, щоб контент відповідав основним соціалістичним цінностям, був законним і правдивим. Провайдери повинні проактивно фільтрувати заборонений контент (все, що може бути визнано підривним, непристойним або інакше незаконним згідно з цензурною політикою Китаю). Тобто, китайські AI-компанії спочатку вбудовують жорсткі системи модерації контенту. Також правила вимагають маркування AI-контенту, якщо він може ввести людей в оману щодо того, що є реальністю, cimplifi.com. Дуже схоже на вимоги ЄС щодо мітки deepfake, але в Китаї це обґрунтовується необхідністю не допустити дезінформації, що може призвести до соціальних безладів.
  • Реєстрація алгоритмів: Ще до появи генеративних AI-правил, у Китаї діяли норми для рекомендаційних алгоритмів (з початку 2022 року). Компанії повинні реєструвати свої алгоритми в Адміністрації кіберпростору Китаю (CAC) і надавати інформацію про їхню роботу. Центральний реєстр потрібен для контролю; влада прагне знати, які алгоритми використовуються, особливо ті, що впливають на громадську думку (як стрічки новин).
  • Перевірка справжніх імен і контроль даних: Китайське законодавство часто вимагає, щоб користувачі AI-сервісів реєструвалися з справжньою ідентичністю (це спрямовано на запобігання зловживань і дозволяє відстежити, хто створив певний контент). Дані для навчання AI, особливо якщо вони містять персональні відомості, підпадають під Закон про безпеку даних і Закон про захист персональної інформації Китаю. Тому китайські компанії мають також враховувати вимоги про доступ уряду (уряд може вимагати доступу до даних і алгоритмів в цілях безпеки).
  • Оцінки безпеки: У 2024–2025 роках національний орган стандартів Китаю (NISSTC) видав проєкт рекомендацій із безпеки для генеративного AI cimplifi.com. Вони регламентують технічні заходи щодо роботи з навчальними даними, безпеки моделей тощо, що узгоджено з акцентом уряду на AI, яким не можна легко зловживати або який не створюватиме заборонений контент. У березні 2025 року CAC затвердила Механізм маркування AI-генерованого контенту (як згадувалося вище), за яким з вересня 2025 року весь AI-контент має бути чітко позначений cimplifi.com. Це перетинається з подібним правилом ЄС, однак в Китаї це пов’язано зі стримуванням “чуток” і контролем над інформацією.
  • Загальні етичні рамки: Китай також публікував принципи на високому рівні – наприклад, у 2021 році Міністерство науки і техніки затвердило етичні рекомендації для AI, в яких йдеться про ставлення до людини в центрі й контрольованість. У 2022 році Національний комітет із врегулювання AI (багатостороння група) випустив документ Принципи врегулювання AI з акцентом на гармонії, справедливості, прозорості. А в 2023 році Китай презентував Рамкову стратегію безпеки AI, що органічно поєднана з його світовою ініціативою щодо AI, підкреслюючи, наприклад, людяність і категоризацію ризиків cimplifi.com. Це частково нагадує принципи OECD чи ЄС, демонструючи прагнення Китаю позиціонувати себе як державу, що просуває “відповідальний AI”, хоча й у власному контексті (наприклад, справедливість може означати запобігання дискримінації етнічних меншин, але також гарантує, що AI не загрожує національній єдності).
  • Суворе використання (або зловживання) у діяльності правоохоронців: Якщо ЄС забороняє багато систем біометричного нагляду у реальному часі, то Китай є лідером у впровадженні систем AI-спостереження (розпізнавання обличчя у громадських місцях, “розумний” міський моніторинг тощо). Деякі правові норми все ж обмежують поліцію в цілях безпеки, однак у держави дуже широкі повноваження. Система соціального рейтингу існує у початковій формі (здебільшого це фінансовий кредит і судові дані), хоча не настільки “науково-фантастична”, як іноді уявляють, а ЄС прямо забороняє підходи “соціального скорингу”, як їх бачить.

Фактично, китайське законодавство суворе щодо контролю контенту та етичних норм, але реалізується зверху вниз. Якщо Акт ЄС спрямований на розширення можливостей громадян і створення підзвітних процесів, то китайський підхід – це контроль над провайдерами і недопущення ризиків для державних інтересів. Для бізнесу дотримання вимог у Китаї означає тісну співпрацю з владою, вбудований механізм цензури та подання звітності, а також відповідність національним цілям (наприклад, використання AI для економічного розвитку, але не для інакодумства).

Можна сказати, що китайська модель “сувора, але інша”: вона не робить акцент на публічній прозорості (пересічний китайський користувач може й не дізнатись, чому AI ухвалив певне рішення), натомість робить акцент на відстежуваність і видимість для держави. Також прямо забороняються практики, які на Заході можуть певною мірою допускатися (наприклад, окремі політичні висловлювання через AI).

Китайським AI-компаніям, як Baidu чи Alibaba, доводилось відкликати або перенавчати моделі, якщо ті видавали політично чутливий контент. Розвиток великих моделей у Китаї сильно визначається цими правилами – ще на етапі підготовки даних здійснюється попереднє фільтрування “табу”, а моделі донавчають, щоб уникати певних тем.

Цікаво, деякі вимоги Китаю (наприклад, маркування deepfake) збігаються із нормами ЄС, хоча і з інших причин. Це є потенційною точкою зближення технічних стандартів — маркування AI-контенту може стати світовою нормою, хоча мотивація різна (ЄС: захист від обману; Китай: це плюс контроль за інформацією).

Інші країни: Окрім цих трьох, варто згадати ще декілька:

  • Канада: Як зазначалося раніше, Канада запропонувала Закон про штучний інтелект і дані (AIDA) як частину законопроєкту C-27 cimplifi.com. Він стосувався “високо ризикованих” AI-систем з вимогами щодо оцінки впливу та певними заборонами. Проте цей законопроєкт завис (на початку 2025 року його так і не ухвалили, фактично “поховавши” у парламенті cimplifi.com). Канада, ймовірно, повернеться до нього згодом. Наразі ж дотримується принципів міжнародних організацій, наприклад, OECD.
  • Велика Британія: Британія, відійшовши від ЄС, презентувала Білу книгу з регулювання AI (березень 2023), зробивши акцент на інноваційному розвитку та м’якому регулюванні. План Британії — дозволити чинним регуляторам (як Health and Safety Executive, Financial Conduct Authority тощо) видавати AI-рекомендації для своїх секторів, базуючись на спільних принципах (безпека, прозорість, справедливість, підзвітність, можливість оскарження) cimplifi.com. Вони свідомо не поспішають з новим AI-законом. Британія спостерігає, як запрацює Акт ЄС, і може адаптуватися, але хоче зберегти гнучкість, щоби приваблювати AI-бізнес. Також провели Саміт з безпеки AI (листопад 2023), щоб підсилити свою роль у світових дискусіях щодо AI. Такий підхід дає менше обмежень у короткій перспективі, але може змінитися, якщо AI-ризики зростуть.
  • Інші навколо ЄС: Рада Європи (в ширшому складі, ніж ЄС) працює над Конвенцією про AI, яка може стати міжнародним правовим документом щодо етики та прав людини в AI – проект ще допрацьовується, але якщо його приймуть, то він зобов’яже учасників (у т.ч. деякі не-європейські країни) дотримуватись принципів, дещо подібних до Акту ЄС, але на більш загальному рівні.
  • Індія, Австралія тощо: Багато країн опублікували етичні принципи для AI. Індія, наприклад, використовує рамковий підхід і робить акцент на інноваціях, наразі не готуючи суворого AI-закону, а працює над розвитком компетенцій і секторальними рекомендаціями. Австралія розробляє підходи на основі ризиків, але теж поки без жорсткого закону. Загальний тренд — усі визнають необхідність AI-регулювання, однак жорсткість законів і ступінь гнучкості відрізняються.
  • Світові майданчики: Рекомендації ЮНЕСКО з етики AI (2021) були схвалені майже 200 країнами, містять такі принципи як пропорційність, безпека, справедливість тощо. Вони не є обов’язковими, але засвідчують світовий консенсус щодо цінностей. Подібно до цього, принципи OECD із AI (2019) були прийняті багатьма країнами й навіть лягли в основу підходу G20. Такі принципи багато в чому збігаються “на папері” з європейським підходом. Вимога часу — впровадити їх за межами формальних декларацій.

Всесвітній економічний форум та інші спільноти також ведуть діалог. Як згадано у статті WEF, відкритим лишається питання: ми бачимо розходження (“path-departing”, коли США, Китай і ЄС йдуть кожен своїм регуляторним шляхом), чи “ефект доміно”, де рух ЄС підштовхує інших weforum.org seniorexecutive.com. Є підтвердження обох сценаріїв: ЄС вплинув на Бразилію й Канаду; позиція США, можливо, стає гнучкішою (наприклад, дискусії щодо прозорості йдуть під тиском ЄС); Китай частково узгоджується (технічні стандарти подібні, але не сам демократичний підхід ЄС).

Підсумовуючи, спрощене порівняння може виглядати так:

  • ЄС: Комплексне, юридично обов’язкове регулювання у різних секторах на основі ризику; зосереджено на фундаментальних правах, значний нагляд (штрафи, контролюючі органи).
  • США: Станом на 2025 рік немає єдиного закону; покладаються на широкі принципи (Білль про права щодо ШІ) та секторальний нагляд; акцент на інноваціях та існуючих правових рамках; наразі більше саморегулювання індустрії.
  • Китай: Детальні державні правила для контролю вихідних даних і використання ШІ; орієнтація на безпеку, цензуру та державний нагляд; обов’язкове дотримання етичних норм, визначених державою; контроль через державні агентства із суворими покараннями (включно з кримінальною відповідальністю за порушення державних правил).

Попри відмінності, всі три визнають проблеми, такі як упередженість, безпека та прозорість – просто вони розставляють різні пріоритети і застосовують різні методи контролю. Для глобальної компанії це означає, що потрібно орієнтуватись у трьох режимах: дотримуватись процедурної ретельності ЄС, слідувати рекомендаціям США та будь-яким новим законодавчим актам на рівні штатів, а також впроваджувати китайські правила щодо контенту та вимоги до реєстрації, якщо працюєте там. Це складно, і на міжнародних майданчиках буде тиск, аби знизити цей тягар через гармонізацію певних аспектів (наприклад, розробку спільних технічних стандартів керування ризиками ШІ, які задовольнили б регуляторів у різних юрисдикціях).

Один обнадійливий сигнал: співпраця щодо стандартів ШІ (технічні стандарти через ISO/IEC чи інші органи) може дозволити компанії розробити ШІ відповідно до одного набору вимог, який потім широко визнаватиметься. Акт ЄС навіть згадує, що дотримання гармонізованих європейських стандартів (коли вони з’являться для ШІ) матиме презумпцію відповідності artificialintelligenceact.eu. Якщо ці стандарти співпадатимуть із глобальними, компанія зможе розробляти рішення за принципом “зробив один раз — дотримався всюди”.

І нарешті, дивлячись у майбутнє — по мірі розвитку ШІ (з появою, наприклад, GPT-5 чи більш автономних ШІ-систем), еволюціонуватимуть і регулювання. ЄС вніс механізми перегляду для оновлення свого Акту. США чи інші країни можуть прийняти нові закони у разі суттєвого інциденту з ШІ (як deякі витоки даних раніше призвели до посилення законів про приватність). Міжнародне узгодження також може стати вимушеним – якщо, наприклад, ШІ почне суттєво впливати на події за межами державних кордонів (наприклад, спровокує фінансову кризу), країни будуть змушені координувати дії для управління ситуацією.

Поки що будь-якій організації, яка прагне “бути на крок попереду” у сфері ШІ, необхідно стежити за всіма цими напрямами: європейські вимоги щодо відповідності критично важливі для виходу на ринок ЄС, кращі практики США — ключ до цього великого ринку, а розуміння вимог Китаю — обов’язкове для тих, хто працює там. Превентивна позиція — впровадження етичних і безпечних принципів використання ШІ всередині компанії — забезпечить її готовність до різних режимів регулювання. Це часто означає створення внутрішньої рамки управління ШІ, яка відповідає найсуворішим стандартам (зазвичай європейським), а потім адаптацію під конкретні регіони.

У підсумку, Акт ЄС щодо ШІ станом на 2025 рік задає темп у сфері регулювання ШІ. Хоча це створює певні виклики, він також пропонує структурований шлях до довіри до ШІ. Компанії та уряди по всьому світу стежать і реагують – хтось посилює власне регулювання, інші роблять ставку на інновації. Наступні роки покажуть, як ці підходи взаємодіють і чи вдасться досягти більш гармонізованого глобального управління, чи ж розробникам доведеться лавірувати у “клаптиковій ковдрі” регулювань. У будь-якому разі, ті, хто стежить за новинами й готується заздалегідь — розуміє нюанси Акту ЄС, інвестує у відповідність процедур, бере участь у формуванні політик — матимуть найкращі шанси на успіх у нову епоху контролю над ШІ.

Джерела:

Marcin Frąckiewicz

Залишити відповідь

Your email address will not be published.

Latest Posts

Don't Miss

North Las Vegas & Enterprise Real Estate Market 2025: Boomtown Growth, Key Trends & 5‑Year Outlook

Північний Лас-Вегас і Ентерпрайз: Ринок нерухомості 2025 — Бурхливе зростання, ключові тенденції та 5‑річний прогноз

Аерозйомка нових житлових забудов у Ентерпрайзі, Невада, що ілюструє стрімке
Real Estate Market in Poland – Comprehensive Report

Ринок нерухомості в Польщі – комплексний звіт

Вступ та Огляд Ринку Польща є найбільшим ринком нерухомості Центральної