Закон ЕС об ИИ 2025: Всё, что нужно знать, чтобы опережать события

Введение и законодательный обзор

Закон об искусственном интеллекте Европейского союза (EU AI Act) — первая в мире всеобъемлющая нормативная база по регулированию ИИ, направленная на обеспечение доверенного ИИ, который поддерживает безопасность, фундаментальные права и общественные ценности digital-strategy.ec.europa.eu. Закон был предложен Европейской комиссией в апреле 2021 года и после длительных переговоров официально принят в середине 2024 года europarl.europa.eu europarl.europa.eu. Закон основывается на подходе, основанном на оценке рисков управления ИИ, устанавливая обязательства в зависимости от потенциальной опасности системы ИИ artificialintelligenceact.eu.

Законодательный график: Ключевые вехи включают одобрение Европейским парламентом в 2023–2024 годах и официальную публикацию 12 июля 2024 года, что стало основанием для вступления Закона в силу 1 августа 2024 года artificialintelligenceact.eu artificialintelligenceact.eu. Однако его положения вступают в силу поэтапно в последующие годы:

2 февраля 2025: Запрет систем ИИ неприемлемого риска. С этой даты стали запрещены все практики ИИ, признанные “неприемлемым риском” (см. ниже) europarl.europa.eu. Государства-члены ЕС также начали внедрение программ по повышению грамотности населения в области ИИ artificialintelligenceact.eu.
2 августа 2025: Вступают в силу правила прозрачности и управления. Новые правила для универсальных моделей ИИ (фундаментальных моделей), а также правила деятельности органов по управлению ИИ начинают действовать artificialintelligenceact.eu digital-strategy.ec.europa.eu. На этом этапе начнет функционировать общеевропейское Бюро ИИ (объясняется далее), и с этого момента возможно применение штрафов за несоблюдение orrick.com orrick.com.
2 августа 2026: Все основные требования вступают в силу полностью. Большинство обязательств Закона об ИИ — особенно для использования высокорисковых систем ИИ — становится обязательным через 24 месяца после вступления в силу digital-strategy.ec.europa.eu. С этой даты поставщики новых высокорисковых ИИ должны соблюдать Закон до вывода систем на рынок ЕС.
2 августа 2027: Истекают продленные сроки. Для определённых ИИ, встроенных в продукцию, подлежащую регулированию (например, медицинские AI-устройства), предусмотрен более длинный переход (36 месяцев) — до 2027 года — для достижения соответствия digital-strategy.ec.europa.eu. Также поставщики существующих универсальных моделей ИИ (выведенных на рынок до августа 2025 года) должны обновить их до требований Закона до 2027 года artificialintelligenceact.eu.

Этот поэтапный график даёт организациям время на адаптацию, в то время как ранние меры (например, запрет на вредные применения ИИ) позволяют бороться с наиболее серьёзными рисками без задержек europarl.europa.eu. Далее мы рассмотрим систему классификации рисков Закона и её значение для участников рынка ИИ.

Классификация по рискам: неприемлемый, высокий, ограниченный и минимальный риск

Согласно Закону ЕС об ИИ любая система ИИ классифицируется по уровню риска, от чего зависит, как она будет регулироваться artificialintelligenceact.eu. Четыре уровня риска выглядят так:

Неприемлемый риск: Такие применения ИИ считаются явной угрозой безопасности или основным правам человека и полностью запрещены в ЕС digital-strategy.ec.europa.eu. Закон прямо запрещает восемь практик, включая: ИИ, использующий подсознательные или манипулятивные техники для причинения вреда, эксплуатирующий уязвимые группы (например, детей или людей с инвалидностью) во вредоносных целях, государственное «социальное оценивание» граждан и определённые инструменты прогнозирования преступности artificialintelligenceact.eu artificialintelligenceact.eu. Особо важно, что удалённая биометрическая идентификация в реальном времени (например, живая система распознавания лиц в публичных местах) для правоохранительных органов, как правило, запрещена digital-strategy.ec.europa.eu. Есть ограниченные исключения — например, полиция может использовать распознавание лиц в реальном времени для предотвращения неминуемой террористической угрозы или поиска пропавшего ребёнка, но только с разрешения суда и под строгим контролем europarl.europa.eu. По сути, любая система ИИ, само использование которой признано несовместимым с ценностями ЕС (например, социальное кредитование или необоснованное прогнозирование совершения преступлений), не может применяться digital-strategy.ec.europa.eu.
Высокий риск: Системы ИИ, создающие серьёзные риски для здоровья, безопасности или фундаментальных прав, относятся к категории высокого риска. Они допускаются на рынок только при условии обеспечения строгих мер безопасности. Высокорисковые сценарии определяются двумя способами: (1) компоненты ИИ, являющиеся критически важными для безопасности и уже регулируемые по директивам ЕС о безопасности товаров (например, ИИ в медицинских приборах, автомобилях, авиации и пр.) artificialintelligenceact.eu; либо (2) приложения ИИ в конкретных областях, напрямую перечисленных в Приложении III к закону artificialintelligenceact.eu. Приложение III охватывает области критической инфраструктуры, образования, занятости, базовых услуг, правоохранительной деятельности, контроля на границе и отправления правосудия europarl.europa.eu europarl.europa.eu. Например, закон рассматривает ИИ, применяемый в образовании (например, автоматическая оценка экзаменов или определение допуска к обучению), как высокорисковый из-за его влияния на жизненные возможности человека digital-strategy.ec.europa.eu. Аналогично, ИИ для приема на работу или управления кадрами (например, сканеры резюме) и системы кредитного скоринга попадают под высокорисковые digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Даже хирургический робот или диагностическая система на базе ИИ относятся к высокому риску — как за счет вхождения в состав медицинского устройства, так и из-за риска для жизни пациентов digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Высокорисковый ИИ строго регулируется — прежде чем такие системы можно будет внедрять, поставщик обязан реализовать жесткие средства управления рисками и пройти процедуру оценки соответствия (подробно в следующем разделе) cimplifi.com. Все системы высокорискованного ИИ также будут включены в единую базу данных ЕС для прозрачности и надзора cimplifi.com. Важно, что Закон содержит узкие исключения, чтобы не всякая тривиальная автоматизация попадала в сферу “высокого риска” — например, если ИИ только помогает человеку в принятии решения или автоматизирует незначительную подзадачу, он может быть освобождён от такого статуса artificialintelligenceact.eu. Но по умолчанию любой ИИ, осуществляющий критически важные функции в указанных областях, считается высокорисковым и должен соответствовать строгим требованиям.
Ограниченный риск: В этот класс попадают системы ИИ, не являющиеся высокорисковыми, но требующие определённых обязательств по прозрачности artificialintelligenceact.eu. Закон не накладывает на такие системы жестких ограничений кроме требования информировать пользователей о применении ИИ. Например, чат-боты и голосовые помощники должны явно уведомлять людей о том, что те взаимодействуют с машиной, а не с человеком digital-strategy.ec.europa.eu. Аналогично, генеративный ИИ, создающий синтетические изображения, видео или аудио (например, дипфейки), должен предусматривать отметку AI-контента — например, водяными знаками или поясняющими подписями — чтобы зрителей невозможно было ввести в заблуждение europarl.europa.eu digital-strategy.ec.europa.eu. Цель — сохранить доверие, обеспечивая прозрачность. За пределами подобных раскрывающих требований ограниченный ИИ можно применять свободно, без предварительного согласования. Закон действительно рассматривает большинство потребительских ИИ-инструментов как ограниченный риск, где основной обязанностью является уведомление пользователя. Пример — ИИ, который изменяет голос или генерирует реалистичное изображение: он не запрещён, но должен сопровождаться явно заметной отметкой о генерации с помощью ИИ, чтобы не вводить в заблуждение europarl.europa.eu.
Минимальный (или нулевой) риск: Все прочие системы ИИ попадают в этот низший слой, который включает абсолютное большинство ИИ-приложений. Они несут незначительный или рутинный риск, поэтому на них не распространяются новые нормы регулирования в рамках Закона об ИИ artificialintelligenceact.eu digital-strategy.ec.europa.eu. Обычные примеры: фильтры спама на ИИ, рекомендательные алгоритмы, ИИ для видеоигр или простые AI-функции в ПО. Для таких случаев Закон практически не вмешивается — их можно создавать и использовать как прежде, в рамках существующих (например, потребительских или приватных) законов, но без особых требований к ИИ. ЕС прямо признает, что большинство используемых ИИ — низкорисковые и не должны чрезмерно регулироваться digital-strategy.ec.europa.eu. Регулирование нацелено на исключения (высокий и недопустимый риск), а ИИ минимального риска остается вне регулирования, что стимулирует инновации в этих сферах.

Вкратце: европейская модель на основе рисков полностью запрещает опасные злоупотребления ИИ, вводит жесткий контроль над чувствительными сценариями ИИ, а остальное регулирует поверхностно cimplifi.com. Этот многоуровневый подход призван защитить граждан от вреда, не навязывая универсального регулирования всему ИИ. Далее рассмотрим требования к соблюдению норм для разработчиков и пользователей ИИ, особенно в категории высокого риска.

Обязательства для разработчиков ИИ (провайдеров) и внедряющих (пользователей)

Требования к соблюдению для ИИ с высоким уровнем риска: Если вы разрабатываете систему искусственного интеллекта, признанную высокорискованной, Закон ЕС об ИИ накладывает подробный список обязательств до и после вывода системы на рынок. Эти требования во многом отражают практики из отраслей, критически важных для безопасности, и защиты данных, теперь применяемых к искусственному интеллекту. Провайдеры (разработчики, выводящие систему на рынок) ИИ с высоким уровнем риска должны, среди прочего:

Внедрение системы управления рисками: Необходимо организовать непрерывный процесс управления рисками на протяжении всего жизненного цикла системы ИИ artificialintelligenceact.eu. Это означает выявление предсказуемых рисков (например, опасности для безопасности, риски предвзятости или ошибок), их анализ и оценку, а затем принятие мер по снижению рисков от этапа проектирования до постмаркетингового сопровождения artificialintelligenceact.eu. Это похоже на подход «безопасность по проекту» — предвосхищение возможных сбоев или вреда со стороны ИИ и их раннее устранение.
Обеспечение высокого качества данных и управления данными: Обучающие, валидационные и тестовые наборы данных должны быть релевантными, репрезентативными и максимально свободными от ошибок и предвзятости artificialintelligenceact.eu. В законе делается акцент на предотвращении дискриминационных исходов, поэтому провайдеры обязаны проверять свои данные на наличие дисбалансов или ошибок, которые могут привести к несправедливому обращению с людьми со стороны ИИ digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Например, при разработке ИИ для отбора персонала следует проверить обучающие данные на предмет отражения исторической гендерной или расовой предвзятости при найме сотрудников. Управление данными включает также отслеживание их происхождения и обработки, чтобы обеспечить понимание и аудитируемость работы ИИ.
Техническая документация и ведение записей: Разработчики должны подготовить подробную техническую документацию, подтверждающую соответствие системы ИИ требованиям закона artificialintelligenceact.eu. В документации следует описать назначение системы, ее проектирование, архитектуру, алгоритмы, обучающие данные и внедренные меры по управлению рисками artificialintelligenceact.eu. Документация должна быть достаточной для того, чтобы регуляторы могли оценить, как работает система и соответствует ли она требованиям закона. Кроме того, ИИ с высоким уровнем риска должен быть спроектирован таким образом, чтобы автоматически вести журнал своих действий — то есть автоматически фиксировать события и решения для обеспечения отслеживаемости и анализа после выхода на рынок artificialintelligenceact.eu digital-strategy.ec.europa.eu. Например, система ИИ, принимающая решения о выдаче кредита, может сохранять входные данные и причину каждого решения. Эти журналы помогут выявлять ошибки или предвзятость и крайне важны в случае инцидентов или проверки соответствия.
Человеческий контроль и четкие инструкции: Провайдеры должны проектировать систему так, чтобы обеспечить эффективный человеческий контроль пользователем или оператором artificialintelligenceact.eu. Это может означать внедрение функций или инструментов, позволяющих человеку вмешаться или контролировать работу ИИ. Провайдер обязан предоставить детальные инструкции по эксплуатации внедряющему artificialintelligenceact.eu. В инструкциях нужно разъяснить, как правильно установить и эксплуатировать ИИ, в чем заключаются его ограничения, каков ожидаемый уровень точности, какие меры человеческого контроля необходимы и каковы риски неправильного использования artificialintelligenceact.eu. Задумка такова, что компания-пользователь ИИ (внедряющий) сможет осуществлять надзор и управление системой только при условии, что разработчик предоставил ей все необходимые знания и средства. Например, производитель медика-диагностического ИИ должен проинструктировать больницу, как правильно интерпретировать результаты и в каких случаях врачу стоит перепроверить выводы машины.
Производительность, устойчивость и кибербезопасность: ИИ с высоким уровнем риска должны обеспечить должный уровень точности, устойчивости и кибербезопасности для заявленной цели artificialintelligenceact.eu. Провайдеры должны тестировать и настраивать модели, чтобы минимизировать количество ошибок и избежать непредсказуемого поведения. Также необходимы меры по противодействию злоупотреблениям или взломам (кибербезопасность), поскольку взломанный ИИ может представлять опасность (например, если атакующий изменит работу системы ИИ, управляющей дорожным движением). На практике это может быть стресс-тестирование ИИ в различных условиях и обеспечение его работы при поступлении разных входных данных без критических сбоев artificialintelligenceact.eu. Все известные ограничения (например, снижение точности для определенных групп или сценариев) должны быть задокументированы и максимально устранены.
Система управления качеством: Для обобщения вышеперечисленных пунктов, провайдеры должны внедрить систему управления качеством artificialintelligenceact.eu. Это формализованный организационный процесс для обеспечения постоянного соблюдения требований — подобно стандартам качества ISO — охватывающий все, от стандартных рабочих процедур при разработке до реагирования на инциденты и обновления. Это институционализирует соблюдение требований, чтобы создание безопасного и законного ИИ было не разовой задачей, а постоянной практикой для провайдера.

Прежде чем система ИИ с высоким уровнем риска сможет быть выведена на рынок ЕС, провайдер обязан пройти оценку соответствия, подтверждающую выполнение всех этих требований. Многие такие системы пройдут самооценку, когда провайдер сам проверяет соответствие требованиям и выдает декларацию соответствия ЕС. Однако если ИИ является частью определенных регулируемых товаров (например, медицинское изделие или автомобиль), может потребоваться сертификация уведомленным органом (независимым сторонним экспертом) в соответствии с уже действующими регламентами продукции cimplifi.com. Во всех случаях прошедшие проверку системы будут иметь маркировку CE, подтверждающую соответствие стандартам ЕС, и будут включены в общеевропейскую базу данных ИИ с высоким уровнем риска cimplifi.com. Эта база данных создана для публичной прозрачности, чтобы регуляторы и общественность могли узнать, какие системы ИИ с высоким риском используются и кто за них отвечает.

Обязательства для внедряющих (пользователей): Закон также возлагает ответственность на пользователей или операторов, внедряющих ИИ с высоким уровнем риска в профессиональных целях. (Речь о компаниях или госорганах, использующих ИИ, а не о конечных пользователях или потребителях.) Ключевые обязанности внедряющих включают: следовать инструкциям разработчика, обеспечивать необходимый человеческий контроль и мониторить работу ИИ в реальных условиях digital-strategy.ec.europa.eu. Если внедряющий замечает некорректную или небезопасную работу ИИ, он должен предпринять меры (вплоть до приостановки использования) и уведомить провайдера и регуляторов. Также внедряющие обязаны вести журналы при работе с ИИ (для фиксации его решений и результатов, дополнительно к встроенному логированию самой системы) и сообщать о серьезных инцидентах или сбоях в контролирующие органы artificialintelligenceact.eu. Например, больница, использующая ИИ для диагностики, обязана сообщить, если ошибка ИИ привела к неправильному диагнозу и ущербу для пациента. Такие обязанности пользователя гарантируют, что контроль продолжается и после внедрения — ИИ не «отпускается на самотек», а находится под человеческим наблюдением с обратной связью разработчику и регуляторам.

Стоит отметить, что малые пользователи (например, небольшая фирма) не освобождаются от этих обязательств, если внедряют ИИ с высоким уровнем риска, однако авторы закона предусмотрели, чтобы документация и поддержка провайдера делали выполнение требований реально осуществимым. Закон также различает пользователей и затронутых лиц — последние (например, потребитель, получивший отказ от ИИ) не несут обязанностей по закону, но имеют права, включая возможность пожаловаться на проблемные системы ИИ europarl.europa.eu.

Требования к прозрачности (помимо высокого риска): Помимо систем высокого риска, Закон об искусственном интеллекте предписывает определённые меры по прозрачности для некоторых ИИ вне зависимости от уровня риска. Мы уже упоминали их в разделе «ограниченный риск». Конкретно, любой ИИ, который взаимодействует с людьми, генерирует контент или ведёт мониторинг людей, обязан предоставлять раскрытие информации:

ИИ-системы, которые взаимодействуют с людьми (например, чат-боты или AI-ассистенты), должны сообщать пользователю, что они являются ИИ. Например, чат-бот службы поддержки клиентов должен явно обозначаться как автоматизированная система, чтобы пользователи не думали, что общаются с человеком digital-strategy.ec.europa.eu.
ИИ, который генерирует или изменяет контент (изображения, видео, аудио или текст) таким образом, что это может ввести в заблуждение, должен обеспечивать, что контент обозначается как сгенерированный ИИ digital-strategy.ec.europa.eu. Яркий пример — дипфейки: если ИИ создает реалистичное изображение или видео человека, который на самом деле не совершал описываемых действий, такой медиафайл должен быть помечен (за исключением случаев сатиры, искусства или исследований безопасности, на которые могут распространяться исключения). Цель — бороться с обманом и дезинформацией, делая происхождение контента понятным.
ИИ-системы, используемые для биометрического наблюдения (например, камеры с распознаванием лиц) или определения эмоций, должны предупреждать людей об их работе, когда это возможно. (Как отмечалось ранее, многие такие применения вообще запрещены или отнесены к высокому риску с жёсткими условиями).
Генеративные модели ИИ (часто называемые фундаментальными моделями, например, большие языковые модели вроде ChatGPT) имеют специальные требования к прозрачности и раскрытию информации. Даже если генеративная модель не считается высокорисковой, её поставщик обязан раскрывать определённую информацию: например, контент, сгенерированный ИИ, должен быть обозначен, а также поставщик должен публиковать краткое описание защищённых авторским правом данных, использованных для обучения модели europarl.europa.eu. Это нужно для информирования пользователей и правообладателей о возможных объектах авторских прав в наборе для обучения, а также для соответствия законодательству ЕС об авторском праве europarl.europa.eu. От поставщиков генеративных моделей также ожидается, что они будут предотвращать генерацию незаконного контента, например, с помощью фильтров или защитных механизмов в самой модели europarl.europa.eu.

Кратко, прозрачность — это сквозная тема Закона об ИИ: будь то высокорисковая система (с детальной документацией и информированием пользователей) или простой низкорисковый чат-бот (с простым уведомлением «Я ИИ»), цель — пролить свет на «черные ящики» искусственного интеллекта. Это не только расширяет возможности пользователей и затронутых лиц, но и способствует подотчетности: если возникнут проблемы, всегда останется след того, что ИИ должен был делать и как он был создан.

Искусственный интеллект общего назначения (фундаментальные модели): Значительное новшество в финальной версии Закона — набор правил для ИИ общего назначения (GPAI), то есть широких моделей ИИ, обученных на больших объемах данных (часто методом самоконтроля), которые могут быть адаптированы для самых разных задач artificialintelligenceact.eu. Примеры — крупные языковые модели, генераторы изображений и другие “фундаментальные модели”, которые создают технологические компании и затем позволяют другим использовать или дообучать. Закон исходит из того, что хотя такие модели не привязаны к конкретным случаям высокого риска, их могут интегрировать в системы высокого риска или они могут иметь системные последствия. Поэтому вводятся обязательства для поставщиков GPAI-моделей даже в тех случаях, когда сами модели ещё не используются конечными потребителями.

Все поставщики GPAI-моделей должны публиковать техническую документацию о своих моделях (описание процесса разработки и функционала) и давать инструкции downstream-разработчикам по корректному использованию модели в соответствии с требованиями закона artificialintelligenceact.eu artificialintelligenceact.eu. Также они обязаны соблюдать авторское право — то есть следить, чтобы учебные данные соответствовали законам ЕС об авторском праве — и публиковать краткое описание использованных для обучения данных (как минимум — их общий список) artificialintelligenceact.eu. Эти меры вносят прозрачность в традиционно закрытый мир больших моделей ИИ.

Принципиально важно, что Закон различает проприетарные модели и те, что распространены по открытым лицензиям. Поставщики открытых GPAI-моделей (где веса и код модели доступны для всех) имеют более лёгкие обязательства: им нужно соблюдать только требования по авторскому праву и прозрачности учебных данных, а не предоставлять всю техническую документацию и инструкции по использованию — если только их модель не несёт «системный риск» artificialintelligenceact.eu. Это исключение задумано, чтобы не сдерживать открытые инновации и исследования. Однако, если открытая модель обладает особенно высокой мощностью и способна оказать большое влияние, её использование не останется вне контроля только потому, что она является open-source.

Закон определяет «GPAI-модели с системным риском» как очень продвинутые модели, способные оказывать глубокое влияние на общество. Один из критериев — если обучение модели потребовало более 10^25 вычислительных операций (FLOPs), что выступает своеобразным ориентиром для особо мощных и ресурсозатратных моделей artificialintelligenceact.eu. Поставщики таких моделей с высоким воздействием обязаны проводить дополнительные оценки и тестирования (включая адверсариальные тесты для поиска уязвимостей) и активно устранять любые выявленные системные риски artificialintelligenceact.eu. Также необходимо сообщать о серьезных инцидентах, связанных с моделью, в Европейское бюро ИИ и национальные органы, а ещё обеспечивать высокий уровень кибербезопасности модели и её инфраструктуры artificialintelligenceact.eu. Эти меры учитывают опасения относительно топовых ИИ (например, GPT-4 и последующие), потенциально способных причинить большой ущерб (например, создавать новые формы дезинформации, совершать кибератаки и т.п.). Закон, по сути, гласит: если вы разрабатываете передовой универсальный ИИ, вы обязаны проявлять особую осторожность и сотрудничать с регуляторами для контроля такого ИИ europarl.europa.eu artificialintelligenceact.eu.

Для поощрения сотрудничества Закон предусматривает, что соблюдение кодексов поведения либо будущих гармонизированных стандартов может быть способом исполнения требований GPAI-поставщиками artificialintelligenceact.eu. На самом деле, ЕС уже разрабатывает Кодекс практики ИИ, которому отрасль может следовать до ввода обязательных стандартов digital-strategy.ec.europa.eu. Работу координирует Бюро по ИИ, которое разъясняет, как разработчики фундаментальных моделей смогут практически соблюдать требования digital-strategy.ec.europa.eu. Кодекс добровольный, но его следование может служить своеобразной «гарантией»: если компания ему следует, регуляторы, скорее всего, сочтут её деятельность соответствующей закону.

В целом, требования по Закону об ИИ охватывают весь жизненный цикл искусственного интеллекта: от проектирования (оценка рисков, проверка данных) до разработки (документация, тестирование), внедрения (прозрачность для пользователя, надзор) и этапа эксплуатации (мониторинг, сообщение о происшествиях). Соблюдение потребует мультидисциплинарного подхода — разработчикам ИИ понадобятся не только учёные по данным и инженеры, но и юристы, риск-менеджеры и этики, чтобы удостовериться, что соблюдены все требования. Далее рассмотрим, как будет обеспечиваться исполнение и что произойдёт, если компании нарушат правила.

Механизмы исполнения, надзорные органы и санкции

Для осуществления этого масштабного регулирования Закон ЕС об ИИ учреждает многоуровневую систему управления и контроля исполнения. Она включает национальные органы в каждой стране-участнице, новое центральное Европейское бюро по ИИ и координацию через Совет по ИИ. Этот подход некоторым образом основан на опыте ЕС с режимами товарной безопасности и защиты данных (например, смешанная система национальных регуляторов и Европейского совета по аналогии с GDPR).

Национальные компетентные органы: Каждое государство-член ЕС должно назначить один или несколько национальных органов, ответственных за надзор за деятельностью в сфере ИИ (часто их называют Органами рыночного надзора по ИИ) orrick.com. Эти органы будут заниматься ежедневным контролем соблюдения требований — например, проверять, соответствует ли продукт поставщика на рынке высоким рискам ИИ, или рассматривать жалобы от граждан. У них есть полномочия, аналогичные существующим требованиям по безопасности продукции (Регламент (ЕС) 2019/1020): они могут запрашивать информацию у поставщиков, проводить инспекции и даже запрещать выпуск на рынок несоответствующих систем ИИ orrick.com. Они также осуществляют мониторинг рынка на предмет систем ИИ, которые могут обходить правила или представлять непредвиденные риски. Если система ИИ признана несоответствующей или опасной, национальные органы могут назначать штрафы или требовать отзыв/изъятие системы.

Каждая страна, скорее всего, возложит эту роль на уже существующего регулятора или создаст новый орган (некоторые предлагают, чтобы регулированием ИИ занимались органы по защите данных, или отраслевые регуляторы, например, агентства по медицинскому оборудованию для медицинских систем ИИ, чтобы использовать экспертизу). К августу 2025 года страны-члены обязаны назначить и запустить своих регуляторов по ИИ artificialintelligenceact.eu, а к 2026 году каждая страна также должна создать хотя бы одну регуляторную “песочницу” для ИИ (контролируемая среда для тестирования инновационных решений ИИ под надзором) artificialintelligenceact.eu.

Европейское бюро по вопросам ИИ: На уровне ЕС создан новый орган — Бюро по вопросам ИИ в рамках Европейской комиссии (конкретно — под DG CNECT) artificialintelligenceact.eu. Бюро ИИ — это центральный регулятор, специализирующийся на ИИ общего назначения и трансграничных вопросах. В соответствии с Регламентом, Бюро по ИИ обладает исключительным правом принуждения к соблюдению правил для поставщиков моделей ИИ общего назначения (GPAI) orrick.com. Это означает, что если OpenAI, Google или любая другая компания предоставляет крупную модель ИИ, используемую по всей Европе, Бюро по ИИ будет главным органом, следящим за выполнением требований этими поставщиками (техническая документация, меры по снижению рисков и пр.). Бюро по ИИ может напрямую запрашивать информацию и документацию у поставщиков базовых моделей и требовать корректирующих действий при нарушениях orrick.com. Оно также будет рассматривать случаи, когда одна и та же компания является поставщиком базовой модели и внедряет систему высокого риска на ее основе, — чтобы такие ситуации не выпадали из поля зрения национального и общего надзора orrick.com.

Помимо принудительных мер, Бюро ИИ играет широкую роль в мониторинге тенденций и системных рисков ИИ. Ему поручено анализировать возникающие высокорисковые или непредвиденные проблемы, связанные с ИИ (особенно касающиеся GPAI), а также проводить оценку мощных моделей artificialintelligenceact.eu. В офисе будут работать эксперты (Комиссия уже набирает специалистов по ИИ artificialintelligenceact.eu) и независимая Научная группа экспертов по ИИ для консультаций по техническим вопросам artificialintelligenceact.eu. Важно, что Бюро по ИИ будет разрабатывать добровольные кодексы поведения и рекомендации для индустрии — служа ресурсом для поддержки соблюдения требований (особенно полезно для стартапов и малых компаний) artificialintelligenceact.eu. Бюро будет координировать действия с государствами-членами для единообразного применения правил и даже помогать в совместных расследованиях, если проблемы с ИИ касаются нескольких стран artificialintelligenceact.eu artificialintelligenceact.eu. По сути, Бюро по ИИ — попытка ЕС создать централизованный регулятор ИИ в дополнение к национальным органам — по аналогии с тем, как Европейский совет по защите данных работает для GDPR, но с прямыми полномочиями в отдельных сферах.

Совет по ИИ: Регламент учреждает новый Европейский совет по искусственному интеллекту, объединяющий представителей всех национальных органов по вопросам ИИ (и Европейского надзорного органа по защите данных и Бюро по ИИ в качестве наблюдателей) artificialintelligenceact.eu. Задача Совета — обеспечивать согласованную реализацию по всей Европе — участники будут делиться лучшими практиками, возможно — выносить заключения и рекомендации, а также координировать трансграничные стратегии надзора artificialintelligenceact.eu. Бюро по ИИ выступает секретариатом этого Совета, организует встречи и помогает в подготовке документов artificialintelligenceact.eu. Совет может, например, содействовать разработке стандартов или обсуждать необходимые со временем обновления Приложений к Регламенту. Это межправительственный форум, помогающий избежать различий в применении правил, что могло бы раздробить единый рынок ИИ в ЕС.

Штрафы за несоблюдение: Закон об ИИ вводит крупные штрафы за нарушения, следуя стратегии устрашения GDPR. Предусмотрено три уровня административных штрафов:

За самые серьезные нарушения — а именно запуск запрещенных практик ИИ (использование ИИ с недопустимо высоким риском, находящихся под запретом) — штрафы могут достигать 35 миллионов евро или 7% от общемирового годового оборота, в зависимости от того, какая сумма больше orrick.com. Это очень высокий потолок штрафа (заметно выше максимума 4% по GDPR). Такой подход отражает серьезность отношения ЕС, например, к созданию системы социального рейтинга или незаконному биометрическому наблюдению — это приравнено к самым тяжким корпоративным нарушениям.
За другие нарушения требований Регламента (например, несоблюдение обязательств по высоким рискам в ИИ, отсутствие регистрации системы, неисполнение требований прозрачности) максимальный штраф составляет 15 миллионов евро или 3% от общемирового оборота orrick.com. Это покроет большинство случаев несоблюдения: например, если компания не провела оценку соответствия или поставщик скрыл информацию от регулятора — такие случаи подпадают под этот критерий.
За предоставление недостоверной, вводящей в заблуждение или неполной информации регуляторам (например, во время расследования или в ответ на запрос по соблюдению требований) штраф может составлять до 7,5 миллионов евро или 1% от оборота orrick.com. Этот более низкий уровень предназначен в основном для препятствования или несотрудничества с органами.

Важно, что закон предусматривает, что МСП (малые и средние предприятия) должны получать штрафы ближе к нижней границе шкалы, а крупные компании — к верхней orrick.com. Иными словами, суммы €35 млн/7% или €15 млн/3% — это максимум; у регуляторов есть право выбора, и они должны учитывать размер и финансовые возможности нарушителя. МСП могут получить штраф в несколько миллионов, чтобы избежать непропорционального ущерба, а крупные ИТ-компании получат штраф в процентах от оборота — если требуется реальный эффект от наказания orrick.com.

Эти положения о штрафах становятся применимыми с 2 августа 2025 года для большинства правил orrick.com. (Этот срок соответствует вступлению в силу главы о надзоре и статей о штрафах). Однако по новым требованиям к моделям ИИ общего назначения штрафы начнут применяться годом позже — с 2 августа 2026 года, синхронизированно с обязательным введением требований для базовых моделей orrick.com. Такой переходный период дает поставщикам базовых моделей время для подготовки.

С точки зрения процедур и гарантий: компании получают такие права, как право быть заслушанными до вынесения решения о санкциях, а также обязательство конфиденциальности чувствительной информации, предоставляемой регуляторам orrick.com. В Акте также отмечается, что, в отличие от некоторых других законов ЕС, Комиссия (через Офис по вопросам ИИ) не обладает широкими полномочиями проводить внезапные проверки («dawn raids») или самостоятельно вызывать свидетелей — за исключением случаев, когда она временно принимает на себя роль национального органа orrick.com. Это отражает определённые ограничения, вероятно, чтобы снизить опасения по поводу возможного превышения полномочий.

Роль Офиса ИИ в обеспечении соблюдения закона: Европейская Комиссия через Офис ИИ может самостоятельно инициировать меры по обеспечению выполнения требований в некоторых случаях, в частности в отношении ИИ общего назначения. Это новый механизм — исторически Комиссия напрямую не обеспечивала соблюдение продуктовых норм (её роль ограничивалась надзором и координацией), кроме случаев конкуренции. В рамках Акта об ИИ Комиссия получает более практические инструменты контроля. Офис ИИ может расследовать деятельность поставщика базовой модели, запрашивать широкий объём документации (аналогично антимонопольным расследованиям) orrick.com, а также проводить моделируемые кибератаки или технические испытания на ИИ-модели для проверки их безопасности artificialintelligenceact.eu. Компании, попавшие под расследование, могут столкнуться с процессом, схожим с антимонопольными проверками, которые, как отмечают аналитики Orrick, могут быть весьма обременительными из-за необходимости предоставить тысячи документов, включая внутренние черновики orrick.com. Опыт Комиссии в масштабных расследованиях позволяет предполагать, что в серьёзных случаях по ИИ она будет привлекать значительные ресурсы. Это повышает требования к соблюдению закона для разработчиков ИИ, но также подчёркивает, что ЕС серьёзно относится к централизованному обеспечению соблюдения правил по фундаментальному ИИ, выходящему за национальные границы.

Контроль за высокорисковым ИИ: Для традиционного высокорискового ИИ (например, системы кредитного скоринга банка или применение ИИ в городской полиции) ключевыми органами по соблюдению остаются национальные регуляторы. Однако Офис ИИ и Совет ИИ будут поддерживать их, особенно если возникают вопросы, затрагивающие несколько стран. Акт предусматривает возможность совместных расследований, когда несколько национальных регуляторов сотрудничают (с поддержкой Офиса ИИ), если риски ИИ-системы носят трансграничный характер artificialintelligenceact.eu. Это предотвращает ситуацию, когда ИИ, применяемый по всему ЕС, регулируется только одной страной, а другие остаются не в курсе потенциальных проблем.

Наконец, предусмотрена процедура обжалования и пересмотра: компании могут обжаловать решения о мерах принуждения в национальных судах (или, в случае решения Комиссии, в судах ЕС), а сам Акт будет пересматриваться периодически. К 2028 году Комиссия должна оценить эффективность работы Офиса ИИ и новой системы artificialintelligenceact.eu, и каждые несколько лет будет пересматривать, нуждаются ли в обновлении категории рисков или перечни (приложение III и др.) artificialintelligenceact.eu. Такой гибкий подход к регулированию крайне важен из-за высокой скорости развития ИИ — ЕС намерен при необходимости корректировать правила с течением времени.

Итак, исполнение Акта об ИИ ЕС будет осуществляться сетью регуляторов с Европейским Офисом ИИ в качестве центрального узла для консультаций, координации и прямого надзора за базовыми моделями. Санкции очень существенные — на бумаге среди самых жёстких в мире ИТ-регулирования — что сигнализирует: несоблюдение исключено как вариант. Организациям следует встраивать соответствие требованиям в свои ИИ-проекты с самого начала, чтобы не рисковать штрафами или принудительным отключением ИИ-систем.

Отраслевые последствия и примеры применения

Влияние Акта об ИИ варьируется по отраслям, поскольку закон выделяет отдельные сферы как высокорисковые. Ниже приведён обзор воздействия на ключевые отрасли — здравоохранение, финансы, правоохранительные органы и образование:

Здравоохранение и медицинские приборы: ИИ открывает большие перспективы в медицине (от диагностики до роботизированной хирургии), но согласно Акту такие применения чаще всего отнесены к категории высокого риска. Более того, любой ИИ-компонент регламентируемого медицинского изделия будет по умолчанию считаться высокорисковым emergobyul.com. Например, ИИ-инструмент для анализа рентгеновских снимков или алгоритм, предлагающий варианты терапии, должен соответствовать требованиям Акта в дополнение к существующим медицинским регуляциям. Разработчикам медицинского ИИ придётся проходить жёсткие оценки соответствия (вероятно, в рамках процедур CE-маркировки медизделий). Они обязаны обеспечивать клиническое качество и безопасность, что согласуется с мандатами Акта по точности и снижению рисков. Для пациентов и медперсонала эти меры обеспечивают большую надёжность и прозрачность ограничений ИИ. Однако для разработчиков медицинского ИИ это означает рост расходов на НИОКР и документооборот ради подтверждения соответствия. В перспективе запуск инноваций ИИ в европейском здравоохранении может замедлиться — до прохождения регуляторной проверки goodwinlaw.com. С другой стороны, Акт стимулирует эксперименты через регуляторные песочницы: больницы, стартапы и органы власти могут проводить контролируемое тестирование ИИ-систем (например, ИИ-диагностического инструмента) — для сбора данных о безопасности и эффективности перед масштабным внедрением. К 2026 году в каждой стране ЕС должна быть доступна хотя бы одна регуляторная песочница для ИИ в области здравоохранения или других сферах artificialintelligenceact.eu. В результате, медицинский ИИ в Европе, вероятно, станет более безопасным и стандартизированным, но производителям придётся тщательно соблюдать правила, чтобы избежать задержек при выводе жизненно важных инноваций на рынок.
Финансы и страхование: Закон чётко относит многие финансовые ИИ-сервисы к категории высокого риска. В частности, системы оценки кредитоспособности — например, алгоритмы, решающие, одобрят ли вам займ и под какой процент, объявлены высокорисковыми, поскольку влияют на доступ к существенным услугам digital-strategy.ec.europa.eu. Это значит, что банки и финтех-компании при использовании ИИ для одобрения кредитов, скоринга или ценообразования по страховке должны гарантировать недискриминационность, объяснимость и аудитируемость таких систем. Им придётся хранить документацию о процессе обучения ИИ (чтобы, например, показать, что алгоритм не наказывает определённые этнические группы — известная проблема некоторых моделей скоринга). Клиенты также получат прозрачность: хотя Акт напрямую не даёт права на объяснение решений, как GDPR, требование ясно информировать пользователей означает, что заёмщику должны сообщать, что в его деле задействован ИИ, и, возможно, описывать его общий принцип работы digital-strategy.ec.europa.eu. Ещё один кейс — ИИ для выявления мошенничества и борьбы с отмыванием денег: если эти системы затрагивают основные права, то подпадают под высокорисковое или ограниченно-рискованное регулирование. Финансовым компаниям потребуется выстроить сильные процессы управления ИИ — например, совершенствуя механизмы контроля модельных рисков под критерии Акта об ИИ. Возможны начальные издержки на соблюдение: наём консультантов по тестированию на предвзятость, оформление новой документации и т.п., однако результатом должны стать более честные и надёжные ИИ-сервисы в финансах. Для клиентов это означает уменьшение предвзятости кредитных решений и гарантию, что за работой ИИ наблюдает регулятор. Страховые компании, использующие ИИ для расчёта тарифов (например, в здравоохранении и страховании жизни), также подпадают под высокорисковое регулирование artificialintelligenceact.eu и обязаны предотвращать несправедливую дискриминацию (например, чтобы ИИ не повышал необоснованно премии из-за защищённых медицинских характеристик). В целом, закон ориентирует финансовые ИИ-системы на большую прозрачность и подотчётность, что в перспективе должно повысить доверие к ним.
Правоохранительные органы и безопасность: В этой сфере Акт предусматривает предельно осторожное отношение из-за угрозы гражданским свободам. Ряд прикладных задач ИИ для полиции прямо запрещён как недопустимые: например, ИИ для “социального скоринга” или предиктивное полицирование (формирование профилей вероятных преступников) artificialintelligenceact.eu artificialintelligenceact.eu. Точно так же строго ограничено применение систем распознавания лиц в реальном времени в общественных местах полицией — только при исключительных чрезвычайных случаях (и при строгом согласовании) europarl.europa.eu. Это исключает массовое внедрение камер с живым идентификацией, практикуемое в некоторых странах, за редким исключением угроз национальной безопасности с одобрения суда. Другие инструменты полиции отнесены к высокорисковым, что допускает их использование только под надзором. Например, ИИ для анализа статистики преступности и распределения ресурсов полиции или анализа надёжности улик — это высокорисковое применение digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Здесь обязательны оценка влияния на фундаментальные права и требование, чтобы ключевые решения принимали люди, а не ИИ. Все такие ИИ-системы должны вноситься в специальную базу данных высокого риска, что обеспечит прозрачность (пусть и не полную, учитывая секретность ряда сведений). Для правоохранительных органов это увеличит бюрократическую нагрузку (оформление документов, допуск через нотифицированные органы и т.п.), что способно несколько замедлить внедрение. Тем не менее, подобные меры предназначены предотвращать злоупотребления — например, исключить ситуацию, когда ИИ-“чёрный ящик” определяет приговор или фильтрует людей на границе без объяснений. Ещё одно строгое ограничение — на технологии анализа эмоций в полиции и на рабочем месте: закон запретит ИИ, якобы способный определять эмоции на допросах, собеседованиях или экзаменах, поскольку такие системы считаются излишне вторгающимися в личную сферу и крайне недостоверными digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Таким образом, полиция и спецслужбы ЕС будут использовать ИИ в основном как вспомогательный инструмент анализа данных и рутинных задач (под контролем человека) и откажутся от более «дистопичных» практик, пробуемых в некоторых странах. В сущности, закон пытается найти баланс: дать ИИ помогать раскрывать преступления и повышать безопасность, но не за счёт основных прав и свобод.
Образование и занятость: ИИ-системы в образовании — например, программное обеспечение для проверки работ или рекомендаций по зачислению, — отнесены к высокорисковым из-за их влияния на будущее студентов digital-strategy.ec.europa.eu. Школы и ed-tech-компании, использующие ИИ для проверки эссе или выявления списывания, обязаны обеспечить точность и отсутствие предвзятости в таких инструментах. Ошибки в таких ИИ могут привести к фатальным последствиям для учащихся, из-за чего и предусмотрено регулирование по высокой категории риска. В практическом плане министерствам образования и университетам, возможно, придётся тщательнее проверять ИИ-подрядчиков и хранить документацию по алгоритмам, влияющим на приём или оценивание. Студенты должны быть информированы о применении ИИ (прозрачность) и иметь средства для апелляции решений — требованиям о прозрачности и человеческом контроле соответствует и сам закон. В кадровой сфере ИИ, применяемый для найма персонала или HR-задач (отбора резюме, ранжирования кандидатов, мониторинга эффективности сотрудников), также отнесён к высокорисковым digital-strategy.ec.europa.eu. Компаниям следует внимательно выбирать ИИ-инструменты для рекрутинга, удостоверяясь в проведении тестирования на справедливость (например, чтобы отсутствовала гендерная дискриминация при найме). Это может привести к изменениям на рынке технологий для найма: некоторым платформам может потребоваться доработка или новая документация, чтобы легально работать в ЕС, а компании вновь отдадут предпочтение большему участию человека, если их ИИ не соответствует стандартам. Минимум — кандидаты получат уведомления вроде «Ваше заявление обрабатывается при участии ИИ» и смогут запросить объяснения решений, что соответствует принципу прозрачности. В положительном плане это приведёт к большей справедливости и подотчётности в приёме на работу: ИИ перестанет играть роль загадочного “привратника”, а превратится в управляемый инструмент. Задача для HR — интегрировать проверки соответствия без излишнего усложнения найма и потери скорости. Здесь опять же могут помочь регуляторные песочницы: HR-стартап сможет протестировать свою ИИ-систему в песочнице с участием регуляторов и получить советы по требованиям к справедливости до массового внедрения.

В других отраслях, не указанных напрямую в Акте, воздействие зависит от сценариев использования. Например, критическая инфраструктура (электросети, управление дорожным движением), использующая ИИ для оптимизации процессов, будет считаться высокорисковой, если отказ может повлечь угрозу безопасности artificialintelligenceact.eu. Поэтому энергетикам и транспортным операторам потребуется сертифицировать свои ИИ-системы управления. ИИ для маркетинга и социальных сетей (например, алгоритмы таргетинга рекламы или рекомендательные системы) в основном попадают в категорию минимального либо ограниченного риска — они не подпадают под детальное регулирование Акта, хотя могут контролироваться другими законами (DSA и др.).

Одной из примечательных сфер является потребительские товары и робототехника: если ИИ интегрируется в потребительские товары (игрушки, бытовая техника, транспортные средства), начинают действовать законы о безопасности продукции. Например, игрушка с искусственным интеллектом, взаимодействующая с детьми, может представлять высокий риск, особенно если она может опасно влиять на поведение детей europarl.europa.eu. Акт специально запрещает игрушки, использующие голосовой ИИ для поощрения вредного поведения у детей europarl.europa.eu. Поэтому компаниям, производящим игрушки и игры с ИИ, нужно быть особо осторожными в отношении содержания и функциональности.

В целом, отрасли, связанные с жизнями людей, их возможностями или правами, сталкиваются с самыми существенными новыми правилами. В этих секторах, вероятно, возникнет культурный сдвиг в сторону «этики и комплаенса ИИ» — такие должности, как офицер по соблюдению норм ИИ или специалист по этике, станут обычным явлением. Хотя поначалу это может замедлить работу из-за необходимых аудитов и доработок систем, в долгосрочной перспективе доверие общества к ИИ в этих сферах может возрасти. Например, если родители будут уверены, что ИИ выставляет оценки их ребенку честно и под контролем, они станут более открыты к использованию ИИ в образовании.

Влияние на бизнес: малые, средние и глобальные компании

Акт ЕС об ИИ затронет организации всех размеров — от гибких стартапов до транснациональных технологических гигантов, особенно тех, кто предлагает продукты или услуги ИИ в Европе. Затраты и обязанности, связанные с соблюдением норм, будут немалыми, но в Акте прописаны меры поддержки и адаптации для малых компаний, а его экстерриториальное действие означает, что даже глобальным компаниям за пределами ЕС стоит быть внимательными.

Малые и средние предприятия (МСП): МСП и стартапы часто являются основными инноваторами в сфере ИИ — по некоторым оценкам, около 75% всех инноваций в ИИ создаются стартапами seniorexecutive.com. ЕС постарался не «раздавить» таких игроков необъятными требованиями, поэтому в Акт заложены дружественные к МСП положения. Например, штрафы за нарушения ниже для МСП в абсолютных евро orrick.com, чтобы не допустить разорения малых компаний. Более того, Акт обязывает создавать регуляторные песочницы бесплатно и с приоритетным доступом для МСП thebarristergroup.co.uk. Эти песочницы (которые будут работать к 2026 году в каждом государстве-члене) позволят стартапам тестировать ИИ-системы под надзором и получать обратную связь относительно комплаенса без риска штрафов на этапе тестирования. Это шанс совершенствовать продукт совместно с регуляторами — превратив соблюдение правил из барьера в совместный процесс разработки.

Кроме того, Европейская комиссия запустила «Пакт об ИИ» и другие поддерживающие инициативы одновременно с Актом digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Пакт об ИИ — это добровольная программа, приглашающая компании заранее соблюдать требования и делиться лучшими практиками, с упором на поддержку не-«бигтех» компаний. Акт также предусматривает, что Офис ИИ предоставит руководства, шаблоны и ресурсы для МСП artificialintelligenceact.eu. Возможно, появятся такие вещи, как примерные планы управления рисками или чек-листы для документации — то, чем сможет воспользоваться команда из 10 человек, а не нужен будет целый штат юристов.

Несмотря на эти меры поддержки, многие стартапы все равно обеспокоены бременем соблюдения норм. Такие требования, как системы управления качеством или процедуры оценки соответствия, могут быть тяжелым грузом для маленькой компании с ограниченным штатом. Есть опасения, что темпы инноваций замедлятся или переместятся географически: если запускать продукт ИИ в Европе слишком сложно и дорого, стартап выйдет сначала на другие рынки (например, в США), или инвесторы предпочтут регионы с менее суровыми правилами seniorexecutive.com seniorexecutive.com. Как выразился один CEO, понятные правила придают уверенность, но слишком жесткие «могут вытолкнуть достойные, значимые научные исследования в другие страны» seniorexecutive.com. Некоторые основатели стартапов рассматривают Акт как слишком широкое и обременительное регулирование, опасаясь, что молодые компании не выдержат затрат на комплаенс и уйдут из ЕС seniorexecutive.com.

Для смягчения этого риска политики ЕС указали, что стандарты и процедуры оценки соответствия будут максимально упрощенными. Например, могут быть стандартизированные модули оценки соответствия, которые сможет пройти малый поставщик, либо сертификационные сервисы, где стоимость делится между несколькими МСП. Эксперты даже предлагают идею «грантов на комплаенс» или субсидий — прямое финансирование для помощи стартапам в покрытии затрат на выполнение новых требований seniorexecutive.com. Если такие стимулы реализуются (будь то на уровне ЕС или национальном уровне), они значительно облегчат нагрузку.

В любом случае МСП стоит начать с картирования своих ИИ-систем по категориям риска и сфокусироваться на тех, что относятся к высоким. Многие AI-стартапы обнаружат, что их продукт — это минимальный или ограниченный риск, и тогда для них потребуется лишь раскрыть соответствующую информацию, а не проходить полный комплаенс. Для тех, кто работает в зонах большого риска (например, медтех-стартапы или стартапы в HR), крайне важно заранее взаимодействовать с регуляторами (через песочницы или консультации). Акт прямо поощряет «проинновационный подход» — т.е. ожидается, что регуляторы будут учитывать специфику малых компаний и не применять сразу наказания, особенно в начальный период seniorexecutive.com. На практике, вероятно, будет некий льготный период, когда компаниям, действительно старающимся соблюдать правила, помогут советом, а не сразу оштрафуют.

Глобальные и неевропейские компании: Как и в случае с GDPR, у Акта об ИИ есть экстерриториальный охват. Если система ИИ выводится на рынок ЕС или ее результаты используются в ЕС, правила могут применяться независимо от местонахождения провайдера artificialintelligenceact.eu. Это значит, что американские, азиатские или иные международные компании не могут игнорировать Акт, если у них есть клиенты или пользователи в Европе. Например, компания из Кремниевой долины, продающая AI-инструмент для найма европейским клиентам, будет обязана удостовериться, что продукт соответствует нормам ЕС (иначе его нельзя будет легально использовать).

Для крупных глобальных ИТ-компаний (Google, Microsoft, OpenAI и др.) Акт уже влияет на их поведение. Еще до окончательного утверждения закона некоторые компании начали вводить больше прозрачности и контроля в свои AI-продукты, предугадывая регулирование. Например, провайдеры генеративного ИИ разрабатывают инструменты маркировки сгенерированных данных, а некоторые уже публикуют информацию об обучающих датасетах и ограничениях моделей в ответ на давление ЕС. Существует мнение, что соблюдение Акта может стать конкурентным преимуществом или знаком качества — по аналогии с тем, как «GDPR-сертификат» считается признаком заботы о приватности, продукты с пометкой «соответствует Акту об ИИ ЕС» могут восприниматься как более надежные по всему миру.

Однако глобальным компаниям приходится учитывать законы разных стран. Требования ЕС могут не совпадать с будущими американскими нормами, а в США различные штаты или федеральные правила иногда даже противоречат друг другу. Поэтому крупные международные фирмы часто адаптируются сразу под самое строгое регулирование (часто речь именно о ЕС), чтобы унифицировать подход — как это происходило с GDPR, который многие компании внедряли по всему миру. Можно ожидать, что поставщики ИИ начнут применять европейские инструменты прозрачности (например, маркировку ИИ-выходных данных) глобально, ради единообразия. Таким образом, Акт может де-факто экспортировать «нормы доверенного ИИ ЕС» на другие рынки, если крупные компании внедрят эти изменения во всех версиях своих продуктов.

Тем не менее, риск фрагментации остается: если другие регионы выберут отличный от ЕС путь, глобальным компаниям придется поддерживать отдельные версии ИИ-продуктов или функций для каждого рынка. Например, у AI-приложения может появиться специальный «EU-режим» с дополнительными гарантиями. Со временем такой подход неэффективен, поэтому вырастет давление на международную гармонизацию (об этом в следующем разделе).

С точки зрения корпоративной стратегии, крупные фирмы, скорее всего, создадут отдельные команды комплаенса по ИИ (если еще не создали) для аудита своих ИИ-систем на соответствие положениям Акта. Также может возникнуть рынок сторонних аудиторских компаний по ИИ, предлагающих сервисы сертификации — появится новая экосистема вроде кибербезопасности, которой будут пользоваться как крупные, так и средние компании, чтобы проверить соответствие до прихода официального регулятора.

Еще одним следствием становится инвестирование: как венчурные инвесторы, так и корпоративные покупатели будут проводить due diligence на соответствие требованиям Акта об ИИ. Стартапам могут задать вопрос инвесторы: «Проведена ли у вас оценка рисков по Акту об ИИ? Вы находитесь в песочнице или у вас есть план по получению CE-маркировки, если это необходимо?» — аналогично тому, как соответствие требованиям конфиденциальности стало пунктом чек-листа на инвестиционных раундах после внедрения GDPR. Компании, способные продемонстрировать соответствие, вероятно, будут легче заключать партнерства и сделки в Европе, а те, кто этого сделать не может, могут восприниматься как более рискованные вложения.

В целом для МСП и стартапов Акт — палка о двух концах: он дает ясность и, возможно, конкурентное преимущество для решений «ответственного ИИ», но также повышает порог для входа на высокорисковые рынки. Для глобальных компаний Акт фактически может стать де-факто глобальным стандартом управления искусственным интеллектом (как GDPR стал для защиты данных), а компаниям придется интегрировать эти требования в свои жизненные циклы разработки ИИ. ЕС надеется, что, способствуя доверию через регулирование, он действительно стимулирует внедрение ИИ — бизнес и потребители могут чувствовать себя комфортнее, используя ИИ, зная, что он подлежит регулированию. Но это произойдет лишь в том случае, если соблюдение требований реально достижимо; иначе инновации могут сместиться в менее регулируемую среду.

Последствия для инноваций, инвестиций в ИИ и международной гармонизации

Акт ЕС об ИИ вызвал жаркие дебаты о его влиянии на всю индустрию: будет ли он тормозить инновации или, напротив, их стимулировать? Как он повлияет на мировую систему управления ИИ? Вот несколько ключевых ожидаемых последствий:

Инновации: тормоз или акселератор? Критики утверждают, что строгие правила Акта, особенно для высокорискового ИИ, могут замедлить экспериментальные инновации, особенно для стартапов, обеспечивающих основную часть передовых разработок seniorexecutive.com. Выполнение требований (документирование, оценки и т. д.) может удлинить циклы разработки и отвлечь ресурсы от чистых НИОКР. Например, команде ИИ-разработки, возможно, придется потратить дополнительные месяцы на валидацию данных и написание отчетов о соответствии перед выпуском продукта. Существует опасение по поводу возможного «оттока инноваций», когда лучшие специалисты и компании в области ИИ предпочтут работать в регионах с меньшими регуляторными барьерами seniorexecutive.com. Если Европа покажется слишком сложной для ведения бизнеса, следующий прорывной продукт ИИ может быть создан в США или Азии и лишь затем адаптирован для Европы (или вовсе не предлагаться на европейском рынке).

Мы уже видели, как некоторые AI-сервисы (особенно некоторые генеративные AI-приложения) блокируют в ЕС доступ для пользователей или задерживают выход на европейский рынок, ссылаясь на регуляторную неопределенность. Со временем, если Акт будет восприниматься как слишком обременительный, Европа рискует отстать в внедрении ИИ по сравнению с более свободными рынками.

С другой стороны, многие представители индустрии считают, что четкие правила могут способствовать инновациям, снижая неопределенность seniorexecutive.com. Акт формирует предсказуемую среду — компании знают «правила игры» и могут инновационно развивать ИИ с уверенностью, что, следуя им, их продукт не будет впоследствии запрещен или не встретит общественного осуждения. Часто упоминаемое преимущество: Акт повысит общественное доверие к ИИ, что критически важно для широкого внедрения. Если граждане уверены, что ИИ в Европе проверен на безопасность и справедливость, они могут охотнее пользоваться такими решениями, расширяя рынок ИИ-продуктов. Бизнес будет более склонен инвестировать в ИИ-проекты, зная, что у него есть рамки для соблюдения требований, а не опасаясь неуправляемого «дикого запада», который может привести к скандалам и судебным разбирательствам.

По сути, Акт пытается найти баланс: он создает «трение» (надзор, подотчетность) с расчетом на то, что это приведет к долгосрочным устойчивым инновациям вместо краткосрочного хаоса. Введение «песочниц» и внимание к МСП показывают, что ЕС понимает: слишком много трения = потерянные инновации, и делает все, чтобы этого избежать.

Также существует аргумент, что этичные инновации в ИИ могут стать конкурентным преимуществом. Европейские компании смогут специализироваться на ИИ, который прозрачен и ориентирован на человека по своей сути, что даст им преимущество на фоне растущего мирового спроса на ответственный ИИ. Уже сейчас отрасль инструментов для проверки этичности и соответствия ИИ быстро растет — от программ для обнаружения предвзятости до платформ документирования моделей — частично благодаря ожиданию подобных регулирующих мер.

Инвестиции в ИИ: В ближайшей перспективе издержки на соответствие требованиям станут новым «налогом» на разработку ИИ, что может привести к большей осторожности со стороны инвесторов или направлению средств специально на соответствие стандартам. Некоторые венчурные и частные инвестфонды могут избегать стартапов на регулируемых рынках ИИ, если у тех нет четкого плана по соблюдению стандартов (или если рыночный потенциал не перекрывает расходы на соответствие). С другой стороны, мы можем увидеть рост инвестиций в определенные направления:

RegTech для ИИ: Компании, предлагающие решения для обеспечения соответствия требованиям Акта об ИИ (например, сервисы по аудиту ИИ, автоматизацию документации, мониторинг моделей), могут получить всплеск инвестиций благодаря растущему спросу на их продукты.
Гарантии и стандарты для ИИ: Возможно финансирование ИИ-проектов, которые соответствуют или превосходят требования регуляторов и таким образом выделяются на рынке. Например, ИИ-модель, чья интерпретируемость и справедливость доказуемы, может привлечь клиентов и инвесторов благодаря «compliance by design».

ЕС сам направляет инвестиции в научные исследования и инновации в сфере ИИ с акцентом на доверие. Через программы Horizon Europe и Digital Europe Programme средства выделяются на проекты, подчеркивающие прозрачность, надежность и соответствие ценностям ЕС. Таким образом, бюджетное финансирование используется, чтобы поддерживать инновации, но по заданному вектору.

Возможный результат: некоторые ниши ИИ в Европе расцветут (те, которым легко соответствовать требованиям — например, ИИ для здравоохранения, где можно явно доказать преимущества безопасности), в то время как другие могут отстать (например, ИИ для модерации контента в соцсетях, если это будет сочтено слишком рискованным или сложным для соблюдения правил — чисто гипотетически). Также можно ожидать, что произойдет сдвиг от продуктов ИИ «для конечного потребителя» к B2B-решениям — поскольку потребительский ИИ чаще попадает под пристальное внимание регуляторов (особенно если способен влиять на поведение), а корпоративный ИИ для внутренних нужд проще контролировать с точки зрения compliance.

Глобальная гармонизация или фрагментация: На международной арене за Актом ЕС по ИИ внимательно следят. Он действительно может стать шаблоном, который будут адаптировать другие демократии. Уже Бразилия утвердила законопроект с моделью управления рисками по образцу ЕС cimplifi.com, а такие страны, как Канада, разработали свои ИИ-законы (законопроект AIDA), нацеленные на высокорисковый ИИ и смягчение рисков cimplifi.com. Эти шаги во многом вдохновлены подходом ЕС. Если несколько юрисдикций примут схожие рамки, мы придем к гармонизации — что выгодно для ИИ-компаний, поскольку снижает количество противоречивых требований по соответствию.

Однако не все следуют этому курсу. Великобритания официально выбрала более мягкий, принципиальный подход и пока предпочитает выпускать инструкции через отраслевые органы, а не вводить единый закон cimplifi.com. Британия делает ставку на инновации и открыто заявляет, что не хочет чрезмерно регулировать молодые технологии. Впоследствии, возможно, будет принят собственный макет закона по ИИ, но с гораздо меньшей детализацией и строгостью, чем в ЕС. Япония и ряд других стран также обозначили более мягкий курс, сделав упор на добровольное регулирование и этические принципы вместо обязательных правил.

В Соединенных Штатах сейчас нет федерального закона, сравнимого с европейским Актом. Вместо этого выпущен необязательный Blueprint for an AI Bill of Rights («Черновик билля о правах для ИИ»), декларирующий основные принципы: безопасность, недискриминация, защита данных, транспарентность и альтернативы, контролируемые человеком weforum.org, но это скорее руководство к политике, чем обязательный правовой акт. В США, скорее всего, будут развиваться отраслевые регулирования ИИ (например, FDA для ИИ-медицинских устройств, финрегуляторы для ИИ в банковской сфере) и использование уже существующих законов — для дел о дискриминации или ответственности. В конце 2023 и 2024 годов в США действительно стало происходить больше в этой области: Администрация Байдена подписала исполнительный указ о регулировании ИИ (октябрь 2023), который, среди прочего, требует от разработчиков передовых моделей делиться результатами тестирования безопасности с правительством, а также касается ИИ в биобезопасности и защите гражданских прав. Но это именно исполнительная власть, не закон. Тем временем в Конгрессе идут слушания и пишутся законопроекты, но ни один к середине 2025 года так и не был принят. Наиболее вероятный сценарий для США — это мозаика: отдельные штаты принимают свои законы (например, законы о прозрачности для deepfake или о правилах для ИИ-инструментов при найме), а федеральные агентства следят за соблюдением действующих норм (FTC — за недобросовестной или обманной практикой в ИИ, EEOC — за дискриминацией при найме ИИ и т.д.), а не единый всеобъемлющий акт.

Это означает, что в ближайшей перспективе компании сталкиваются с разнородным регуляторным ландшафтом: строгим режимом в ЕС, более свободным (но развивающимся) в США и разными моделями в других странах. По анализу медиа Senior Executive, США останутся при отраслевом подходе, чтобы не терять конкурентные позиции, Китай продолжит политику жесткого контроля, а такие страны, как Великобритания, Канада, Австралия, вероятно, примут либеральные гибкие рекомендации seniorexecutive.com. Такое расхождение создает трудности: компаниям придется адаптировать ИИ-системы под требования каждой юрисдикции, что неэффективно и дорого, а это, в свою очередь, может замедлить глобальное внедрение ИИ, потому что для выхода на каждый рынок придется проходить проверку соответствия сразу по нескольким рамкам.

С положительной стороны ведется активная работа по международной координации: ЕС и США через свой Совет по торговле и технологиям создали рабочую группу по ИИ для поиска общих подходов (они уже работают над такими темами, как терминология и стандарты в области ИИ). G7 запустили Процесс по Хиросиме по искусственному интеллекту в середине 2023 года для обсуждения глобального управления ИИ, и одна из предложенных идей — разработка кодекса поведения для компаний, работающих с ИИ на международном уровне. Такие организации, как ОЭСР и ЮНЕСКО, приняли принципы регулирования ИИ, к которым присоединились многие страны (в том числе США, ЕС, а в случае ОЭСР даже Китай) — эти принципы охватывают знакомые темы (справедливость, прозрачность, подотчетность). Есть надежда, что именно эти принципы могут стать отправной точкой для согласования нормативных актов.

В долгосрочной перспективе некоторые считают, что возможна конвергенция по базовым принципам, даже если юридические механизмы будут различаться seniorexecutive.com. Например, практически все согласны, что ИИ не должен быть небезопасным или откровенно дискриминационным — способы реализации этих ожиданий будут разными, но итог (более безопасный и справедливый ИИ) остается общей целью. Возможно, что благодаря диалогу и, возможно, международным соглашениям мы увидим частичную гармонизацию. Фрагментированный старт со временем может привести к более единой системе норм seniorexecutive.com, особенно по мере глобализации самой технологии ИИ (сложно установить географические границы для возможностей ИИ в связанном мире).

Лидерство и конкуренция в области ИИ: Есть и геополитический аспект. ЕС позиционирует себя лидером этического управления ИИ. Если его модель получит глобальное признание, ЕС сможет претендовать на роль законодателя стандартов (аналогично тому, как это произошло с GDPR, повлиявшим на регулирование персональных данных по всему миру). С другой стороны, если закон будет воспринят как сдерживающий развитие европейской индустрии ИИ, в то время как другие регионы будут быстро продвигаться вперед, ЕС могут обвинять в создании конкурентных недостатков собственными руками. Американские технологические компании сегодня лидируют во многих областях ИИ, а Китай активно инвестирует в искусственный интеллект. Ставка Европы — на то, что надёжный, заслуживающий доверия ИИ в итоге победит нераегулируемый ИИ, однако результат пока не очевиден.

Первые признаки в 2025 году говорят о смешанных результатах: одни компании по разработке ИИ заявляют, что правила ЕС побуждают их разрабатывать более совершенные внутренние процедуры (что положительно), другие же приостанавливают оказание определённых услуг в Европе (что негативно). Мы также видим вовлечение международных компаний во взаимодействие с регуляторами ЕС — так, крупнейшие лаборатории ИИ ведут переговоры с ЕС о том, как реализовать, например, встраивание водяных знаков в ИИ-контент, что указывает на то, что закон уже влияет на их глобальный дизайн продуктов.

С точки зрения инвестиций и научных исследований, можно ожидать усиления фокуса на такие вопросы, как объяснимость, снижение предвзятости и верификация — поскольку именно этого требуют нормы. ЕС активно финансирует исследования в этих областях, что может привести к прорывам, способным сделать ИИ изначально более безопасным и удобным для регулирования (например, разработка новых методов интерпретации нейронных сетей). Если такие открытия произойдут, их эффект распространится на всех, а не только на Европу.

Подытожим: Закон ЕС об ИИ — это смелый нормативный эксперимент, который либо задаст глобальный эталон управления ИИ, либо, в случае ошибки в калибровке, может привести к изоляции европейской экосистемы искусственного интеллекта. Скорее всего, он окажет сильное влияние: инновации в ИИ не остановятся, но будут вынуждены адаптироваться к новым «ограждениям». Компании и инвесторы уже корректируют стратегии: закладывают вопросы соответствия нормам в свои продуктовые дорожные карты, учитывают дополнительные издержки при работе с ИИ в ЕС, а некоторые могут переключить внимание на менее рискованные приложения или другие рынки. На международном уровне мы стоим на развилке: последует ли остальной мир примеру ЕС (что приведет к большей унификации правил по ИИ в мире) или произойдет раскол, когда ИИ будет развиваться под разными философиями регулирования? Следующие несколько лет — когда положения закона полностью вступят в силу и другие страны выработают свои ответы — покажут ответ.

Глобальное регулирование ИИ: Закон ЕС против США и Китая (и других)

Закон ЕС об ИИ не существует в вакууме — это часть более широкого мирового движения по решению проблем, связанных с искусственным интеллектом. Давайте сравним его с подходами в Соединённых Штатах и Китае — двух других «супердержавах» по ИИ, обладающих совершенно разными философиями регулирования, а также отметим других игроков:

США (План «Билля о правах в области ИИ» и новые политики): США до сих пор выбирали менее централизованный, более принципиальный подход. В октябре 2022 года Управление Белого дома по науке и технологиям выпустило План Билля о правах в области ИИ, который представляет собой пять принципов для проектирования и использования автоматизированных систем weforum.org:

Безопасные и эффективные системы — Американцы должны быть защищены от опасного или некорректно работающего ИИ (например, ИИ должен тестироваться и контролироваться, чтобы удостовериться в его эффективности по назначению) weforum.org.
Защита от дискриминации алгоритмами — Системы ИИ не должны дискриминировать и должны использоваться справедливо weforum.org. Это связано с действующими законами о гражданских правах; по сути, ИИ не должен становиться лазейкой для дискриминации там, где человеку было бы запрещено принять такое решение.
Конфиденциальность данных — Люди должны контролировать, как их данные используются в ИИ, и быть защищены от злоупотреблений weforum.org. Это не установление новых законов, а напоминание о том, что ИИ не должен нарушать приватность и должен использовать минимум данных.
Информирование и объяснение — Люди должны знать, когда применяется система ИИ, и понимать, почему тот или иной автоматизированный алгоритм принимает решение, оказывающее на них влияние weforum.org. Требуются прозрачность и объяснимость, аналогично требованиям к прозрачности в ЕС.
Альтернативы, участие и вмешательство человека — Должна быть возможность отказаться от автоматизации или обратиться к человеку, где это уместно weforum.org. Например, если ИИ отказывает вам в чем-то важном (например, в ипотеке), должна быть возможность подать апелляцию человеку или получить независимую повторную проверку.

Эти принципы отражают многие цели закона ЕС (безопасность, справедливость, прозрачность, человеческий контроль), но важно отметить: Билль о правах в области ИИ не является законом — это политическая рамка без обязательной силы weforum.org. В настоящее время он главным образом адресован федеральным агентствам, определяя, как государство должно закупать и использовать ИИ. Ожидается, что это задаст стандарт и для коммерческого сектора; некоторые компании уже поддержали эти принципы. Но соблюдение их добровольно: никаких штрафных санкций, привязанных напрямую к Биллю о правах, не существует.

Кроме того, США пока опираются на действующее законодательство для пресечения наиболее серьёзных злоупотреблений с ИИ. Например, Федеральная торговая комиссия (FTC) предупреждает компании о возможности наказания за несправедливое или вводящее в заблуждение использование ИИ (например, ложные заявления о возможностях ИИ или его применение, приводящее к вреду для потребителей). Комиссия по равным возможностям на рынке труда (EEOC) рассматривает применение трудового законодательства в ситуации с ИИ-инструментами для найма — например, если ИИ систематически дискриминирует пожилых кандидатов, это может нарушать законы о запрете дискриминации. То есть надзор в США осуществляется через общие законы, а не специальные акты об ИИ.

Однако ситуация в США начинает меняться. В 2023–2024 годах в Конгрессе идут серьёзные обсуждения по регулированию ИИ на фоне стремительного развития генеративных моделей. Внесен ряд законопроектов по вопросам от маркировки дипфейков до прозрачности алгоритмов и вопросов ответственности, хотя ни один из них пока не принят. Обсуждается создание федерального института безопасности ИИ или наделение регулирующих органов новыми полномочиями по надзору за ИИ. Вполне возможно, что в ближайшие годы в США появятся более конкретные нормы по регулированию ИИ, но, вероятнее всего, они будут носить целевой (поотраслевой) характер, а не станут всеобъемлющим законом по европейскому образцу. США традиционно регулируют по отраслям — например, ИИ в медицине подчиняется нормам FDA, и агентство уже выпустило рекомендации для «программного обеспечения как медицинского изделия», куда попадают определённые AI-алгоритмы. Другой пример: финансовые регуляторы (например, CFPB или OCC) тоже проявляют интерес к AI-кредитным моделям, и могут применить нормы о справедливости из существующего финансового законодательства.

Одна из сфер, где США действуют весьма решительно — национальная безопасность и ИИ: недавний исполнительный указ обязывает ведущих разработчиков продвинутых моделей ИИ предоставлять результаты тестов на безопасность правительству, если такие модели могут иметь значение для национальной безопасности (например, в вопросах моделирования опасных биологических агентов). Это более целевой подход, чем у ЕС, у которого нет отдельных норм о безопасности за пределами правоохранительной деятельности.

В целом, американский подход сейчас — это мягкое, принципиально ориентированное регулирование с акцентом на инновации и использование действующих законов. Компании мотивируют (но пока не обязывают) соблюдать этические нормы. Главное отличие от ЕС в том, что ЕС закрепляет эти принципы на законодательном уровне с проверками и штрафами, а США пока используют их как рекомендации, полагаясь на рынок и применение уже существующего права. Сблизятся ли в будущем нормы США и ЕС (приняв собственный «Закон об ИИ» или систему правил) — ключевой вопрос. В США есть голоса в пользу усиления регулирования для сохранения конкурентоспособности и общественного доверия, но и сильны опасения, что жёсткие нормы могут притормозить развитие технологий. Возможно, будет выбран промежуточный путь: например, ввести обязательную прозрачность для критически важных ИИ-систем или сертификацию ИИ для определённых чувствительных сфер без введения полной системы классификации по рискам.

Регулирование и стандарты ИИ в Китае: Политическая система Китая существенно отличается, и его управление ИИ отражает следующие приоритеты: общественная стабильность, контроль информации и стратегическое лидерство в ИИ. Китай стремительно расширяет свою нормативную базу, в которой основной акцент делается на строгом контроле контента и применения ИИ, зачастую осуществляемом через административные правила.

Ключевые элементы подхода Китая включают:

Обязательная проверка и цензура контента ИИ: В августе 2023 года Китай внедрил Временные меры по услугам генеративного ИИ cimplifi.com. Эти правила требуют, чтобы любой генеративный ИИ, доступный публично (например, чат-боты или генераторы изображений), обеспечивал, что контент соответствует основным социалистическим ценностям, а также является законным и правдивым. Провайдеры должны проактивно фильтровать запрещённый контент (всё, что может быть сочтено подрывным, непристойным или незаконным по цензурным нормам Китая). Это означает, что китайские ИИ-компании внедряют жёсткую модерацию контента. Правила также требуют маркировки сгенерированного ИИ-контента, если он может ввести людей в заблуждение относительно реальности cimplifi.com. Это похоже на требование ЕС о маркировке дипфейков, но в Китае оно преподносится как способ предотвращения дезинформации, способной вызвать общественные волнения.
Регистрация алгоритмов: Ещё до появления правил для генеративного ИИ в Китае действовали нормы для рекомендательных алгоритмов (с начала 2022 г.). Компании обязаны регистрировать свои алгоритмы в Управлении по киберпространству Китая (CAC) и предоставлять сведения об их работе. Такой централизованный реестр служит для надзора; государству важно знать, какие алгоритмы используются, особенно влияющие на общественное мнение (например, алгоритмы новостных лент).
Аутентификация по реальному имени и контроль данных: Китайские правила часто требуют, чтобы пользователи ИИ-сервисов регистрировались под своим настоящим именем (для предотвращения злоупотреблений и возможности отслеживания авторства контента). Данные для обучения ИИ, особенно содержащие персональную информацию, подпадают под действие Закона о безопасности данных и Закона о защите персональных данных. Китайским компаниям также нужно учитывать требования по государственному доступу (госорганы могут требовать доступ к данным и алгоритмам в целях безопасности).
Оценка безопасности: В 2024–2025 годах китайский орган по стандартизации (NISSTC) выпустил проект рекомендаций по безопасности генеративного ИИ cimplifi.com. В них подробно прописаны технические меры по работе с обучающими данными, безопасности моделей и т.д., отражая стремление не допустить злоупотреблений и недопустимого контента. В марте 2025 года CAC утвердил Положение о маркировке сгенерированного ИИ-контента (см. выше), которое делает такую маркировку обязательной с сентября 2025 года cimplifi.com. Это пересекается с аналогичным правилом ЕС, хотя китайская мотивация включает не только борьбу с манипуляциями, но и контроль за информацией.
Широкие этические рамки: Китай публиковал и общие принципы — например, в 2021 г. Министерство науки и технологий выпустило этические рекомендации по ИИ с акцентом на человеко-ориентированность и управляемость. В 2022 г. Национальный комитет по управлению ИИ (многосторонняя группа) издал документ Принципы управления ИИ с упором на гармонию, справедливость и прозрачность. А в 2023 году Китай представил Рамочную концепцию безопасного развития ИИ, согласованную с глобальной ИИ-инициативой, где акцентируется человеко-центричность и категоризация рисков cimplifi.com. Эти инициативы перекликаются с принципами ОЭСР или ЕС, показывая, что Китай тоже хочет казаться сторонником «ответственного ИИ», но в своём контексте (например, «справедливость» в Китае — это не только предотвращение дискриминации, но и недопущение угроз национальному единству).
Использование (или злоупотребление) для целей правоохранительных органов: В то время как ЕС запрещает многие биометрические технологии в реальном времени, Китай лидирует в развёртывании ИИ для видеонаблюдения (распознавание лиц, “умные” города и т.д.). Некоторые нормативы требуют применения таких систем строго для целей безопасности и с контролем, но государству предоставлены очень широкие полномочия. Система социального кредита в зачаточной форме существует (в основном финансовая и судебная информация), хотя не так футуристично, как часто представляют, и ЕС прямо запретил подход “социального скоринга”.

Таким образом, регулирование ИИ в Китае отличается жёстким контролем контента и строгими этическими принципами, реализуемыми директивно сверху вниз. Если закон ЕС направлен на расширение прав граждан и подотчётность процедур, то подход Китая — контролировать провайдеров и не допускать, чтобы ИИ препятствовал целям государства. Для бизнеса соблюдение требований Китая означает тесное взаимодействие с органами контроля, встроенную цензуру и отчётность, а также соответствие национальным целям (например, применение ИИ для экономического развития, но не для протеста).

Можно сказать, что китайский режим “жесткий, но другой”: акцент не на публичной прозрачности (у рядового пользователя не обязательно будет право узнать логику решения ИИ), а на отслеживаемости и контроле со стороны государства. Также прямо запрещаются некоторые применения, допустимые на Западе (например, определённые политические высказывания с помощью ИИ).

Китайские ИИ-компании, такие как Baidu или Alibaba, были вынуждены отзывать или переобучать модели, если те выдавали политически чувствительный контент. Разработка крупных языковых моделей в Китае сильно зависит от этих правил — данные для обучения заранее очищаются от табуированной информации, а сами модели донастраиваются для избегания “опасных” тем.

Любопытно, что некоторые требования Китая (например, маркировка дипфейков) совпадают с европейскими — пусть и с немного разными причинами. Это указывает на потенциальную конвергенцию технических стандартов — маркировка сгенерированных ИИ-медиа, возможно, станет мировым стандартом, даже если мотивация различается (ЕС: защита от обмана; Китай: это плюс сохранение контроля).

Другие страны: Помимо этих трёх, стоит отметить следующее:

Канада: Как отмечалось ранее, Канада предложила Закон об искусственном интеллекте и данных (AIDA) в рамках законопроекта C-27 cimplifi.com. Он должен был регулировать “высокорисковые” ИИ-системы, требуя оценки воздействия и предполагая запреты. Однако закон застопорился (по состоянию на начало 2025 года он не был принят, фактически “заморожен” в парламенте cimplifi.com). Возможно, к нему вернутся позже. В то же время Канада ориентируется на принципы своих международных организаций, таких как ОЭСР.
Великобритания: Отойдя от модели ЕС, Великобритания опубликовала Белую книгу о регулировании ИИ (март 2023 г.), сделав акцент на инновационности и мягком регулировании. Согласно этому подходу, действующие регуляторы (например, службы по охране труда, финансовый контроль и др.) будут разрабатывать свои рекомендации по ИИ на основе общих принципов (безопасность, прозрачность, справедливость, подотчетность, оспоримость) cimplifi.com. Специальный закон о регулировании ИИ решили пока не принимать. Великобритания наблюдает за реализацией Акта ЕС и может скорректировать свои подходы, но сейчас фокус на гибкости для привлечения ИИ-бизнеса. Великобритания также провела саммит по безопасности ИИ (ноябрь 2023 г.), чтобы обозначить свою активную роль в глобальных дискуссиях. Такой подход может сулить меньше ограничений в краткосрочной перспективе, но может измениться при серьезных рисках ИИ.
Другие в орбите ЕС: Совет Европы (он шире ЕС) разрабатывает Конвенцию по ИИ, которая может стать юридическим договором по вопросам этики и прав человека. Документ всё ещё в разработке, но если будет принят, он может быть обязательным для стран-участниц (включая некоторые не входящие в ЕС государства Европы) и закреплять принципы, схожие с Актом ЕС, но на более общем уровне.
Индия, Австралия и др.: Многие страны приняли рекомендации по этике ИИ. Индия, например, выбрала рамочный подход с акцентом на инновации, пока не планируя отдельного закона по ИИ, делая упор на развитие компетенций и отраслевые стандарты. Австралия разрабатывает риск-ориентированные подходы, но тоже не спешит с “жёстким” законом. Общая тенденция такова: все признают необходимость управления ИИ, но степень “жёсткости” и форма — разные.
Глобальные площадки: Рекомендации ЮНЕСКО по этике ИИ (2021) одобрены почти 200 странами и охватывают такие принципы, как пропорциональность, безопасность, справедливость и др. Они не носят обязательный характер, но отражают общую ценностную базу. Принципы ОЭСР по ИИ (2019) были также широко поддержаны и легли в основу работы G20. На бумаге эти принципы очень близки к подходу ЕС. Главная трудность — реализовать их одинаково на практике в разных странах.

Всемирный экономический форум и другие организации также выступают площадками для диалога. Как отмечается в статье WEF, остаётся открытым вопрос: наблюдаем ли мы “расхождение путей” (когда США, Китай и ЕС идут по разным сценариям регулирования) или “эффект домино”, при котором движение ЕС толкает других на аналогичные шаги weforum.org seniorexecutive.com. Есть признаки и того, и другого: ЕС явно повлиял на Бразилию и Канаду; в США, возможно, корректируют позицию под давлением европейцев (например, обсуждение большей прозрачности — частично реакция на практики ЕС); а Китай присоединяется лишь частично (в технических стандартах схожие взгляды, но без демократизации процессов).

В резюме, упрощённое сравнение может быть таким:

ЕС: Комплексное, юридически обязательное регулирование в различных секторах на основе оценки рисков; акцент на фундаментальных правах, жесткое применение закона (штрафы, надзорные органы).
США: Нет единого закона (по состоянию на 2025 год); применяется широкий набор принципов (Билль о правах ИИ) и секторальное регулирование; акцент на инновации и действующие правовые рамки; сейчас больше саморегуляции отрасли.
Китай: Детализированные государственные правила контроля результатов и использования ИИ; акцент на безопасность, цензуру и государственный надзор; обязательное соблюдение этических норм, определяемых государством; применение через государственные органы с суровыми санкциями (вплоть до уголовной ответственности в случае нарушения государственных правил).

Несмотря на различия, все трое признают такие вопросы как предвзятость, безопасность и прозрачность — они просто расставляют приоритеты и обеспечивают их исполнение по-разному. Для глобальной компании это означает, что нужно ориентироваться в трёх режимах: соответствовать процедурной строгости ЕС, следовать американским рекомендациям и новым правилам отдельных штатов, а также имплементировать китайские требования к контенту и регистрации, если работаете там. Это непросто, и в международных организациях будет давление на снижение нагрузки путём гармонизации некоторых аспектов (например, разработки общих технических стандартов управления рисками ИИ, которые удовлетворяют регуляторов в разных юрисдикциях).

Есть и обнадёживающий момент: сотрудничество по стандартам ИИ (технические стандарты через ISO/IEC или другие организации) может позволить компании разрабатывать ИИ по единому набору спецификаций, которые затем будут признаны повсюду. В документе ЕС даже указывается, что соблюдение гармонизированных европейских стандартов (когда они появятся для ИИ) будет давать презумпцию соответствия artificialintelligenceact.eu. Если эти стандарты совпадут с мировыми, компания сможет «разработать один раз — соответствовать требованиям во всём мире».

Наконец, в будущем, по мере развития ИИ-технологий (например, появления GPT-5 или более автономных систем), регулирование тоже будет меняться. В ЕС предусмотрены механизмы пересмотра закона для его актуализации. В США и других странах могут появиться новые законы, если произойдёт крупный инцидент с ИИ, который вынудит к действиям (как это было с ужесточением законодательства о приватности из-за утечек данных). Международное согласование может быть продиктовано необходимостью — если, скажем, ИИ начнёт оказывать значительное трансграничное влияние (например, вызовет финансовый кризис), страны объединят усилия для регулирования.

Пока же любая организация, стремящаяся «быть впереди» в области ИИ, должна следить сразу за всеми направлениями: европейское соответствие обязательно для входа на рынок ЕС, лучшие практики США важны для этого крупного рынка, а знание китайских требований критично для работы в Китае. Проактивный подход — внедрение этических и безопасных принципов использования ИИ во внутренние процессы — поможет компании успешно справляться с этими разными режимами. Обычно это означает создание собственной системы управления ИИ, отвечающей самым строгим стандартам (чаще — европейским), с дальнейшей адаптацией под регионы по мере необходимости.

В заключение: закон ЕС об ИИ на 2025 год задает темп регулированию ИИ, и, хотя это приносит трудности, он также предлагает структурированный путь к доверительному использованию ИИ. Компании и правительства по всему миру следят и реагируют — кто-то ужесточая свои нормативы, кто-то делая ставку на инновации. В ближайшие годы станет ясно, как эти подходы взаимодействуют и удастся ли нам прийти к более гармоничной системе глобального регулирования или останется мозаика, по которой разработчикам ИИ придётся двигаться с максимальной осторожностью. В любом случае, те, кто следит за ситуацией и готовится заранее — разбирается в нюансах закона ЕС, инвестирует в возможности по обеспечению соответствия и включён в обсуждение политики, — окажутся в наилучшем положении для успеха в новую эпоху контроля в сфере ИИ.

Источники:

Европейский парламент, “EU AI Act: first regulation on artificial intelligence,” июнь 2024 europarl.europa.eu europarl.europa.eu.
Европейская комиссия, “Shaping Europe’s Digital Future – AI Act,” обновлено 2025 digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu.
Future of Life Institute, “High-Level Summary of the AI Act,” май 2024 artificialintelligenceact.eu artificialintelligenceact.eu.
Orrick Law, “The EU AI Act: Oversight and Enforcement,” 13 сентября 2024 orrick.com orrick.com.
Senior Executive Media, “How the EU AI Act Will Reshape Global Innovation,” 2023 seniorexecutive.com seniorexecutive.com.
World Economic Forum, “What’s in the US ‘AI Bill of Rights’,” октябрь 2022 weforum.org weforum.org.
Cimplifi, “The Updated State of AI Regulations for 2025,” август 2024 cimplifi.com cimplifi.com.
BSR, “The EU AI Act: Where Do We Stand in 2025?” 6 мая 2025 bsr.org bsr.org.