Содержание
Искусственный интеллект (ИИ) становится ключевой технологией для бизнеса в Европе. Компании внедряют машинное обучение, автоматизацию и генеративные модели для оптимизации процессов, анализа данных и коммуникаций с клиентами.
Однако вместе с возможностями приходят и новые юридические риски. В 2025 году Европейский союз окончательно вводит в действие Регламент об искусственном интеллекте (EU Artificial Intelligence Act) — первый в мире комплексный правовой акт, регулирующий разработку, внедрение и использование ИИ. Его цель — обеспечить безопасность, прозрачность и этичность ИИ-систем, минимизируя возможный вред для пользователей и общества.
Для компаний, которые работают в Европе или используют ИИ-технологии в своих продуктах и услугах, понимание требований AI Act становится критически важным. Независимо от того, является ли бизнес поставщиком, интегратором или пользователем ИИ-решений, новый закон требует внедрения процессов compliance, ведения документации, внутреннего аудита и оценки рисков.
Эта статья подготовлена экспертами WCR Consulting и призвана помочь компаниям понять, какие именно системы подпадают под действие AI Act, как определяется уровень риска, какие документы необходимо оформить для соответствия требованиям и какие санкции предусмотрены за их нарушение.
Однако вместе с возможностями приходят и новые юридические риски. В 2025 году Европейский союз окончательно вводит в действие Регламент об искусственном интеллекте (EU Artificial Intelligence Act) — первый в мире комплексный правовой акт, регулирующий разработку, внедрение и использование ИИ. Его цель — обеспечить безопасность, прозрачность и этичность ИИ-систем, минимизируя возможный вред для пользователей и общества.
Для компаний, которые работают в Европе или используют ИИ-технологии в своих продуктах и услугах, понимание требований AI Act становится критически важным. Независимо от того, является ли бизнес поставщиком, интегратором или пользователем ИИ-решений, новый закон требует внедрения процессов compliance, ведения документации, внутреннего аудита и оценки рисков.
Эта статья подготовлена экспертами WCR Consulting и призвана помочь компаниям понять, какие именно системы подпадают под действие AI Act, как определяется уровень риска, какие документы необходимо оформить для соответствия требованиям и какие санкции предусмотрены за их нарушение.
EU Artificial Intelligence Act (AI Act) — первый в мире комплексный нормативный акт, регулирующий искусственный интеллект на уровне региона. Он был одобрен Европейским парламентом весной 2024 года, а ключевые положения вступают в силу с 2025 года с поэтапным внедрением для разных категорий участников рынка.
Закон охватывает весь жизненный цикл ИИ — от проектирования и обучения модели до её внедрения и последующего использования. AI Act устанавливает строгие правила для компаний, которые:
Регламент имеет экстерриториальный характер — то есть применяется и к компаниям за пределами ЕС, если их ИИ-системы влияют на пользователей внутри Европейского Союза. Это делает документ особенно значимым для IT-компаний, SaaS-сервисов и стартапов, которые работают с европейскими клиентами или хранят их данные.
Основные цели AI Act:
AI Act становится отправной точкой для формирования международных стандартов регулирования ИИ. Его принципы уже адаптируются в Великобритании, Канаде, ОАЭ и других странах, что делает документ не просто европейским законом, а глобальным ориентиром для технологий искусственного интеллекта.
Закон охватывает весь жизненный цикл ИИ — от проектирования и обучения модели до её внедрения и последующего использования. AI Act устанавливает строгие правила для компаний, которые:
- разрабатывают или поставляют ИИ-системы на рынок ЕС;
- используют ИИ в своей деятельности (например, для найма, кредитного скоринга, биометрической идентификации);
- встраивают модели машинного обучения в продукты, предоставляемые пользователям в Европе.
Регламент имеет экстерриториальный характер — то есть применяется и к компаниям за пределами ЕС, если их ИИ-системы влияют на пользователей внутри Европейского Союза. Это делает документ особенно значимым для IT-компаний, SaaS-сервисов и стартапов, которые работают с европейскими клиентами или хранят их данные.
Основные цели AI Act:
⚖️ Повышение доверия к ИИ
Создание единых стандартов прозрачности, безопасности и ответственности при использовании ИИ в коммерческих и государственных целях.
Создание единых стандартов прозрачности, безопасности и ответственности при использовании ИИ в коммерческих и государственных целях.
🔍 Управление рисками
Введение классификации ИИ по уровням риска — от минимального до недопустимого — и установление соответствующих требований к каждой категории.
Введение классификации ИИ по уровням риска — от минимального до недопустимого — и установление соответствующих требований к каждой категории.
📑 Стандартизация процессов
Обязательное ведение технической документации, регистрация систем в реестре ЕС и проведение аудитов на соответствие требованиям.
Обязательное ведение технической документации, регистрация систем в реестре ЕС и проведение аудитов на соответствие требованиям.
🌍 Ответственное развитие технологий
Стимулирование инноваций при одновременном предотвращении нарушений прав человека и злоупотреблений ИИ в сфере наблюдения и дискриминации.
Стимулирование инноваций при одновременном предотвращении нарушений прав человека и злоупотреблений ИИ в сфере наблюдения и дискриминации.
AI Act становится отправной точкой для формирования международных стандартов регулирования ИИ. Его принципы уже адаптируются в Великобритании, Канаде, ОАЭ и других странах, что делает документ не просто европейским законом, а глобальным ориентиром для технологий искусственного интеллекта.
Одной из ключевых особенностей EU AI Act является риск-ориентированный подход. Регламент не запрещает использование искусственного интеллекта, но определяет, какие системы требуют повышенного контроля, какие подлежат сертификации, а какие полностью запрещены.
Все системы ИИ делятся на четыре категории — от минимального до недопустимого риска. Для каждой группы установлены свои требования, ограничения и процедуры проверки.
Четыре уровня риска в AI Act:
Таким образом, каждая компания, внедряющая или поставляющая ИИ, должна определить, к какой категории относится её продукт, и подготовить соответствующий compliance-пакет. Для высокорисковых систем обязательными становятся:
— описание архитектуры модели и алгоритмов;
— документация по сбору и обработке данных;
— отчёт об оценке рисков и предвзятости;
— политика по мониторингу и управлению ошибками;
— процедуры информирования пользователей.
Ошибочная классификация или отсутствие надлежащей документации рассматриваются как нарушение AI Act и могут привести к штрафам до 7% от годового оборота компании или 35 млн евро — в зависимости от того, какая сумма больше.
Все системы ИИ делятся на четыре категории — от минимального до недопустимого риска. Для каждой группы установлены свои требования, ограничения и процедуры проверки.
Четыре уровня риска в AI Act:
✅ Минимальный риск
Системы, не влияющие на безопасность или права человека.
Примеры: рекомендательные алгоритмы, антиспам-фильтры, игровые системы, чат-помощники без принятия решений.
Требования: не нуждаются в сертификации или регистрации, но должны соблюдать принципы прозрачности и точности.
Контроль: компании обязаны обеспечивать добросовестность данных и информировать пользователей о применении ИИ.
Системы, не влияющие на безопасность или права человека.
Примеры: рекомендательные алгоритмы, антиспам-фильтры, игровые системы, чат-помощники без принятия решений.
Требования: не нуждаются в сертификации или регистрации, но должны соблюдать принципы прозрачности и точности.
Контроль: компании обязаны обеспечивать добросовестность данных и информировать пользователей о применении ИИ.
⚙️ Ограниченный риск
Системы, взаимодействующие с пользователями, где требуется открытое уведомление об использовании ИИ.
Примеры: чат-боты, генеративные модели (ChatGPT, Midjourney и др.), голосовые помощники.
Требования: обязательное информирование пользователя, запрет на введение в заблуждение, фиксация источников данных.
Контроль: компания должна иметь внутренние инструкции по применению ИИ и назначить ответственного за соблюдение правил.
Системы, взаимодействующие с пользователями, где требуется открытое уведомление об использовании ИИ.
Примеры: чат-боты, генеративные модели (ChatGPT, Midjourney и др.), голосовые помощники.
Требования: обязательное информирование пользователя, запрет на введение в заблуждение, фиксация источников данных.
Контроль: компания должна иметь внутренние инструкции по применению ИИ и назначить ответственного за соблюдение правил.
⚠️ Высокий риск
Системы, способные затронуть права человека, безопасность или принятие решений, влияющих на судьбу граждан.
Примеры: кредитный скоринг, автоматизированный найм, оценка успеваемости, медицинские системы диагностики, алгоритмы распознавания лиц.
Требования:
— обязательная оценка соответствия (Conformity Assessment);
— подготовка технического досье (Technical Documentation);
— внедрение системы управления качеством ИИ (AI Quality Management System);
— регистрация модели в Европейском реестре высокорисковых систем ИИ.
Контроль и сертификация: проводится независимым уведомлённым органом (Notified Body) до вывода системы на рынок ЕС. Пакет документов включает описание архитектуры модели, источники данных, тесты на предвзятость, меры по кибербезопасности и механизмы надзора.
Системы, способные затронуть права человека, безопасность или принятие решений, влияющих на судьбу граждан.
Примеры: кредитный скоринг, автоматизированный найм, оценка успеваемости, медицинские системы диагностики, алгоритмы распознавания лиц.
Требования:
— обязательная оценка соответствия (Conformity Assessment);
— подготовка технического досье (Technical Documentation);
— внедрение системы управления качеством ИИ (AI Quality Management System);
— регистрация модели в Европейском реестре высокорисковых систем ИИ.
Контроль и сертификация: проводится независимым уведомлённым органом (Notified Body) до вывода системы на рынок ЕС. Пакет документов включает описание архитектуры модели, источники данных, тесты на предвзятость, меры по кибербезопасности и механизмы надзора.
⛔ Недопустимый риск
Системы, которые нарушают основные права человека, манипулируют поведением или осуществляют массовое наблюдение.
Примеры: социальный рейтинг граждан, биометрическое слежение в реальном времени, алгоритмы влияния на подсознание.
Запрет: такие системы полностью запрещены на территории ЕС. Их использование влечёт административную и уголовную ответственность.
Контроль: надзор осуществляется национальными органами по защите данных и Европейским советом по искусственному интеллекту.
Системы, которые нарушают основные права человека, манипулируют поведением или осуществляют массовое наблюдение.
Примеры: социальный рейтинг граждан, биометрическое слежение в реальном времени, алгоритмы влияния на подсознание.
Запрет: такие системы полностью запрещены на территории ЕС. Их использование влечёт административную и уголовную ответственность.
Контроль: надзор осуществляется национальными органами по защите данных и Европейским советом по искусственному интеллекту.
Таким образом, каждая компания, внедряющая или поставляющая ИИ, должна определить, к какой категории относится её продукт, и подготовить соответствующий compliance-пакет. Для высокорисковых систем обязательными становятся:
— описание архитектуры модели и алгоритмов;
— документация по сбору и обработке данных;
— отчёт об оценке рисков и предвзятости;
— политика по мониторингу и управлению ошибками;
— процедуры информирования пользователей.
Ошибочная классификация или отсутствие надлежащей документации рассматриваются как нарушение AI Act и могут привести к штрафам до 7% от годового оборота компании или 35 млн евро — в зависимости от того, какая сумма больше.
Регламент EU AI Act чётко разграничивает роли участников рынка искусственного интеллекта. Каждый субъект, вовлечённый в создание, распространение или использование ИИ-системы, несёт свою долю ответственности за соответствие закону.
Цель такого подхода — создать прозрачную экосистему, где ни один участник не может «переложить» вину на другого при нарушении правил или возникновении ущерба.
Основные категории участников и их обязанности:
Важно понимать, что обязанности распространяются не только на разработчиков, но и на все звенья цепочки — от импорта и интеграции до конечного использования. Если система ИИ вызывает ущерб или нарушает права граждан ЕС, ответственность может быть солидарной между всеми участниками.
Поэтому юристам и compliance-офицерам необходимо заранее определить, к какой категории относится компания, и создать внутренний регламент по обращению с ИИ-системами — с распределением зон ответственности и каналами взаимодействия с регуляторами.
Цель такого подхода — создать прозрачную экосистему, где ни один участник не может «переложить» вину на другого при нарушении правил или возникновении ущерба.
Основные категории участников и их обязанности:
🏗️ Поставщики (Providers)
Это компании, которые разрабатывают или обучают ИИ-системы и выводят их на рынок ЕС. Они несут основную ответственность за соответствие требованиям AI Act.
Обязанности поставщиков:
— проведение оценки соответствия (Conformity Assessment);
— ведение технической документации и регистрация системы;
— обеспечение качества данных и объяснимости модели;
— внедрение системы управления рисками и контроля изменений;
— уведомление надзорных органов о любых сбоях и инцидентах безопасности;
— маркировка и сопровождение инструкциями для пользователей.
Это компании, которые разрабатывают или обучают ИИ-системы и выводят их на рынок ЕС. Они несут основную ответственность за соответствие требованиям AI Act.
Обязанности поставщиков:
— проведение оценки соответствия (Conformity Assessment);
— ведение технической документации и регистрация системы;
— обеспечение качества данных и объяснимости модели;
— внедрение системы управления рисками и контроля изменений;
— уведомление надзорных органов о любых сбоях и инцидентах безопасности;
— маркировка и сопровождение инструкциями для пользователей.
📦 Дистрибьюторы (Distributors)
Компании, которые распространяют или внедряют ИИ-продукты, разработанные третьими сторонами.
Обязанности дистрибьюторов:
— проверка наличия маркировки CE и сертификата соответствия;
— хранение и предоставление документации по запросу регуляторов;
— контроль корректности перевода инструкций и описаний;
— обязанность приостановить распространение продукта при выявлении несоответствий.
Компании, которые распространяют или внедряют ИИ-продукты, разработанные третьими сторонами.
Обязанности дистрибьюторов:
— проверка наличия маркировки CE и сертификата соответствия;
— хранение и предоставление документации по запросу регуляторов;
— контроль корректности перевода инструкций и описаний;
— обязанность приостановить распространение продукта при выявлении несоответствий.
🌍 Импортёры (Importers)
Субъекты, которые ввозят ИИ-системы на рынок ЕС и несут юридическую ответственность за их соответствие требованиям регламента.
Обязанности импортёров:
— проверка наличия декларации соответствия от поставщика;
— уведомление регуляторов при выявлении несоответствий;
— ведение учёта ИИ-продуктов, поставляемых в ЕС;
— обеспечение возможности отслеживания происхождения и данных об обучении модели.
Субъекты, которые ввозят ИИ-системы на рынок ЕС и несут юридическую ответственность за их соответствие требованиям регламента.
Обязанности импортёров:
— проверка наличия декларации соответствия от поставщика;
— уведомление регуляторов при выявлении несоответствий;
— ведение учёта ИИ-продуктов, поставляемых в ЕС;
— обеспечение возможности отслеживания происхождения и данных об обучении модели.
👩💻 Пользователи (Deployers)
Это организации, которые применяют ИИ в своей деятельности — банки, маркетплейсы, HR-платформы, медтех-компании и т.д.
Обязанности пользователей:
— использование ИИ только в рамках заявленной цели;
— регулярный мониторинг корректности и безопасности модели;
— хранение логов и документации по эксплуатации;
— информирование клиентов о применении ИИ при взаимодействии;
— предоставление регуляторам данных об инцидентах или ошибках алгоритма.
Это организации, которые применяют ИИ в своей деятельности — банки, маркетплейсы, HR-платформы, медтех-компании и т.д.
Обязанности пользователей:
— использование ИИ только в рамках заявленной цели;
— регулярный мониторинг корректности и безопасности модели;
— хранение логов и документации по эксплуатации;
— информирование клиентов о применении ИИ при взаимодействии;
— предоставление регуляторам данных об инцидентах или ошибках алгоритма.
Важно понимать, что обязанности распространяются не только на разработчиков, но и на все звенья цепочки — от импорта и интеграции до конечного использования. Если система ИИ вызывает ущерб или нарушает права граждан ЕС, ответственность может быть солидарной между всеми участниками.
Поэтому юристам и compliance-офицерам необходимо заранее определить, к какой категории относится компания, и создать внутренний регламент по обращению с ИИ-системами — с распределением зон ответственности и каналами взаимодействия с регуляторами.
В основе EU AI Act лежит принцип подотчётности: каждая компания, внедряющая или поставляющая искусственный интеллект, обязана доказать, что её система безопасна, прозрачна и управляемая. Для этого закон требует ведения подробной документации, прохождения процедур сертификации и регулярного аудита.
Эти меры особенно актуальны для высокорисковых ИИ-систем, которые применяются в медицине, образовании, финансовом секторе, госуслугах и правоприменении.
Основные элементы пакета документации по AI Act:
Оценка соответствия (Conformity Assessment) проводится до вывода продукта на рынок. Для большинства высокорисковых систем она требует участия уведомлённого органа (Notified Body), который проверяет техническое досье, качество данных, прозрачность алгоритмов и процесс валидации модели.
После успешного прохождения проверки компания получает право на маркировку CE и регистрационный номер в общеевропейском реестре ИИ-систем. Это подтверждает, что продукт соответствует требованиям безопасности и этичности.
Регулярный аудит — ещё одно обязательное требование для систем высокого риска. Он проводится каждые 12–24 месяца и включает:
— тестирование ИИ на предвзятость и надёжность;
— проверку корректности технических обновлений;
— оценку сохранности пользовательских данных;
— документирование результатов и корректирующих действий.
Нарушение процедур сертификации или отсутствие актуальной документации может рассматриваться как серьёзное нарушение AI Act и повлечь приостановку деятельности на рынке ЕС.
Эти меры особенно актуальны для высокорисковых ИИ-систем, которые применяются в медицине, образовании, финансовом секторе, госуслугах и правоприменении.
Основные элементы пакета документации по AI Act:
📘 Техническое досье (Technical Documentation)
Включает описание архитектуры модели, алгоритмов, используемых наборов данных и методов обучения. Досье должно демонстрировать, что ИИ работает корректно и не создаёт неоправданных рисков для пользователей.
Включает описание архитектуры модели, алгоритмов, используемых наборов данных и методов обучения. Досье должно демонстрировать, что ИИ работает корректно и не создаёт неоправданных рисков для пользователей.
🧭 Система управления качеством ИИ (AI QMS)
Регламент требует внедрения процедур контроля изменений, тестирования, исправления ошибок и мониторинга моделей. Система должна быть интегрирована в общую политику compliance компании.
Регламент требует внедрения процедур контроля изменений, тестирования, исправления ошибок и мониторинга моделей. Система должна быть интегрирована в общую политику compliance компании.
📑 Отчёт по оценке рисков (Risk Management File)
В документе фиксируются потенциальные угрозы (например, дискриминация, утечка данных, искажение решений) и меры по их снижению. Отчёт должен обновляться при каждом обновлении модели или изменении источников данных.
В документе фиксируются потенциальные угрозы (например, дискриминация, утечка данных, искажение решений) и меры по их снижению. Отчёт должен обновляться при каждом обновлении модели или изменении источников данных.
🔐 Описание мер по защите данных и кибербезопасности
Указывается, как компания предотвращает несанкционированный доступ, защищает обучающие наборы данных и обеспечивает соответствие требованиям GDPR.
Указывается, как компания предотвращает несанкционированный доступ, защищает обучающие наборы данных и обеспечивает соответствие требованиям GDPR.
Оценка соответствия (Conformity Assessment) проводится до вывода продукта на рынок. Для большинства высокорисковых систем она требует участия уведомлённого органа (Notified Body), который проверяет техническое досье, качество данных, прозрачность алгоритмов и процесс валидации модели.
После успешного прохождения проверки компания получает право на маркировку CE и регистрационный номер в общеевропейском реестре ИИ-систем. Это подтверждает, что продукт соответствует требованиям безопасности и этичности.
Регулярный аудит — ещё одно обязательное требование для систем высокого риска. Он проводится каждые 12–24 месяца и включает:
— тестирование ИИ на предвзятость и надёжность;
— проверку корректности технических обновлений;
— оценку сохранности пользовательских данных;
— документирование результатов и корректирующих действий.
Нарушение процедур сертификации или отсутствие актуальной документации может рассматриваться как серьёзное нарушение AI Act и повлечь приостановку деятельности на рынке ЕС.
Регламент EU AI Act не действует изолированно — он тесно связан с другими нормативными актами Европейского Союза, включая GDPR, Cyber Resilience Act и директивы в области интеллектуальной собственности. Компании, работающие с искусственным интеллектом, должны учитывать комплекс всех этих требований, чтобы обеспечить полное соответствие европейскому праву.
1. Взаимосвязь AI Act и GDPR
2. Кибербезопасность и устойчивость ИИ
3. Интеллектуальная собственность и обучение моделей
Таким образом, эффективное соблюдение AI Act невозможно без синхронизации процессов защиты данных, кибербезопасности и управления интеллектуальной собственностью. Юридическая практика в ЕС постепенно движется к интегрированным моделям compliance, где все три направления контролируются единым внутренним регламентом.
1. Взаимосвязь AI Act и GDPR
Регламент об ИИ прямо опирается на принципы защиты персональных данных. Если ИИ обучается, анализирует или принимает решения на основе персональной информации — он автоматически попадает под двойное регулирование.
Основные пересечения с GDPR:
— необходимость получения законного основания на обработку данных (ст. 6 GDPR);
— соблюдение принципов минимизации и прозрачности данных;
— проведение Data Protection Impact Assessment (DPIA) для систем, создающих высокий риск для прав субъектов данных;
— предоставление пользователям права на объяснение решений, принятых с участием ИИ (ст. 22 GDPR).
Таким образом, внедрение ИИ без учёта норм GDPR может повлечь двойную ответственность — как по линии защиты данных, так и по линии регулирования ИИ.
Основные пересечения с GDPR:
— необходимость получения законного основания на обработку данных (ст. 6 GDPR);
— соблюдение принципов минимизации и прозрачности данных;
— проведение Data Protection Impact Assessment (DPIA) для систем, создающих высокий риск для прав субъектов данных;
— предоставление пользователям права на объяснение решений, принятых с участием ИИ (ст. 22 GDPR).
Таким образом, внедрение ИИ без учёта норм GDPR может повлечь двойную ответственность — как по линии защиты данных, так и по линии регулирования ИИ.
2. Кибербезопасность и устойчивость ИИ
AI Act требует от компаний внедрять меры по защите алгоритмов, моделей и данных от несанкционированного доступа и атак. Эти требования согласованы с Cyber Resilience Act и стандартами ISO/IEC 27001 и ISO/IEC 23894 (управление рисками ИИ).
Ключевые требования включают:
— обеспечение безопасности обучающих наборов данных;
— защита модели от подмены или отравления данных (data poisoning);
— ведение журналов событий и контроль за доступом к ИИ-системам;
— регулярное тестирование уязвимостей и аудит безопасности;
— план реагирования на инциденты (AI Incident Response Plan).
Отсутствие таких мер расценивается как нарушение требований к надёжности и прозрачности, что может привести к отзывам сертификации.
Ключевые требования включают:
— обеспечение безопасности обучающих наборов данных;
— защита модели от подмены или отравления данных (data poisoning);
— ведение журналов событий и контроль за доступом к ИИ-системам;
— регулярное тестирование уязвимостей и аудит безопасности;
— план реагирования на инциденты (AI Incident Response Plan).
Отсутствие таких мер расценивается как нарушение требований к надёжности и прозрачности, что может привести к отзывам сертификации.
3. Интеллектуальная собственность и обучение моделей
Отдельное внимание в AI Act уделено правам на контент, который используется при обучении моделей. Компании обязаны гарантировать, что их наборы данных не нарушают авторские и смежные права.
Это положение перекликается с Директивой (ЕС) 2019/790 о цифровых авторских правах, которая ограничивает использование защищённых материалов в автоматическом обучении без согласия правообладателя.
Основные принципы соблюдения ИС при работе с ИИ:
— проверка лицензий и источников данных, используемых для обучения модели;
— фиксация источников контента и сроков использования;
— заключение лицензионных договоров с правообладателями;
— документирование процесса генерации и хранения контента;
— внедрение внутренней политики AI & IP Compliance Policy.
Особое внимание уделяется генеративным системам (например, ChatGPT, Midjourney), где важно определить, кому принадлежат результаты — пользователю, компании или разработчику модели.
Это положение перекликается с Директивой (ЕС) 2019/790 о цифровых авторских правах, которая ограничивает использование защищённых материалов в автоматическом обучении без согласия правообладателя.
Основные принципы соблюдения ИС при работе с ИИ:
— проверка лицензий и источников данных, используемых для обучения модели;
— фиксация источников контента и сроков использования;
— заключение лицензионных договоров с правообладателями;
— документирование процесса генерации и хранения контента;
— внедрение внутренней политики AI & IP Compliance Policy.
Особое внимание уделяется генеративным системам (например, ChatGPT, Midjourney), где важно определить, кому принадлежат результаты — пользователю, компании или разработчику модели.
Таким образом, эффективное соблюдение AI Act невозможно без синхронизации процессов защиты данных, кибербезопасности и управления интеллектуальной собственностью. Юридическая практика в ЕС постепенно движется к интегрированным моделям compliance, где все три направления контролируются единым внутренним регламентом.
Регламент EU Artificial Intelligence Act устанавливает одни из самых строгих санкций в мировой практике технологического регулирования. Его система штрафов сопоставима с GDPR и направлена на то, чтобы стимулировать компании к ответственному внедрению и контролю своих ИИ-систем.
Ответственность распространяется на всех участников рынка — от разработчиков и поставщиков до пользователей и импортёров. При этом тяжесть санкций зависит от характера нарушения, уровня риска и того, было ли нарушение умышленным или по небрежности.
1. Категории нарушений по AI Act
Дополнительные последствия:
— приостановка действия сертификата соответствия и отзыва модели с рынка ЕС;
— блокировка доступа к платформам, где система ИИ внедрена;
— занесение компании в реестр нарушителей AI Act;
— обязательное проведение повторного аудита с участием независимых экспертов.
Регламент также предусматривает персональную ответственность для руководителей компаний и должностных лиц, отвечающих за compliance. При доказанном умысле надзорные органы могут наложить дополнительные санкции, включая ограничение права на деятельность в сфере ИИ.
Смягчающими обстоятельствами считаются:
— добровольное сообщение о нарушении и устранение последствий;
— активное сотрудничество с регулятором;
— наличие внутренней AI Policy и процедур мониторинга.
Таким образом, система ответственности в AI Act направлена не только на наказание, но и на формирование культуры правомерного использования искусственного интеллекта. Регуляторы ЕС подчёркивают, что компании, заранее внедрившие систему внутреннего контроля, смогут избежать большинства рисков.
Ответственность распространяется на всех участников рынка — от разработчиков и поставщиков до пользователей и импортёров. При этом тяжесть санкций зависит от характера нарушения, уровня риска и того, было ли нарушение умышленным или по небрежности.
1. Категории нарушений по AI Act
🚫 Использование запрещённых систем ИИ
Нарушение полного запрета на системы «недопустимого риска» — например, социального рейтинга граждан или массового распознавания лиц.
Штраф: до 35 млн евро или 7% от глобального годового оборота компании — в зависимости от того, какая сумма больше.
Нарушение полного запрета на системы «недопустимого риска» — например, социального рейтинга граждан или массового распознавания лиц.
Штраф: до 35 млн евро или 7% от глобального годового оборота компании — в зависимости от того, какая сумма больше.
⚠️ Нарушение требований к высокорисковым системам
Отсутствие оценки соответствия, сертификации, технической документации или механизмов мониторинга.
Штраф: до 20 млн евро или 4% от оборота.
Отсутствие оценки соответствия, сертификации, технической документации или механизмов мониторинга.
Штраф: до 20 млн евро или 4% от оборота.
📋 Непредоставление данных регуляторам
Отказ компании передать техническую документацию, результаты аудита или сведения о работе модели по запросу надзорного органа.
Штраф: до 10 млн евро или 2% от оборота.
Отказ компании передать техническую документацию, результаты аудита или сведения о работе модели по запросу надзорного органа.
Штраф: до 10 млн евро или 2% от оборота.
💬 Недостоверная или вводящая в заблуждение информация
Указание ложных сведений в декларации соответствия, маркировке CE или отчётах по аудиту.
Штраф: до 5 млн евро или 1% от оборота.
Указание ложных сведений в декларации соответствия, маркировке CE или отчётах по аудиту.
Штраф: до 5 млн евро или 1% от оборота.
Дополнительные последствия:
— приостановка действия сертификата соответствия и отзыва модели с рынка ЕС;
— блокировка доступа к платформам, где система ИИ внедрена;
— занесение компании в реестр нарушителей AI Act;
— обязательное проведение повторного аудита с участием независимых экспертов.
Регламент также предусматривает персональную ответственность для руководителей компаний и должностных лиц, отвечающих за compliance. При доказанном умысле надзорные органы могут наложить дополнительные санкции, включая ограничение права на деятельность в сфере ИИ.
Смягчающими обстоятельствами считаются:
— добровольное сообщение о нарушении и устранение последствий;
— активное сотрудничество с регулятором;
— наличие внутренней AI Policy и процедур мониторинга.
Таким образом, система ответственности в AI Act направлена не только на наказание, но и на формирование культуры правомерного использования искусственного интеллекта. Регуляторы ЕС подчёркивают, что компании, заранее внедрившие систему внутреннего контроля, смогут избежать большинства рисков.