Как EU AI Act влияет на бизнес в Европе (и за ее пределами)
- 14 июля, 2025
- AI
В начале 2024 года Европейский союз сделал значительный шаг в регулировании искусственного интеллекта — принял EU AI Act. Сейчас это основной регламент в Европе, который устанавливает новые правила для разработки, внедрения и использования ИИ-систем. AI Act имеет все шансы так же повлиять на индустрию ИИ, как GDPR в свое время повлиял на сферу защиты персональных данных: задать вектор развития для регулирования по всему миру. Но вместе с этим приходят и сложности для бизнеса: как соответствовать? Где брать знания и ресурсы? Сколько времени это займет? В этой статье разбираемся, как AI Act повлияет на компании, какие практические шаги придется предпринять и почему он становится новой точкой отсчета в глобальной гонке за доверие к технологиям.
Содержание
Основа регулирования искусственного интеллекта в Европейском Союзе
EU AI Act устанавливает единые правила для всех, кто разрабатывает, внедряет или использует ИИ-системы в пределах Евросоюза или взаимодействует с его гражданами. Ключевой принцип — это риск-ориентированный подход. Чем выше риск, тем строже требования. Это значит, что каждая система должна быть отнесена к определенному классу: запрещенные, высокорисковые или системы с минимальным риском.
📎 Запрещенные ИИ-системы: Считаются настолько опасными для прав и свобод людей, что их вывод на рынок запрещен. К ним относятся: системы, которые используют подсознательные или манипулятивные техники для влияние на поведение, системы классификации на основе биометрических или чувствительных данных, системы социального скоринга, а также системы дистанционного распознавания лиц в реальном времени для правоохранительных целей (с ограниченными исключениями). Ввод в эксплуатацию таких систем влечет за собой самые суровые правовые последствия.
📎 Высокорисковые ИИ-системы: Допускаются на рынок, но подлежат строгому регулированию. К этой категории автоматически относятся сервисы, которые используются в медицинских целях, в HR-отделах, а также в образовании, правоохранительных органах и других областях, где они могут значительно влиять на фундаментальные права или безопасность. Такие системы должны регистрироваться в публичном реестре. Для них также проводится оценка воздействия на права человека, создаются специальные системы управления и контроля, а также ряд выполняется ряд технических требований, чтобы обеспечить надежность и безопасность.
📎 ИИ-системы с умеренным/минимальным риском: Для этих систем не предусмотрено специальных детализированных норм, помимо базовых требований к прозрачности. Главное — пользователи должны быть проинформированы о том, что они взаимодействуют с ИИ-системой. Например, чат-боты должны четко идентифицировать себя как машины.
Вместо контролера и процессора
Согласно EU AI Act есть две категории субъектов, работающих с ИИ: провайдер и развертывающий.
Провайдер — это компания или человек, который разрабатывает ИИ-систему или модель ИИ и выводит её на рынок (под своим именем, брендом или логотипом). Даже если изначально организация просто использовала ИИ, она становится провайдером, если изменила его работу, добавила свои алгоритмы или выпустила систему под своим именем.
Основная задача провайдера — обеспечить безопасность, качество и прозрачность ИИ-системы. Особенно это важно, если система считается высокорисковой (например, используется в медицине, найме, образовании, правоохранительных органах).
Провайдер должен:
📎 управлять рисками и качеством ИИ на всех этапах — от разработки до использования;
📎 обеспечить защиту данных и борьбу с предвзятостью;
📎 вести техническую документацию и логи;
📎 пройти процедуры оценки соответствия и зарегистрировать систему;
📎 внедрить механизмы для мониторинга, обновлений и контроля человеком;
📎 быть готовым к проверкам и нести ответственность за нарушения (вплоть до штрафов до 35 млн евро или 7% годового оборота).
Развертывающий — это тот, кто использует ИИ-систему на практике: компания, применяющая ИИ в рекрутинге, банк — в оценке кредитов, клиника — в диагностике и т.д.
Основная задача развертывающего — следить за тем, чтобы ИИ использовался по назначению и не нарушал права людей.
Развертывающий обязан:
📎 уведомлять пользователей, если они взаимодействуют с ИИ (например, если это чат-бот);
📎 обеспечивать прозрачность работы ИИ в рамках своей деятельности;
📎 не использовать ИИ в запрещённых целях (например, для манипуляции поведением или массового распознавания лиц в публичных местах);
📎 соблюдать правила в зависимости от риска системы (чем выше риск — тем больше обязательств).
Важно: если компания изменяет ИИ-систему или встраивает её в новый продукт, она может перейти из категории «развертывающий» в «провайдер» — и тогда её обязательства станут гораздо шире.
Что должен делать бизнес, чтобы соответствовать требованиям?
Требование AI Act постепенно вступают в силу, а значит компаниям уже сейчас нужно двигаться в сторону комплаенса ИИ-систем. Для тех, кто создает или использует ИИ-системы (особенно высокого риска) придется пересмотреть многие процессы.
1. Управлять рисками и качеством
AI Act обязывает внедрять Систему Управления Рисками (RMS) и Систему Управления Качеством (QMS) для всех высокорисковых ИИ-систем.
📎 RMS охватывает все этапы жизненного цикла ИИ-системы: идентификацию, анализ, оценку и снижение рисков для здоровья, безопасности и фундаментальных прав. Система включает в себя «безопасность по замыслу» (safety by design) и обязательное тестирование системы на протяжении всего процесса разработки и перед выходом на рынок.
📎 QMS должна обеспечивать соответствие AI Act и документироваться: в письменных политиках, процедурах и инструкциях. Эта система охватывает предрыночные (стратегия соответствия, контроль проектирования, проверка) и послерыночные элементы (контроль качества, отчетность о серьезных инцидентах, система мониторинга).
2. Проверять качество данных и бороться с предвзятостью
Ошибки или недостатки в данных могут привести к неточным результатам или предвзятости. Статья 10 Регламента требует, чтобы компании устанавливали четкие процедуры обеспечения качества данных для высокорисковых систем. Но при этом, даже если система не является высокорисковой, ее точность и надежность зависят от высокого качества и репрезентативности данных.
Особое внимание уделяется борьбе с потенциальной предвзятостью (bias) в процессах принятия решений ИИ. AI Act прямо обязывает разработчиков ИИ принимать меры по борьбе с предвзятостью, чтобы их системы были справедливыми и не допускали дискриминации. Для этого разработчики должны анализировать обучающие данные на предмет сбалансированности и репрезентативности, использовать специальные алгоритмы и постоянный мониторинг производительности системы в реальных условиях. Но все эти меры приводят к противоречию принципам GDPR. Про них расскажем ниже.
3. Контролировать и обеспечивать прозрачность
Человеческий контроль над операциями ИИ — обязательное условие для высокорисковых систем в соответствии со Статьей 14 Регламента. Его цель — минимизировать риски для здоровья, безопасности и фундаментальных прав людей. Это особенно сложно для современных глубоких нейронных сетей, которые часто работают как «черный ящик» из-за своей сложности. Чтобы эффективно контролировать систему, создаются интерфейсы для мониторинга и вмешательства оператором, а также процедуры, которые позволяют субъекту данных остановить или отменить действие системы. При этом важно предотвратить чрезмерную зависимость операторов от решений ИИ.
Чтобы избежать эффекта «черного ящика», который мы упомянули выше, следует соблюдать прозрачность системы. Компании должны предоставлять понятную информацию о логике, значении и предполагаемых последствиях автоматизированных решений. Уровень детализации объяснений должен зависеть от аудитории.
4. Вести документацию
Статья 11 EU AI Act требует, чтобы разработчики создавали и вели актуальную техническую документацию. Она важна для прозрачности и помогает всем заинтересованным сторонам понимать, как система работает и как она была создана. Также она помогает отслеживать жизненный цикл системы, чтобы управлять рисками и проводить аудит. Документация может включать описание архитектуры системы, процессов разработки, спецификации дизайна, информацию об обучающих данных, алгоритмах, оценке воздействия на защиту данных, операционных журналах, мерах кибербезопасности и процедурах мониторинга.
5. Обрабатывать пограничные и противоречивые случаи
Высокорисковые ИИ-системы должны быть устойчивыми к ошибкам и способными эффективно обрабатывать пограничные и неожиданные ситуации. Это критически важно для безопасного использования ИИ в реальных условиях и помогает избежать критических сбоев системы. Важны процедуры тестирования таких случаев, валидация входных данных, а также алгоритмы для автоматического обнаружения и исправления аномалий или противоречий в данных.
6. Обеспечивать мультиязычность и кросс-культурность
Чтобы ИИ-система была справедливой, она должна эффективно функционировать в многоязычной и кросс-культурной среде. Для этого могут использоваться мультиязычные модели обработки естественного языка, разнообразные наборы данных для обучения, привлечение лингвистов и культурных экспертов, а также механизмы для учета различных акцентов и диалектов.
7. Обновлять системы
Системы должны адаптироваться к изменениям в среде и новым требованиям пользователей. Статья 43 Регламента требует новой оценки соответствия в случае значительных изменений в системе. Процедуры обновления должны включать управление изменениями, определение критериев значительных изменений, тестирование и валидацию обновлений, мониторинг их воздействия, а также процедуры отката и восстановления.
Почему GDPR и EU AI Act «не дружат»?
При разработке и внедрении ИИ-систем важно, чтобы не получилось «перекоса»: одно соблюдаем, а другое нарушаем. В частности, такое может произойти при соответствии EU AI Act и GDPR. Основное противоречие возникает на пересечении этих двух регламентов: для обнаружения дискриминации системой ИИ в отношении защищенных групп, разработчикам обычно необходимы данные об этих защищенных характеристиках. Например, чтобы определить, дискриминирует ли алгоритм найма по этнической принадлежности, исследователям необходимо знать этническую принадлежность заявителей для сравнения результатов по различным группам. Однако сбор и обработка таких чувствительных персональных данных прямо противоречат подходу GDPR к защите персональных данных.
AI Act разрешает такую обработку для обнаружения предвзятости в системах высокого риска. Тем не менее, остается неясным: можно ли это использовать в качестве основания обработки согласно строгим требованиям GDPR к приватности. Организации сталкиваются с трудной дилеммой: либо не проводить всестороннее тестирование на предвзятость (потенциально нарушая AI Act), либо обрабатывать чувствительные данные (потенциально нарушая GDPR). Без доступа к реальным чувствительным персональным данным исследования по обнаружению предвзятости часто остаются теоретическими и абстрактными. А это ограничивает разработку эффективных решений для алгоритмической дискриминации.
При этом избежать проверку на предвзятость нельзя: ее отсутствие может негативно сказаться на пользователях в разных сферах.
Трудоустройство: ИИ-системы, которые помогают в найме, могут неосознанно отдавать предпочтение одним кандидатам и исключать других — например, женщин, людей определённой этнической принадлежности или с ограниченными возможностями.
Финансовые услуги: Кредитные алгоритмы могут снижать шансы определённых групп на одобрение займа, даже если это не явно прописано в логике модели. Например, оценка может коррелировать с регионом проживания или профессией, которые косвенно связаны с защищёнными характеристиками.
Здравоохранение: Медицинские ИИ-системы, которые принимают решения о диагностике или лечении, опираются на данные о здоровье пациентов. А они по определению чувствительные.
Однако найти баланс между борьбой с предвзятостью в ИИ и соблюдением требований по защите персональных данных все же можно. Для этого компаниям доступны несколько подходов:
📎 Явное согласие: GDPR разрешает использовать чувствительные данные, если человек дал на это чёткое согласие. Но на практике его сложно получить: не всегда ясно, как объяснить цели обработки и как гарантировать, что согласие было действительно добровольным.
📎 Анонимизация и псевдонимизация: Удаление личных идентификаторов позволяет анализировать данные без прямой привязки к конкретному человеку. Это снижает риски, но полная анонимность не всегда достижима.
📎 Синтетические данные: Это искусственно созданные данные, которые имитируют реальные, но не содержат информации о конкретных людях. Они полезны для тестирования и обучения моделей, но точность таких данных сложно проверить без доступа к настоящим.
📎 Конфиденциальные методы анализа: Технологии вроде федеративного обучения или дифференциальной приватности позволяют использовать данные, но при этом не передавать их напрямую. Подробнее о том, как обеспечить конфиденциальность данных в ИИ-системах рассказывали в этой статье.
📎 Надёжное управление данными: Нужно выстраивать процессы с учётом требований к защите и целей по снижению дискриминации. В этом поможет DPIA, прозрачная документация и внедрение принципа «ethics by design» на всех этапах работы с ИИ.
📎 Диалог с регуляторами: Учитывая то, что EU AI Act еще не полностью вступил в силу, а в некоторых регионах все еще нет подобного регулирования, обращаться за разъяснениями к надзорному органу — нормально. Регулярные консультации помогут прояснить ожидания, избежать нарушений и показать, что организация действует добросовестно и проактивно. Помимо этого, у компаний есть возможность принимать участие в публичных консультациях по применению закона. На ней надзорный орган собирает реальные кейсы и вопросы, которые потом могут учитываться в руководствах для компаний. Одна из них — по классификации ИИ-систем высокого риска —открыта до 18 июля.
📎 Сотрудничество с экспертами и исследователями: Мы верим, что вместе бизнес, юристы и исследователи могут искать практичные и безопасные способы анализа предвзятости без нарушения закона. Это одна из причин посещать тематические конференции и выставки. Например, форум по регулированию искусственного интеллекта пройдет 24-25 сентября в Брюсселе.
Принципы справедливости и приватности не должны конкурировать друг с другом. Они оба важны для создания этичных ИИ-систем. Осталось только найти решения, которые не будут ущемлять ни один из них.
Как EU AI Act влияет на бизнес разного размера?
Стартапы
Для стартапов раннее соответствие AI Act — стратегическое преимущество. Соблюдать требования закона на ранних стадиях дешевле, чем дорабатывать продукт в будущем. К тому же это хороший старт для сотрудничества, набора лояльной клиентской базы и получения инвестиций. Готовность к регулированию открывает двери на рынок ЕС и позволяет быть на шаг впереди будущих регуляций в других странах. Стартапам можно начать с аудита продукта на предмет попадания в категорию высокого риска, обучения команды комплаенсу в ИИ-системах и внедрения инструментов для управления рисками.
Малые и Средние Предприятия (МСП)
AI Act уделяет особое внимание МСП и предлагая меры, что поддержать их и упростить соответствие. К ним относятся:
📎 Регулятивные песочницы — латформы для тестирования ИИ-продуктов в контролируемой среде, с приоритетным бесплатным доступом для МСП.
📎 Снижение затрат на соответствие и сборов — плата за оценку соответствия будет пропорциональна размеру МСП.
📎 Упрощенная документация и целевое обучение — комиссия разрабатывает специальные упрощенные формы технической документации для МСП.
📎 Пропорциональные обязательства — для поставщиков моделей ИИ общего назначения обязательства будут соразмерны типу поставщика.
Крупные компании
Крупный бизнес — один из главных адресатов AI Act. Они с большей вероятностью обрабатывают большое количество данных с помощью ИИ и несут высокие риски для пользователей.
Больше ответственности. Компании, которые разрабатывают или активно используют ИИ, особенно в найме, медицине или безопасности, должны выполнять полный набор требований — от управления рисками и качества данных до оценки соответствия и регистрации системы в реестре ЕС.
Неопределённость и опасения. Многие крупные компании в ЕС уже выразили обеспокоенность — правила пока не до конца понятны. Требования к большим языковым моделям (GPAI) могут замедлить внедрение ИИ и поставить европейские компании в невыгодное положение по сравнению с конкурентами в США и Китае.
GPAI и системный риск. Если ИИ-модель была обучена с использованием огромного количества ресурсов, эквивалентного 10 в 25-й степени операций, она считается моделью с системным риском по версии EU AI Act. Пример — GPT-4. Такие модели могут сильно влиять на рынок и общество, поэтому к ним применяются особые правила.
Гибкие сроки внедрения. EU AI Act даёт компаниям время адаптироваться — если ИИ-система уже используется, её не нужно сразу переделывать под новые требования. Для таких систем даётся отсрочка — до 2 лет. Но, если за это время система сильно изменится, например, её алгоритм будет переработан, изменится назначение или начнётся использование в новой сфере, она будет считаться новой системой.
А это значит, что она должна пройти все проверки и процедуры соответствия заново, как будто её только что разработали.
Для крупных компаний это означает, что чем раньше начнётся адаптация — тем безопаснее и дешевле будет соответствие закону. Важно уже сейчас выстраивать процессы управления ИИ, назначать ответственных и готовить внутренние процедуры.
Штрафы за нарушение EU AI Act
Основным надзорным органом, обеспечивающим единообразное применение AI Act во всех государствах-членах ЕС, будет Европейский офис по ИИ (European AI Office). Он будет отслеживать соблюдение Регламента, разрабатывать рекомендации, проводить расследования, налагать санкции и координировать глобальные усилия в области ИИ.
Штрафы за нарушения AI Act могут быть даже больше, чем за GDPR:
📎 До 35 млн евро или 7% от общемирового годового оборота (в зависимости от того, что выше) за ввод в эксплуатацию или на рынок запрещенной ИИ-системы.
📎 До 15 млн евро или 3% от общемирового годового оборота за нарушение любого другого обязательства, не связанного с запрещенными системами.
📎 До 7,5 млн евро или 1% от общемирового годового оборота за предоставление ошибочной, неполной или вводящей в заблуждение информации надзорному органу.
Будущее соответствия в сфере ИИ
AI Act — это поворотный момент в регулировании ИИ. Он использует риск-ориентированный подход, чтобы создавать заслуживающий доверия и ориентированный на человека ИИ. Чтобы адаптироваться к развивающемуся ландшафту ИИ и избежать значительных штрафов нужно проактивно относиться к новым требованиям:
📎 Управлять рисками и контролировать качество.
📎 Соблюдать принципы защиты персональных данных и внедрять систему privacy-by-design.
📎 Настраивать сотрудничество между юридическими и техническими командами.
📎 Инвестировать в обучение и повышение квалификации сотрудников по вопросам регулирования ИИ и его рисков.
📎 Открыто общаться с надзорными органами для разъяснения спорных моментов и демонстрации добросовестных усилий по соблюдению требований.
Эти ценности — не конкурирующие приоритеты, а взаимодополняющие принципы, которые должны соблюдать ИИ-системы. В конечном итоге, только таким образом можно обеспечить, чтобы ИИ-системы соблюдали приватность и равенство.
Помощь и поддержка по вопросам соответствия EU AI Act
В условиях новых европейских правил для ИИ важно не только понимать законодательство, но и оперативно приводить свои системы в соответствие. Мы готовы помочь вам на каждом этапе.
Практический курс, который даст вам и вашей команде четкие знания о Регламенте, его рисках и способах безопасного использования ИИ. Вы научитесь правильно оценивать ИИ-системы и применять соблюдать требования на практике.
Обучим основам искусственного интеллекта и принципам его регулирования в Европе на основе закона EU AI Act. Расскажем, как связаны приватность и системы ИИ и как минимизировать риски для персональных данных при их разработке.
Наши эксперты проведут всесторонний аудит ваших ИИ-систем, выявят риски и несоответствия, а также разработают персональную дорожную карту для приведения бизнеса в соответствие. Это позволит избежать штрафов и защитить репутацию компании.
