Регуляторный акт ЕС об искусственном интеллекте (EU AI Act) вступает в силу 2 августа 2026 года. Этот акт затрагивает всех разработчиков, создающих системы ИИ, используемые в ЕС, независимо от местонахождения их компании. Давайте рассмотрим практические аспекты этого акта и то, что разработчикам необходимо сделать для соблюдения новых требований.
Кто подлежит действию EU AI Act
EU AI Act имеет экстерриториальное действие, подобно Общему регламенту по защите данных (GDPR). Если ваша система ИИ используется кем-либо в ЕС, либо если вывод вашей системы ИИ достигает пользователей ЕС, даже косвенно, вы подлежите действию этого акта. Это также касается разработчиков, создающих системы ИИ для клиентов, оперирующих в ЕС.
Классификация рисков
Акт ЕС об ИИ классифицирует системы по уровню риска:
- Минимальный риск: системы ИИ, используемые внутри компании для таких задач, как создание черновиков, суммирование или генерация кода. Большинство инструментов для разработчиков попадают в эту категорию и не имеют конкретных обязательств.
- Ограниченный риск: системы ИИ, взаимодействующие с пользователями, такие как чат-боты или системы, генерирующие контент. Для таких систем необходимо информировать пользователей о том, что они взаимодействуют с системой ИИ. Это можно сделать с помощью простого уведомления в начале разговора.
- Высокий риск: системы ИИ, принимающие решения о людях, например, системы кредитного скоринга, ценообразования страховок, найма персонала, доступа к услугам или правоохранительных органов. Для таких систем требуется полное соответствие, включая документацию, оценку соответствия, надзор человека и технический мониторинг.
- Запрещенные: системы социального скоринга, идентификации в реальном времени в общественных местах (с некоторыми исключениями) и манипулирование уязвимыми группами.
Требования для разработчиков
Для систем с ограниченным риском, которые включают большинство чат-ботов и систем ИИ, взаимодействующих с клиентами, разработчикам необходимо:
- Предоставлять прозрачность, уведомляя пользователей о взаимодействии с системой ИИ.
- Провести оценку воздействия на защиту данных (DPIA), которая также требуется GDPR.
- Заключить соглашение с поставщиком ИИ (DPA).
- Обновить уведомление о конфиденциальности для покрытия обработки ИИ.
- Вести журналы аудита для записи передачи данных.
Для систем с высоким риском требования более сложные и включают оценки соответствия, техническую документацию и постоянный мониторинг.
Перекрытие с GDPR
Важно отметить, что GDPR уже применяется к вашей системе ИИ. Акт ЕС об ИИ добавляет дополнительные требования. Если вы еще не обеспечили соответствие GDPR для ваших функций ИИ, это более срочный пробел, который необходимо закрыть.