Закон ЕС об ИИ

Цель и сфера применения

Регламент Европейского союза об искусственном интеллекте (AI Act) устанавливает гармонизированную правовую основу, регулирующую разработку, размещение на рынке, ввод в эксплуатацию и использование систем искусственного интеллекта на территории Европейского союза. Цели и сфера применения Регламента преимущественно определены в статье 1 и статье 2 Регламента (ЕС) 2024/1689.

В соответствии с частью первой статьи 1 AI Act Регламент направлен на улучшение функционирования внутреннего рынка путем установления единых правил для систем искусственного интеллекта при одновременном обеспечении высокого уровня защиты здоровья, безопасности и основных прав, закрепленных в Хартии основных прав Европейского союза. Регламент прямо направлен на продвижение человеко-ориентированного и заслуживающего доверия искусственного интеллекта, поддержку инноваций и предотвращение фрагментации национальных правил регулирования искусственного интеллекта между государствами-членами.

Правовая основа AI Act преимущественно опирается на статью 114 Договора о функционировании Европейского союза (ДФЕС), которая позволяет Европейскому союзу принимать гармонизированные правила для внутреннего рынка, а в отдельных случаях, касающихся биометрических данных и правоохранительной деятельности, – на статью 16 ДФЕС, регулирующую защиту персональных данных. Данная двойственная правовая основа отражает тесную взаимосвязь между регулированием искусственного интеллекта, правом безопасности продукции и правом защиты данных.

Материальная сфера применения AI Act определена частью первой статьи 2 и охватывает все системы искусственного интеллекта в значении, установленном частью первой статьи 3 Регламента. Определение системы искусственного интеллекта сформулировано намеренно широко и является технологически нейтральным, охватывая машинные системы, предназначенные для функционирования с различной степенью автономности и способные генерировать такие результаты, как прогнозы, контент, рекомендации или решения, которые оказывают влияние на физическую или виртуальную среду.

С территориальной точки зрения AI Act обладает четко выраженным экстерриториальным действием. В соответствии с пунктами (a)–(c) части первой статьи 2 Регламент применяется не только к поставщикам и пользователям, учрежденным на территории Европейского союза, но также к субъектам, учрежденным в третьих странах, в случаях, когда система искусственного интеллекта размещается на рынке Европейского союза, вводится в эксплуатацию на его территории либо когда результаты, сгенерированные системой искусственного интеллекта, используются в пределах Союза. Такой подход воспроизводит регуляторную логику Общего регламента по защите данных (GDPR) и направлен на предотвращение обхода правил Европейского союза в сфере искусственного интеллекта посредством оффшорных моделей развертывания.

В то же время AI Act устанавливает ряд прямых исключений. В соответствии с частью третьей статьи 2 Регламент не применяется к системам искусственного интеллекта, разработанным или используемым исключительно для военных, оборонных или целей национальной безопасности. Кроме того, часть шестая статьи 2 исключает системы искусственного интеллекта, разработанные и используемые исключительно для научных исследований и разработок, при условии, что они не размещаются на рынке и не вводятся в эксплуатацию. Системы искусственного интеллекта, используемые исключительно для личной и непрофессиональной деятельности, также исключены из сферы применения Регламента.

AI Act задуман как горизонтальный регуляторный инструмент и применяется без ущерба для действия существующего отраслевого законодательства Европейского союза. Как разъясняется в части седьмой статьи 2, Регламент дополняет, а не заменяет действующие правовые режимы Европейского союза, такие как Общий регламент по защите данных (GDPR), законодательство о защите прав потребителей, трудовое право и законодательство о безопасности продукции. В случаях, когда системы искусственного интеллекта квалифицируются как компоненты безопасности регулируемой продукции, соблюдение требований AI Act требуется дополнительно к отраслевым требованиям оценки соответствия.

В целом положения о цели и сфере применения AI Act формируют правовую основу его ключевого регуляторного механизма – подхода, основанного на оценке рисков в регулировании искусственного интеллекта, в рамках которого системы искусственного интеллекта классифицируются и регулируются в зависимости от уровня риска, который они представляют для общественных интересов и основных прав. Данная риск-ориентированная структура лежит в основе всех последующих обязательств, предусмотренных Регламентом, и определяет, подлежит ли конкретная система искусственного интеллекта запрету, строгим требованиям соответствия либо в значительной степени освобождается от регуляторного надзора.

Категории риска систем искусственного интеллекта

Регуляторная архитектура AI Act построена вокруг классификации систем искусственного интеллекта на основе оценки рисков, которая определяет объем регуляторных обязательств, применимых к конкретному сценарию использования системы искусственного интеллекта. Данный подход прямо закреплен частью второй статьи 1 и далее конкретизирован статьями 5, 6 и 50 Регламента (ЕС) 2024/1689.

Вместо регулирования искусственного интеллекта как единой однородной категории AI Act дифференцирует системы искусственного интеллекта в зависимости от степени и вероятности вреда, который они могут причинить общественным интересам, охраняемым правом Европейского союза, в частности здоровью, безопасности и основным правам. Такая структура отражает намерение законодателя Европейского союза обеспечить соразмерность, правовую определенность и эффективное правоприменение, одновременно избегая необоснованных ограничений для низкорисковых и ориентированных на инновации технологий искусственного интеллекта.

В соответствии с AI Act системы искусственного интеллекта классифицируются по четырем основным категориям риска:

• системы искусственного интеллекта с неприемлемым уровнем риска;
• системы искусственного интеллекта высокого риска;
• системы искусственного интеллекта ограниченного риска;
• системы искусственного интеллекта минимального или нулевого риска.

Для каждой из указанных категорий предусмотрен самостоятельный регуляторный режим – от полного запрета до отсутствия обязательных требований.

Системы искусственного интеллекта, представляющие неприемлемый уровень риска, урегулированы статьей 5 Регламента. Такие системы считаются несовместимыми с ценностями Европейского союза и основными правами и, соответственно, подлежат запрету на размещение на рынке, ввод в эксплуатацию или использование на территории Союза. Данный запрет носит абсолютный характер и отражает оценку законодателя о том, что отдельные практики использования искусственного интеллекта создают риски, которые не могут быть в достаточной степени снижены посредством технических, организационных либо мер человеческого контроля.

Второй и наиболее значимой с операционной точки зрения категорией являются системы искусственного интеллекта высокого риска, определенные статьей 6 AI Act и дополнительно конкретизированные в Приложении III. Системы искусственного интеллекта высокого риска не подлежат запрету; однако они подпадают под действие обширных требований по предварительной оценке соответствия и последующему соблюдению требований Регламента. Квалификация системы искусственного интеллекта как высокорисковой зависит от ее предполагаемого назначения и контекста использования, а не исключительно от применяемой технологии. В частности, предполагается, что к данной категории относятся системы искусственного интеллекта, используемые в качестве компонентов безопасности регулируемой продукции либо развертываемые в заранее определенных чувствительных сферах, затрагивающих основные права.

Между запрещенными системами и системами высокого риска AI Act выделяет системы искусственного интеллекта ограниченного риска, регулирование которых осуществляется преимущественно посредством обязательств по обеспечению прозрачности, установленных статьей 50 Регламента. Такие системы, как правило, предполагают непосредственное взаимодействие с физическими лицами либо генерацию синтетического контента, при этом основной регуляторный акцент делается на защиту автономии пользователей и обеспечение их осознанного принятия решений, а не на предотвращение системного вреда.

Наконец, AI Act признает широкую категорию систем искусственного интеллекта минимального или нулевого риска, которые не подпадают под обязательные регуляторные требования. Как разъясняется в соображении 27 преамбулы Регламента, законодатель сознательно воздерживается от введения обязательств в отношении таких систем с целью стимулирования инноваций и обеспечения свободного обращения товаров и услуг, основанных на использовании искусственного интеллекта, на внутреннем рынке. При этом поставщики таких систем вправе добровольно придерживаться кодексов поведения и лучших практик.

Ключевой особенностью системы классификации рисков, установленной AI Act, является ее функциональный и динамический характер. Квалификация системы искусственного интеллекта зависит от фактического способа ее использования, при этом одна и та же система может относиться к различным категориям риска в зависимости от контекста ее развертывания. Кроме того, Европейская комиссия наделена полномочиями изменять перечень сценариев использования систем искусственного интеллекта высокого риска посредством делегированных актов, что позволяет адаптировать регуляторную рамку к технологическому и общественному развитию.

С точки зрения соблюдения требований законодательства корректная классификация системы искусственного интеллекта в соответствии с AI Act представляет собой базовую юридическую оценку. Ошибочная квалификация уровня риска может привести к применению недостаточных мер соответствия и, как следствие, к мерам правоприменения и административным санкциям в отношении поставщиков и пользователей систем искусственного интеллекта. В связи с этим классификация рисков в рамках AI Act все чаще рассматривается как неотъемлемая часть управления искусственным интеллектом, проектирования продуктов и регуляторной стратегии компаний, осуществляющих деятельность на рынке Европейского союза либо ориентированных на него.

Системы искусственного интеллекта ограниченного и минимального риска

AI Act устанавливает дифференцированный регуляторный режим в отношении систем искусственного интеллекта, которые оцениваются как представляющие ограниченный риск либо минимальный (нулевой) риск для здоровья, безопасности и основных прав. Данный подход отражает принцип соразмерности, закрепленный частью второй статьи 1 и соображением 27 преамбулы Регламента (ЕС) 2024/1689, согласно которому регуляторное вмешательство должно быть соразмерно уровню риска, создаваемого конкретной системой искусственного интеллекта.

Системы искусственного интеллекта, отнесенные к категории систем ограниченного риска, не подпадают под расширенный режим соблюдения требований, применимый к системам высокого риска. Вместо этого их регулирование осуществляется преимущественно посредством обязательств по обеспечению прозрачности, установленных статьей 50 AI Act. Основной регуляторный фокус в рамках данной категории направлен не на предотвращение системного вреда, а на защиту автономии пользователей, их осведомленности и способности принимать осознанные решения при взаимодействии с системами искусственного интеллекта либо при восприятии контента, созданного с их использованием.

В соответствии с частью первой статьи 50, пользователи (deployers) систем искусственного интеллекта, предназначенных для непосредственного взаимодействия с физическими лицами, обязаны обеспечить информирование таких лиц о том, что они взаимодействуют с системой искусственного интеллекта, за исключением случаев, когда это является очевидным исходя из обстоятельств и контекста использования. Данное требование, в частности, применяется к диалоговым системам искусственного интеллекта и виртуальным ассистентам, которые в противном случае могут создавать вводящее в заблуждение впечатление взаимодействия с человеком.

Кроме того, части вторая и третья статьи 50 устанавливают специальные требования к прозрачности в отношении систем искусственного интеллекта, которые генерируют либо изменяют контент, включая аудио-, визуальные, видео- или текстовые материалы. В случаях, когда такой контент создается или модифицируется искусственным образом и может ввести физических лиц в заблуждение, он подлежит четкому раскрытию как сгенерированный с использованием искусственного интеллекта, с учетом узко сформулированных исключений, включая деятельность правоохранительных органов и осуществление свободы выражения мнений в художественном или журналистском контексте.

AI Act также затрагивает системы распознавания эмоций и биометрической категоризации вне контекстов высокого риска. В то время как отдельные способы использования таких систем подлежат запрету либо классифицируются как высокорисковые, их применение в иных, нечувствительных контекстах может относиться к категории систем ограниченного риска и, соответственно, влечь возникновение обязательств по обеспечению прозрачности, а не прямые запреты или требования об оценке соответствия.

В отличие от систем ограниченного риска, системы искусственного интеллекта минимального или нулевого риска прямо исключены из-под действия обязательных регуляторных требований AI Act. Как разъясняется в соображении 27 преамбулы Регламента, такие системы считаются представляющими незначительный риск для физических лиц или общества в целом и, следовательно, не обосновывают необходимость введения обязательных требований по соблюдению нормативных предписаний. К данной категории относится большинство систем искусственного интеллекта, используемых в настоящее время в коммерческой и потребительской среде, включая инструменты внутренней оптимизации бизнес-процессов, рекомендательные системы для нечувствительного контента, а также системы искусственного интеллекта, встроенные в развлекательное или продуктивное программное обеспечение.

Несмотря на отсутствие обязательного регулирования систем минимального риска, AI Act поощряет поставщиков к добровольному внедрению кодексов поведения и внутренних механизмов управления, как это предусмотрено статьями 95 и 96 Регламента. Указанные добровольные инструменты направлены на продвижение ответственного развития и использования искусственного интеллекта без установления юридически обязательных требований, которые могли бы затруднить инновационную деятельность или выход на рынок.

С правовой и комплаенс-точки зрения разграничение между системами искусственного интеллекта ограниченного риска и минимального риска сохраняет существенное значение. В то время как системы минимального риска полностью находятся вне сферы применения обеспечиваемых принудительным исполнением обязательств, системы ограниченного риска подпадают под действие целевых требований по обеспечению прозрачности, несоблюдение которых может повлечь применение административных санкций в соответствии с AI Act. В результате даже системы искусственного интеллекта, не квалифицируемые как высокорисковые, требуют проведения структурированной юридической оценки с целью определения применимости обязательств по прозрачности.

На практике классификация систем искусственного интеллекта как систем ограниченного либо минимального риска представляет собой важный элемент механизмов управления искусственным интеллектом и комплаенс-структур, особенно для компаний, предоставляющих ИИ-ориентированные услуги пользователям Европейского союза. Корректная классификация обеспечивает соответствие регуляторным требованиям при одновременном сохранении необходимой гибкости для технологического развития и инноваций.

Системы искусственного интеллекта высокого риска

Категория систем искусственного интеллекта высокого риска составляет ядро регуляторной рамки, установленной AI Act. Хотя такие системы не подлежат запрету, они рассматриваются как потенциально способные создавать значительные риски для здоровья, безопасности и основных прав и, в связи с этим, подпадают под действие строгих обязательств по предварительному и последующему соблюдению требований.

Правовая основа классификации систем искусственного интеллекта высокого риска установлена статьей 6 Регламента (ЕС) 2024/1689 во взаимосвязи с Приложением III AI Act.

В соответствии с частью первой статьи 6, система искусственного интеллекта классифицируется как система высокого риска в случае, если она предназначена для использования в качестве компонента безопасности продукции либо сама является продукцией, подпадающей под действие действующего гармонизированного законодательства Европейского союза, перечисленного в Приложении I, и если такая продукция подлежит оценке соответствия с участием третьей стороны в соответствии с применимым отраслевым законодательством. К таким системам, в частности, относятся системы искусственного интеллекта, используемые в медицинских изделиях, оборудовании, авиации, автомобильных системах и иных регулируемых продуктах, в отношении которых требования безопасности имеют первостепенное значение.

Помимо случаев, связанных с продукцией, часть вторая статьи 6 относит к системам искусственного интеллекта высокого риска отдельные автономные системы искусственного интеллекта, если с учетом их предполагаемого назначения они создают высокий риск для основных прав и развертываются в конкретных чувствительных сферах, перечисленных в Приложении III. К таким сферам, в частности, относятся биометрическая идентификация и категоризация, управление критической инфраструктурой, образование и профессиональная подготовка, занятость и управление трудовыми ресурсами, доступ к основным государственным и частным услугам, правоохранительная деятельность, миграция и пограничный контроль, а также осуществление правосудия.

Квалификация системы искусственного интеллекта как высокорисковой носит функциональный, а не исключительно технический характер. Как разъясняется в соображениях 52 и 53 преамбулы Регламента, решающим фактором является то, оказывает ли система искусственного интеллекта существенное влияние на процессы принятия решений, которые могут затрагивать охраняемые законом интересы. Системы искусственного интеллекта, выполняющие узко определенные, исключительно вспомогательные или процедурные функции и не оказывающие существенного влияния на результат, в отдельных случаях могут не подпадать под категорию высокого риска, даже если они используются в сфере, включенной в перечень.

После того как система искусственного интеллекта квалифицируется как система высокого риска, на ее поставщика распространяется комплексный режим соблюдения требований, установленный главой III, разделом 2 AI Act (статьи 8–15). Указанные положения закрепляют обязательные требования в области управления рисками, управления данными, технической документации, ведения записей, прозрачности, человеческого надзора, а также точности, устойчивости и кибербезопасности. Соответствие данным требованиям должно быть подтверждено до размещения системы на рынке либо ее ввода в эксплуатацию.

Важно отметить, что квалификация системы искусственного интеллекта как высокорисковой в соответствии с AI Act не означает автоматически, что соответствующая продукция также классифицируется как высокорисковая в рамках отраслевого законодательства Европейского союза, и не заменяет действующие режимы оценки соответствия. Как разъясняется в соображениях 51 и 52 преамбулы Регламента, AI Act применяется параллельно с отраслевыми рамками безопасности продукции, и поставщики обязаны обеспечить соблюдение всех применимых правовых актов.

С регуляторной и стратегической точки зрения системы искусственного интеллекта высокого риска создают наибольшую нагрузку по соблюдению требований в рамках AI Act, за исключением случаев полного запрета. В связи с этим корректная идентификация статуса системы как высокорисковой имеет ключевое значение, поскольку ошибочная классификация может привести к размещению на рынке несоответствующих требованиям систем искусственного интеллекта и повлечь применение значительных мер правоприменения и административных штрафов в отношении поставщиков и пользователей таких систем.

Запрещенные практики использования искусственного интеллекта

AI Act устанавливает категорию практик использования искусственного интеллекта, которые признаются представляющими неприемлемый риск для основных прав и общественных интересов, охраняемых правом Европейского союза. Такие практики считаются по своей природе несовместимыми с ценностями Союза и, в связи с этим, подлежат строгому запрету независимо от наличия каких-либо потенциальных технических мер защиты или мер по снижению рисков.

Правовая основа указанных запретов закреплена в статье 5 Регламента (ЕС) 2024/1689 во взаимосвязи с соображениями 28–45 преамбулы AI Act.

В соответствии с частью первой статьи 5 запрещенные практики использования искусственного интеллекта не могут размещаться на рынке, вводиться в эксплуатацию или использоваться на территории Европейского союза ни при каких обстоятельствах, за исключением случаев, когда сам Регламент прямо предусматривает узко сформулированные отступления. Запрет применяется в равной степени к поставщикам и пользователям систем искусственного интеллекта независимо от того, учреждены ли они на территории Европейского союза либо в третьей стране, при условии что соответствующая система подпадает под территориальную сферу действия Регламента.

Одну из ключевых категорий запрещенных практик составляют системы искусственного интеллекта, использующие подсознательные, манипулятивные либо вводящие в заблуждение методы с целью или результатом существенного искажения человеческого поведения таким образом, который причиняет либо с разумной вероятностью может причинить значительный вред. Как разъясняется в пункте (a) части первой статьи 5 и соображении 29 преамбулы Регламента, такой вред может носить физический, психологический или экономический характер. Определяющим элементом является не намерение поставщика, а объективная способность системы искусственного интеллекта подрывать автономию личности и свободу принятия решений вредоносным образом.

С указанной категорией тесно связаны системы искусственного интеллекта, эксплуатирующие уязвимости определенных групп лиц, включая детей, лиц с инвалидностью либо лиц, находящихся в особо уязвимом социальном или экономическом положении. В соответствии с пунктом (b) части первой статьи 5 запрещаются системы искусственного интеллекта, которые используют такие уязвимости с целью существенного искажения поведения и причинения вреда. Данное положение отражает повышенное внимание законодателя Европейского союза к группам лиц, требующим особой защиты в соответствии с правом Союза.

AI Act также запрещает системы социального скоринга, как это предусмотрено пунктом (c) части первой статьи 5. Под такими системами понимаются системы искусственного интеллекта, которые оценивают либо классифицируют физических лиц на основе их социального поведения или личных характеристик таким образом, что это приводит к неблагоприятному или ущемляющему обращению с ними в социальных контекстах, не связанных с первоначальной целью сбора данных. Запрет распространяется как на публичные органы, так и на частных субъектов и направлен на предотвращение дискриминационных последствий и системной социальной изоляции, несовместимых с человеческим достоинством и принципом равенства перед законом.

Дополнительная группа запретов касается отдельных биометрических практик, которые рассматриваются как особо инвазивные. В соответствии с пунктом (d) части первой статьи 5 запрещаются системы искусственного интеллекта, которые создают либо расширяют базы данных распознавания лиц посредством неизбирательного сбора изображений лиц из интернета или записей камер видеонаблюдения. Такая практика считается способствующей массовому наблюдению и представляющей серьезную угрозу праву на неприкосновенность частной жизни и защиту персональных данных.

Кроме того, AI Act вводит строгие ограничения на использование систем дистанционной биометрической идентификации в режиме реального времени в общедоступных пространствах для целей правоохранительной деятельности. Как предусмотрено пунктом (g) части первой статьи 5, такие системы, как правило, запрещены и допускаются лишь при наличии исчерпывающего перечня узко сформулированных исключений, связанных с предотвращением тяжких преступлений, защитой жизни либо идентификацией подозреваемых по особо тяжким уголовным преступлениям. Даже при наличии соответствующего исключения использование таких систем подлежит строгим процессуальным гарантиям, предварительному разрешению и проведению оценки воздействия на основные права.

Запреты, установленные статьей 5, действуют в качестве lex specialis по отношению к иным областям права Европейского союза, включая законодательство о защите персональных данных и защите прав потребителей. Как разъясняется в соображении 38 преамбулы Регламента, данные правила дополняют существующие запреты, предусмотренные GDPR и иными актами Союза, не умаляя при этом применения параллельных правовых режимов.

С точки зрения соблюдения требований законодательства запрещенные практики использования искусственного интеллекта представляют собой безусловную и недопустимую границу в рамках AI Act. В отличие от систем искусственного интеллекта высокого риска, которые могут быть правомерно размещены на рынке при условии соблюдения требований Регламента, системы, подпадающие под действие статьи 5, подлежат прекращению использования, переработке либо фундаментальному изменению назначения. Несоблюдение указанных запретов влечет применение наиболее строгих административных штрафов, предусмотренных режимом правоприменения AI Act.

Оценка соответствия систем искусственного интеллекта высокого риска

Системы искусственного интеллекта высокого риска могут размещаться на рынке или вводиться в эксплуатацию на территории Европейского союза только при условии успешного прохождения процедуры оценки соответствия, подтверждающей соблюдение обязательных требований, установленных AI Act. Рамки оценки соответствия определены главой III, разделом 4 (статьи 16–43) Регламента (ЕС) 2024/1689.

В соответствии со статьей 16 основная ответственность за обеспечение соответствия возлагается на поставщика системы искусственного интеллекта высокого риска. До размещения системы на рынке либо ее ввода в эксплуатацию поставщик обязан проверить и документально подтвердить, что система искусственного интеллекта соответствует всем применимым требованиям, установленным статьями 8–15, включая требования в области управления рисками, управления данными, технической документации, ведения записей, прозрачности, человеческого надзора, а также устойчивости, точности и кибербезопасности.

Форма оценки соответствия, применимая к системе искусственного интеллекта высокого риска, зависит от того, подпадает ли данная система под действие действующего гармонизированного законодательства Европейского союза, перечисленного в Приложении I. В случаях, когда система искусственного интеллекта высокого риска является компонентом безопасности продукции либо сама является продукцией, которая уже подлежит оценке соответствия с участием третьей стороны в соответствии с отраслевым законодательством Европейского союза, оценка соответствия в рамках AI Act интегрируется в соответствующую существующую процедуру в соответствии с частью первой статьи 43. В таких случаях нотифицированный орган, назначенный в рамках соответствующего отраслевого законодательства, также осуществляет оценку соблюдения требований AI Act.

В отношении автономных систем искусственного интеллекта высокого риска, которые не подпадают под действие отраслевого законодательства о продукции, предусматривающего оценку соответствия с участием третьей стороны, AI Act предусматривает процедуру самооценки, осуществляемую поставщиком, как это установлено частью второй статьи 43. В рамках данной процедуры поставщик обязан разработать комплексную техническую документацию и провести внутреннюю оценку соответствия, подтверждающую соблюдение требований AI Act. Указанная оценка должна быть завершена до размещения системы на рынке либо ее ввода в эксплуатацию.

Вместе с тем возможность проведения самооценки не является абсолютной. В случаях, когда гармонизированные стандарты или общие спецификации применяются не в полном объеме либо когда система искусственного интеллекта относится к определенным категориям, установленным Регламентом, участие нотифицированного органа может оставаться обязательным. Европейская комиссия наделена полномочиями дополнительно конкретизировать такие случаи посредством исполнительных актов с целью обеспечения единообразного применения Регламента во всех государствах-членах.

После успешного завершения процедуры оценки соответствия поставщик обязан оформить декларацию ЕС о соответствии в соответствии со статьей 47 и нанести маркировку CE на систему искусственного интеллекта высокого риска, как это предусмотрено статьей 48. Маркировка CE подтверждает соответствие не только требованиям AI Act, но и всем иным применимым актам гармонизированного законодательства Европейского союза.

Оценка соответствия в рамках AI Act не носит разового характера. Поставщики обязаны обеспечивать соблюдение требований на протяжении всего жизненного цикла системы искусственного интеллекта. В случаях, когда система искусственного интеллекта высокого риска подвергается существенным изменениям, требуется проведение повторной оценки с целью определения того, влияет ли такое изменение на соответствие требованиям AI Act, как это разъясняется в статье 23. В таких случаях модифицированная система может рассматриваться как новая система искусственного интеллекта высокого риска для целей оценки соответствия.

С регуляторной точки зрения режим оценки соответствия, установленный AI Act, воспроизводит логику регулирования безопасности продукции и финансовых услуг в Европейском союзе, акцентируя внимание на предварительном соблюдении требований, документированной ответственности и обеспечении прослеживаемости. Для поставщиков систем искусственного интеллекта высокого риска оценка соответствия представляет собой один из наиболее ресурсоемких элементов соблюдения требований AI Act и требует тесной координации между юридическими, техническими и управленческими функциями.

Регистрация систем искусственного интеллекта высокого риска

В дополнение к процедурам оценки соответствия и нанесению маркировки CE AI Act вводит обязательное требование о регистрации отдельных систем искусственного интеллекта высокого риска в качестве дополнительного уровня регуляторного надзора и обеспечения прозрачности. Правовая основа регулирования регистрации установлена статьей 49 Регламента (ЕС) 2024/1689.

В соответствии со статьей 49 поставщики систем искусственного интеллекта высокого риска, подлежащих оценке соответствия с участием третьей стороны, обязаны зарегистрировать такие системы в центральной базе данных Европейского союза до их размещения на рынке либо ввода в эксплуатацию. Указанное обязательство применяется независимо от того, учрежден ли поставщик на территории Европейского союза либо в третьей стране, при условии что соответствующая система искусственного интеллекта подпадает под сферу применения AI Act.

Требование о регистрации служит нескольким регуляторным целям. Во-первых, оно позволяет органам рыночного надзора и иным компетентным органам идентифицировать и осуществлять мониторинг систем искусственного интеллекта высокого риска, развернутых на территории Союза. Во-вторых, оно способствует повышению уровня публичной прозрачности, позволяя заинтересованным сторонам понимать, где и каким образом используются системы искусственного интеллекта высокого риска. В-третьих, регистрация поддерживает правоприменение, создавая прослеживаемую связь между процедурой оценки соответствия, маркировкой CE и обязательствами по пострыночному мониторингу.

Сведения, подлежащие регистрации, определены статьей 49 и включают, в частности, информацию о личности поставщика, описание системы искусственного интеллекта и ее предполагаемого назначения, ссылки на применимую процедуру оценки соответствия, а также сведения о задействованном нотифицированном органе, если это применимо. Зарегистрированная информация должна поддерживаться в точном и актуальном состоянии на протяжении всего периода, в течение которого система искусственного интеллекта находится на рынке либо используется.

AI Act проводит разграничение между регистрацией поставщика и регистрацией системы. В то время как поставщики обязаны обеспечить регистрацию систем искусственного интеллекта высокого риска, подлежащих оценке соответствия с участием третьей стороны, пользователи (deployers) систем искусственного интеллекта высокого риска, применяемых публичными органами, также могут подпадать под обязательства по регистрации, в особенности в случаях использования таких систем в чувствительных сферах, затрагивающих основные права. Данное разграничение отражает модель разделенной ответственности, лежащую в основе AI Act.

База данных Европейского союза для систем искусственного интеллекта высокого риска создается и поддерживается Европейской комиссией, как это предусмотрено статьей 49. Доступ к базе данных организован по многоуровневому принципу, обеспечивающему защиту конфиденциальной или чувствительной с точки зрения безопасности информации при одновременном предоставлении компетентным органам и, при необходимости, общественности доступа к соответствующим данным. Европейская комиссия наделена полномочиями принимать исполнительные акты, определяющие технические и операционные аспекты функционирования базы данных.

Несоблюдение обязательств по регистрации представляет собой нарушение AI Act и может повлечь применение мер правоприменения и административных штрафов в соответствии с режимом ответственности, установленным главой XII Регламента. Таким образом, регистрация не является формальной процедурой, а представляет собой существенное требование по соблюдению нормативных предписаний, тесно связанное с оценкой соответствия и рыночным надзором.

С практической точки зрения регистрацию систем искусственного интеллекта высокого риска следует рассматривать как неотъемлемый этап жизненного цикла системы искусственного интеллекта, следующий за процедурой оценки соответствия и предшествующий ее выводу на рынок. Поставщики обязаны обеспечить согласованность внутренних комплаенс-процессов, процедур документооборота и структур корпоративного управления с целью своевременного и точного выполнения требований о регистрации.

Подсервисы для ответственного лицензирования искусственного интеллекта

Хотя AI Act не вводит самостоятельную «лицензию на искусственный интеллект» в качестве единого разрешительного инструмента, он устанавливает систему регуляторных обязательств и функций комплаенс-контроля, которые на практике формируют совокупность подсервисов для ответственного развертывания и управления искусственным интеллектом. Указанные подсервисы имеют особое значение для поставщиков и пользователей (deployers) систем искусственного интеллекта высокого риска, а также для субъектов, стремящихся продемонстрировать структурированное и непрерывное соблюдение требований AI Act.

Правовая основа указанных подсервисов распределена между главой III, главой IV и главой IX Регламента (ЕС) 2024/1689. В совокупности данные положения обязывают поставщиков и пользователей создавать внутренние организационные, технические и процедурные механизмы, которые по своей сути функционируют как элементы системы комплаенса в сфере ответственного использования искусственного интеллекта.

На практике подсервисы ответственного искусственного интеллекта, как правило, включают функции управления рисками и корпоративного управления в сфере искусственного интеллекта, предусмотренные статьей 9, которая обязывает поставщиков систем искусственного интеллекта высокого риска внедрять непрерывную систему управления рисками на протяжении всего жизненного цикла системы искусственного интеллекта. Данная функция охватывает выявление рисков, их оценку, меры по снижению рисков и периодическую переоценку и тесно связана с более широкими корпоративными системами управления рисками и комплаенса.

Другой ключевой подсервис связан с управлением данными и обеспечением качества данных, как это предусмотрено статьей 10. Поставщики обязаны обеспечивать, чтобы наборы данных для обучения, валидации и тестирования соответствовали строгим требованиям релевантности, репрезентативности, полноты и отсутствия систематической предвзятости в той мере, в какой это технически осуществимо. В операционном плане это зачастую требует внедрения специализированных политик управления данными, механизмов аудиторской прослеживаемости и процессов документирования, которые могут поддерживаться специализированными внутренними командами либо внешними поставщиками комплаенс-услуг.

AI Act также опосредованно формирует подсервисы, ориентированные на техническую документацию, ведение записей и обеспечение прослеживаемости, как это предусмотрено статьями 11 и 12. Указанные обязательства требуют от поставщиков ведения детализированной документации, позволяющей регуляторам и нотифицированным органам оценивать соблюдение требований. На практике данные функции сопоставимы с услугами регуляторной отчетности и документального сопровождения, характерными для режимов регулирования финансовых услуг и соответствия продукции требованиям безопасности.

Механизмы человеческого надзора составляют еще один ключевой элемент подсервисов ответственного искусственного интеллекта. В соответствии со статьей 14 поставщики обязаны проектировать системы искусственного интеллекта таким образом, чтобы обеспечивалась эффективная возможность человеческого надзора, включая способность интерпретировать результаты работы системы, вмешиваться при необходимости и предотвратить либо минимизировать риски. На практике это выражается в создании структур корпоративного управления, программ обучения и процедур эскалации, поддерживающих ответственное развертывание и использование систем искусственного интеллекта.

Наконец, услуги по пострыночному мониторингу и управлению инцидентами играют критически важную роль в обеспечении соблюдения требований AI Act в сфере ответственного использования искусственного интеллекта. Статьи 72–76 обязывают поставщиков внедрять системы пострыночного мониторинга, сообщать о серьезных инцидентах и неисправностях, а также сотрудничать с органами рыночного надзора. Указанные обязательства фактически формируют постоянную функцию комплаенса, сопоставимую с надзором после выдачи разрешений в иных регулируемых секторах.

Несмотря на то что AI Act формально не квалифицирует указанные виды деятельности как «лицензируемые услуги», на практике они образуют де-факто экосистему комплаенса для ответственного использования искусственного интеллекта. Поставщики и пользователи систем искусственного интеллекта все в большей степени полагаются на внутренние подразделения комплаенса, внешних юридических и технических консультантов, а также специализированных поставщиков услуг в области управления искусственным интеллектом для выполнения данных обязательств в структурированной и масштабируемой форме.

Рамочная система для нотифицированных органов

AI Act устанавливает специальную рамочную систему для нотифицированных органов, которые играют центральную роль в архитектуре оценки соответствия и надзора, применимой к отдельным системам искусственного интеллекта высокого риска. Правовая основа деятельности нотифицированных органов закреплена в главе III, разделе 4 (статьи 30–44) Регламента (ЕС) 2024/1689.

Нотифицированные органы представляют собой независимые органы по оценке соответствия, назначаемые государствами-членами Европейского союза и нотифицированные Европейской комиссии. Их основной функцией в рамках AI Act является оценка того, соответствуют ли системы искусственного интеллекта высокого риска, подлежащие оценке соответствия с участием третьей стороны, обязательным требованиям, установленным главой III Регламента. Данная функция во многом воспроизводит роль нотифицированных органов в рамках действующих режимов безопасности продукции и оценки соответствия в Европейском союзе, обеспечивая регуляторную преемственность и согласованность.

В соответствии со статьей 30 государства-члены несут ответственность за назначение нотифицированных органов на основе строгих критериев, касающихся независимости, беспристрастности, технической компетентности и организационных возможностей. Нотифицированные органы обязаны продемонстрировать достаточный уровень экспертизы в области технологий искусственного интеллекта, управления данными, кибербезопасности и защиты основных прав, а также глубокое понимание регуляторных требований AI Act.

После назначения нотифицированные органы подпадают под постоянный надзор со стороны национальных нотифицирующих органов. В соответствии со статьей 31 государства-члены обязаны осуществлять непрерывный мониторинг деятельности нотифицированных органов с целью обеспечения сохранения ими соответствия требованиям назначения. В случаях выявления недостатков могут применяться корректирующие меры, приостановление либо отзыв статуса нотифицированного органа.

Операционные обязанности нотифицированных органов дополнительно конкретизированы в статьях 32–35, которые обязывают их проводить оценки соответствия с должной профессиональной осмотрительностью, обеспечивать конфиденциальность чувствительной информации и избегать конфликтов интересов. Нотифицированные органы также обязаны поддерживать надлежащие внутренние процедуры для рассмотрения жалоб, апелляций и запросов на пересмотр решений, связанных с оценкой соответствия.

AI Act вводит дополнительные гарантии, направленные на обеспечение единообразия и доверия к деятельности нотифицированных органов. В соответствии со статьей 33 нотифицированные органы обязаны сотрудничать друг с другом, а также с органами рыночного надзора, включая обмен информацией и участие в координационных мероприятиях на уровне Европейского союза. Такое сотрудничество направлено на предотвращение расхождений в толковании требований AI Act и содействие гармонизированному правоприменению на внутреннем рынке.

Важно отметить, что AI Act усиливает подотчетность нотифицированных органов, возлагая на них обязательства в сфере ответственности и прозрачности. Нотифицированные органы могут нести ответственность за недостатки в проведении оценки соответствия, возникшие вследствие небрежности или отсутствия должной осмотрительности, и обязаны документировать и обосновывать свои решения по оценке соответствия таким образом, чтобы обеспечить эффективный регуляторный надзор.

С практической точки зрения участие нотифицированного органа оказывает существенное влияние на сроки, стоимость и сложность вывода системы искусственного интеллекта высокого риска на рынок Европейского союза. В связи с этим поставщики должны на раннем этапе тщательно оценивать, подпадают ли их системы искусственного интеллекта под категории, требующие оценки соответствия с участием третьей стороны, и соответствующим образом планировать свою стратегию соблюдения требований.

Санкции

AI Act устанавливает жесткий и сдерживающий режим санкций, предназначенный для обеспечения эффективного правоприменения его положений на территории Европейского союза. Правовая основа, регулирующая административные штрафы и иные корректирующие меры, закреплена в главе XII (статьи 99–101) Регламента (ЕС) 2024/1689.

В соответствии со статьей 99 государства-члены обязаны установить правила о санкциях, применяемых к нарушениям AI Act, и принять все необходимые меры для обеспечения эффективного применения таких санкций. Несмотря на то что правоприменение осуществляется преимущественно на национальном уровне, Регламент устанавливает гармонизированные максимальные пороговые значения административных штрафов с целью обеспечения единообразия и соразмерности на внутреннем рынке.

AI Act предусматривает многоуровневый подход к административным штрафам, отражающий степень тяжести нарушения и потенциальное воздействие на общественные интересы и основные права. Наиболее серьезные нарушения, включая размещение на рынке, ввод в эксплуатацию или использование запрещенных практик искусственного интеллекта в соответствии со статьей 5, подлежат применению максимального уровня санкций. За такие нарушения административные штрафы могут достигать до 35 млн евро либо до 7 % общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма является большей, как это предусмотрено частью третьей статьи 99.

Нарушения обязательств, связанных с системами искусственного интеллекта высокого риска, включая несоблюдение обязательных требований, установленных статьями 8–15, требований по оценке соответствия либо обязательств по регистрации, подлежат применению менее строгих, однако по-прежнему значительных административных штрафов. В соответствии с частью четвертой статьи 99 такие нарушения могут повлечь штрафы в размере до 15 млн евро либо до 3 % мирового годового оборота, в зависимости от того, какая сумма является большей.

Менее серьезные нарушения, такие как предоставление нотифицированным органам или компетентным органам неверной, неполной либо вводящей в заблуждение информации, охватываются частью пятой статьи 99. За такие нарушения могут налагаться административные штрафы в размере до 7,5 млн евро либо до 1 % мирового годового оборота.

При определении надлежащего размера административного штрафа компетентные органы обязаны учитывать совокупность факторов, включая характер, тяжесть и продолжительность нарушения, степень ответственности нарушившей стороны, наличие предыдущих нарушений, а также уровень сотрудничества с надзорными органами. Такой оценочный подход согласуется с существующими механизмами правоприменения в Европейском союзе, включая режимы, установленные GDPR.

Помимо административных штрафов AI Act наделяет компетентные органы полномочиями применять корректирующие меры, такие как возложение на поставщиков или пользователей обязанности привести системы искусственного интеллекта в соответствие с требованиями, изъять несоответствующие системы с рынка либо приостановить их использование. Указанные меры могут применяться как самостоятельно, так и в совокупности с административными штрафами, в зависимости от обстоятельств конкретного случая.

Важно отметить, что AI Act также признает необходимость соблюдения принципа соразмерности, в особенности в отношении малых и средних предприятий и стартапов. Как предусмотрено частью седьмой статьи 99, при назначении санкций компетентные органы обязаны учитывать размер и экономические возможности нарушившего субъекта, не умаляя при этом эффективности и сдерживающего характера правоприменения.

Режим санкций, установленный AI Act, подчеркивает приверженность Европейского союза обеспечению того, чтобы искусственный интеллект разрабатывался и применялся с уважением к основным правам и общественному доверию. Для поставщиков и пользователей систем искусственного интеллекта потенциальные финансовые и репутационные последствия несоблюдения требований делают раннее и структурированное соблюдение AI Act критически важным элементом регуляторной и бизнес-стратегии.

Официальные источники и первичное законодательство

Подготовка настоящей статьи основана исключительно на официальных законодательных актах Европейского союза, регуляторных разъяснениях и первичных источниках, регулирующих сферу искусственного интеллекта в Европейском союзе.

1. Регламент (ЕС) 2024/1689 Европейского парламента и Совета, устанавливающий гармонизированные правила в области искусственного интеллекта (Регламент об искусственном интеллекте, Artificial Intelligence Act) – https://eur-lex.europa.eu/eli/reg/2024/1689/oj
2. Хартия основных прав Европейского союза – https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:12012P/TXT
3. Договор о функционировании Европейского союза (ДФЕС) – https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:12012E/TXT
4. Общий регламент по защите данных (GDPR) – Регламент (ЕС) 2016/679 – https://eur-lex.europa.eu/eli/reg/2016/679/oj
5. Рамочная система безопасности продукции и оценки соответствия (маркировка CE и нотифицированные органы) – https://single-market-economy.ec.europa.eu/single-market/ce-marking_en
6. Рамочная система рыночного надзора и правоприменения в рамках гармонизированного законодательства Европейского союза – https://single-market-economy.ec.europa.eu/single-market/goods/building-blocks/market-surveillance_en