AI Act вступил в силу: что уже надо делать поставщику и внедренцу

1 августа 2024 года EU AI Act официально вступил в силу. Большинство его требований начнут применяться через 12 и 24 месяца, но уже сейчас есть обязательства, которые вступают в действие раньше, и есть подготовительная работа, которую разумно начинать немедленно.

Для тех, кто строит ИИ-продукты или внедряет ИИ-системы в организациях, работающих на европейском рынке - это не далёкая бумага. Это операционная реальность, к которой нужно готовиться.

Структура регламента: на что опираться

AI Act делит системы по уровням риска. Неприемлемый риск - запрещён к разработке и использованию немедленно. Высокий риск - допустим, но с жёсткими требованиями к документации, оценке рисков, прозрачности и надзору. Ограниченный риск - требования к информированию пользователей. Минимальный риск - никаких специальных обязательств.

Большинство ИИ-систем в обычном бизнесе попадают в ограниченный или минимальный риск. Но системы, которые влияют на права людей - кредитный скоринг, отбор персонала, медицинская поддержка принятия решений, управление критической инфраструктурой - это высокий риск.

Важное разграничение: регламент различает "провайдеров" (тех, кто разрабатывает систему) и "деплойеров" (тех, кто её внедряет и эксплуатирует). Обязательства у обеих сторон есть, но разные.

Что применяется раньше остального

Запреты на системы с неприемлемым риском вступают в силу через 6 месяцев - с февраля 2025 года. Это системы манипулятивного воздействия, социального скоринга, биометрического распознавания в публичных пространствах в режиме реального времени и ряд других. Если что-то из этого есть в продуктовом портфеле или в планах - это требует юридической оценки немедленно.

Обязательства для провайдеров и деплойеров систем общего назначения (GPAI) - это 12 месяцев, август 2025 года.

Полный режим для систем высокого риска - август 2026 года.

Что означает "высокий риск" на практике

Для системы высокого риска потребуется: техническая документация в регламентированном формате, система управления рисками, обеспечение качества данных для обучения, ведение журналов событий, механизм человеческого надзора, декларация соответствия, регистрация в EU базе данных.

Ни один из этих элементов не строится за неделю. Особенно техническая документация и процесс оценки рисков - это работа, которая требует методологии, времени и участия как технической, так и правовой стороны.

Что делать прямо сейчас

Первый шаг для любой организации - инвентаризация. Составьте список всех ИИ-систем, которые вы разрабатываете или эксплуатируете, применительно к европейской аудитории. Для каждой определите, кем вы являетесь - провайдером или деплойером - и какой уровень риска соответствует применению.

Второй шаг - приоритизация. Системы с признаками высокого риска требуют отдельного проекта по комплаенсу. Начинайте его сейчас, не в 2025.

Третий шаг - для деплойеров: проверьте договоры с поставщиками ИИ-компонентов. AI Act требует, чтобы провайдер передавал деплойеру необходимую информацию для выполнения обязательств. Если в договоре этого нет - это пробел, который надо закрыть.

Четыре вопроса, которые стоит задать своей команде:

1. Есть ли у нас полный список ИИ-систем, которые мы используем или разрабатываем?
2. Проверили ли мы, попадает ли хоть одна из них в категорию высокого риска?
3. Как выглядит наша документация по каждой такой системе - её хватит для регуляторной проверки?
4. Кто в организации отвечает за AI Act compliance - или это пока ничьё?

AI Act - не последний регламент такого рода. Это начало нормативного режима, который будет нарастать. Компании, которые начинают готовиться сейчас, получат не только соответствие требованиям, но и операционную зрелость, которая останется с ними надолго.