Определение AI system по нормам ЕС: как это влияет на реальные продукты
Европейский регулятор опубликовал руководства по определению AI system. Разбираю, что это значит для компаний, которые строят или используют продукты с ИИ.
Один из практически важных вопросов в рамках EU AI Act - где именно проходит граница между "системой ИИ" и обычным программным обеспечением. Регулятор опубликовал обновлённые руководства по этому вопросу, и я вижу, что среди компаний, которые строят продукты или используют ИИ-инструменты, это вызывает больше вопросов, чем ответов.
Основная точка напряжения такая: если ваш продукт квалифицируется как "AI system" по определению EU AI Act, на него накладываются требования прозрачности, документации, управления рисками и, в зависимости от области применения, возможной предварительной сертификации. Если нет - вы работаете в рамках обычного программного законодательства.
Что такое AI system по определению регулятора
Руководства уточняют ключевые признаки: система должна работать на основе машинного обучения или подходов, перечисленных в Annex I, должна принимать решения или создавать контент с определённой степенью автономии и влиять на реальный мир - на людей, процессы или решения.
Важный момент: не каждая интеграция с LLM-API делает ваш продукт AI system. Если вы используете языковую модель как интерфейс для поиска по базе знаний, и окончательное решение всегда принимает человек - это другой режим, чем система, которая самостоятельно классифицирует заявки или принимает операционные решения.
Три сценария, которые стоит разобрать
Сценарий первый: вы встраиваете ИИ в продукт для B2B-клиентов. Здесь вопрос не только в том, является ли ваш продукт AI system, но и в том, как он используется клиентом. Один и тот же инструмент может быть вспомогательным для одного клиента и принимать решения автоматически у другого. Это влияет на то, кто несёт ответственность за соответствие.
Сценарий второй: вы используете AI-инструменты внутри компании. Если инструмент влияет на решения о сотрудниках, клиентах или доступе к сервисам - вопросы соответствия возникают независимо от того, купили вы инструмент или построили сами. Организация, которая использует AI system, также несёт обязательства.
Сценарий третий: вы строите ИИ-продукт для высокорисковых областей. Медицина, кредитование, найм, критическая инфраструктура - здесь требования принципиально строже, и квалификация как AI system влечёт за собой конкретные обязательства по сертификации до выхода на рынок.
Что практически делать прямо сейчас
Если у вас есть продукт или внутренний инструмент с элементами ИИ, имеет смысл пройти простую проверку:
- Какую задачу выполняет ИИ-компонент: помогает человеку принять решение или принимает решение сам?
- Влияет ли это решение на права, доступ к сервисам или значимые условия для людей?
- В какой географии работает ваш продукт и кто ваши клиенты - вы в периметре EU AI Act или нет?
- Кто в компании понимает, как технически устроен ИИ-компонент, и может описать это регулятору или клиенту?
- Есть ли документация на модели, данные обучения и логику принятия решений?
Почему это важно сейчас, а не "потом"
Переходный период EU AI Act заканчивается поэтапно, и требования к высокорисковым системам уже вступают в силу. Компании, которые начинают разбираться с этим сейчас, имеют время привести документацию и процессы в порядок без срочности. Те, кто откладывает - будут делать это в условиях давления, когда ошибки обходятся дороже.
Я замечаю, что большинство основателей, с которыми я работаю, не против соответствия - они просто не знают, с какого вопроса начать. Вопрос "является ли наш продукт AI system" - разумное начало.