Регламент (ЕС) 2024/1689 — известный как EU AI Act (Закон ЕС об искусственном интеллекте) — вступил в силу 1 августа 2024 года и вводит дифференцированное регулирование AI-систем в зависимости от уровня риска. Для SaaS-компаний, которые интегрируют или разрабатывают AI-функциональность, вопрос состоит не в том, возникнут ли обязательства, а в том, какие именно и когда. Настоящий текст носит информационный характер и не заменяет индивидуальную юридическую консультацию.
Классификация рисков: четыре уровня
AI Act делит AI-системы на четыре категории:
Неприемлемый риск — запрещённые системы (запреты применяются с 2 февраля 2025 года): – Когнитивное манипулирование пользователями в обход свободной воли – Массовая биометрическая слежка в общественных местах (с узкими исключениями для органов безопасности) – Социальный рейтинг со стороны публичных органов власти – AI, эксплуатирующий уязвимости (возраст, инвалидность)
Высокий риск — строгие требования (применяется с августа 2026 года для новых систем): – Системы в сфере трудоустройства (отбор резюме, оценка эффективности работы) – Критическая инфраструктура (энергетика, водоснабжение) – Образование и профессиональная подготовка – Доступ к государственным услугам и льготам – Миграция, убежище и пограничный контроль – Правоприменение
Ограниченный риск — обязательства по прозрачности: – Чат-боты обязаны информировать пользователей о том, что они общаются с AI – Дипфейк-контент должен быть помечен – AI-генерируемый текст, распространяемый в широком масштабе
Минимальный риск — без специальных обязательств по AI Act (спам-фильтры, рекомендательные системы, не относящиеся к высокому риску).
Что AI Act требует от провайдеров высокого риска
Если Ваша SaaS-система относится к категории «высокого риска», обязательства носят существенный характер:
1. Система управления рисками (Статья 9) — Непрерывный процесс выявления, оценки и снижения рисков на протяжении всего жизненного цикла системы.
2. Управление данными (Статья 10) — Обучающие и тестовые наборы данных должны быть релевантными, репрезентативными и свободными от ошибок, которые могут приводить к дискриминации.
3. Техническая документация (Статья 11 + Приложение IV) — Детальное описание системы: назначение, архитектура, потоки данных, метрики производительности, ограничения.
4. Автоматическое журналирование (Статья 12) — Системы высокого риска обязаны автоматически фиксировать действия в объёме, достаточном для последующей реконструкции принятых решений (мониторинг после выхода на рынок).
5. Прозрачность в отношении пользователей (Статья 13) — Чёткие инструкции по использованию, ограничениям и контролю со стороны человека.
6. Контроль со стороны человека (Статья 14) — Меры, позволяющие операторам перехватить управление, приостановить или отключить систему.
7. Точность, надёжность, кибербезопасность (Статья 15)
8. Оценка соответствия (Статья 43) — Самооценка (для большинства систем высокого риска) или независимая оценка (для определённых категорий). Нанесение маркировки CE. Регистрация в базе данных ЕС.
GPAI-модели — особый режим
Регламент устанавливает особые правила для моделей общего назначения (GPAI — General Purpose AI), таких как большие языковые модели. Провайдеры GPAI-моделей обязаны:
- Публиковать техническую документацию
- Публиковать сводную информацию о данных, использованных для обучения
- Внедрять политику соблюдения авторских прав
- Системы высокого риска, построенные на базе GPAI, наследуют обязательства высокого риска.
Compliance checklist для SaaS-компаний (2025–2026)
Немедленно (запреты действуют с 2 февраля 2025 года): – [ ] Проверьте, что ни одна AI-функциональность не относится к категории запрещённых систем – [ ] Задокументируйте анализ для внутреннего пользования
До августа 2026 года (высокий риск — новые системы): – [ ] Классифицируйте каждую AI-систему, которую вы разрабатываете или используете – [ ] Для высокого риска: запустите систему управления рисками – [ ] Подготовьте техническую документацию в соответствии с Приложением IV – [ ] Внедрите автоматическое журналирование действий – [ ] Обеспечьте механизм участия человека в процессе принятия решений (human-in-the-loop) – [ ] Проведите оценку соответствия и зарегистрируйтесь в базе данных ЕС
Прозрачность (немедленно для чат-ботов и дипфейков): – [ ] Обеспечьте уведомление пользователей о взаимодействии с AI – [ ] Маркируйте AI-генерируемый контент там, где это применимо
Сербия и EU AI Act
AI Act распространяется на провайдеров AI-систем, которые выводят системы на рынок ЕС или используют их в ЕС — вне зависимости от места регистрации компании. Сербская SaaS-компания, реализующая услуги клиентам из ЕС, подпадает под действие AI Act. Сербия как страна-кандидат не обязана применять его напрямую, однако гармонизация законодательства вероятна в обозримой перспективе.
Часто задаваемые вопросы (Q&A)
Распространяется ли AI Act на сербскую компанию, продающую SaaS в ЕС? Да. AI Act обладает экстерриториальным действием — он распространяется на провайдеров независимо от места их регистрации, если они выводят AI-системы на рынок ЕС или если их системы используются в ЕС.
Какие SaaS-системы относятся к «высокому риску»? К высокому риску относятся системы для отбора сотрудников (CV-скрининг), оценки кредитного риска, системы в сфере образования и государственных услуг. Рекомендательные системы в сфере электронной коммерции, как правило, не относятся к высокому риску.
Что такое оценка соответствия и необходимо ли привлекать третью сторону? Для большинства систем высокого риска достаточно самооценки с надлежащей документацией. Привлечение независимой третьей стороны обязательно для биометрических систем и систем в сфере критической инфраструктуры.
Каковы санкции за нарушение AI Act? До 35 миллионов евро или 7% годового мирового оборота за запрещённые системы; до 15 миллионов евро или 3% — за иные нарушения в категории высокого риска; до 7,5 миллиона евро или 1% — за предоставление недостоверных сведений регулятору.
Заключение
EU AI Act вступил в действие. Вопрос не в том, окажется ли Ваш SaaS под контролем — вопрос в том, когда. Классификация систем, документирование и подготовка к оценке соответствия — это поэтапные процессы, которые реализуемы при своевременном начале. Если дожидаться, пока регулятор сам выйдет на связь, пространство для манёвра резко сужается.
Источники: – Регламент (ЕС) 2024/1689 (EU AI Act), OJ L, 12.7.2024 – EU AI Office: https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence – AI Office — руководства и заключения