EU AI Act

EU AI Act — первый в мире комплексный закон об искусственном интеллекте. Принят Евросоюзом в 2024-м, поэтапное вступление 2025-2027. Делит AI-системы по риску: от запрещённых (social scoring как в Китае) до минимально регулируемых (чат-боты). Высокорисковые (медицина, HR, юстиция) — жёсткие требования к документации, прозрачности, надзору. Штрафы — до 7% мирового оборота. Влияет на любую компанию, чьи AI-продукты доступны жителям ЕС.

Коротко

Коротко. EU AI Act — первый в мире комплексный закон об ИИ. Принят Евросоюзом в марте 2024-го, поэтапное вступление 2025-2027. Делит AI-системы по уровню риска: запрещённые (social scoring, манипуляции уязвимыми), высокорисковые (медицина, HR, образование, кредиты), с прозрачностью (чат-боты, deepfakes), минимальный риск (фильтры, рекомендации). Штрафы — до 35M евро или 7% мирового оборота (что больше). Влияет на любую компанию, продающую AI-продукты в ЕС, независимо от того, где она зарегистрирована.

Что это такое

К 2024 регулирование AI стало необходимостью. ChatGPT доказал, что AI готов к массовому применению; Cambridge Analytica и фейк-видео показали риски. Евросоюз первым в мире сформулировал комплексный закон.

Хронология:

• Апрель 2021 — первый драфт.
• Декабрь 2023 — финальное соглашение Совета и Парламента.
• Март 2024 — формальное принятие.
• Август 2024 — публикация в Official Journal.
• Февраль 2025 — вступили в силу запреты (запрещённые практики).
• Август 2025 — вступили в силу правила для General-Purpose AI (LLM-моделей вроде GPT-5).
• Август 2026 — основной массив требований к высокорисковым системам.
• Август 2027 — полное вступление в силу для уже деплоенных систем.

К маю 2026 половина закона работает, бизнес уже несёт затраты на compliance.

Как это работает

4 уровня риска

EU AI Act классифицирует AI-системы по риску:

1. Unacceptable Risk — запрещены полностью

Не для production в ЕС:

• Social scoring государством (как в Китае).
• Subliminal manipulation — скрытое влияние на поведение.
• Exploitation of vulnerabilities — детей, инвалидов, пожилых.
• Biometric categorization по расе, политическим взглядам, религии.
• Real-time remote biometric identification в общественных местах (face recognition police).
• Predictive policing на основе только профилирования.
• Workplace/school emotion recognition.
• Untargeted scraping лиц для face recognition databases.

2. High-Risk — жёстко регулируется

AI с серьёзными последствиями для людей. Требования: документация, прозрачность, human oversight, audit. Сюда попадает:

• Медицинские девайсы с AI (CE-сертификация плюс AI Act).
• HR-инструменты — скрининг резюме, performance management.
• Образование — exam-grading, admission systems.
• Кредитный скоринг, страховой андеррайтинг.
• Критическая инфраструктура — энергетика, водоснабжение.
• Юстиция и правоохранительные органы.
• Миграционные системы, granting visas.

Чтобы выйти на рынок ЕС с такой системой:

• Conformity assessment (внутренний или через notified body).
• Risk management system.
• Data governance — качество данных, отсутствие bias.
• Технический документ.
• Logging для аудита.
• Прозрачность для пользователей.
• Human oversight.
• Cybersecurity.

3. Limited Risk — требования прозрачности

• Чат-боты — пользователь должен знать, что говорит с AI.
• Deepfakes — обязательная маркировка как AI-generated.
• Emotion recognition — пользователя надо предупредить.

4. Minimal Risk — без специальных требований

Spam-фильтры, AI в видеоиграх, рекомендации товаров. Воля разработчика.

General-Purpose AI (GPAI) — отдельная категория

Для foundation-моделей (GPT-5, Claude, Gemini, Llama) — отдельные правила:

• Базовые для всех GPAI: технический документ, copyright-policy, обучающие данные summary.
• Systemic Risk GPAI (компьютеры > 10²⁵ FLOPs тренировки) — добавляются: model evaluations, adversarial testing, incident reporting, cybersecurity.

Все frontier-модели на 2026 (GPT-5, Claude Opus 4, Gemini Ultra 2) — попадают в Systemic Risk.

Штрафы

Делятся по типу нарушения:

• Запрещённые практики — до 35M евро или 7% мирового оборота.
• Нарушение требований к high-risk — до 15M евро или 3%.
• Предоставление неверной информации — до 7.5M евро или 1%.

Для крупных tech-компаний (Google, Microsoft) — это миллиарды.

Пример на практике

Российский стартап делает AI-CV-скринер для рекрутинга. Хочет продавать в ЕС.

Какие требования по EU AI Act:

1. Высокорисковая система (HR — категория high-risk).
2. Conformity assessment — пройти процедуру оценки.
3. Risk management — задокументированные риски, mitigation.
4. Data quality — bias-аудит, представительные выборки.
5. Технический документ — детальное описание системы.
6. Logging — все решения логируются 6+ месяцев.
7. Human oversight — финальное решение человеком, не автоматическое.
8. Прозрачность — кандидат знает, что его оценивает AI, и имеет право на объяснение (XAI!).
9. Регистрация в EU AI database.
10. Post-market monitoring — сбор incidents, отчётность.

Стоимость compliance: 100K-500K евро на средний стартап + 50K-200K в год на поддержание. + время задержки выхода (6-12 месяцев).

Альтернатива — не работать в ЕС. Но это потеря рынка ~30% мирового спроса.

# В production-коде это видно так:
class HRScreener:
    def __init__(self):
        self.audit_logger = ComplianceLogger()  # AI Act требует
        self.bias_monitor = BiasDetector()       # Data governance
        self.explainer = SHAPExplainer()         # Право на объяснение

    def screen(self, candidate):
        result = self.model.predict(candidate)
        explanation = self.explainer.explain(candidate, result)

        # Logging для аудита
        self.audit_logger.log(candidate.id, result, explanation)

        # Human oversight: возвращаем рекомендацию, не решение
        return Recommendation(score=result, explanation=explanation,
                              requires_human_review=True)

В ComfyUI это пока менее актуально (картинки — обычно low-risk), но: коммерческие сервисы с AI-изображениями должны помечать deepfakes (Article 50 AI Act). Watermark Stable Diffusion / FLUX-генерации — формально требуется.

С чем часто путают

• EU AI Act и GDPR — GDPR: данные. AI Act: AI-системы. Часто пересекаются (AI обрабатывает персональные данные → оба применимы).
• EU AI Act и Brussels Effect — Brussels Effect: ЕС-правила становятся global стандартом, потому что компании не делают разные версии для разных юрисдикций. Так было с GDPR, ожидается с AI Act.
• EU AI Act и AI Pact — AI Pact: добровольное соглашение компаний начать compliance раньше срока. В отличие от Act — необязательное.
• EU AI Act и UK AI regulation — UK после Brexit пошёл по другому пути: pro-innovation, sectoral regulation вместо comprehensive Act. Менее строгие требования.
• EU AI Act и US Executive Order — США: президентский указ Байдена 2023 (отменён Трампом 2025). Менее прескриптивно.

Частые ошибки и заблуждения

• «Это только для ЕС». Нет — экстерриториально. Продаёте в ЕС — соответствуйте.
• «Малый бизнес освобождён». Нет, нет threshold по размеру компании. Только по типу AI и применению.
• «Open-source освобождён». Частично. Open-source модели частично освобождены от GPAI-требований, но если используются в high-risk системе — все требования применяются.
• «Можно подождать с compliance». Запреты уже в силе с февраля 2025. Высокорисковые с августа 2026. Время есть, но не много.
• «Штрафы — только теория». Французский Datasense получил $50M штраф по GDPR в 2024. AI Act работает по той же модели — реальные кейсы будут.

Связанные термины

• AI Safety — AI Act требует много из safety-стека.
• Explainable AI — EU AI Act требует explainability для high-risk.
• GDPR — соседний регулятор, часто работают вместе.
• Trust in AI — концептуальная цель регулирования.
• Synthetic Data — copyright-вопросы пересекаются с AI Act.

Частые вопросы

Когда полностью вступит в силу? Поэтапно: запреты — февраль 2025, GPAI — август 2025, основная масса high-risk — август 2026, deployed systems — август 2027.

Российская компания должна соответствовать? Если продаёт в ЕС — да. Если только в РФ/СНГ — нет (но российские разработчики, продающие в Европу, должны).

Что с open-source? Свободные веса частично освобождены от GPAI-требований. Но если использовать в high-risk системе — все правила применяются.

Где смотреть актуальное? Официальный текст — eur-lex.europa.eu. Лучшие гайды — Future of Life Institute, IAPP, EU AI Act Compliance Checker.

Сколько стоит compliance? Зависит от типа AI. Low-risk — почти бесплатно (informational). High-risk — 100K-1M евро setup + 50K-500K годового.

Главное

EU AI Act — первый в мире комплексный закон об искусственном интеллекте, принятый Евросоюзом в марте 2024 с поэтапным вступлением 2025-2027. Делит AI-системы на 4 уровня риска: запрещённые (social scoring, manipulation), высокорисковые (медицина, HR, юстиция — жёсткие требования), с прозрачностью (чат-боты, deepfakes — маркировка), минимальный риск. Отдельная категория — General-Purpose AI (GPT-5, Claude и др.) с особыми требованиями для systemic-risk моделей. Штрафы — до 35M евро или 7% мирового оборота. Главный практический эффект — экстерриториальность: любая компания, продающая AI в ЕС, должна соответствовать (Brussels Effect, как с GDPR). Compliance — серьёзная инвестиция, но необходимая для доступа к ЕС-рынку. К 2026 — половина закона работает, юристы AI Act — одна из самых горячих специальностей.