§1 Биометрия
Межотраслевая- Дистанционная биометрическая идентификация (не запрещённая Статьёй 5)
- Биометрическая категоризация (за исключением чувствительных атрибутов)
- Распознавание эмоций в незапрещённых контекстах
EU AI Act (Регламент (ЕС) 2024/1689) классифицирует системы ИИ по четырём уровням риска: запрещённые, высокого риска, ограниченного риска и минимального риска. Категория высокого риска — определённая в Статье 6, а также в списках Приложения I и Приложения III — это то, где сосредоточено большинство обязательств корпоративного ИИ.
Приложение III содержит восемь категорий вариантов использования высокого риска: биометрия, критическая инфраструктура, образование, занятость, основные услуги, правоохранительная деятельность, миграция и правосудие/демократия. Если ваш ИИ попадает в любую из них, вы сталкиваетесь с полным набором требований по оценке соответствия, технической документации, человеческому надзору, постмаркетинговому мониторингу — а также со штрафами до 15 миллионов евро или 3% от мирового оборота.
Обязательства по высокому риску применяются с 2 августа 2026 года. Статья 6(3) предусматривает узкое исключение, если ИИ выполняет лишь «узкую процедурную задачу», улучшает ранее завершённую человеческую деятельность, обнаруживает отклонения от шаблона принятия решений, не заменяя его, или выполняет подготовительную задачу.
EU AI Act — первый комплексный горизонтальный регламент об ИИ в мире. Он применяется к поставщикам, размещающим системы ИИ на рынке ЕС, и к внедряющим сторонам, использующим системы ИИ в ЕС, включая компании за пределами ЕС, чьи результаты используются в ЕС (Статья 2).
Как и GDPR, AI Act имеет экстерриториальное действие. Как и GDPR, его нарушение влечёт штрафы в процентах от оборота. В отличие от GDPR, в нём есть явные категории запрещённых вариантов использования и гораздо больший объём предрыночных требований к системам высокого риска.
Большая часть корпоративного ИИ попадает либо в категорию высокого риска (из-за вариантов использования в HR, кредитовании или биометрии), либо ограниченного риска (из-за развёртывания чат-ботов).
Статья 6 классифицирует систему ИИ как высокорисковую, если она удовлетворяет любому из условий:
Многие системы удовлетворяют обоим тестам; путь через Приложение III — это то, что большинству продуктовых команд необходимо понимать.
Статья 6(3) предусматривает узкое исключение. Система ИИ, перечисленная в Приложении III, не является высокорисковой, если она не создаёт значительного риска причинения вреда здоровью, безопасности или основным правам физических лиц, в том числе не оказывая существенного влияния на исход принятия решений. Условия Статьи 6(3) таковы:
Исключение не применяется, если система ИИ выполняет профилирование физических лиц. Если поставщик приходит к выводу, что система из Приложения III не является высокорисковой, поставщик обязан задокументировать оценку (Статья 6(4)) и зарегистрировать систему в базе данных ЕС (Статья 49).
Обязательства по высокому риску обширны. Поставщики обязаны:
Внедряющие стороны — физические или юридические лица, использующие систему ИИ под своим руководством — имеют более лёгкие, но реальные обязательства:
Обычно нет. Универсальный чат-бот относится к ограниченному риску по Статье 50 — вы должны раскрывать, что пользователи взаимодействуют с ИИ. Но чат-бот, оценивающий соискателей работы, кредитные заявки или ходатайства о предоставлении убежища, был бы высокорисковым по Приложению III §4, §5 или §7.
Модели ИИ общего назначения имеют собственный набор правил по Статьям 51–55 (техническая документация, политика в отношении авторских прав, сводка обучающих данных и более строгие правила для GPAI с системным риском). Обязательства по GPAI применяются с 2 августа 2025 года.
Частично. Статья 2(12) исключает свободный ИИ с открытым исходным кодом из многих требований — если только система не является высокорисковой, запрещённой или подпадающей под обязательства по прозрачности Статьи 50. Практический эффект: модели с открытым исходным кодом можно свободно использовать, но внедряющие стороны в высокорисковых контекстах всё равно принимают на себя обязательства по высокому риску.
Они действуют параллельно. ИИ, обрабатывающий персональные данные, должен удовлетворять как GDPR (правовое основание, DPIA, автоматизированное принятие решений по Статье 22), так и AI Act (оценка соответствия, FRIA, постмаркетинговый мониторинг). Поставщикам высокорискового ИИ обычно нужны как DPIA, так и файл технической документации по AI Act.
На самом деле нет. Статья 2(1) охватывает поставщиков, размещающих системы ИИ на рынке ЕС, поставщиков из третьих стран, чьи результаты используются в ЕС, и внедряющие стороны в ЕС. Большинство значимых поставщиков ИИ подпадают под действие.
RegulatoryBridge выполняет оценку соответствия, FRIA, техническую документацию и постмаркетинговый мониторинг для систем ИИ высокого риска — чтобы ваша продуктовая команда сосредоточилась на модели, а не на бумажной работе.