Регулирование ИИ в России и мире: что нужно знать директору

2024-2025 годы стали переломными для регулирования ИИ. После многолетних дискуссий регуляторы по всему миру перешли от принципов к обязывающим требованиям.

EU AI Act. Вступил в силу в 2024 году, полное применение — с 2026 года. Классифицирует ИИ-системы по уровню риска (неприемлемый → высокий → средний → низкий). Для систем высокого риска (кредитование, найм, критическая инфраструктура, медицина) — обязательный аудит, прозрачность, регистрация в EU AI database. За нарушения — штрафы до €35 млн или 7% мирового оборота.

США. Нет единого федерального закона, но секторальное регулирование — финансовое (FTC), медицинское (FDA), рекламное — активно применяется к ИИ. Президентский указ о безопасном ИИ (2023) установил принципы федеральных агентств. Отдельные штаты (Калифорния, Иллинойс) ввели собственные требования.

Россия. Федеральный закон 123-ФЗ «О проведении эксперимента по установлению специального регулирования ИИ» (с 2019). Эксперимент в Москве. Национальная стратегия развития ИИ до 2030 года. Регуляторные «песочницы» для тестирования ИИ-продуктов. Тренд: движение к секторальному регулированию с акцентом на биометрию, медицину, транспорт.

Российские компании, работающие с ЕС или планирующие выход на европейский рынок, подпадают под действие EU AI Act. Для остальных — ориентация на развивающееся российское регулирование.

Немедленные действия (независимо от юрисдикции). Проведите инвентаризацию ИИ-систем: перечень всех применяемых ИИ-решений с описанием функций. Для каждой системы оцените уровень риска по классификации EU AI Act (даже если вы не под юрисдикцией — это лучший международный стандарт). Для высокорисковых систем — документация, аудит, план управления рисками.

Для работающих с ЕС. Определите, какие ваши системы попадают под AI Act. Запустите compliance-анализ. Назначьте ответственного за соответствие AI Act. Приоритет — системы высокого риска с дедлайном 2026 года.

На уровне корпоративного управления. Добавьте ИИ-регуляторный мониторинг в функцию комплаенса. Ежеквартальные брифинги для СД о регуляторных изменениях в сфере ИИ. Разработайте или обновите AI Policy с учётом текущего регуляторного контекста.

EU AI Act устанавливает четырёхуровневую классификацию ИИ-систем, которая становится де-факто глобальным стандартом — даже компании вне юрисдикции ЕС ориентируются на неё при построении внутренних систем governance.

Неприемлемый риск (запрещённые системы). Социальный скоринг граждан, манипулятивные ИИ-системы, биометрическая идентификация в реальном времени в общественных местах (за исключением правоохранительных органов). Любые подобные системы должны быть немедленно выведены из эксплуатации.

Высокий риск. Кредитный скоринг, системы найма и оценки персонала, медицинская диагностика, управление критической инфраструктурой, образование (оценка учащихся), миграционный контроль. Для этих систем обязательны: оценка соответствия (conformity assessment), техническая документация, постоянный мониторинг, регистрация в европейской базе данных ИИ-систем. Штрафы за несоблюдение — до 7% глобального оборота компании.

Ограниченный риск. Чат-боты, deepfake-генераторы, системы распознавания эмоций. Основное требование — прозрачность: пользователь должен знать, что взаимодействует с ИИ. Для генеративного ИИ (включая ChatGPT, Claude) — обязательная маркировка сгенерированного контента.

Минимальный риск. Спам-фильтры, рекомендательные системы, ИИ в видеоиграх. Минимальные регуляторные требования — добровольное следование кодексам поведения.

Для российских компаний важно учитывать пересечение с 152-ФЗ «О персональных данных» — многие ИИ-системы высокого риска обрабатывают персональные данные, и несоблюдение требований локализации и обработки создаёт дополнительный регуляторный слой. Совет директоров должен получить от менеджмента карту ИИ-систем с указанием применимого регулирования для каждой из них.

Регуляторный ландшафт ИИ развивается быстро, и компании, которые выстраивают систему комплаенса сейчас, получают значительное преимущество перед теми, кто будет действовать реактивно.

Шаг 1: Создание реестра ИИ-систем. Полная инвентаризация всех ИИ-решений в компании — как разработанных внутри, так и приобретённых у вендоров. Для каждой системы фиксируется: назначение, тип данных, юрисдикции использования, уровень автономности решений, ответственный владелец. По нашему опыту, компании обычно обнаруживают на 40-60% больше ИИ-систем, чем предполагали изначально — многие внедрены на уровне подразделений без ведома руководства.

Шаг 2: Оценка регуляторного периметра. Для каждой системы определить применимые нормативные акты: EU AI Act (если компания работает с ЕС), 152-ФЗ (персональные данные), отраслевые требования (ЦБ РФ для финансовых организаций, Минздрав для медицинских ИИ), GDPR (для международных операций). Результат — матрица «система × регулирование» с приоритизацией по уровню риска.

Шаг 3: Назначение AI Compliance Officer. Выделенная роль или расширение мандата существующего compliance-офицера. Ключевые функции: мониторинг регуляторных изменений, координация оценок соответствия, взаимодействие с регуляторами, обучение сотрудников. В компаниях с более чем 10 ИИ-системами высокого риска рекомендуется создание отдельной функции.

Шаг 4: Документирование и аудит. Разработка AI Policy с учётом всех применимых требований, внедрение процедуры оценки воздействия (AI Impact Assessment) для новых систем, ежегодный независимый аудит существующих систем. Результаты аудита представляются аудиторскому комитету совета директоров.