Правоприменительная практика: AI в Европе и Португалии #
Дата исследования: 25 февраля 2026 Область применения: Механизмы enforcement и регуляторная практика для AI-систем в ЕС Целевая аудитория: Разработчики, издатели, малый и средний бизнес
Содержание #
- EU AI Act: правоприменение
- GDPR: штрафы за AI-нарушения
- European AI Office
- Национальные органы
- Реестр наложенных штрафов
- Оценка рисков для малых разработчиков
- Практические рекомендации
1. EU AI Act: правоприменение #
1.1. Временная шкала вступления в силу #
| Дата | Что вступает в силу |
|---|---|
| 2 февраля 2025 | Запрещённые практики (Article 5) + обязательства по AI literacy |
| 2 августа 2025 | Обязательства для GPAI моделей + режим штрафов (Article 99) |
| 2 августа 2026 | Полное применение для высокорисковых AI-систем (Annex III) + enforcement для GPAI |
| 2 августа 2027 | Дедлайн для GPAI моделей, размещённых на рынке до 2 августа 2025 |
1.2. Фактическое правоприменение (по состоянию на февраль 2026) #
По состоянию на февраль 2026, ни одного формального enforcement action по EU AI Act официально не объявлено. Это объясняется:
- Большинство государств-членов не назначили национальные компетентные органы к дедлайну 2 августа 2025 (включая Португалию, Францию, Германию, Италию, Бельгию — лишь 7 из 27 стран уложились)
- Режим штрафов вступил в силу только 2 августа 2025
- Полные полномочия по enforcement для GPAI у Комиссии — с 2 августа 2026
Однако, несколько расследований ведутся:
- Системы распознавания эмоций на рабочих местах в транснациональных корпорациях
- Алгоритмы предиктивной полиции в правоохранительных органах ЕС
- Элементы социального скоринга в платформах управления сотрудниками
1.3. Штрафы по AI Act (Article 99) #
| Тип нарушения | Максимум для компаний | Максимум для SME |
|---|---|---|
| Запрещённые практики (Art. 5) | до 35 млн EUR или 7% мирового оборота (что больше) | до 35 млн EUR или 7% оборота (что меньше) |
| Другие нарушения обязательств | до 15 млн EUR или 3% оборота (что больше) | до 15 млн EUR или 3% оборота (что меньше) |
| Предоставление ложной информации | до 7,5 млн EUR или 1% оборота (что больше) | до 7,5 млн EUR или 1% оборота (что меньше) |
Ключевой момент для SME: Для малых и средних предприятий (включая стартапы) применяется меньшая из двух сумм (процент оборота или фиксированная сумма), в отличие от крупных компаний, где применяется большая.
Пример расчёта (нарушение Article 50 = tier 2):
- Годовой оборот: €100,000
- 3% от €100,000 = €3,000
- Фиксированная сумма = €15,000,000
- Для SME штраф = до €3,000 (меньшая из двух)
- Для крупного предприятия штраф = до €15,000,000 (большая из двух)
Эта оговорка о пропорциональности обеспечивает значительную защиту малому бизнесу.
1.4. Digital Omnibus — смягчение (ноябрь 2025) #
19 ноября 2025 Европейская Комиссия опубликовала предложение Digital Omnibus on AI:
- Отсрочка для высокорисковых AI-систем: применение правил привязывается к доступности инструментов compliance (стандартов), максимальная отсрочка — 16 месяцев
- Новые сроки: Annex III — не позднее 2 декабря 2027; Annex I — не позднее 2 августа 2028
- Расширение привилегий SME на small-mid cap компании (SMC): упрощённая документация, пропорциональные штрафы
- Разрешение обработки специальных категорий данных для bias detection (с гарантиями)
Статус: предложение передано в Совет и Парламент; ожидаются дополнительные поправки и переговоры.
2. GDPR: штрафы за AI-нарушения #
2.1. Общая статистика GDPR enforcement #
- С 2018 года: более 2,800 штрафов, совокупный объём — ~€5,88 млрд
- 2024 год: ~€1,2 млрд штрафов
- 2025 год: ~€2,3 млрд штрафов (рост 38% год к году)
2.2. Крупные AI-связанные штрафы #
| Дата | Орган | Субъект | Сумма | Причина |
|---|---|---|---|---|
| Окт 2022 | CNIL (Франция) | Clearview AI | €20M | Незаконный сбор биометрических данных, распознавание лиц |
| Май 2023 | CNIL (Франция) | Clearview AI | €5,2M | Невыполнение предыдущего приказа (пени) |
| Май 2024 | Dutch DPA (Нидерланды) | Clearview AI | €30,5M | Незаконная БД биометрии, отсутствие правовой основы |
| Дек 2024 | AEPD (Испания) | La Liga | €1M | Биометрическое распознавание на стадионах |
| Дек 2024 | AEPD (Испания) | ФК Осасуна | €200 000 | Распознавание лиц на стадионе |
| Дек 2024 | Garante (Италия) | OpenAI | €15M | ChatGPT: отсутствие legal basis, прозрачность, возраст, breach |
| 2025 | Hamburg DPA (Германия) | Фин. компания | ~€500 000 | Автоматическое решение по кредитам без human oversight (Art. 22) |
| Апр 2025 | Garante (Италия) | Luka Inc (Replika) | €5M | AI-компаньон: legal basis, прозрачность, верификация возраста |
2.3. Италия: Garante vs OpenAI — детальный анализ #
Хронология:
| Дата | Событие |
|---|---|
| Март 2023 | Garante временно заблокировал ChatGPT в Италии |
| Апрель 2023 | Блокировка снята после принятия мер OpenAI |
| Январь 2024 | Garante уведомил OpenAI о нарушениях GDPR |
| 20 декабря 2024 | Штраф €15 млн |
Выявленные нарушения:
- Отсутствие правовой основы (Art. 6 GDPR) — обучение ChatGPT на персональных данных без надлежащего legal basis
- Нарушение прозрачности — недостаточное информирование пользователей
- Отсутствие верификации возраста — нет механизма защиты детей до 13 лет
- Несообщение о data breach — утечка данных марта 2023 не была вовремя сообщена Garante
Дополнительные требования:
- 6-месячная публичная образовательная кампания о работе ChatGPT и правах субъектов данных
Текущий статус: OpenAI подала апелляцию, назвав штраф «непропорциональным» — якобы он в 20 раз превышает доход компании в Италии за спорный период.
Значение: Первый крупный GDPR-штраф специально за генеративную AI-систему. Устанавливает прецедент, что AI-провайдеры должны иметь валидное правовое основание для обработки обучающих данных.
2.4. Clearview AI — кумулятивное enforcement в ЕС #
Clearview AI оштрафована 7 раз различными DPA ЕС с 2020 года:
| Страна | Орган | Сумма |
|---|---|---|
| Франция | CNIL | €25,2M |
| Нидерланды | Dutch DPA | €30,5M |
| Италия | Garante | €20M |
| Великобритания | ICO | £7,5M |
| Греция | HDPA | €20M |
| Итого (приблизительно) | >€100M |
Паттерн: Устойчивое несоблюдение в разных юрисдикциях. Dutch DPA изучает возможность персональной ответственности директоров компании.
Урок: Даже заявление «нет присутствия в ЕС» не освобождает от GDPR — принцип территориальности применяется, если обрабатываются данные резидентов ЕС.
3. European AI Office #
3.1. Структура и ресурсы #
- Создан: в структуре Европейской Комиссии
- Персонал: более 125 сотрудников (технологи, юристы, экономисты, специалисты по политике), с планами расширения
- Функции: расследование нарушений, оценка возможностей моделей, запрос документации, доступ к исходному коду GPAI моделей, назначение корректирующих мер
3.2. Полномочия #
- Запрос информации и документации у провайдеров GPAI
- Проведение оценок возможностей моделей
- Запрос доступа к исходному коду
- Назначение корректирующих мер
- Наложение штрафов (с 2 августа 2026)
3.3. Фактическая деятельность #
GPAI Code of Practice — опубликован 10 июля 2025:
- Три раздела: (1) Прозрачность, (2) Авторское право, (3) Безопасность
- Добровольный инструмент, но де-факто стандарт для демонстрации compliance
Позиции крупных компаний:
- OpenAI и Mistral: подписали Code of Practice
- Meta: отказалась подписывать, заявив о «правовой неопределённости» и мерах, «выходящих за рамки AI Act»
- Январь 2026: AI Office начал формальное расследование в отношении WhatsApp Business APIs Meta — обвинение в ограничении конкурирующих AI-провайдеров
GPAI Model Guidelines — опубликованы в 2025:
- Ключевые концепции GPAI
- Классификация моделей с системными рисками
- Обязательства по прозрачности и безопасности
3.4. Временная шкала enforcement AI Office #
| Дата | Действие |
|---|---|
| 2 августа 2025 | Обязательства GPAI вступили в силу; AI Office сотрудничает с провайдерами |
| 2 августа 2026 | Полные enforcement-полномочия: штрафы, запросы информации, отзыв моделей |
| 2 августа 2027 | Дедлайн для моделей, размещённых до 2 августа 2025 |
4. Национальные органы #
4.1. Португалия: ANACOM #
Назначен в сентябре 2025 (с опозданием — дедлайн был 2 августа):
- Роль: национальный орган рыночного надзора (market surveillance authority) и единая точка контакта (single point of contact) по EU AI Act
- Вызов: ANACOM исторически телекоммуникационный регулятор, не имеющий специализации в AI
- Текущий статус: выстраивание внутренних компетенций и координации
Полномочия:
- Рыночный надзор за AI-системами
- Координация всех национальных AI-органов
- Сбор информации и расследования
- Назначение корректирующих мер
- Административные штрафы
4.2. Португалия: CNPD #
Comissão Nacional de Protecção de Dados:
- Имеет юрисдикцию GDPR над всеми AI-системами, обрабатывающими персональные данные
- Track record: решение по Worldcoin (2024) — первое AI-enforcement action в Португалии
- Ресурсы: ограничены. CNPD исторически один из наименее финансируемых DPA в ЕС
25 марта 2024 — Deliberação 2024/137:
- Временное 90-дневное ограничение на обработку биометрических данных Worldcoin
- Более 300 000 человек в Португалии предоставили биометрические данные
- Нарушения: отсутствие правовой основы, проблемы прозрачности, невозможность удалить данные
4.3. Другие активные DPA #
Франция: CNIL
- Опубликовала комплексные руководства по AI (февраль 2025, июль 2025)
- Активное enforcement: Clearview AI (€25,2M)
- Стратегический приоритет: AI и биометрические системы
Испания: AEPD
- Статистика 2024: €35,5M штрафов (рост 19%)
- AI-связанные: La Liga (€1M), ФК Осасуна (€200 000)
- Проактивный мониторинг AI и биометрических систем
Италия: Garante
- Самый агрессивный AI-enforcer в ЕС
- OpenAI (€15M), Luka/Replika (€5M), Clearview AI (€20M)
- Временные блокировки: ChatGPT (март 2023), Replika (февраль 2023)
5. Реестр наложенных штрафов #
5.1. Штрафы за AI-нарушения по GDPR (хронология) #
| Дата | Орган | Субъект | Сумма | Причина |
|---|---|---|---|---|
| Окт 2022 | CNIL (Франция) | Clearview AI | €20M | Незаконный сбор биометрических данных |
| Май 2023 | CNIL (Франция) | Clearview AI | €5,2M | Невыполнение предыдущего приказа |
| Май 2024 | Dutch DPA (Нидерланды) | Clearview AI | €30,5M | Незаконная БД биометрии |
| Дек 2024 | AEPD (Испания) | La Liga | €1M | Биометрическое распознавание на стадионах |
| Дек 2024 | AEPD (Испания) | ФК Осасуна | €200 000 | Распознавание лиц на стадионе |
| Дек 2024 | Garante (Италия) | OpenAI | €15M | ChatGPT: отсутствие legal basis, прозрачность |
| 2025 | Hamburg DPA (Германия) | Фин. компания | ~€500 000 | Автоматизированные решения без контроля |
| Апр 2025 | Garante (Италия) | Luka Inc (Replika) | €5M | AI-компаньон: legal basis, верификация возраста |
5.2. Enforcement actions без штрафов #
| Дата | Орган | Субъект | Мера |
|---|---|---|---|
| Март 2023 | Garante (Италия) | OpenAI | Временная блокировка ChatGPT |
| Февраль 2023 | Garante (Италия) | Luka Inc | Временный запрет Replika |
| Март 2024 | CNPD (Португалия) | Worldcoin | 90-дневный запрет на сбор биометрии |
| 2024 | AEPD (Испания) | Worldcoin | Аналогичный запрет |
5.3. Совокупные штрафы Clearview AI в ЕС #
| Страна | Орган | Сумма |
|---|---|---|
| Франция | CNIL | €25,2M |
| Нидерланды | Dutch DPA | €30,5M |
| Италия | Garante | €20M |
| Великобритания | ICO | £7,5M |
| Греция | HDPA | €20M |
| Итого (приблизительно) | >€100M |
6. Оценка рисков для малых разработчиков #
6.1. Исторический паттерн: кого штрафуют? #
Анализ GDPR enforcement tracker (2018-2026):
Подавляющее большинство крупных штрафов (десятки и сотни миллионов) наложены на:
- Big Tech: Meta, Google, Amazon, Apple, Microsoft, TikTok
- Телекоммуникационные компании: Vodafone, Tim, Orange
- Крупные организации: H&M, British Airways, Marriott
AI-специфические штрафы — исключительно на:
- Крупные AI-компании (OpenAI, Luka Inc, Clearview AI)
- Крупные организации, внедрившие AI (La Liga, ФК Осасуна)
Штрафы для физических лиц по GDPR существуют:
- Врач: €5,000 за нарушение принципов обработки данных
- Частное лицо: €240 за недостаточную правовую основу
- Максимум формально — до €20M / 4% оборота
6.2. Профиль риска: индивидуальный opensource-разработчик в Португалии #
Факторы, СНИЖАЮЩИЕ риск:
- Масштаб проекта: DPA и регуляторы фокусируются на массовых нарушениях (миллионы субъектов данных). Opensource-проекты с ограниченной аудиторией — не приоритет
- Отсутствие коммерческой цели: некоммерческие проекты привлекают меньше внимания
- Opensource-исключения AI Act:
- GPAI-модели под свободной/opensource-лицензией освобождены от большинства обязательств (кроме copyright и summary обучающих данных)
- Компоненты под FOSS-лицензией, используемые в high-risk AI, освобождены от обязательств по документации для downstream-провайдеров
- Пропорциональность штрафов для SME: применяется меньшая из двух сумм
- Ресурсы португальских регуляторов:
- CNPD — один из наименее финансируемых DPA в ЕС
- ANACOM — только начинает выстраивать AI-компетенции
- Приоритеты: крупные нарушители с массовым воздействием на граждан
- Позиция deployer: использование коммерческих AI-сервисов для генерации контента — это роль deployer, а не provider. Основная нагрузка compliance — на провайдерах моделей
Факторы, ПОВЫШАЮЩИЕ риск:
- GDPR не делает различий между физлицами и компаниями — если обрабатываются персональные данные, правила применяются
- Copyright-риски: если AI генерирует контент, воспроизводящий копирайт-материалы — ответственность лежит на издателе
- Transparency obligations (August 2026): если проект публикует AI-генерированный текст для информирования общественности — обязанность маркировки
- Жалобы: даже малый проект может стать объектом расследования при жалобе
- Прецедентное значение: регуляторы иногда выбирают «показательные дела»
6.3. Реалистичная оценка уровня риска #
| Категория риска | Уровень | Обоснование |
|---|---|---|
| Штраф по AI Act | Минимальный | Opensource-исключения; нет запрещённых практик; ANACOM не имеет ресурсов для мелких целей |
| Штраф по GDPR | Низкий | Если нет обработки ПД (нет регистрации, аккаунтов, трекинга) — практически нулевой |
| Copyright-иск | Низкий-средний | Зависит от контента; если AI генерирует энциклопедические статьи — маловероятно |
| Обязательства по прозрачности | Средний (с авг. 2026) | Article 50 требует маркировки AI-контента для публичного информирования |
| Жалоба в DPA | Низкий | Возможно, но DPA приоритизируют по масштабу нарушения |
7. Практические рекомендации #
7.1. Минимальная стратегия compliance #
Наиболее практичный и безопасный подход для малых цифровых издателей:
-
Контент: Установить формальный процесс человеческой рецензии для всего AI-генерированного контента + взять редакторскую ответственность + добавить прозрачный дисклеймер (не обязательно, но строит доверие)
-
Код (библиотеки, приложения): Нет специфических AI Act обязательств, если продукт сам по себе не является AI-системой
-
Добровольные пожертвования: Структурировать как добровольные взносы без привязки к конкретным AI-функциям — для сохранения opensource-статуса
-
Документация: Вести записи процесса создания контента — полезно при проверках
7.2. Приоритетные действия #
До 2 августа 2026:
- Задокументировать editorial workflow — для исключения Article 50 (editorial control exception)
- Подготовить механизмы маркировки — если editorial control exception не применяется
- Убедиться в отсутствии персональных данных в AI-промптах — минимизировать GDPR-риски
- Проверка copyright — проверять AI-output на плагиат перед публикацией
Мониторить:
- Финальный Transparency Code of Practice (июнь 2026)
- Руководства и enforcement actions ANACOM
- Решение CJEU по C-250/25 (Like Company v. Google)
7.3. Красные флаги (избегать) #
❌ Запрещённые практики (Article 5) — социальный скоринг, манипулятивный AI, биометрическая идентификация в реальном времени ❌ Обработка персональных данных без правовой основы — крупнейшая категория GDPR-нарушений ❌ Отсутствие Privacy Policy — базовое GDPR-требование, легко исправить ❌ Публикация AI-контента без рецензии — риск нарушения copyright ❌ Игнорирование data breach — несообщение в течение 72 часов (Article 33)
Источники #
Официальные документы #
- EU AI Act (Regulation 2024/1689)
- Article 99: Penalties
- European AI Office
- GDPR (Regulation 2016/679)
Решения регуляторов #
- Italy fines OpenAI €15M
- Italy fines Replika €5M
- Dutch DPA fines Clearview AI €30.5M
- CNPD suspends Worldcoin in Portugal
- GDPR Enforcement Tracker
Аналитические материалы #
- Digital Omnibus Proposal (Nov 2025)
- Code of Practice for GPAI
- Portugal AI Regulation (Chambers 2025)
- AI Laws in Portugal (CMS)
- Linux Foundation: Open Source Developers and EU AI Act
Отчёт подготовлен 25 февраля 2026 года. Информация актуальна на дату подготовки. Регуляторная среда активно развивается — рекомендуется мониторинг обновлений от Европейской Комиссии, AI Office и национальных органов.