EU AI Act: Обзор и классификация рисков #
Дата исследования: 25 февраля 2026 Объект анализа: Регламент ЕС (EU) 2024/1689 об искусственном интеллекте Юрисдикция: Европейский Союз / Португалия
Резюме #
EU AI Act устанавливает комплексную нормативную базу для систем искусственного интеллекта на основе классификации рисков. Данное исследование охватывает:
- Четырёхуровневую систему классификации рисков
- Исключения для открытого программного обеспечения (FOSS)
- Роли провайдера, деплойера и дистрибьютора
- Обязательства прозрачности (Статья 50)
- Хронологию имплементации и правоприменение
Ключевой вывод: создатели контента, использующие ИИ-инструменты для генерации текстов, классифицируются как деплойеры ИИ-систем ограниченного риска и подпадают под обязательства прозрачности с 2 августа 2026 года.
1. Классификация рисков #
EU AI Act устанавливает четырёхуровневую классификацию рисков:
1.1 Уровни риска #
| Уровень | Описание | Регулирование |
|---|---|---|
| Неприемлемый | Социальный скоринг, манипулятивные системы, биометрическая идентификация в реальном времени | Полный запрет (Статья 5) |
| Высокий | Системы в сфере здравоохранения, образования, правосудия, критической инфраструктуры (Приложение III) | Полный набор обязательств (Статьи 6–27) |
| Ограниченный | Системы взаимодействия с людьми, генерация контента, дипфейки | Обязательства прозрачности (Статья 50) |
| Минимальный | Спам-фильтры, рекомендательные системы, инструменты разработки | Минимальные обязательства или отсутствие |
1.2 Определение AI-системы (Статья 3(1)) #
«AI system» означает машинную систему, спроектированную для работы с различными уровнями автономности и которая может демонстрировать адаптивность после развёртывания, и которая, для явных или неявных целей, делает выводы из получаемых данных о том, как генерировать выходные данные, такие как предсказания, контент, рекомендации или решения, которые могут влиять на физическое или виртуальное окружение.
Ключевое разграничение: Использование коммерческих ИИ-инструментов через API делает вас деплойером, а не провайдером. Разработчик ИИ-модели является провайдером.
2. Исключение для FOSS (Open Source) #
2.1 Статья 2(12) — Область действия #
«Настоящий Регламент не применяется к ИИ-системам, выпущенным под свободными и открытыми лицензиями, если только они не размещаются на рынке или не вводятся в эксплуатацию как высокорисковые ИИ-системы или как ИИ-системы, подпадающие под Статью 5 или 50.»
Структура исключения:
Открытая ИИ-система → ОСВОБОЖДЕНА от Регламента
КРОМЕ случаев, когда:
├── Классифицирована как ВЫСОКОРИСКОВАЯ (Статья 6)
├── Подпадает под запрещённые практики (Статья 5)
└── Подпадает под обязательства прозрачности (Статья 50)2.2 Рецитал 102 — Определение свободной и открытой лицензии #
Лицензия должна позволять:
- Доступ (открытый доступ)
- Использование
- Модификацию
- Распространение
Все четыре права должны присутствовать. Допустимые ограничения:
- Требования атрибуции
- Условия copyleft (распространение на аналогичных условиях)
2.3 Рецитал 103 — Монетизация и исключения #
Не могут претендовать на исключения FOSS:
- ИИ-компоненты, предоставляемые за плату
- Монетизированные через техническую поддержку или услуги
- Предоставляемые через платформу, связанную с ИИ-компонентом
- Используются персональные данные (кроме обеспечения безопасности/совместимости)
Однако:
«Сам факт предоставления ИИ-компонентов через открытые репозитории не должен рассматриваться как монетизация.»
Исключение для микропредприятий: Транзакции между микропредприятиями исключены из определения монетизации.
2.4 Добровольные пожертвования (Ko-fi, Patreon и т.п.) #
Регламент не содержит явного определения «добровольных пожертвований» в контексте монетизации. Аналитический вывод:
- Пожертвования Ko-fi являются добровольными взносами, не обусловленными доступом к ИИ-компонентам
- Рецитал 103 говорит о компонентах «предоставленных за плату» — пожертвования не являются платой за конкретный продукт
- Правовая неопределённость сохраняется до появления разъяснений Комиссии или судебной практики
Рекомендация: До публикации руководств считать добровольные пожертвования без привязки к конкретным ИИ-функциям скорее всего НЕ являющимися монетизацией по Рециталу 103.
3. Роли: Provider / Deployer / Distributor #
3.1 Определения (Статья 3) #
Provider (Провайдер) — Статья 3(3):
Физическое или юридическое лицо, которое разрабатывает ИИ-систему или GPAI-модель (или поручает разработку) и размещает её на рынке или вводит в эксплуатацию под своим именем или торговой маркой, за плату или бесплатно.
Deployer (Деплойер) — Статья 3(4):
Физическое или юридическое лицо, использующее ИИ-систему под своим контролем, за исключением личного непрофессионального использования.
Distributor (Дистрибьютор) — Статья 3(7):
Физическое или юридическое лицо в цепочке поставок (кроме провайдера или импортёра), которое делает ИИ-систему доступной на рынке ЕС.
3.2 Классификация для создателей контента #
Сценарий: Использование коммерческого ИИ API для генерации контента #
Провайдер ИИ-модели → Provider (GPAI-модель)
↓
Создатель контента → Deployer (использует модель под своим контролем)
↓
Пользователи сайта → Конечные пользователи (не регулируются)Создатель контента = Deployer, потому что:
- Не разрабатывает ИИ-систему — использует существующую
- Не размещает модель на рынке — модель принадлежит провайдеру
- Использует ИИ-систему под своим контролем
- Использование профессиональное (не личное непрофессиональное)
3.3 Обязательства Deployer #
| Уровень риска | Обязательства deployer |
|---|---|
| Минимальный | AI literacy (Статья 4) |
| Ограниченный | Статья 50 (прозрачность) + AI literacy |
| Высокий | Статьи 26–27 (полный набор) + AI literacy |
4. Обязательства прозрачности (Статья 50) #
4.1 Структура Статьи 50 #
Параграф 1 — Интерактивные ИИ-системы:
Провайдеры ИИ-систем, предназначенных для взаимодействия с физическими лицами, должны информировать их о том, что они взаимодействуют с ИИ-системой, если это не очевидно из обстоятельств.
Параграф 2 — Провайдеры генеративных систем (маркировка):
Провайдеры ИИ-систем, включая GPAI-системы, генерирующие синтетические аудио, изображения, видео или текст, должны обеспечить, чтобы выходные данные были маркированы в машиночитаемом формате и обнаруживаемы как искусственно сгенерированные или манипулированные.
Параграф 3 — Распознавание эмоций / биометрическая категоризация:
Деплойеры должны информировать физических лиц о работе таких систем.
Параграф 4 — Дипфейки и ИИ-генерированный текст (НАИБОЛЕЕ РЕЛЕВАНТНЫЙ):
Деплойеры ИИ-систем, генерирующих или манипулирующих:
(a) Изображения, аудио, видео (дипфейки): должны раскрыть, что контент искусственно сгенерирован или манипулирован.
(b) Текст, опубликованный с целью информирования общественности по вопросам общественного интереса: должны раскрыть, что текст искусственно сгенерирован или манипулирован.
4.2 Исключения из Статьи 50(4) #
Исключение 1 — Художественные и творческие произведения:
Если контент является частью явно художественного, творческого, сатирического, вымышленного или аналогичного произведения, обязательство раскрытия ограничивается раскрытием подходящим образом, который не препятствует показу или наслаждению произведением.
Исключение 2 — Редакторский контроль (для текста):
Обязательство раскрытия не применяется, если ИИ-генерированный текст прошёл процесс человеческого обзора или редакторского контроля и физическое или юридическое лицо несёт редакционную ответственность за публикацию.
Исключение 3 — Правоохранительная деятельность:
Обязательство не применяется, если использование разрешено законом для обнаружения, предотвращения, расследования или преследования уголовных преступлений.
4.3 Исключение редакторского контроля — практическое применение #
Для квалификации под исключение редакторского контроля необходимо:
- Установить внутренние процедуры — документированный редакторский workflow для ИИ-генерированного контента
- Обеспечить человеческий обзор — каждая статья проверяется человеком-редактором
- Принять редакционную ответственность — формально принять ответственность за контент
- Вести документацию — записи о том, какие материалы прошли редакторский контроль
Если исключение не применяется (нет человеческого обзора):
- Необходимо раскрыть, что текст сгенерирован или манипулирован ИИ
- Форма раскрытия — «подходящим образом» (детали в Code of Practice)
4.4 Дата вступления в силу #
Статья 50 вступает в полную силу 2 августа 2026 года.
Проект Code of Practice по маркировке и раскрытию ИИ-контента:
- Первый проект: 17 декабря 2025
- Второй проект: март 2026
- Финальная версия: июнь 2026
5. Хронология имплементации #
5.1 Основные даты #
| Дата | Что вступает в силу | Статус |
|---|---|---|
| 1 августа 2024 | Вступление Регламента в силу | ✅ В силе |
| 2 февраля 2025 | Запрещённые практики (Статья 5) + AI literacy (Статья 4) | ✅ В силе |
| 2 августа 2025 | Обязательства GPAI (Глава V, Статьи 51–56) + Управление | ✅ В силе |
| 2 августа 2026 | Полное применение — высокорисковые системы (Приложение III), обязательства прозрачности (Статья 50), штрафы | ⏳ Предстоит |
| 2 августа 2027 | Высокорисковые системы в регулируемых продуктах (Приложение I) + GPAI-модели, размещённые до августа 2025 | ⏳ Предстоит |
5.2 Что уже действует (на 25 февраля 2026) #
-
Статья 4 — AI Literacy (с 2 февраля 2025):
- Обязанность обеспечить «достаточный уровень AI-грамотности» персонала
- Применяется ко ВСЕМ операторам (providers и deployers) вне зависимости от уровня риска
- Deployers должны понимать возможности и ограничения используемых ИИ-систем
-
Статья 5 — Запрещённые практики (с 2 февраля 2025):
- Социальный скоринг, манипулятивные системы, биометрическая идентификация в общественных местах (с исключениями)
-
Глава V — GPAI (с 2 августа 2025):
- Обязательства для провайдеров GPAI-моделей
- Для deployers/downstream пользователей — косвенное влияние
5.3 Предложение Digital Omnibus (19 ноября 2025) #
Европейская комиссия предложила изменения:
- Отсрочка для высокорисковых систем (Приложение III): с 2 августа 2026 на не позднее 2 декабря 2027 (привязка к готовности гармонизированных стандартов)
- Отсрочка для регулируемых продуктов (Приложение I): с 2 августа 2027 на не позднее 2 августа 2028
- Дополнительные 6 месяцев для провайдеров генеративных ИИ-систем, размещённых до 2 августа 2026, на соответствие Статье 50 (до 2 февраля 2027)
- Предложено убрать обязательство AI literacy для не-высокорисковых систем
Статус: Это предложение, ещё не принято. Требуется одобрение Парламента и Совета.
6. General-Purpose AI (GPAI) — Глава V #
6.1 Структура регулирования GPAI #
Глава V (Статьи 51–56) регулирует провайдеров GPAI-моделей, а не их пользователей.
Ключевое разграничение:
GPAI-модель (коммерческая или открытая)
→ Provider = разработчик модели
→ Downstream provider = интегрирует модель в свою ИИ-систему
→ Deployer = использует ИИ-систему6.2 Обязательства провайдеров GPAI (Статья 53) #
Провайдеры GPAI должны:
- Подготовить и поддерживать техническую документацию модели
- Предоставить информацию downstream-провайдерам
- Установить политику соблюдения Директивы об авторском праве
- Опубликовать «достаточно подробный» summary данных, использованных для обучения
6.3 Open-source исключение для GPAI (Статья 53(2)) #
Провайдеры GPAI-моделей, выпущенных под свободной и открытой лицензией, освобождены от:
- Статья 53(1)(a) — техническая документация
- Статья 53(1)(b) — информация для downstream-провайдеров
НО обязаны соблюдать:
- Политика авторского права (Copyright Directive)
- Публикация summary обучающих данных
Системный риск: Для GPAI с системным риском (Статья 55) — никакие open-source исключения не применяются.
6.4 Code of Practice для GPAI #
Финальная версия Code of Practice для GPAI-моделей опубликована 10 июля 2025, одобрена Комиссией и AI Board 1 августа 2025.
Три главы:
- Прозрачность — документация, информация для downstream-провайдеров
- Авторское право — политика соблюдения Copyright Directive
- Безопасность — оценка рисков, тестирование
7. Штрафы (Статья 99) #
7.1 Трёхуровневая система штрафов #
| Уровень | Нарушение | Максимум для предприятий | Максимум (фикс.) |
|---|---|---|---|
| 1 (максимальный) | Запрещённые практики (Статья 5) | 7% годового мирового оборота | €35 000 000 |
| 2 | Другие обязательства по Регламенту | 3% годового мирового оборота | €15 000 000 |
| 3 (минимальный) | Предоставление неверной информации органам | 1% годового мирового оборота | €7 500 000 |
Применяется большая из двух сумм (% оборота или фиксированная сумма) — для обычных предприятий.
7.2 Пропорциональность для МСП и стартапов (Статья 99(6)) #
«В случае МСП, включая стартапы, каждый штраф, упомянутый в данной Статье, составляет до процентов или суммы, указанных в параграфах 3, 4 и 5, в зависимости от того, что меньше.»
Для МСП/стартапов — применяется МЕНЬШАЯ из двух сумм.
Пример расчёта (нарушение Статьи 50 = уровень 2):
- Годовой оборот: €100 000
- 3% от €100 000 = €3 000
- Фиксированная сумма = €15 000 000
- Для МСП штраф = до €3 000 (меньшая из двух сумм)
- Для крупного предприятия штраф = до €15 000 000 (большая из двух сумм)
7.3 Физические лица #
Статья 99 не содержит отдельных положений о штрафах для физических лиц, не являющихся предприятиями.
Ключевые моменты:
- Определения «provider» и «deployer» в Статье 3 включают физических лиц
- Статья 99(1) указывает, что штрафы должны быть «эффективными, пропорциональными и сдерживающими»
- Конкретные размеры штрафов для физических лиц определяются на национальном уровне каждым государством-членом
- Статья 99(8) передаёт государствам-членам полномочия по определению правил наложения штрафов на публичные органы
Для Португалии: ANACOM назначена координирующим органом (сентябрь 2025). Конкретные правила наложения штрафов на физических лиц будут определены португальским имплементирующим законодательством.
8. Последние события 2025–2026 #
8.1 Опубликованные руководства и акты #
| Дата | Документ | Статус |
|---|---|---|
| 4 февраля 2025 | Guidelines on Prohibited AI Practices (Статья 5) | ✅ Опубликовано |
| 6 февраля 2025 | Guidelines on AI System Definition (Статья 3(1)) | ✅ Опубликовано |
| 18 июля 2025 | Draft Guidelines for GPAI Model Providers | ✅ Опубликовано |
| 10 июля 2025 | Final GPAI Code of Practice | ✅ Одобрен 1 августа 2025 |
| Сентябрь 2025 | Португалия назначила ANACOM координатором | ✅ Назначено |
| 30 октября 2025 | prEN 18286 — первый гармонизированный стандарт (QMS) | ✅ На публичном обсуждении |
| 19 ноября 2025 | Digital Omnibus Proposal (упрощение AI Act) | ⏳ Законопроект |
| 17 декабря 2025 | First Draft Code of Practice on Transparency of AI-Generated Content (Статья 50) | ✅ Опубликован |
| Март 2026 (ожид.) | Second Draft — Transparency Code of Practice | ⏳ В разработке |
| Июнь 2026 (ожид.) | Final — Transparency Code of Practice | ⏳ Ожидается |
8.2 Стандартизация #
- CEN/CENELEC разрабатывают гармонизированные стандарты для AI Act
- Первый стандарт (prEN 18286 — QMS) на публичном обсуждении с 30 октября 2025
- Задержки: изначальный дедлайн 30 апреля 2025, перенесён на 31 августа 2025, стандарты всё ещё в разработке
- Отсутствие готовых стандартов — основание для предложения Digital Omnibus о переносе сроков
9. Практические рекомендации #
9.1 Для создателей контента, использующих ИИ #
Приоритет 1 — Подготовка к Статье 50 (до 2 августа 2026):
-
Определить, какой контент генерирует «текст для информирования общественности»
- Энциклопедии — да
- Личные блоги — зависит
- Документация — зависит
-
Выбрать стратегию соответствия:
- Вариант A (рекомендуемый): Человеческий обзор + редакционная ответственность → освобождение от обязательства раскрытия
- Вариант B: Раскрытие ИИ-участия на сайтах (дисклеймер/лейбл)
- Вариант C: Комбинированный — обзор + прозрачный дисклеймер
-
Документировать процессы:
- Описать редакторский процесс (review pipeline)
- Зафиксировать, кто несёт редакционную ответственность
- Сохранять записи о редактуре ИИ-контента
Приоритет 2 — AI Literacy (уже действует):
- Обеспечить собственную AI-грамотность:
- Понимание возможностей и ограничений используемых ИИ-инструментов
- Понимание рисков ИИ-генерированного контента (галлюцинации, предвзятость)
- Документировать (для себя) ключевые аспекты AI literacy
Приоритет 3 — Мониторинг:
- Следить за:
- Финальной версией Transparency Code of Practice (июнь 2026)
- Судьбой Digital Omnibus (может изменить сроки)
- Португальским имплементирующим законодательством
- Руководствами ANACOM
9.2 Минимальная стратегия соответствия #
Наиболее практичный и безопасный подход для небольших цифровых издателей:
-
Контент: Установить формальный процесс человеческой редакции всего ИИ-генерированного контента + принять редакционную ответственность + добавить прозрачный дисклеймер (не обязательно, но повышает доверие)
-
Код (библиотеки, приложения): Нет специфических обязательств по AI Act, если сам продукт не является ИИ-системой
-
Добровольные пожертвования: Структурировать как добровольные взносы без привязки к конкретным ИИ-функциям — для сохранения open-source статуса
-
Документация: Хранить записи о процессе создания контента — пригодится при проверках
Источники #
Официальные тексты #
- Regulation (EU) 2024/1689 — Official Journal (EUR-Lex)
- AI Act Explorer — полный текст с навигацией
- Article 2: Scope
- Article 3: Definitions
- Article 4: AI Literacy
- Article 50: Transparency Obligations
- Article 99: Penalties
- Recital 102
- Recital 103
Руководства Европейской Комиссии #
- Guidelines on Prohibited AI Practices (Feb 2025)
- Guidelines on AI System Definition (Feb 2025)
- Guidelines for GPAI Model Providers (Jul 2025)
- GPAI Code of Practice — Final Version (Jul 2025)
- First Draft Code of Practice on Transparency of AI-Generated Content (Dec 2025)
- Digital Omnibus Proposal (Nov 2025)
Аналитические материалы #
- Linux Foundation EU: What Open Source Developers Need to Know about the EU AI Act
- Hugging Face: What Open-Source Developers Need to Know about the EU AI Act’s Rules for GPAI Models
- Orrick: The EU AI Act: Application to Open-Source Projects
- Implementation Timeline
Отчёт подготовлен 25 февраля 2026. Информация актуальна на дату составления. Регуляторная среда активно развивается — рекомендуется мониторинг обновлений Европейской Комиссии, AI Office и национальных органов.