Это итоговый отчёт серии из 6 детальных исследований, анализирующих юридический ландшафт для малых цифровых издателей, использующих генеративные AI-инструменты в ЕС. Каждое исследование рассматривает конкретную область в деталях.
Обзор серии #
- EU AI Act — структура и применимость
- Португалия — национальная имплементация
- GDPR и AI: точки пересечения
- Авторское право и AI в ЕС
- Enforcement: практика применения
- Чеклист соответствия
Executive Summary #
Малые цифровые издатели (энциклопедии, блоги, исследовательские сайты), использующие AI-инструменты, несут средний общий юридический риск в ЕС по состоянию на февраль 2026 года.
Основное обязательство — прозрачность по Art. 50 — но оно сопровождается ключевым исключением для контента, прошедшего редакторскую проверку.
Ключевые выводы #
-
Вы — deployer, не provider. Малые издатели, использующие коммерческие AI-инструменты, классифицируются как «deployer-ы» по AI Act — со значительно меньшими обязательствами, чем provider-ы.
-
Art. 50(4) — ваше основное обязательство. Если вы публикуете AI-сгенерированный текст, информирующий общественность, вы должны либо: (a) раскрыть, что текст сгенерирован AI, либо (b) обеспечить редакторскую проверку + редакционную ответственность — что освобождает от обязательства раскрытия.
-
Код не регулируется. AI Act не регулирует исходный код, commit-сообщения или техническую документацию как «AI-output».
-
GDPR уже действует. Политика конфиденциальности и реестры обработки данных обязательны уже сейчас — не в августе 2026.
-
Enforcement практически нулевой. По состоянию на февраль 2026, ни одна страна ЕС не наложила штрафов по AI Act. Национальные регуляторы (CNPD, ANACOM в Португалии) ограничены в ресурсах.
Требование прозрачности Art. 50 #
Что говорит закон #
Deployer-ы обязаны раскрыть, что текст, опубликованный для информирования общественности по вопросам общественного интереса, был искусственно сгенерирован или манипулирован.
Исключение для редакторского контроля #
Art. 50(4) содержит исключение: раскрытие не требуется, если AI-сгенерированный текст:
- Прошёл человеческую проверку или редакторский контроль — содержательный, не автоматизированный
- Физическое или юридическое лицо несёт редакционную ответственность за публикацию
Проект Code of Practice (декабрь 2025) уточняет:
- Должен существовать документированный процесс проверки
- Должно быть идентифицируемо, кто проверил и утвердил контент
- Проверка должна быть содержательной, не формальной
Что необходимо подготовить #
| Элемент | Что нужно |
|---|---|
| Редакционный процесс | Документированный процесс человеческой проверки |
Поле reviewed_by |
Идентифицируемый рецензент в каждой статье |
Поле review_date |
Дата редакционного одобрения |
| Страница редакционной политики | Публичная страница с указанием ответственного редактора |
Дедлайн: Art. 50 вступает в полную силу 2 августа 2026 года.
Пересечения с GDPR #
Использование AI пересекается с GDPR в нескольких аспектах:
- Правовое основание для входных данных. Если вы передаёте персональные данные в AI-инструменты, нужно правовое основание (обычно законный интерес с тестом соразмерности).
- Минимизация данных. Не передавать лишние персональные данные в AI-инструменты.
- Прозрачность. Политика конфиденциальности должна упоминать инструменты обработки данных.
- Трансграничная передача данных. Большинство коммерческих AI-провайдеров обрабатывают данные в США — проверить Стандартные договорные оговорки.
- Мнение EDPB 28/2024 уточнило, что GDPR применяется ко всем фазам жизненного цикла AI.
Необходимые документы #
- Политика конфиденциальности (на каждом публичном сайте)
- Реестр операций обработки (ROPA) — внутренний документ
- Соглашения об обработке данных с AI-провайдерами
Вопросы авторского права #
Исключение для интеллектуального анализа данных (TDM) #
Директива ЕС по авторскому праву на едином цифровом рынке (2019/790), ст. 3–4:
- Ст. 3: TDM для научных исследований (широкое исключение)
- Ст. 4: TDM для любых целей — если правообладатели не отказались (opt-out)
Это применяется к AI-провайдерам при обучении моделей, не к deployer-ам.
Правовой статус AI-контента #
Ни одна страна ЕС не признаёт AI-сгенерированный контент охраняемым авторским правом. Охраняются только произведения, созданные человеком. Однако существенно отредактированный человеком AI-контент может быть охраняемым — определённой судебной практики пока нет.
Ключевое ожидаемое дело #
CJEU C-250/25 (Like Company v. Google Ireland) — первое решение суда ЕС по AI и авторскому праву. Ожидается в конце 2026 — 2027 года. Установит обязательный прецедент для всех государств-членов.
Ответственность за продукцию #
Директива (EU) 2024/2853 (PLD II) явно включает программное обеспечение в определение «продукта». Дедлайн транспозиции: 9 декабря 2026 года.
Ключевые последствия:
- Строгая ответственность (strict liability) — производитель должен доказать отсутствие дефекта
- Disclaimers юридически ничтожны в контексте EU product liability при доказанной дефектности продукта
- Однако disclaimers могут служить доказательством того, что продукт не предназначался для конкретной цели, которая привела к вреду
Контент повышенного риска #
Контент о здоровье, безопасности, идентификации опасных видов — повышенная ответственность. Disclaimers необходимы, но недостаточны.
Ландшафт enforcement (февраль 2026) #
| Орган | Роль по AI Act | Текущая активность |
|---|---|---|
| EU AI Office | Центральная координация | Создаётся, enforcement пока нет |
| Национальные регуляторы | Первичный enforcement | В основном ещё не назначены |
| CNPD (Португалия) | GDPR | Активен, но ограничен в ресурсах (~40 сотрудников) |
| ANACOM (Португалия) | Вероятный орган по AI Act | Специфической AI-активности пока нет |
Первые enforcement-действия по AI Act ожидаются: H2 2026 в лучшем случае, вероятно 2027.
Реалистичная оценка рисков для малых издателей #
- Enforcement по AI Act: практически нулевой на 2026
- Enforcement по GDPR: низкий для малых операторов (CNPD фокусируется на крупных компаниях)
- Авторские претензии: низкие для оригинального редакционного контента
- Ответственность за продукцию: варьируется в зависимости от тематики контента
Дорожная карта compliance #
Немедленно (эта неделя) #
- Создать политику конфиденциальности на всех публичных сайтах
- Создать условия использования с соответствующими disclaimers
- Начать реестр операций обработки (ROPA)
- Подписаться на регуляторные обновления (AI Office, CNPD)
Краткосрочно (1–3 месяца) #
- Задокументировать редакционный процесс
- Добавить
reviewed_by+review_dateв метаданные контента - Подготовить машиночитаемые метаданные для прозрачности AI
- Мониторить второй проект Code of Practice (ожидается март 2026)
Среднесрочно (до августа 2026) #
- Финализировать страницу редакционной политики
- Обеспечить документирование редакторской проверки для всего опубликованного контента
- Мониторить финальный Code of Practice (ожидается июнь 2026)
Долгосрочно (2026–2027) #
- Мониторить транспозицию PLD II (дедлайн 9 декабря 2026)
- Мониторить решение CJEU C-250/25
- Мониторить развитие Digital Omnibus
Ключевые события для мониторинга #
| Событие | Ожидаемая дата | Влияние |
|---|---|---|
| Финальный Code of Practice по прозрачности AI | Июнь 2026 | Определит конкретные требования к маркировке |
| Art. 50 AI Act вступает в силу | 2 августа 2026 | Начало обязательств прозрачности |
| Дедлайн транспозиции PLD II | 9 декабря 2026 | Программное обеспечение = «продукт» при строгой ответственности |
| Решение CJEU C-250/25 | Конец 2026 — 2027 | Первый обязательный прецедент ЕС по AI + авторское право |
| Digital Omnibus | H2 2026 | Может смягчить AI Act, добавить правовое основание для AI в GDPR |
Ключевые источники #
Законодательство #
- EU AI Act (Regulation 2024/1689)
- GDPR (Regulation 2016/679)
- PLD II (Directive 2024/2853)
- DSM Copyright Directive (2019/790)
Руководства #
- Art. 50 AI Act — полный текст
- Проект Code of Practice по прозрачности AI (декабрь 2025)
- Мнение EDPB 28/2024
- CNIL: AI и GDPR рекомендации (февраль 2025)
Аналитика #
- Bird & Bird: Draft Transparency Code of Practice
- CMS: AI laws in Portugal
- Chambers: AI 2025 Portugal