EU AI Act: риск-ориентированный подход к регулированию ИИ

:::caution[Правовая оговорка и актуальность] Данный материал носит образовательный характер и не является юридической консультацией. EU AI Act — развивающееся законодательство. Фреймворк, описанный ниже, основан на принципах, заложенных в регулировании, а не на конкретных формулировках статей, которые могут уточняться. Актуальность: март 2026. Для применения проверьте текущую версию на eur-lex.europa.eu. :::

Введение

EU AI Act (Регламент ЕС об искусственном интеллекте) — первый в мире всеобъемлющий закон, регулирующий разработку и использование AI-систем. Его ключевая идея — risk-based approach (риск-ориентированный подход): чем выше риск AI-системы для здоровья, безопасности и прав человека, тем строже требования.

Для специалистов по Data Governance EU AI Act критически важен, потому что многие требования напрямую касаются данных: качество обучающих выборок, документация моделей, мониторинг предвзятости.

Четыре уровня риска

EU AI Act классифицирует AI-системы по четырём уровням риска. Каждый уровень определяет объём требований к разработчику и оператору системы.

Unacceptable Risk (запрещённый риск)

AI-системы, представляющие неприемлемую угрозу правам человека, запрещены:

• Social scoring — оценка граждан на основе социального поведения (по аналогии с системой социального кредита)
• Манипулятивный ИИ — системы, использующие подсознательные техники для манипуляции поведением
• Массовое распознавание лиц — биометрическая идентификация в реальном времени в общественных местах (с исключениями для правоохранительных органов)
• Эксплуатация уязвимостей — AI, эксплуатирующий возраст, инвалидность или социально-экономическое положение

High Risk (высокий риск)

AI-системы с значительным влиянием на здоровье, безопасность и фундаментальные права. К ним предъявляются максимальные требования:

• Кредитный скоринг и страховое ценообразование — решения о финансовых продуктах
• Медицинская диагностика и лечение — AI-ассистенты врачей
• Рекрутинг и управление персоналом — фильтрация резюме, оценка производительности
• Образование — автоматизированная оценка, допуск к обучению
• Критическая инфраструктура — управление энергосетями, водоснабжением, транспортом
• Правоохранительная деятельность — предиктивная полиция, оценка рисков рецидива

Сценарий: BioGenesis Pharma (БиоДженезис Фарма)

BioGenesis разрабатывает AI-модель для предварительного скрининга пациентов в клинических исследованиях. Модель анализирует медицинские записи и определяет, подходит ли пациент для участия в исследовании нового препарата.

Классификация по EU AI Act: High Risk — модель влияет на доступ пациентов к медицинским исследованиям (здоровье и безопасность).

Требования:

1. Risk Management System — документированная оценка рисков модели
2. Data Governance — высокое качество обучающих данных (полнота, точность, репрезентативность)
3. Technical Documentation — полная документация модели (Model Card)
4. Record-Keeping — автоматическое логирование всех решений модели
5. Transparency — информирование пациентов об использовании AI
6. Human Oversight — врач принимает финальное решение о включении пациента

Limited Risk (ограниченный риск)

AI-системы с обязательствами по прозрачности — пользователи должны знать, что взаимодействуют с ИИ:

• Чат-боты и виртуальные ассистенты
• Системы генерации контента (deepfake, AI-текст)
• Рекомендательные системы

Minimal Risk (минимальный риск)

Большинство AI-систем не требуют специальных мер: спам-фильтры, игровой ИИ, автозаполнение текста. Добровольные кодексы поведения приветствуются.

Требования к данным в EU AI Act

EU AI Act содержит принципы, определяющие требования к данным, используемым для обучения high-risk AI-систем. Эти принципы устанавливают прямую связь между Data Governance и AI compliance.

Принцип управления данными для high-risk AI (основанный на статье 10):

Обучающие, валидационные и тестовые наборы данных для high-risk AI-систем должны соответствовать принципам надлежащего управления данными:

1. Релевантность и репрезентативность — данные должны адекватно отражать контекст использования AI-системы
2. Полнота и отсутствие ошибок — данные должны быть максимально свободны от ошибок и пропусков
3. Учёт специфических характеристик — данные должны учитывать географические, поведенческие и функциональные особенности
4. Обнаружение и коррекция предвзятости — организация должна выявлять и устранять bias в обучающих данных

Принцип управления рисками (основанный на статье 9):

Для high-risk AI-систем организация должна установить, внедрить и поддерживать систему управления рисками, включающую:

• Идентификацию и оценку известных и предсказуемых рисков
• Оценку рисков, возникающих при использовании системы по назначению и при обоснованно предсказуемом неправильном использовании
• Принятие мер по управлению рисками на основе принципа пропорциональности

Принцип прозрачности (основанный на статье 13):

High-risk AI-системы должны быть спроектированы так, чтобы их функционирование было достаточно прозрачным для операторов. Пользователи должны иметь возможность интерпретировать результаты системы и использовать их надлежащим образом.

Влияние на Data Governance программы

Для BioGenesis:

BioGenesis уже имеет Data Governance для клинических данных (152-ФЗ compliance, Data Quality для CRF forms). EU AI Act добавляет:

1. Bias Detection — проверка, что AI-модель скрининга не дискриминирует по полу, возрасту или этничности
2. Model Card — формальная документация: training data demographics, performance by subgroup, limitations
3. Risk Assessment — формальная оценка рисков AI-модели с учётом high-risk классификации
4. Human Oversight — процесс, в котором врач-исследователь принимает финальное решение

Timeline внедрения EU AI Act

EU AI Act был принят в 2024 году и применяется поэтапно. Ключевые даты:

Что такое GPAI (general-purpose AI). GPAI — это foundation models (например, LLM), способные выполнять широкий спектр задач. С 2 августа 2025 их провайдеры обязаны: вести техническую документацию, публиковать summary обучающих данных, соблюдать copyright (Directive 2019/790), а для моделей с systemic risk — проводить evaluations, adversarial testing, отчитываться об инцидентах.

AI literacy (Article 4). С 2 февраля 2025 организации, разрабатывающие или использующие AI, обязаны обеспечить достаточный уровень AI-грамотности у сотрудников и подрядчиков — с учётом их роли, контекста использования и затрагиваемых лиц.

AI Office. Орган в составе Европейской комиссии, отвечающий за enforcement правил для GPAI и координацию надзора в государствах-членах. Полные enforcement-полномочия — с 2 августа 2026.

Принцип пропорциональности: требования масштабируются с уровнем риска. Minimal-risk системы не несут регуляторной нагрузки, high-risk — максимальную.

Итоги

• EU AI Act — первый всеобъемлющий закон о регулировании ИИ, основанный на risk-based approach
• 4 уровня риска: Unacceptable (запрещено), High (максимальные требования), Limited (прозрачность), Minimal (без требований)
• High-risk AI включает кредитный скоринг, медицинскую диагностику, рекрутинг, критическую инфраструктуру
• Отдельный режим для GPAI (foundation models) — обязателен с 2 августа 2025
• Timeline: запреты и AI literacy — с 2 февраля 2025; GPAI — с 2 августа 2025; high-risk полностью — с 2 августа 2026; embedded high-risk — с 2 августа 2027
• Требования к данным (принцип статьи 10): репрезентативность, полнота, обнаружение bias, документация
• Data Governance — фундамент AI compliance: существующие практики (Quality, Classification, Lineage) покрывают часть требований; AI Governance добавляет bias detection, Model Card, fairness monitoring
• Принцип пропорциональности: требования масштабируются с уровнем риска

В следующем уроке мы перейдём к практике: Bias Detection и Fairness Metrics — количественные методы обнаружения и измерения предвзятости в AI-системах.