Введение

EU AI Act — первая в мире comprehensive AI-specific регуляция; первый материальный новый compliance-режим для data-инженерных команд со времён GDPR. Применяется к каждой ML system в периметре SwiftRide, но степень обязательств зависит от risk tier classification. Для SwiftRide критично: pricing engine (потенциально Annex III essential private services) и credit scoring SwiftCapital (определённо Annex III точка 5(b) credit scoring) — прямой high-risk scope.

Этот урок — фиксация Regulation (EU) 2024/1689 на May 2026; фокус на Article 10 (data governance для high-risk AI) + Annex IV технической документации + обязательствах GPAI + SwiftRide-specific applications.

Effective dates (Art. 113)

• Вступил в силу 1 Aug 2024.
• 2 Feb 2025 — Chapters I (general) + II (prohibited practices); AI-literacy (Art. 4).
• 2 Aug 2025 — governance (Ch. VII), обязательства GPAI (Ch. V), penalties (исключая penalties GPAI), notification of bodies.
• 2 Aug 2026 — полное применение high-risk Annex III, transparency (Art. 50), innovation measures.
• 2 Aug 2027 — обязательства high-risk Annex I; дедлайн для GPAI-моделей, уже находящихся на рынке до 2 Aug 2025.

Оговорка: предложение Digital Omnibus (ноябрь 2025) может push практическое применение Annex III к 2 December 2027 — привязав активацию к доступности harmonised standards + templates. Работа над стандартами в процессе: первый standard prEN 18286 (QMS для high-risk AI providers под Article 17) вошёл в public enquiry 30 Oct 2025, но не принят на May 2026. Планировать compliance к статутной дате 2 Aug 2026; относиться к задержке Omnibus как к возможной подушке (неопределённо).

Annex III — 8 high-risk областей

1. Biometrics — identification + categorisation + emotion recognition (с carve-outs Art. 6).
2. Critical infrastructure — road traffic, water, gas, heating, electricity supply.
3. Education + vocational training — admission, evaluation, monitoring during testing.
4. Employment + workers management — recruitment, performance evaluation, work-related decisions.
5. Essential private + public services — credit scoring, insurance pricing, public benefits, emergency services dispatch.
6. Law enforcement — risk assessment, profiling, polygraph, evidence reliability, predictive policing.
7. Migration / asylum / border — risk assessment, visa, asylum applications, biometric border control.
8. Justice + democratic processes — fact / law research assistance, election influence detection.

Article 10 — Data governance для high-risk AI (deep dive)

Article 10 — основное data-engineering требование из всего AI Act. Применяется к каждой high-risk AI system. Требования:

Article 10(2)(a-c) — датасеты

Training, validation, testing datasets должны быть relevant, sufficiently representative, free of errors, complete для предполагаемой цели. «Free of errors» — операционное значение: задокументированные DQ-контроли, error rates известны + accepted, gap inventory.

Article 10(2)(b) — задокументированные практики

• Design choices.
• Collection processes.
• Preparation — annotation, labelling, cleaning, enrichment.
• Assumptions о том, что данные представляют + measures.
• Prior data-availability assessment.
• Bias examination — systematic check по защищённым атрибутам (gender, race, age, geography).
• Bias mitigation — меры, принятые для устранения identified biases.
• Gap identification — области, где данных недостаточно.

Article 10(2)(g) — geographic / contextual / behavioural

Датасеты должны учитывать geographic / contextual / behavioural / functional characteristics окружения deployment. Пример: credit-scoring model, обученная на US data, развёрнутая в EU = потенциальный географический mismatch.

Article 10(5) — special-category data

Special-category data (Art. 9 GDPR — race, religion, health, biometric и т.д.) — только если строго необходимо для bias detection / correction, с safeguards (например, encryption, access controls, time-limited retention).

Annex IV — техническая документация

Comprehensive пакет для high-risk AI:

• Общее описание (intended purpose, persons interacting, hardware integration).
• Подробное описание системы — development methods, datasets, validation / testing, performance metrics, foreseeable risks, подход к пострыночному мониторингу.
• Risk-management system (continuous lifecycle).
• Annex IV-specific: EU declaration of conformity, CE mark, инструкции для use.

GPAI / foundation models — Arts. 53–55

Общие обязательства GPAI (Art. 53)

• Техническая документация (Annex XI).
• Информация для downstream providers (Annex XII).
• Copyright policy + training-data summary.

GPAI с systemic risk (Art. 55)

Триггер — >10^25 FLOPs или назначение Commission. Дополнительные обязательства:

• Model evaluation.
• Systemic-risk assessment + mitigation.
• Serious-incident reporting.
• Cybersecurity.

GPAI Code of Practice

Published 10 July 2025 европейским AI Office. Три главы: Transparency, Copyright, Safety & Security. Одобрено Commission + adequacy decisions AI Board 1 Aug 2025. Добровольный, но signatories получают compliance presumption.

Снимок подписантов (May 2026): Amazon, Anthropic, Google, IBM, Microsoft, OpenAI, Aleph Alpha. xAI подписал только главу Safety & Security. Meta публично отказалась. AI Office ведёт канонический Vademecum list — всегда линкуйтесь на live page.

AI Office

European AI Office — operational с 16 Feb 2024 в составе DG CONNECT. Member States назначают national competent authorities к 2 Aug 2025.

Инвентарь AI-систем SwiftRide

Pricing engine — Annex III?

Вопрос: попадает ли pricing engine SwiftRide (surge multiplier + dynamic pricing) в Annex III?

Анализ:

• Annex III точка 5(b) — «essential private services» включает credit scoring + insurance. Pricing услуг ride-hailing явно не указан.
• НО — может попасть под «essential private services», если будет признано essential (интерпретация судом).
• DSA уже накладывает transparency для recommender systems (pricing recommendations могут попасть сюда).

Консервативная позиция: относиться к pricing engine как к потенциально Annex III; строить data governance Article 10 + техническую документацию Annex IV; формально классифицировать до 2 Aug 2026; консультироваться с Commission AI Office Q&A при неопределённости.

Применение Article 10 к pricing engine:

• Training data (historical trip data, demand signals) — должны быть relevant, representative.
• Bias examination — surge differential по geography (низкодоходные районы vs высокодоходные); по time-of-day, влияющему на low-wage workers; по demographics водителей.
• Задокументированные design choices — почему текущая surge formula; почему эти входы; почему эти веса.
• Annex IV технической документации — доступна AI Office по запросу.

Credit scoring SwiftCapital — Annex III определённо

Annex III точка 5(b) явно включает credit scoring (кроме детектирования финансового фрода). ECL-модель SwiftCapital, используемая для loan approval, = определённо high-risk.

Полное применение Article 10:

• Training data — driver earnings history, trip records (pseudonymised), external credit data.
• Bias examination — по gender, age, ethnicity (если доступно + lawful), geography. EDPB Op 28/2024 (17 Dec 2024) пересекается — обучение AI с personal data.
• Special-category data — Art. 10(5) safeguards, если нужно для bias detection.
• Annex IV технической документации — pre-deployment ready 2 Aug 2026.
• Risk-management system — continuous.
• post-market monitoring — drift detection, performance disaggregation, триггеры recalibration.

Каскадирование: GDPR Art. 22 (автоматическое принятие решений с legal effect) + AI Act Art. 10 (data governance) + EDPB Op 28/2024 (AI models) — все применяются к credit scoring SwiftCapital. Требуется multi-regulator overlay.

Anti-patterns

1. «Ждать, пока Digital Omnibus уточнит» — статутная дата Annex III 2 Aug 2026 в текущем законе; build требует 12–18 месяцев; нельзя начать в августе, если статутная дата держится.
2. «Self-assessment Annex III достаточно» — high-risk AI требует conformity assessment per Art. 43; в зависимости от типа системы, third-party conformity assessment notified body (особенно биометрия). Self-assessment для большинства Annex III types.
3. «Документация Annex IV = опциональная vendor brochure» — обязательная, доступна AI Office по запросу, сохраняется 10 лет после market placement.
4. «GPAI Code of Practice добровольный = игнорировать» — signatories получают compliance presumption; non-signatories должны доказать эквивалентный compliance с Art. 53. Практически — signatory или строгая собственная документация.

Резюме

• EU AI Act 2024/1689 — phased effective: prohibited 2 Feb 2025; GPAI 2 Aug 2025; high-risk Annex III 2 Aug 2026; Annex I 2 Aug 2027. Digital Omnibus может push Annex III к 2 Dec 2027 (неопределённо).
• 8 областей Annex III — biometrics, critical infra, education, employment, essential services (incl. credit scoring), law enforcement, migration, justice.
• Article 10 — data governance — датасеты relevant + representative + free of errors + complete; задокументированные практики (design, collection, preparation, bias examination + mitigation, gap identification); geographic / contextual considerations; safeguards special-category.
• Annex IV технической документации — comprehensive пакет; retained 10 лет.
• Обязательства GPAI Arts. 53–55; Code of Practice published 10 Jul 2025; signatories Amazon / Anthropic / Google / IBM / Microsoft / OpenAI / Aleph Alpha; Meta отказалась; xAI safety-only.
• Применения в SwiftRide: pricing engine = потенциально Annex III; credit scoring SwiftCapital = определённо Annex III точка 5(b); multi-regulator overlay (GDPR Art. 22 + EDPB Op 28/2024 + AI Act Art. 10 + IFRS 9 + SR 26-2/PRA SS1/23).