Если коротко: компаниям, которые разрабатывают или внедряют ИИ, уже сейчас нужно привести в порядок данные, договоры, права на датасеты, правила использования моделей и документы для клиентов. Новый виток регулирования не отменяет старые вопросы по 152-ФЗ, интеллектуальным правам и ответственности за результат системы.
Это не один «большой закон», а контур регулирования
В России давно есть специальные элементы регулирования ИИ. Например, Федеральный закон от 24 апреля 2020 года N 123-ФЗ запустил экспериментальное регулирование для разработки и внедрения технологий искусственного интеллекта в Москве. Этот закон важен не только для участников эксперимента: он закрепил юридический язык, которым государство описывает ИИ-системы.
Параллельно действует национальная стратегия развития ИИ, появляются стандарты, создаются комиссии и рабочие механизмы координации. Но пока это не означает, что в России появился единый закон, который по одной таблице делит все ИИ-системы на классы риска и устанавливает полный набор обязанностей для разработчиков и пользователей.
Что это меняет для компаний
Главный эффект нового этапа регулирования — ИИ перестает быть только технической темой. Для заказчика, инвестора или службы безопасности важно не то, что «у нас есть модель», а то, можно ли безопасно использовать результат: откуда взяты данные, кто отвечает за ошибку, что происходит при инциденте и можно ли показать документы аудитору.
1. Данные придется описывать точнее
В ИИ-проекте данные обычно проходят несколько стадий: сбор, очистка, разметка, обучение или дообучение, использование в запросах, хранение логов, передача подрядчикам. На каждой стадии могут появляться ПДн, коммерческая тайна, базы данных, лицензии и договорные ограничения.
2. Договоры должны учитывать особенности модели
Обычный SaaS-договор часто плохо описывает ИИ-сервис. В нем не хватает условий о качестве результата, ограничениях модели, внешних API, пользовательских запросах, правах на результаты обработки и ответственности за действия конечного пользователя.
3. Внутренние правила становятся не формальностью
Если сотрудники используют публичные ИИ-сервисы, компания должна понимать, что можно загружать в такие сервисы, кто согласует новые инструменты, как проверяются поставщики и кто принимает решение при утечке или ошибке модели. Без этого даже хороший продукт может создать управленческий и юридический риск внутри компании.
Что проверить уже сейчас
- Есть ли карта данных: какие данные используются, откуда они берутся и кому передаются.
- Понятно ли, кто оператор ПДн, кто обработчик и где находятся базы данных.
- Оформлены ли права на код, датасеты, разметку, результаты НИОКР и работу подрядчиков.
- Есть ли ограничения ответственности за результат модели и внешние API.
- Совпадают ли документы сайта, договоры и фактическая работа продукта.
- Есть ли внутренний регламент использования ИИ сотрудниками.
- Подготовлен ли порядок действий при инциденте с данными или некорректной работой системы.
Чего пока не стоит делать
Не стоит копировать европейский AI Act в локальные документы без адаптации. Российский контекст пока устроен иначе: ключевыми остаются персональные данные, локализация, интеллектуальные права, договоры, закупочные требования, отраслевые ограничения и внутренний контроль использования ИИ.
Также не стоит писать универсальную «политику ИИ» на двадцать страниц, если компания не понимает, какие модели, данные и сценарии у нее уже есть. В таких случаях документ выглядит убедительно, но не помогает при проверке.
Итог
Новый этап регулирования ИИ — это сигнал: ИИ-проекты будут чаще проверять не только как технологию, но и как юридически оформленный процесс. Для бизнеса лучший ответ — не ждать штрафов или отдельного большого закона, а заранее собрать документы, которые объясняют, как система работает и кто за что отвечает.