Структура Закона аб ШІ ў 2026 годзе

Закон аб ШІ — гэта першы ў свеце комплексны гарызантальны рэгламент штучнага інтэлекту. Яго архітэктура, падзеленая па ўзроўнях рызыкі, з'яўляецца ключом да разумення таго, якія абавязацельствы прымяняюцца да якіх сістэм.

Узроўні рызыкі

Закон сартуе сістэмы ШІ на чатыры ўзроўні ў залежнасці ад рызыкі, якую яны прадстаўляюць:

• Забароненыя сістэмы — практыкі, якія забаронены цалкам, уключаючы маніпулятыўныя падсвядомыя тэхнікі, эксплуатацыю ўразлівасцяў, сацыяльную ацэнку дзяржаўнымі органамі і пэўныя формы біяметрычнай катэгарызацыі і распазнавання эмоцый
• Сістэмы высокай рызыкі — сістэмы, якія выкарыстоўваюцца ў пазначаных кантэкстах высокіх ставак, якія падлягаюць асноўнай частцы матэрыяльных абавязацельстваў Закона, уключаючы кіраванне рызыкамі, кіраванне данымі, празрыстасць, чалавечы нагляд і патрабаванні да дакладнасці
• Сістэмы абмежаванай рызыкі — сістэмы з канкрэтнымі абавязацельствамі па празрыстасці, уключаючы большасць кіраваных ШІ рэкамендацельнікаў кантэнту і чат-ботаў, якія ўзаемадзейнічаюць непасрэдна з карыстальнікамі
• Сістэмы мінімальнай рызыкі — усё астатняе, якое падлягае толькі агульным добраахвотным кодэксам паводзін

Дзе размяшчаюцца рэкламныя і рэкамендацыйныя сістэмы

Большасць ШІ, арыентаванага на рэкламу — ацэнка аўдыторыі, аптымізацыя праграматык-стаўкі, рэкамендацельнікі кантэнту, рухавікі персаналізацыі — размяшчаецца на ўзроўні абмежаванай рызыкі, а не на ўзроўні высокай рызыкі. Гэта гучыць як палёгка, але ўзровень абмежаванай рызыкі ўсё яшчэ нясе значныя абавязацельствы па празрыстасці, і некалькі крайніх выпадкаў штурхаюць канкрэтныя сістэмы на больш высокія ўзроўні. Крытычна, правілы аб забароненых практыках могуць дасягаць рэкламных сістэм, калі яны пераходзяць на тэрыторыю маніпуляцыі або эксплуатацыі, і EDPB сігналізаваў аб гатоўнасці шырока тлумачыць гэтыя палажэнні.

Паэтапнасць

Каляндар 2026 года мае значэнне: абавязацельствы высокай рызыкі для новых сістэм уступаюць у сілу ў жніўні 2026 года, абавязацельствы высокай рызыкі для сістэм, якія ўжо знаходзяцца на рынку, уступаюць у сілу ў 2027 годзе, а абавязацельствы пастаўшчыкоў ШІ агульнага прызначэння ўжо ў сіле. Выдаўцы і рэкламадаўцы павінны супаставіць свой інвентар ШІ з гэтым календаром, каб ведаць, якія абавязацельствы прымяняюцца калі.

Як Закон аб ШІ накладваецца паверх GDPR

Закон аб ШІ не замяняе GDPR. Ён размяшчаецца паверх яго. Сістэма, якая апрацоўвае персанальныя даныя для вытворчасці вывадаў на аснове ШІ, павінна задавальняць абодва рэжымы, і абавязацельствы з'яўляюцца дапаўняльнымі, а не альтэрнатыўнымі.

Узровень GDPR

GDPR працягвае рэгуляваць законнасць апрацоўкі персанальных даных. Згода на рэкламнае прафіляванне, прававое падставы для вымярэнняў, кластар правоў суб'ектаў даных, абавязацельствы па трансгранічнай перадачы — усё гэта працягвае прымяняцца без зменаў.

Узровень Закона аб ШІ

Паверх GDPR Закон аб ШІ дадае абавязацельствы, якія канкрэтна тычацца самой сістэмы ШІ: як яна была навучана, якія даныя пайшлі ў навучанне, як дакументуюцца яе вывады, якія механізмы нагляду існуюць, якую празрыстасць атрымлівае карыстальнік. Гэтыя абавязацельствы прывязваюцца да сістэмы ШІ незалежна ад таго, заснавана ці базавая апрацоўка даных на згодзе, дагаворы або нейкім іншым прававым падставе.

Практычны вывад

Выдаўцу, які выкарыстоўвае рэкамендацельнік кантэнту на персанальных даных, патрэбны і сапраўднае прававое падставы GDPR для апрацоўкі даных, і адпаведнае раскрыццё празрыстасці паводле Закона аб ШІ. Любога з іх паасобку недастаткова. Паверхня адпаведнасці цяпер сапраўды двухмерная, і ланцуг дакументацыі павінен ахопліваць абедзве восі.

Забароненыя практыкі і рэклама

Спіс забароненых практык Закона кароткі, але значны, і некалькі пунктаў маюць наступствы для дызайну рэкламы.

Маніпулятыўныя тэхнікі

Закон забараняе сістэмы ШІ, якія прымяняюць падсвядомыя тэхнікі, маніпулятыўныя практыкі або эксплуатуюць уразлівасці канкрэтных груп спосабамі, якія верагодна прычыняць значную шкоду. Большасць дызайнаў рэкламы не набліжаецца да гэтай рысы — але рэклама, нацэленая на выяўленыя ўразлівасці (фінансавыя цяжкасці, станы псіхічнага здароўя, паттэрны залежнасці) з выкарыстаннем прафілявання на аснове ШІ, можа яе перасекчы. EDPB адзначыў гэта ў раннім кіраўніцтве.

Біяметрычная катэгарызацыя

Закон забараняе біяметрычную катэгарызацыю, якая выводзіць адчувальныя атрыбуты, такія як раса, палітычныя погляды, членства ў прафсаюзах, рэлігійныя перакананні, палавое жыццё або сэксуальная арыентацыя. Сегменты аўдыторыі, пабудаваныя з біяметрычных даных, якія выводзяць гэтыя атрыбуты, цяпер знаходзяцца на забароненай тэрыторыі.

Распазнаванне эмоцый у канкрэтных кантэкстах

Распазнаванне эмоцый забаронена ў кантэкстах працоўнага месца і адукацыі. Выпадкі выкарыстання выяўлення эмоцый у рэкламе па-за гэтымі кантэкстамі могуць усё яшчэ быць дапушчальнымі, але сутыкаюцца з павышанай увагай.

Абавязацельствы па празрыстасці для абмежаванай рызыкі

Менавіта тут у 2026 годзе знаходзіцца асноўная частка работы па адпаведнасці Закону аб ШІ для выдаўцоў і рэкламадаўцаў.

Раскрыццё рэкамендацыйнай сістэмы

Рэкамендацельнікі кантэнту, якія персаналізуюць тое, што бачаць карыстальнікі — няхай гэта на хатняй старонцы выдаўца, у стужцы праграмы або ў праграматык-размяшчэнні рэкламы — трапляюць пад узровень абмежаванай рызыкі. Карыстальнікі павінны быць праінфармаваны, што яны ўзаемадзейнічаюць з сістэмай ШІ, і сістэма павінна быць спраектавана так, каб ШІ-прырода ўзаемадзеяння была ясная.

Раскрыццё чат-бота

Любая сістэма ШІ, якая ўзаемадзейнічае напрамую з карыстальнікамі ў размоўнай форме, павінна раскрываць сваю ШІ-прыроду. Выдаўцам і рэкламадаўцам, якія выкарыстоўваюць ШІ-чат-інтэрфейсы — для падтрымкі кліентаў, выяўлення кантэнту або любой іншай мэты — трэба задавальняць гэты базавы ўзровень.

Раскрыццё сінтэтычнага кантэнту

Згенераваныя ШІ выявы, аўдыа, відэа і тэкставы кантэнт павінны быць пазначаны як такія. Выдаўцам, якія выкарыстоўваюць згенераваныя ШІ візуальныя матэрыялы або тэкст у рэдакцыйным кантэнце, рэкламным крэатыве або выявах прадуктаў, трэба прымяняць абавязацельствы па маркіроўцы. Кіраўніцтва па рэалізацыі 2026 года праясніла тэхнічныя спецыфікацыі для маркіроўкі, уключаючы стандарты вадзяных знакаў для візуальнага кантэнту.

Камбінаваная паверхня згоды ў 2026 годзе

CMP і паведамленне аб канфідэнцыяльнасці цяпер павінны выконваць працу для абодвух рэжымаў. CMP выдаўца 2026 года выглядае значна больш складанай, чым яе папярэднік 2024 года.

Гранулярныя мэты згоды

CMP раскрывае мэты згоды, якія адрозніваюць агульную рэкламу, прафіляванне для рэкламы, аўтаматызаванае прыняцце рашэнняў і рэкамендацыйную персаналізацыю. Кожная супастаўляецца з канкрэтнай мяжой Закона аб ШІ і GDPR, і кожная патрабуе ўласнай сцвярджальнай згоды.

Раскрыцці сістэм ШІ

Паведамленне аб канфідэнцыяльнасці або спадарожны дакумент раскрыцця ШІ апісвае выкарыстоўваныя сістэмы ШІ, іх мэты, катэгорыі ўваходных даных, агульную логіку вывадаў і дзеючыя механізмы чалавечага нагляду. Гэта больш, чым раскрыццё аўтаматызаваных рашэнняў паводле Артыкула 22 GDPR — гэта больш поўная гісторыя празрыстасці ШІ.

Права на пярэчанне

Права GDPR пярэчыць супраць прафілявання працягвае прымяняцца, і Закон аб ШІ дадае дадатковыя правы карыстальнікаў вакол рэкамендацыйнай персаналізацыі на аснове ШІ. Карыстальнікі могуць адмовіцца ад рэкамендацыйнай персаналізацыі, не губляючы доступу да базавай паслугі, і адмова павінна быць прынамсі такой жа лёгкай, як і згода.

Аперацыйныя паттэрны, якія працуюць у 2026 годзе

Выдаўцы і рэкламадаўцы, якія выкарыстоўваюць спелыя праграмы 2026 года, сыходзяцца на некалькіх аперацыйных паттэрнах.

Інвентар ШІ

Вядзіце жывы інвентар кожнай сістэмы ШІ, якая выкарыстоўваецца ў стэку выдаўца або рэкламадаўцы: сістэма, яе ўзровень рызыкі паводле Закона, апрацоўваныя ёю персанальныя даныя, яе прававое падставы паводле GDPR, прыменены да яе раскрыцці празрыстасці і дзеючы чалавечы нагляд. Гэта фундаментальны артэфакт адпаведнасці і тое, што рэгулятары папросяць убачыць у першую чаргу.

Камбінаванае паведамленне аб канфідэнцыяльнасці

Адзінае камбінаванае паведамленне аб канфідэнцыяльнасці і празрыстасці ШІ — на партугальскай, нямецкай, французскай або якой бы то ні было мове, якая падыходзіць для аўдыторыі — якое адрасуе абавязацельствы як GDPR, так і Закона аб ШІ ў звязным апавяданні. Спроба падтрымліваць два асобныя раскрыцці запрашае супярэчнасці і блытаніну чытача.

Аўдыт ШІ пастаўшчыка

Для кожнага рэкламнага або аналітычнага пастаўшчыка, які апрацоўвае вывады на аснове ШІ ад імя выдаўца, дагавор павінен адрасаваць размеркаванне абавязацельстваў паводле Закона аб ШІ, доступ да тэхнічнай дакументацыі і паведамленне аб інцыдэнтах. Стандартныя пагадненні аб апрацоўцы даных ад 2023 года не адрасуюць Закон аб ШІ і маюць патрэбу ў абнаўленні.

Штрафы і пазіцыя па правапрымяненні

Закон аб ШІ ўводзіць шматузроўневы рэжым штрафаў з адміністрацыйнымі штрафамі, якія могуць перавышаць максімумы GDPR.

Узроўні штрафаў

• Да 35 мільёнаў еўра або 7 працэнтаў глабальнага гадавога абароту за парушэнні забароненых практык
• Да 15 мільёнаў еўра або 3 працэнтаў за большасць іншых матэрыяльных парушэнняў
• Да 7,5 мільёнаў еўра або 1 працэнта за прадастаўленне няправільнай інфармацыі

Архітэктура правапрымянення

Кожная дзяржава-член прызначае нацыянальныя кампетэнтныя органы для правапрымянення Закона аб ШІ, а Еўрапейскае ўпраўленне па ШІ каардынуе нагляд за мадэлямі ШІ агульнага прызначэння. Правапрымяненне супраць выдаўцоў і рэкламадаўцаў будзе ў асноўным ісці праз нацыянальныя органы, часта ў цеснай каардынацыі з існуючымі органамі па абароне даных. Першыя значныя дзеянні па правапрымяненні Закона аб ШІ чакаюцца на працягу 2026 года па меры таго, як абавязацельствы высокай рызыкі цалкам уступаюць у сілу.

Чэк-ліст аўдыту для рэкламы на аснове ШІ ў 2026 годзе

• Жывы інвентар кожнай сістэмы ШІ ў стэку з класіфікацыяй па ўзроўні рызыкі
• Прававое падставы GDPR задакументавана для кожнай сістэмы ШІ, якая апрацоўвае персанальныя даныя
• Раскрыцці празрыстасці Закона аб ШІ прыменены да кожнай сістэмы абмежаванай рызыкі, уключаючы рэкамендацыйную персаналізацыю і чат-боты
• Маркіроўка сінтэтычнага кантэнту прыменена да згенераваных ШІ крэатыву, выяў, аўдыа і відэа
• Камбінаванае паведамленне аб канфідэнцыяльнасці і празрыстасці ШІ на адпаведнай мясцовай мове
• CMP раскрывае прафіляванне, аўтаматызаванае прыняцце рашэнняў і рэкамендацыйную персаналізацыю як асобна узгадняльныя мэты
• Сегменты аўдыторыі перагледжваюцца на адпаведнасць спісу забароненай біяметрычнай катэгарызацыі
• Дагаворы з пастаўшчыкамі абноўлены для адрасацыі размеркавання абавязацельстваў паводле Закона аб ШІ
• Механізмы чалавечага нагляду задакументаваны для любой сістэмы, якая набліжаецца да мяжы высокай рызыкі
• Працоўны працэс правоў суб'ектаў даных і правоў карыстальнікаў паводле Закона аб ШІ можа адказваць на запыты аб адмове, тлумачэнні і чалавечым разглядзе на працягу дастасавальных вокнаў адказу

Перспектыва 2026 года

Закон аб ШІ не замяняе GDPR — ён накладваецца паверх яго, і камбінаваная паверхня значна больш складаная, чым любы з рэжымаў паасобку. Для выдаўцоў і рэкламадаўцаў, якія выкарыстоўваюць персаналізацыю, прафіляванне, рэкамендацыйныя сістэмы або генератыўны кантэнт на аснове ШІ, 2026 год — гэта год, калі архітэктура адпаведнасці павінна спець за межы чыстай пазіцыі GDPR. Тыя, хто ставіцца да Закона аб ШІ як да клопату аб будучым стане, выявяць, што будучыня прыходзіць хутчэй, чым чакалася, з нацыянальнымі органамі, якія выпускаюць свае першыя дзеянні па правапрымяненні на працягу 2026 года і да 2027 года. Тыя, хто будуе камбінаваную адпаведнасць з самага пачатку, выявяць, што архітэктура акупляецца: абавязацельствы па празрыстасці Закона аб ШІ, добра рэалізаваныя, таксама ўмацоўваюць гісторыю згоды і даверу GDPR, а аперацыйная дысцыпліна падтрымання жывога інвентару ШІ аказваецца карыснай далёка за межамі нарматыўнай адпаведнасці.