AI Act struktūra 2026 m.

AI Act yra pirmasis pasaulyje visapusis horizontalus dirbtinio intelekto reglamentavimas. Jo rizika pagrįsta architektūra yra raktas suprasti, kurios prievolės taikomos kurioms sistemoms.

Rizikos lygmenys

Aktas skirsto AI sistemas į keturis lygmenis pagal jų keliamą riziką:

• Draudžiamos sistemos — visiškai uždraustos praktikos, įskaitant manipuliacines poatikinės sąmonės technikas, pažeidžiamumų išnaudojimą, viešųjų institucijų socialinį vertinimą ir tam tikras biometrinio kategorization ir emocijų atpažinimo formas
• Didelės rizikos sistemos — sistemos, naudojamos konkrečiuose didelę riziką keliančiuose kontekstuose, kurioms taikoma didžioji dalis esminio Akto prievolių, įskaitant rizikos valdymą, duomenų valdymą, skaidrumą, žmogaus priežiūrą ir tikslumo reikalavimus
• Ribotos rizikos sistemos — sistemos su specifinėmis skaidrumo prievolėmis, įskaitant daugumą AI valdomų turinio rekomendavimo priemonių ir pokalbių robotų, tiesiogiai sąveikaujančių su naudotojais
• Minimalios rizikos sistemos — visa kita, kuriai taikomi tik bendrieji savanoriški elgesio kodeksai

Kur reklama ir rekomendavimo sistemos patenka

Dauguma reklamai skirtų AI priemonių — auditorijos vertinimas, programinės pirkimo optimizavimas, turinio rekomendavimo priemonės, personalizavimo varikliai — patenka į ribotos rizikos lygmenį, o ne didelės rizikos lygmenį. Tai skamba kaip palengvėjimas, tačiau ribotos rizikos lygmuo vis tiek apima reikšmingas skaidrumo prievoles, o keli kraštiniai atvejai stumia konkrečias sistemas į aukštesnius lygmenis. Svarbiausia, draudžiamos praktikos taisyklės gali apimti reklamos sistemas, jei jos pereina į manipuliacijos ar išnaudojimo teritoriją, ir EDPB signalizavo norą plačiai aiškinti šias nuostatas.

Įgyvendinimo etapai

2026 m. kalendorius svarbus: didelės rizikos prievolės naujoms sistemoms įsigalioja 2026 m. rugpjūtį, didelės rizikos prievolės jau rinkoje esančioms sistemoms įsigalioja 2027 m., o bendrosios paskirties AI teikėjų prievolės jau galioja. Leidėjai ir reklamuotojai turėtų suderinti savo AI inventorių su šiuo kalendoriumi, kad žinotų, kurios prievolės kada taikosi.

Kaip AI Act sluoksniuojasi ant GDPR

AI Act nepakeičia GDPR. Jis yra virš jo. Sistema, tvarkanti asmens duomenis AI valdomiems rezultatams gauti, turi tenkinti abu režimus, o prievolės yra kumuliacinės, o ne alternatyvios.

GDPR lygmuo

GDPR toliau reglamentuoja asmens duomenų tvarkymo teisėtumą. Sutikimas reklamos profiliavimui, teisinis pagrindas matavimui, duomenų subjektų teisių grupė, tarpvalstybinių perdavimų prievolės — visa tai toliau galioja nepakitę.

AI Act lygmuo

Ant GDPR AI Act prideda prievoles konkrečiai pačiai AI sistemai: kaip ji buvo apmokyta, kokie duomenys buvo naudoti mokymui, kaip dokumentuojami jos rezultatai, kokie priežiūros mechanizmai egzistuoja, kokį skaidrumą gauna naudotojas. Šios prievolės prisirišo prie AI sistemos, neatsižvelgiant į tai, ar pagrindinis duomenų tvarkymas yra pagrįstas sutikimu, sutartimi ar kitu teisiniu pagrindu.

Praktinė išvada

Leidėjas, naudojantis turinio rekomendavimo priemonę su asmens duomenimis, turi tiek galiojantį GDPR teisinį pagrindą duomenų tvarkymui, tiek atitinkamą skaidrumo atskleidimą pagal AI Act. Vieno nepakanka. Atitikties paviršius dabar tikrai yra dvimatis, o dokumentacijos grandinė turi apimti abu ašis.

Draudžiama praktika ir reklama

Akto draudžiamos praktikos sąrašas yra trumpas, bet reikšmingas, ir keli punktai turi pasekmių reklamos projektavimui.

Manipuliacinės technikos

Aktas draudžia AI sistemas, naudojančias poatikinės sąmonės technikas, manipuliacines praktikas arba išnaudojančias konkrečių grupių pažeidžiamumus būdais, kurie gali sukelti didelę žalą. Dauguma reklamos projektų nepriartėja prie šios ribos — tačiau reklama, nukreipta į identifikuotus pažeidžiamumus (finansiniai sunkumai, psichinės sveikatos būsenos, priklausomybės modeliai) naudojant AI valdomą profiliavimą, galėtų ją peržengti. EDPB tai pažymėjo ankstyvuosiuose gairėse.

Biometrinis kategorizavimas

Aktas draudžia biometrinį kategorizavimą, nustatantį jautrius atributus, tokius kaip rasė, politinė nuomonė, priklausymas profesinei sąjungai, religiniai įsitikinimai, lytinis gyvenimas ar seksualinė orientacija. Auditorijos segmentai, sukurti iš biometrinių duomenų, nustatantys šiuos atributus, dabar patenka į draudžiamą teritoriją.

Emocijų atpažinimas konkrečiuose kontekstuose

Emocijų atpažinimas draudžiamas darbo ir švietimo kontekstuose. Reklamos emocijų aptikimo naudojimo atvejai už šių kontekstų ribų vis dar gali būti leidžiami, tačiau sulaukia padidinto tikrinimo.

Ribotos rizikos skaidrumo prievolės

Čia yra didžioji dalis leidėjų ir reklamuotojų AI Act atitikties darbo 2026 m.

Rekomendavimo sistemos atskleidimas

Turinio rekomendavimo priemonės, personalizuojančios tai, ką mato naudotojai — nesvarbu, ar leidėjo pagrindiniame puslapyje, programos vidaus naujienų sraute ar programinėje reklamos vietoje — patenka į ribotos rizikos lygmenį. Naudotojai turi būti informuoti, kad jie sąveikauja su AI sistema, o sistema turi būti suprojektuota taip, kad sąveikos AI pobūdis būtų aiškus.

Pokalbių roboto atskleidimas

Bet kuri AI sistema, tiesiogiai bendraujanti su vartotojais pokalbio forma, turi atskleisti savo AI pobūdį. Leidėjai ir reklamuotojai, valdantys AI pokalbių sąsajas – klientų aptarnavimui, turinio atradimui ar bet kokiam kitam tikslui – turi įvykdyti šį pagrindinį reikalavimą.

Sintetinio turinio atskleidimas

AI generuojami vaizdai, garsas, vaizdo įrašai ir tekstinis turinys turi būti atitinkamai pažymėti. Leidėjai, naudojantys AI generuojamus vaizdinius ar tekstą redakciniame turinyje, reklaminėje kūryboje ar produktų vaizduose, privalo taikyti žymėjimo įpareigojimus. 2026 m. įgyvendinimo gairės patikslino techninius žymėjimo reikalavimus, įskaitant vandens ženklinimo standartus vaizdiniam turiniui.

Kombinuotas sutikimo paviršius 2026 m.

Sutikimų valdymo platforma ir privatumo pranešimas dabar turi atlikti darbą abiem režimams. 2026 m. leidėjų sutikimų valdymo platforma atrodo žymiai sudėtingesnė nei jos pirmtakė iš 2024 m.

Detalizuoti sutikimo tikslai

Sutikimų valdymo platforma pateikia sutikimo tikslus, kurie skiria bendrąją reklamą, profiliavimą reklamai, automatizuotą sprendimų priėmimą ir rekomendacinę personalizaciją. Kiekvienas atitinka konkretų AI Act ir GDPR ribą, ir kiekvienam reikia atskiro patvirtinančio sutikimo.

AI sistemų atskleidimai

Privatumo pranešimas arba papildomas AI atskleidimo dokumentas aprašo naudojamas AI sistemas, jų tikslus, įvesties duomenų kategorijas, bendrą rezultatų logiką ir taikomas žmogaus priežiūros priemones. Tai daugiau nei GDPR 22 straipsnio automatizuoto sprendimo atskleidimas – tai išsamesnė AI skaidrumo istorija.

Teisė nesutikti

GDPR teisė nesutikti su profiliavimui toliau galioja, o AI Act suteikia papildomų vartotojų teisių, susijusių su AI valdomu rekomendaciniu personalizavimu. Vartotojai gali atsisakyti rekomendacinio personalizavimo neprarasdami prieigos prie pagrindinės paslaugos, o atsisakymo galimybė turi būti bent tokia pat paprasta kaip sutikimo.

Veiklos modeliai, kurie veikia 2026 m.

Leidėjai ir reklamuotojai, vykdantys brandžias 2026 m. programas, susieina prie kelių veiklos modelių.

AI inventorius

Tvarkykite gyvą visų leidėjo ar reklamuotojo pakete naudojamų AI sistemų inventorių: sistemą, jos rizikos lygį pagal Aktą, jos tvarkomus asmens duomenis, teisėtą pagrindą pagal GDPR, jai taikomus skaidrumo atskleidimus ir taikomas žmogaus priežiūros priemones. Tai yra pagrindinis atitikties artefaktas ir tai, ko pirmiausia paprašys reguliuotojai.

Kombinuotas privatumo pranešimas

Vienas kombinuotas privatumo ir AI skaidrumo pranešimas – portugalų, vokiečių, prancūzų ar bet kuria kita auditoriai tinkama kalba – kuris nuosekliame pasakojime sprendžia tiek GDPR, tiek AI Act įpareigojimus. Bandymas išlaikyti du atskirus atskleidimus kelia prieštaravimų ir skaitytojo painiavos riziką.

Tiekėjo AI auditas

Kiekvienam reklamavimo ar analizės tiekėjui, AI valdomus rezultatus tvarkaniam leidėjo vardu, sutartyje turi būti aptartas AI Act įpareigojimų paskirstymas, prieiga prie techninės dokumentacijos ir incidentų pranešimas. Standartiniai duomenų tvarkymo susitarimai iš 2023 m. nesprendžia AI Act ir turi būti atnaujinti.

Baudos ir vykdymo užtikrinimo pozicija

AI Act įveda pakopinę baudų tvarką su administracinėmis baudomis, galinčiomis viršyti GDPR maksimalias ribas.

Baudų pakopos

• Iki EUR 35 milijonų arba 7 procentų pasaulinės metinės apyvartos už draudžiamos praktikos pažeidimus
• Iki EUR 15 milijonų arba 3 procentų už daugumą kitų esminių pažeidimų
• Iki EUR 7,5 milijono arba 1 procento už neteisingos informacijos pateikimą

Vykdymo užtikrinimo architektūra

Kiekviena valstybė narė paskiria nacionalines kompetentingas institucijas AI Act vykdymo užtikrinimui, o Europos AI biuras koordinuoja bendrosios paskirties AI modelių priežiūrą. Vykdymo užtikrinimas leidėjų ir reklamuotojų atžvilgiu pirmiausia vyks per nacionalines institucijas, dažnai glaudžiai bendradarbiaujant su esamomis duomenų apsaugos institucijomis. Pirmieji reikšmingi AI Act vykdymo užtikrinimo veiksmai tikimasi 2026 m., kai visiškai įsigalios didelės rizikos įpareigojimai.

Audito kontrolinis sąrašas AI valdoma reklama 2026 m.

• Gyvas visų pakete esančių AI sistemų inventorius su rizikos lygio klasifikacija
• GDPR teisėtas pagrindas dokumentuotas kiekvienai asmens duomenis tvarkaniai AI sistemai
• AI Act skaidrumo atskleidimai taikomi kiekvienai ribotos rizikos sistemai, įskaitant rekomendacinę personalizaciją ir pokalbių robotus
• Sintetinio turinio žymėjimas taikomas AI generuojamai kūrybai, vaizdams, garsui ir vaizdo įrašams
• Kombinuotas privatumo ir AI skaidrumo pranešimas atitinkama vietine kalba
• Sutikimų valdymo platforma pateikia profiliavimą, automatizuotą sprendimų priėmimą ir rekomendacinę personalizaciją kaip atskirus sutikimo tikslus
• Auditorijų segmentai peržiūrimi pagal draudžiamų biometrinių kategorijų sąrašą
• Tiekėjų sutartys atnaujintos sprendžiant AI Act įpareigojimų paskirstymą
• Žmogaus priežiūros priemonės dokumentuotos bet kuriai sistemai, artėjančiai prie didelės rizikos ribos
• Duomenų subjektų ir AI Act vartotojų teisių darbo eigą gali reaguoti į atsisakymo, paaiškinimo ir žmogaus peržiūros prašymus per taikytinus atsakymo terminus

2026 m. perspektyva

AI Act nepakeičia GDPR – jis sluoksniuojasi ant jo, o kombinuotas paviršius yra žymiai sudėtingesnis nei kiekvienas režimas atskirai. Leidėjams ir reklamuotojams, valdantiems AI valdomą personalizavimą, profiliavimą, rekomendacines sistemas ar generatyvinį turinį, 2026 m. yra metai, kai atitikties architektūra turi subręsti anapus grynosios GDPR pozicijos. Tie, kurie traktuoja AI Act kaip ateities rūpestį, pastebės, kad ateitis ateina greičiau nei tikėtasi: nacionalinės institucijos pradeda savo pirmuosius vykdymo užtikrinimo veiksmus 2026 m. ir tęsia į 2027 m. Tie, kurie nuo pat pradžių kuria kombinuotą atitiktį, pastebės, kad architektūra atsiperka: AI Act skaidrumo įpareigojimai, gerai įgyvendinti, taip pat stiprina GDPR sutikimo ir pasitikėjimo istoriją, o veiklos disciplina palaikant gyvą AI inventorių pasirodo naudinga gerokai plačiau nei reguliavimo atitiktis.