Структура Закона об ИИ в 2026 году

Закон об ИИ — это первый в мире комплексный горизонтальный регламент искусственного интеллекта. Его архитектура, разделённая по уровням риска, является ключом к пониманию того, какие обязательства применяются к каким системам.

Уровни риска

Закон сортирует системы ИИ на четыре уровня в зависимости от риска, который они представляют:

• Запрещённые системы — практики, которые запрещены полностью, включая манипулятивные подсознательные техники, эксплуатацию уязвимостей, социальную оценку государственными органами и определённые формы биометрической категоризации и распознавания эмоций
• Системы высокого риска — системы, используемые в указанных контекстах высоких ставок, подлежащие основной части материальных обязательств Закона, включая управление рисками, управление данными, прозрачность, человеческий надзор и требования к точности
• Системы ограниченного риска — системы с конкретными обязательствами по прозрачности, включая большинство управляемых ИИ рекомендателей контента и чат-ботов, которые взаимодействуют непосредственно с пользователями
• Системы минимального риска — всё остальное, подлежащее только общим добровольным кодексам поведения

Где размещаются рекламные и рекомендательные системы

Большинство ИИ, ориентированного на рекламу — оценка аудитории, оптимизация программатик-ставок, рекомендатели контента, движки персонализации — размещается на уровне ограниченного риска, а не на уровне высокого риска. Это звучит как облегчение, но уровень ограниченного риска всё ещё несёт значимые обязательства по прозрачности, и несколько крайних случаев толкают конкретные системы на более высокие уровни. Критически, правила о запрещённых практиках могут достигать рекламных систем, если они переходят на территорию манипуляции или эксплуатации, и EDPB сигнализировал о готовности широко толковать эти положения.

Поэтапность

Календарь 2026 года имеет значение: обязательства высокого риска для новых систем вступают в силу в августе 2026 года, обязательства высокого риска для систем, уже находящихся на рынке, вступают в силу в 2027 году, а обязательства поставщиков ИИ общего назначения уже в силе. Издатели и рекламодатели должны сопоставить свой инвентарь ИИ с этим календарём, чтобы знать, какие обязательства применяются когда.

Как Закон об ИИ накладывается поверх GDPR

Закон об ИИ не заменяет GDPR. Он размещается поверх него. Система, обрабатывающая персональные данные для производства выводов на основе ИИ, должна удовлетворять обоим режимам, и обязательства являются дополняющими, а не альтернативными.

Уровень GDPR

GDPR продолжает регулировать законность обработки персональных данных. Согласие на рекламное профилирование, правовое основание для измерений, кластер прав субъектов данных, обязательства по трансграничной передаче — всё это продолжает применяться без изменений.

Уровень Закона об ИИ

Поверх GDPR Закон об ИИ добавляет обязательства, конкретно касающиеся самой системы ИИ: как она была обучена, какие данные пошли в обучение, как документируются её выводы, какие механизмы надзора существуют, какую прозрачность получает пользователь. Эти обязательства привязываются к системе ИИ независимо от того, основана ли базовая обработка данных на согласии, договоре или каком-либо другом правовом основании.

Практический вывод

Издателю, использующему рекомендатель контента на персональных данных, нужны и действительное правовое основание GDPR для обработки данных, и соответствующее раскрытие прозрачности по Закону об ИИ. Любого из них по отдельности недостаточно. Поверхность соответствия теперь действительно двумерна, и цепочка документации должна охватывать обе оси.

Запрещённые практики и реклама

Список запрещённых практик Закона короткий, но значимый, и несколько пунктов имеют последствия для дизайна рекламы.

Манипулятивные техники

Закон запрещает системы ИИ, которые применяют подсознательные техники, манипулятивные практики или эксплуатируют уязвимости конкретных групп способами, которые вероятно причинят значительный вред. Большинство дизайнов рекламы не приближается к этой черте — но реклама, нацеленная на выявленные уязвимости (финансовые трудности, состояния психического здоровья, паттерны зависимости) с использованием профилирования на основе ИИ, может её пересечь. EDPB отметил это в раннем руководстве.

Биометрическая категоризация

Закон запрещает биометрическую категоризацию, которая выводит чувствительные атрибуты, такие как раса, политические взгляды, членство в профсоюзах, религиозные убеждения, половая жизнь или сексуальная ориентация. Сегменты аудитории, построенные из биометрических данных, выводящих эти атрибуты, теперь находятся на запрещённой территории.

Распознавание эмоций в конкретных контекстах

Распознавание эмоций запрещено в контекстах рабочего места и образования. Случаи использования обнаружения эмоций в рекламе вне этих контекстов могут всё ещё быть допустимыми, но сталкиваются с повышенным вниманием.

Обязательства по прозрачности для ограниченного риска

Именно здесь в 2026 году находится основная часть работы по соответствию Закону об ИИ для издателей и рекламодателей.

Раскрытие рекомендательной системы

Рекомендатели контента, которые персонализируют то, что видят пользователи — будь то на домашней странице издателя, в ленте приложения или в программатик-размещении рекламы — попадают под уровень ограниченного риска. Пользователи должны быть проинформированы, что они взаимодействуют с системой ИИ, и система должна быть спроектирована так, чтобы ИИ-природа взаимодействия была ясна.

Раскрытие чат-бота

Любая система ИИ, которая взаимодействует напрямую с пользователями в разговорной форме, должна раскрывать свою ИИ-природу. Издателям и рекламодателям, использующим ИИ-чат-интерфейсы — для поддержки клиентов, обнаружения контента или любой другой цели — нужно удовлетворять этот базовый уровень.

Раскрытие синтетического контента

Сгенерированные ИИ изображения, аудио, видео и текстовый контент должны быть помечены как таковые. Издателям, использующим сгенерированные ИИ визуальные материалы или текст в редакционном контенте, рекламном креативе или изображениях продуктов, нужно применять обязательства по маркировке. Руководство по реализации 2026 года прояснило технические спецификации для маркировки, включая стандарты водяных знаков для визуального контента.

Комбинированная поверхность согласия в 2026 году

CMP и уведомление о конфиденциальности теперь должны выполнять работу для обоих режимов. CMP издателя 2026 года выглядит значительно более сложной, чем её предшественник 2024 года.

Гранулярные цели согласия

CMP раскрывает цели согласия, которые различают общую рекламу, профилирование для рекламы, автоматизированное принятие решений и рекомендательную персонализацию. Каждая сопоставляется с конкретной границей Закона об ИИ и GDPR, и каждая требует собственного утвердительного согласия.

Раскрытия систем ИИ

Уведомление о конфиденциальности или сопутствующий документ раскрытия ИИ описывает используемые системы ИИ, их цели, категории входных данных, общую логику выводов и действующие механизмы человеческого надзора. Это больше, чем раскрытие автоматизированных решений по Статье 22 GDPR — это более полная история прозрачности ИИ.

Право на возражение

Право GDPR возражать против профилирования продолжает применяться, и Закон об ИИ добавляет дополнительные права пользователей вокруг рекомендательной персонализации на основе ИИ. Пользователи могут отказаться от рекомендательной персонализации, не теряя доступа к базовой услуге, и отказ должен быть по крайней мере таким же лёгким, как и согласие.

Операционные паттерны, которые работают в 2026 году

Издатели и рекламодатели, использующие зрелые программы 2026 года, сходятся на нескольких операционных паттернах.

Инвентарь ИИ

Ведите живой инвентарь каждой системы ИИ, используемой в стеке издателя или рекламодателя: система, её уровень риска по Закону, обрабатываемые ею персональные данные, её правовое основание по GDPR, применённые к ней раскрытия прозрачности и действующий человеческий надзор. Это фундаментальный артефакт соответствия и то, что регуляторы попросят увидеть в первую очередь.

Комбинированное уведомление о конфиденциальности

Единое комбинированное уведомление о конфиденциальности и прозрачности ИИ — на португальском, немецком, французском или каком бы то ни было языке, подходящем для аудитории — которое адресует обязательства как GDPR, так и Закона об ИИ в связном повествовании. Попытка поддерживать два отдельных раскрытия приглашает противоречия и путаницу читателя.

Аудит ИИ поставщика

Для каждого рекламного или аналитического поставщика, обрабатывающего выводы на основе ИИ от имени издателя, договор должен адресовать распределение обязательств по Закону об ИИ, доступ к технической документации и уведомление об инцидентах. Стандартные соглашения об обработке данных от 2023 года не адресуют Закон об ИИ и нуждаются в обновлении.

Штрафы и позиция по правоприменению

Закон об ИИ вводит многоуровневый режим штрафов с административными штрафами, которые могут превышать максимумы GDPR.

Уровни штрафов

• До 35 миллионов евро или 7 процентов глобального годового оборота за нарушения запрещённых практик
• До 15 миллионов евро или 3 процентов за большинство других материальных нарушений
• До 7,5 миллионов евро или 1 процента за предоставление неверной информации

Архитектура правоприменения

Каждое государство-член назначает национальные компетентные органы для правоприменения Закона об ИИ, а Европейское управление по ИИ координирует надзор за моделями ИИ общего назначения. Правоприменение против издателей и рекламодателей будет в основном идти через национальные органы, часто в тесной координации с существующими органами по защите данных. Первые значимые действия по правоприменению Закона об ИИ ожидаются в течение 2026 года по мере того, как обязательства высокого риска полностью вступают в силу.

Чек-лист аудита для рекламы на основе ИИ в 2026 году

• Живой инвентарь каждой системы ИИ в стеке с классификацией по уровню риска
• Правовое основание GDPR задокументировано для каждой системы ИИ, обрабатывающей персональные данные
• Раскрытия прозрачности Закона об ИИ применены к каждой системе ограниченного риска, включая рекомендательную персонализацию и чат-боты
• Маркировка синтетического контента применена к сгенерированным ИИ креативу, изображениям, аудио и видео
• Комбинированное уведомление о конфиденциальности и прозрачности ИИ на соответствующем местном языке
• CMP раскрывает профилирование, автоматизированное принятие решений и рекомендательную персонализацию как отдельно согласуемые цели
• Сегменты аудитории пересматриваются на соответствие списку запрещённой биометрической категоризации
• Договоры с поставщиками обновлены для адресации распределения обязательств по Закону об ИИ
• Механизмы человеческого надзора задокументированы для любой системы, приближающейся к границе высокого риска
• Рабочий процесс прав субъектов данных и прав пользователей по Закону об ИИ может отвечать на запросы об отказе, объяснении и человеческом рассмотрении в течение применимых окон ответа

Перспектива 2026 года

Закон об ИИ не заменяет GDPR — он накладывается поверх него, и комбинированная поверхность значительно более сложна, чем любой из режимов по отдельности. Для издателей и рекламодателей, использующих персонализацию, профилирование, рекомендательные системы или генеративный контент на основе ИИ, 2026 год — это год, когда архитектура соответствия должна созреть за пределы чистой позиции GDPR. Те, кто относится к Закону об ИИ как к заботе о будущем состоянии, обнаружат, что будущее приходит быстрее, чем ожидалось, с национальными органами, выпускающими свои первые действия по правоприменению в течение 2026 года и до 2027 года. Те, кто строит комбинированное соответствие с самого начала, обнаружат, что архитектура окупается: обязательства по прозрачности Закона об ИИ, хорошо реализованные, также укрепляют историю согласия и доверия GDPR, а операционная дисциплина поддержания живого инвентаря ИИ оказывается полезной далеко за пределами нормативного соответствия.