Структура AI Act у 2026 році

AI Act є першим у світі всеосяжним горизонтальним регламентом щодо штучного інтелекту. Його архітектура з рівнями ризику є ключем до розуміння того, які зобов'язання застосовуються до яких систем.

Рівні ризику

Акт розподіляє системи ШІ на чотири рівні залежно від ризику, який вони становлять:

• Заборонені системи — практики, які повністю заборонені, включаючи маніпулятивні підсвідомі техніки, використання вразливостей, соціальний рейтинг з боку державних органів та певні форми біометричної категоризації та розпізнавання емоцій
• Системи високого ризику — системи, що використовуються у визначених контекстах з високими ставками, підпорядковані основній частині суттєвих зобов'язань Акта, включаючи управління ризиками, управління даними, прозорість, нагляд людини та вимоги до точності
• Системи обмеженого ризику — системи з конкретними зобов'язаннями щодо прозорості, включаючи більшість рекомендаторів контенту на основі ШІ та чат-ботів, які безпосередньо взаємодіють із користувачами
• Системи мінімального ризику — все інше, підпорядковане лише загальним добровільним кодексам поведінки

Де знаходяться реклама та рекомендаційні системи

Більшість ШІ, орієнтованого на рекламу — оцінювання аудиторії, оптимізація програматичних ставок, рекомендатори контенту, механізми персоналізації — знаходиться на рівні обмеженого ризику, а не на рівні високого ризику. Це звучить як полегшення, але рівень обмеженого ризику все одно несе значущі зобов'язання щодо прозорості, а кілька прикордонних випадків штовхають конкретні системи на вищі рівні. Критично важливо, що правила заборонених практик можуть поширюватися на рекламні системи, якщо вони переходять у сферу маніпуляцій або використання вразливостей, і EDPB сигналізував готовність тлумачити ці положення широко.

Поетапність

Календар 2026 року має значення: зобов'язання щодо систем високого ризику для нових систем набирають чинності в серпні 2026 року, зобов'язання щодо систем високого ризику для систем, що вже перебувають на ринку, набирають чинності у 2027 році, а зобов'язання постачальника ШІ загального призначення вже діють. Видавці та рекламодавці повинні зіставити свій інвентар ШІ з цим календарем, щоб знати, які зобов'язання застосовуються і коли.

Як AI Act накладається на GDPR

AI Act не замінює GDPR. Він накладається поверх нього. Система, яка обробляє персональні дані для отримання результатів на основі ШІ, повинна відповідати обом режимам, а зобов'язання є накопичувальними, а не альтернативними.

Шар GDPR

GDPR продовжує регулювати законність обробки персональних даних. Згода на рекламне профілювання, правова основа для вимірювання, кластер прав суб'єктів даних, зобов'язання щодо транскордонних передач — все це продовжує застосовуватися без змін.

Шар AI Act

Поверх GDPR AI Act додає зобов'язання спеціально щодо самої системи ШІ: як її навчали, які дані використовувались для навчання, як документуються її результати, які механізми нагляду існують, яку прозорість отримує користувач. Ці зобов'язання прив'язані до системи ШІ незалежно від того, чи базується основна обробка даних на згоді, контракті чи іншій правовій основі.

Практична імплікація

Видавець, який використовує рекомендатор контенту на персональних даних, потребує як дійсної правової основи за GDPR для обробки даних, так і відповідного розкриття інформації про прозорість згідно з AI Act. Одного з них недостатньо. Поверхня відповідності тепер справді двовимірна, і ланцюжок документації повинен охоплювати обидві осі.

Заборонені практики та реклама

Список заборонених практик Акта короткий, але з наслідками, і кілька пунктів мають значення для дизайну реклами.

Маніпулятивні техніки

Акт забороняє системи ШІ, що застосовують підсвідомі техніки, маніпулятивні практики або використовують вразливості конкретних груп способами, що можуть завдати значної шкоди. Більшість рекламних дизайнів не наближається до цієї межі — але реклама, яка цілеспрямовано використовує виявлені вразливості (фінансові труднощі, стани психічного здоров'я, схеми залежності) за допомогою профілювання на основі ШІ, може її перетнути. EDPB звернув на це увагу у ранніх вказівках.

Біометрична категоризація

Акт забороняє біометричну категоризацію, яка виводить чутливі атрибути, такі як раса, політичні погляди, членство в профспілці, релігійні переконання, статеве життя або сексуальна орієнтація. Сегменти аудиторії, побудовані на біометричних даних, що виводять ці атрибути, нині перебувають у забороненій зоні.

Розпізнавання емоцій у конкретних контекстах

Розпізнавання емоцій заборонено на робочому місці та в освітніх контекстах. Використання виявлення емоцій у рекламі поза цими контекстами може бути ще дозволеним, але зазнає посиленої перевірки.

Зобов'язання щодо прозорості для систем обмеженого ризику

Тут зосереджена основна частина роботи з відповідності AI Act для видавців і рекламодавців у 2026 році.

Розкриття інформації про рекомендаційну систему

Рекомендатори контенту, що персоналізують те, що бачать користувачі — чи то на головній сторінці видавця, у стрічці всередині програми або в розміщенні програматичної реклами — підпадають під рівень обмеженого ризику. Користувачі повинні бути поінформовані про те, що вони взаємодіють із системою ШІ, і система повинна бути розроблена так, щоб природа ШІ у взаємодії була зрозумілою.

Розкриття інформації про чат-бота

Будь-яка система ШІ, що безпосередньо взаємодіє з користувачами у розмовній формі, повинна розкривати свою природу ШІ. Видавці та рекламодавці, які використовують інтерфейси чату на основі ШІ — для підтримки клієнтів, пошуку контенту або будь-якої іншої мети — повинні відповідати цьому базовому рівню.

Розкриття інформації про синтетичний контент

Зображення, аудіо, відео та текстовий контент, згенерований ШІ, повинні бути позначені як такі. Видавці, що використовують згенеровані ШІ візуальні матеріали або текст у редакційному контенті, рекламних матеріалах або зображеннях продуктів, повинні застосовувати зобов'язання щодо маркування. Настанови щодо впровадження 2026 року уточнили технічні специфікації маркування, включаючи стандарти водяних знаків для візуального контенту.

Комбінована поверхня згоди у 2026 році

CMP та повідомлення про конфіденційність тепер повинні виконувати роботу для обох режимів. CMP видавця 2026 року виглядає значно складнішим за свого попередника 2024 року.

Деталізовані цілі згоди

CMP розкриває цілі згоди, що розрізняють загальну рекламу, профілювання для реклами, автоматизоване прийняття рішень та персоналізацію рекомендацій. Кожна з них відповідає конкретній межі AI Act і GDPR, і кожна вимагає власної позитивної згоди.

Розкриття інформації про системи ШІ

Повідомлення про конфіденційність або супровідний документ про розкриття інформації щодо ШІ описує використовувані системи ШІ, їх цілі, категорії вхідних даних, широку логіку результатів та механізми нагляду людини. Це більше, ніж розкриття автоматизованого прийняття рішень за Статтею 22 GDPR — це повніша історія прозорості ШІ.

Право на заперечення

Право за GDPR на заперечення проти профілювання продовжує застосовуватися, а AI Act додає подальші права користувача щодо персоналізації рекомендацій на основі ШІ. Користувачі можуть відмовитися від персоналізації рекомендацій без втрати доступу до базової послуги, і відмова повинна бути принаймні такою ж легкою, як і згода.

Операційні підходи, що працюють у 2026 році

Видавці та рекламодавці, які реалізують зрілі програми 2026 року, сходяться на кількох операційних підходах.

Інвентар ШІ

Підтримуйте живий інвентар кожної системи ШІ, що використовується у стеку видавця або рекламодавця: систему, її рівень ризику відповідно до Акта, персональні дані, які вона обробляє, її правову основу за GDPR, застосовані розкриття інформації про прозорість та наявний нагляд людини. Це є основним артефактом відповідності і саме те, що регулятори попросять побачити насамперед.

Комбіноване повідомлення про конфіденційність

Єдине комбіноване повідомлення про конфіденційність та прозорість ШІ — португальською, німецькою, французькою або будь-якою іншою мовою, що підходить для аудиторії — яке охоплює як зобов'язання GDPR, так і AI Act у послідовному наративі. Спроба підтримувати два окремі розкриття запрошує суперечності та замішання читача.

Аудит ШІ постачальника

Для кожного постачальника реклами або аналітики, що обробляє результати на основі ШІ від імені видавця, контракт повинен охоплювати розподіл зобов'язань за AI Act, доступ до технічної документації та повідомлення про інциденти. Стандартні угоди про обробку даних 2023 року не охоплюють AI Act і потребують оновлення.

Санкції та позиція щодо правозастосування

AI Act запроваджує ступінчастий режим санкцій з адміністративними штрафами, що можуть перевищувати максимуми GDPR.

Рівні санкцій

• До EUR 35 мільйонів або 7 відсотків глобального річного обороту за порушення заборонених практик
• До EUR 15 мільйонів або 3 відсотків за більшість інших суттєвих порушень
• До EUR 7,5 мільйона або 1 відсотка за надання неправдивої інформації

Архітектура правозастосування

Кожна держава-член призначає національні компетентні органи для правозастосування AI Act, а Європейське відомство з ШІ координує нагляд за моделями ШІ загального призначення. Правозастосування щодо видавців і рекламодавців відбуватиметься переважно через національні органи, часто у тісній координації з існуючими органами захисту даних. Перші значущі дії щодо правозастосування AI Act очікуються протягом 2026 року, коли зобов'язання щодо систем високого ризику набудуть повної чинності.

Контрольний список аудиту для реклами на основі ШІ у 2026 році

• Живий інвентар кожної системи ШІ у стеку з класифікацією рівня ризику
• Правова основа за GDPR, задокументована для кожної системи ШІ, що обробляє персональні дані
• Розкриття інформації про прозорість за AI Act, застосоване до кожної системи обмеженого ризику, включаючи персоналізацію рекомендацій та чат-боти
• Маркування синтетичного контенту, застосоване до рекламних матеріалів, зображень, аудіо та відео, згенерованих ШІ
• Комбіноване повідомлення про конфіденційність та прозорість ШІ відповідною місцевою мовою
• CMP розкриває профілювання, автоматизоване прийняття рішень та персоналізацію рекомендацій як цілі, що потребують окремої згоди
• Сегменти аудиторії перевіряються відповідно до забороненого переліку біометричної категоризації
• Контракти з постачальниками оновлено для охоплення розподілу зобов'язань за AI Act
• Механізми нагляду людини задокументовані для будь-якої системи, що наближається до межі високого ризику
• Робочий процес прав суб'єктів даних та користувачів AI Act може реагувати на запити щодо відмови, пояснення та перегляду людиною у відповідні вікна реагування

Прогноз на 2026 рік

AI Act не замінює GDPR — він накладається поверх нього, а комбінована поверхня суттєво складніша, ніж будь-який режим окремо. Для видавців і рекламодавців, які використовують персоналізацію, профілювання, рекомендаційні системи або генеративний контент на основі ШІ, 2026 рік — це рік, коли архітектура відповідності повинна вийти за межі чисто GDPR-позиції. Ті, хто розглядає AI Act як майбутню проблему, виявлять, що майбутнє настає швидше, ніж очікувалося, — національні органи видаватимуть свої перші дії щодо правозастосування протягом 2026 року та у 2027 році. Ті, хто будує комбіновану відповідність з самого початку, виявлять, що архітектура окупається: зобов'язання AI Act щодо прозорості, добре реалізовані, також зміцнюють історію згоди та довіри GDPR, а операційна дисципліна підтримки живого інвентару ШІ виявляється корисною далеко за межами регуляторної відповідності.