Январь 2025 года. Алматинская IT-компания получает долгожданный контракт с немецким логистическим холдингом. Всё идёт отлично: техническое задание согласовано, команда укомплектована, разработка чат-бота для клиентской поддержки в разгаре. И тут из Германии приходит письмо: «Пожалуйста, предоставьте документацию соответствия AI Act. Без неё мы не можем запустить бота на нашей платформе».
Руководитель проекта честно гуглит «AI Act documentation» и понимает, что попал. Регламент на 400 страниц, десятки требований, сроки горят. Знакомо? Если нет — поздравляю, вы либо ещё не работаете с европейскими клиентами, либо скоро столкнётесь с этим сюрпризом.
EU AI Act — это не очередная бюрократическая прихоть Брюсселя. Это первый в мире комплексный закон о регулировании искусственного интеллекта, который вступил в силу 1 августа 2024 года и уже меняет правила игры для всех, кто создаёт или использует AI-системы. Даже если ваша компания находится в Нур-Султане или Караганде.
«Закон применяется не к тому, где зарегистрирована компания, а к тому, где используется AI-система. Разработали бота в Казахстане для клиента в ЕС — добро пожаловать под юрисдикцию EU AI Act»
Экстерриториальный принцип
Статья 2 EU AI Act
При чём тут Казахстан, если закон европейский?
Хороший вопрос. И ответ на него объясняет, почему эта статья актуальна не только для тех, кто экспортирует IT-услуги.
EU AI Act работает по экстерриториальному принципу — прямо как GDPR. Это значит, что закон распространяется на вас, если:
Когда EU AI Act касается казахстанского бизнеса
Вы — разработчик для ЕС
Создаёте чат-бота или голосового помощника для клиента из Европы. Неважно, где сидит ваша команда — продукт используется в ЕС, значит, подпадаете под закон.
Ваши клиенты — европейцы
Казахстанский e-commerce продаёт товары в Европу и использует AI-чат для поддержки европейских покупателей. Тоже попадаете.
Вы используете EU-инфраструктуру
Хостинг в Европе, европейские API-провайдеры, обработка данных на серверах в ЕС — всё это может создать точки соприкосновения с регуляцией.
Вы планируете масштабирование
Сегодня работаете только в Казахстане, но хотите выйти на европейский рынок. Лучше заложить соответствие закону сразу, чем переделывать потом.
Но даже если вы работаете исключительно на внутренний рынок, есть практический смысл следить за EU AI Act. Казахстан — член ЕАЭС, и наши регуляторы внимательно смотрят на европейский опыт. Уже сейчас обсуждаются инициативы по регулированию AI на национальном уровне. Кто готовится заранее — получает конкурентное преимущество.
Кроме того, требования AI Act — это во многом здравый смысл: прозрачность, безопасность, документирование. Даже если закон вас не касается напрямую, эти практики сделают ваш продукт лучше.
EU AI Act за 5 минут: что нужно понять в первую очередь
Регламент занимает сотни страниц, но ключевая идея проста: чем выше риск от AI-системы — тем строже требования. Закон делит все AI-системы на четыре категории риска, и от категории зависит, что вам придётся делать.
Пирамида рисков EU AI Act
Недопустимый риск — ЗАПРЕЩЕНО
Социальный скоринг, манипулирование поведением, массовая биометрия без согласия
Высокий риск — строгие требования
HR-отбор, кредитный скоринг, медицинская диагностика, критическая инфраструктура
Ограниченный риск — требования прозрачности
Чат-боты, голосовые помощники, генераторы контента, дипфейки
Минимальный риск — без специальных требований
Спам-фильтры, рекомендательные системы, игры с AI
Большинство чат-ботов и голосовых помощников попадают в категорию ограниченного риска. Это хорошая новость: вам не нужна сертификация, аудит третьей стороны и прочие сложности, предусмотренные для высокорисковых систем. Но есть нюансы.
Когда чат-бот становится «высоким риском»
Если ваш чат-бот делает что-то из этого списка — он автоматически переходит в категорию высокого риска со всеми вытекающими требованиями:
- Принимает решения о найме — бот-рекрутер, который фильтрует кандидатов
- Оценивает кредитоспособность — бот банка, который одобряет или отклоняет заявки
- Влияет на доступ к образованию — бот, который решает, принять ли студента
- Взаимодействует с критической инфраструктурой — боты для энергосетей, водоснабжения и т.д.
Что конкретно требуется от чат-ботов и голосовых помощников
Теперь к практике. Если ваш бот — система ограниченного риска (а это большинство коммерческих чат-ботов), главное требование одно: прозрачность. Звучит просто, но давайте разберём, что это означает на практике.
Пользователь должен знать, что общается с AI
Статья 50 AI Act требует, чтобы человек был проинформирован о том, что он взаимодействует с искусственным интеллектом, а не с живым человеком. Причём информирование должно быть:
Правильно
- «Вы общаетесь с AI-ассистентом»
- «Это чат-бот, не живой оператор»
- Чёткая надпись в начале диалога
- Иконка или метка «AI» рядом с аватаром
Неправильно
- Человеческое имя без пометки (Анна, Дмитрий)
- Уведомление мелким шрифтом в футере
- Информация только в Terms of Service
- Никакого уведомления вообще
Практический совет: Добавьте disclosure в первое сообщение бота: «Привет! Я — виртуальный помощник компании X. Чем могу помочь?» Этого достаточно для соответствия требованию.
AI-генерированный контент должен быть помечен
Если ваш бот генерирует текст, изображения, аудио или видео — пользователь должен понимать, что этот контент создан искусственным интеллектом.
Что это значит для чат-бота:
- Если бот генерирует описания товаров — они должны быть помечены
- Если бот создаёт изображения (например, визуализации) — маркировка обязательна
- Если бот озвучивает ответы синтезированным голосом — пользователь должен знать
- Если бот отправляет готовые шаблоны — это не AI-контент, маркировка не нужна
Исключение: Если AI-контент проходит человеческую модерацию и редактирование перед публикацией, требование маркировки смягчается.
Распознавание эмоций — отдельная категория
Если ваш бот анализирует эмоциональное состояние пользователя (sentiment analysis, определение настроения по голосу или тексту), это требует дополнительного информирования.
Разрешено с уведомлением
Анализ тональности сообщений для улучшения качества обслуживания, с уведомлением пользователя
Запрещено
Распознавание эмоций на рабочем месте и в образовательных учреждениях (за редкими исключениями)
Если вы используете функции анализа эмоций клиента — обязательно добавьте это в политику конфиденциальности и уведомляйте пользователей в начале диалога.
Какие документы нужно подготовить: чек-лист для разработчика
Окей, с требованиями разобрались. Теперь практика: что именно нужно написать и где это хранить. Вот минимальный набор документации, который покрывает требования AI Act для систем ограниченного риска.
1. AI System Card (Паспорт AI-системы)
Краткое описание системы: что делает, какие данные использует, для кого предназначена, какие ограничения имеет.
Что включить:
- Название и версия системы
- Назначение и целевая аудитория
- Используемые AI-технологии (GPT-4, Claude, собственная модель)
- Типы входных и выходных данных
- Известные ограничения и случаи, когда система может ошибаться
2. Transparency Notice (Уведомление о прозрачности)
Текст, который показывается пользователям. Должен быть понятен неспециалисту.
Шаблон для чат-бота:
«Вы общаетесь с AI-ассистентом [Название]. Бот использует технологии искусственного интеллекта для обработки ваших вопросов. Ответы генерируются автоматически и могут содержать неточности. Для сложных вопросов рекомендуем связаться с оператором. Нажимая "Продолжить", вы подтверждаете, что понимаете это.»
3. Risk Assessment (Оценка рисков)
Документ, где вы анализируете потенциальные риски системы и меры их митигации.
Типичные риски для чат-бота:
- Галлюцинации: бот выдаёт неверную информацию → митигация: проверка по базе знаний, отказ отвечать при низкой уверенности
- Утечка данных: бот раскрывает конфиденциальную информацию → митигация: маскирование PII, контроль доступа
- Манипуляция: пользователь «взламывает» бота prompt injection → митигация: защита от угроз
4. Data Governance Policy (Политика управления данными)
Как собираются, обрабатываются и хранятся данные, используемые AI-системой.
Ключевые вопросы:
- Какие данные собираются в диалогах
- Сколько времени хранятся логи
- Используются ли диалоги для дообучения модели
- Как пользователь может запросить удаление данных
5. Human Oversight Procedures (Процедуры человеческого контроля)
Как обеспечивается контроль человека над AI-системой.
Что описать:
- Как пользователь может переключиться на живого оператора
- Кто мониторит работу бота и как часто
- Процедура эскалации сложных случаев
- Как вносятся изменения в логику бота
Нужен AI-бот с документацией «под ключ»?
Разрабатываем чат-ботов и голосовых помощников с полным пакетом документации для соответствия EU AI Act. Прозрачность, безопасность и готовность к аудиту — включены в базовую поставку.
Обсудить проектСроки вступления в силу и размер штрафов
AI Act вступает в силу поэтапно. Это хорошая новость — у вас есть время подготовиться. Но не слишком много.
Ключевые даты EU AI Act
Запрет на недопустимые практики
Социальный скоринг, манипулятивный AI, биометрия без согласия — уже запрещены
Требования прозрачности для чат-ботов
Disclosure, маркировка AI-контента, правила для эмоционального распознавания
Требования для высокорисковых систем
Полный набор требований для HR-ботов, кредитного скоринга, медицинских AI
Все требования в полной силе
Включая требования к general-purpose AI моделям (GPT, Claude и т.д.)
А если не соответствовать? Штрафы
EU AI Act — это не рекомендация. За нарушения предусмотрены серьёзные санкции, сопоставимые с GDPR.
или 7% от оборота
За использование запрещённых AI-практик
или 3% от оборота
За нарушение требований для высокорисковых систем
или 1.5% от оборота
За нарушение требований прозрачности (чат-боты)
Для малого и среднего бизнеса предусмотрены сниженные штрафы, но и 7.5 миллионов евро — это не шутка. Лучше потратить время на подготовку документации сейчас, чем объясняться с регулятором потом.
Пошаговый план действий: что делать прямо сейчас
Хватит теории — вот конкретный план действий для казахстанской компании, которая разрабатывает или использует AI-ботов.
Проведите аудит существующих AI-систем
Составьте список всех чат-ботов, голосовых помощников и AI-функций в ваших продуктах. Для каждой системы определите:
- Где используется (внутри Казахстана, ЕС, другие рынки)
- Какая категория риска (ограниченный или высокий)
- Есть ли disclosure для пользователей
Добавьте disclosure в интерфейс
Убедитесь, что пользователь сразу понимает, что общается с AI. Это самое быстрое и дешёвое изменение, которое закрывает основное требование для систем ограниченного риска.
Подготовьте базовую документацию
AI System Card и Transparency Notice — минимум, с которого стоит начать. Используйте шаблоны выше, адаптируйте под вашу систему. Это займёт 2-3 дня работы юриста или product-менеджера.
Внедрите human oversight
Обеспечьте возможность переключения на оператора. Настройте мониторинг диалогов. Задокументируйте процедуры. Подробнее: как внедрять LLM безопасно.
Выстройте governance-процесс
Назначьте ответственного за AI compliance. Включите проверку соответствия в процесс разработки. Обучите команду. Читайте подробнее в нашем материале про аудит AI-решений.
Частые вопросы: отвечаем честно
За время консультаций мы собрали типичные вопросы от казахстанских компаний. Вот честные ответы.
Если ваши клиенты — только казахстанские компании и граждане, AI Act на вас не распространяется напрямую. Но есть два аргумента «за» подготовку: 1) Казахстан может принять аналогичное законодательство, и вы будете готовы; 2) требования AI Act — это в целом хорошие практики (прозрачность, безопасность, документирование), которые сделают ваш продукт лучше.
Частично. Провайдер модели (OpenAI, Anthropic) отвечает за саму модель. Но вы, как «deployer» (тот, кто внедряет AI-систему), отвечаете за то, как используется модель: disclosure для пользователей, контроль контента, обработка данных. Нельзя просто сказать «это всё ChatGPT, спрашивайте у OpenAI».
Галлюцинации LLM сами по себе — не нарушение. Но вы должны: 1) предупредить пользователя, что бот может ошибаться; 2) не использовать бота там, где ошибки критичны (медицинские советы, юридические консультации) без дополнительных мер защиты. Документирование известных ограничений — часть требования прозрачности.
Подробнее о том, как бороться с галлюцинациями, читайте в статье Anti-галлюцинации: как заставить LLM отвечать только по фактам.
Да. AI Act предусматривает упрощённые требования для МСП и стартапов, особенно в части документации и оценки соответствия. Штрафы тоже рассчитываются пропорционально размеру компании. Но базовые требования прозрачности применяются ко всем.
AI Act — отдельный закон, он не заменяет GDPR. Если ваш бот обрабатывает персональные данные европейцев — вам нужно соответствовать и GDPR, и AI Act. Для казахстанских данных действует 152-ФЗ. Хорошая новость: многие требования пересекаются (прозрачность, безопасность, права субъекта данных), так что compliance по одному закону упрощает compliance по другим. Подробнее: AI и GDPR/152-ФЗ: практическое руководство.
Резюме: минимум действий для соответствия
Давайте подведём итоги. Если у вас обычный коммерческий чат-бот или голосовой помощник — вот что нужно сделать, чтобы спать спокойно:
Чек-лист соответствия для чат-бота
На самом деле, не так страшно, как кажется. По сути, это просто упорядочивание того, что вы и так делаете (или должны делать). Главное — не откладывать на потом. Потому что «потом» обычно наступает, когда европейский клиент уже прислал письмо с вопросом про compliance.
А если вам нужна помощь с разработкой бота, который изначально соответствует всем требованиям — обращайтесь. Мы делаем это каждый день.