Закон ЕС об ИИ и грузинский бизнес: что вас касается

Закон ЕС об ИИ (EU AI Act) — это законодательный акт Европейского союза, регулирующий использование искусственного интеллекта. Он распространяется на грузинские компании в тех случаях, когда они продают ИИ-продукты на рынок ЕС или обрабатывают персональные данные пользователей из ЕС. Закон разделяет ИИ-системы на четыре уровня риска и устанавливает для каждого свои обязательства. Чат-боты, работающие с клиентами, подпадают под требование о прозрачности: вы должны сообщать пользователю, что он общается с машиной.

Коротко: Закон вступает в силу, только если вы работаете с рынком ЕС. Существует 4 уровня риска: от запрещенных до минимальных. Чат-боты относятся к категории ограниченного риска и требуют одного: четкого уведомления об использовании ИИ. Внутри Грузии по-прежнему действует местный закон о данных.

Большинство грузинских малых и средних предприятий, использующих бот на странице Facebook для клиентов из Тбилиси, не являются целевой аудиторией этого закона. Внимательно изучить его стоит компаниям, у которых есть клиенты или пользователи в ЕС, а также тем, кто экспортирует свою продукцию. Если вы не уверены, к какой категории относятся ваши ИИ-инструменты, честным первым шагом будет краткий анализ сферы их применения. Наша команда проводит такой анализ в рамках консалтинга и оценки соответствия требованиям в области ИИ. По всем вопросам, касающимся контрактов или штрафов, вам также следует обратиться к грузинскому юристу.

Действует ли Закон ЕС об ИИ для компаний в Грузии?

Закон распространяется на грузинскую компанию, если она выводит ИИ-систему на рынок ЕС, предлагает ее жителям ЕС или результаты работы ее ИИ используются на территории ЕС. Географическое положение вашего офиса не имеет значения. Важно, где находятся ваши пользователи и покупатели. Магазин в Тбилиси, обслуживающий только местных клиентов, как правило, не подпадает под действие этого закона.

Практическая проверка состоит из трех вопросов. Продаете или лицензируете ли вы ИИ-программы клиентам из ЕС? Используют ли жители ЕС ваш ИИ-продукт или чат-бот? Используются ли результаты работы созданного вами ИИ на территории ЕС? Положительный ответ на любой из этих вопросов означает, что закон распространяется и на вас. В этом случае вам нужно соотнести ваши системы с уровнями риска, описанными ниже.

Четыре уровня риска простыми словами

Закон классифицирует ИИ по потенциальному вреду, который он может причинить, и устанавливает соответствующие обязанности. Вот структура без юридического жаргона.

Уровень	Что охватывает	Ваши обязанности
Запрещенный	Социальный скоринг, манипулятивные или эксплуатирующие системы	Запрещено. Не создавать и не внедрять.
Высокий риск	Найм персонала, кредитный скоринг, медицина, биометрическая идентификация, критическая инфраструктура	Серьезные: управление рисками, документация, человеческий надзор, ведение логов
Ограниченный риск	Чат-боты, контент, созданный ИИ, дипфейки	Прозрачность: уведомление об использовании ИИ, маркировка сгенерированных медиа
Минимальный риск	Спам-фильтры, виджеты рекомендаций, большинство маркетинговых инструментов	Нет особых обязательств

Большинство инструментов для автоматизации маркетинга и поддержки относятся к категориям ограниченного или минимального риска. Чат-бот поддержки — это ограниченный риск. Спам-фильтр или система рекомендаций товаров — минимальный. Вы попадаете в зону высокого риска, когда ИИ начинает принимать решения, влияющие на людей: кого нанять, кому выдать кредит, какой диагноз поставить.

Требования Закона к чат-ботам

Чат-бот, подпадающий под действие законодательства ЕС, должен соответствовать требованию о прозрачности. Пользователь должен четко и с самого начала понимать, что он взаимодействует с системой ИИ, а не с человеком. Для этого достаточно добавить простое уведомление в начале разговора. Никаких сносок мелким шрифтом или хитрых формулировок.

Три конкретных шага для выполнения большинства требований:

Уведомляйте заранее. Начните диалог с фразы вроде «Вы общаетесь с ИИ-ассистентом». В качественных системах это встроено в первое же сообщение.
Маркируйте сгенерированные медиа. Изображения, аудио или видео, созданные ИИ и предназначенные для пользователей из ЕС, должны иметь пометку о том, что контент является синтетическим.
Предлагайте связь с человеком. Дайте пользователю возможность связаться с сотрудником, когда это необходимо. Это также защитит вашу конверсию, так как клиенты, не нашедшие решения, просто уходят.

Система штрафов в Законе зависит от серьезности нарушения и размера компании. В открытых источниках говорится о штрафах, достигающих миллионов евро и процента от мирового оборота за самые серьезные нарушения, с более мягкими санкциями за несоблюдение требований для систем с ограниченным риском. Воспринимайте любые точные цифры как ориентировочные и уточняйте их у юриста, прежде чем на них полагаться.

Ваши обязательства по грузинскому законодательству никуда не исчезают

Даже если ваша деятельность не подпадает под действие законодательства ЕС, Закон Грузии «О защите персональных данных» (2011) регулирует, как вы собираете, храните и используете данные клиентов внутри страны. Это грузинский аналог GDPR. Чат-бот, который собирает имена, номера телефонов и сообщения, обрабатывает персональные данные, поэтому требования о согласии, ограничении целей и безопасности остаются в силе.

Проводите обе проверки параллельно. Закон ЕС об ИИ задает вопрос: «Безопасна и прозрачна ли эта ИИ-система для пользователей из ЕС?». Грузинский закон о данных спрашивает: «Законно ли вы обрабатываете данные этого человека в Грузии?». Бот может соответствовать одному требованию и нарушать другое. Большинство грузинских МСБ уделяют больше внимания местному закону о данных, чем Закону ЕС об ИИ, потому что местный закон распространяется на каждого их клиента.

Краткий путь к соответствию для малого и среднего бизнеса

Вам не нужен юридический отдел, чтобы занять защищенную позицию. Вам нужен перечень систем и несколько решений.

Составьте список ваших ИИ-систем. Чат-бот, генератор контента, система рекомендаций, любой инструмент скоринга. По одной строке на каждый.
Отметьте те, что связаны с ЕС. Укажите, какие из них взаимодействуют с пользователями или покупателями из ЕС.
Определите уровень риска для каждой. Используйте таблицу выше. Системы, близкие к высокому риску, отметьте для обсуждения с юристом.
Добавьте уведомления. Разместите уведомление об ИИ в каждом чат-боте, работающем с клиентами, независимо от того, ориентирован он на ЕС или нет. Это ничего не стоит и укрепляет доверие.
Задокументируйте обработку данных. Опишите, какие данные собирает каждая система и для чего, в соответствии с грузинским законом о данных.

Для небольшой компании это займет полдня. В результате вы получите одностраничный документ, который можно показать юристу или аудитору. Если в ходе инвентаризации вы обнаружите систему высокого риска или контракт с ЕС, содержащий пункты об ИИ, именно в этот момент стоит обратиться за платной юридической помощью и сессией по оценке соответствия требованиям, а не действовать наугад.

Часто задаваемые вопросы

Нужно ли мне соблюдать Закон ЕС об ИИ, если мой бизнес работает только в Тбилиси?

Обычно нет. Если все ваши клиенты и пользователи находятся в Грузии и вы не продаете ИИ-продукты в ЕС, закон на вас не распространяется. Ваши обязательства в таком случае регулируются Законом Грузии «О защите персональных данных». Как только у вас появляются клиенты или пользователи из ЕС, проведите проверку по трем вопросам, описанным в этой статье.

К какому уровню риска относится чат-бот службы поддержки?

Стандартный чат-бот для поддержки или продаж относится к категории ограниченного риска. Обязательство для этого уровня — прозрачность: сообщайте пользователю, что он общается с ИИ, и маркируйте любой контент, сгенерированный ИИ. Вы переходите в категорию высокого риска только тогда, когда система начинает принимать важные решения, влияющие на людей, например, в сфере найма, кредитования или медицинской оценки.

Что будет, если мой чат-бот не сообщит, что он — ИИ?

Для пользователей из ЕС отсутствие уведомления является нарушением требования о прозрачности. Закон предусматривает многоуровневые штрафы в зависимости от серьезности нарушения и размера компании. В открытых источниках упоминаются суммы, достигающие миллионов евро за серьезные нарушения. Воспринимайте точные цифры как ориентировочные, в первую очередь исправьте уведомление (это бесплатно) и уточните любую конкретную ответственность у грузинского юриста.

Достаточно ли одного лишь грузинского закона о данных?

Для бизнеса, работающего исключительно на внутреннем рынке, Закон Грузии «О защите персональных данных» покрывает ваши основные обязанности по получению согласия, хранению и безопасности данных. Однако он не охватывает правила Закона ЕС об ИИ о прозрачности и управлении рисками для систем, ориентированных на ЕС. Если вы обслуживаете пользователей из ЕС, вам необходимо соблюдать оба закона. Добавление уведомления об ИИ — это самый простой и бесплатный способ выполнить часть требований ЕС.

Стоит ли нанимать юриста перед запуском ИИ-чат-бота?

Для чат-бота с ограниченным риском, обслуживающего грузинских клиентов, юрист на старте не обязателен, хотя провести аудит обработки данных будет разумно. Если же речь идет о системе, близкой к высокому риску, контракте с ЕС, содержащем пункты об ИИ, или системе, которая оценивает или отбирает людей, сначала обратитесь к грузинскому юристу. Сессия по оценке соответствия требованиям поможет вам понять, в какой категории вы находитесь, прежде чем тратить деньги на юридические услуги.