Регулирование ИИ в России и ЕС в 2026: что должен знать предприниматель

В 2024–2026 годах ИИ перестал быть «серой зоной». В Евросоюзе вступил в силу AI Act, в России обновлены 152-ФЗ и приняты отраслевые требования, обсуждается отдельный закон «Об ИИ». Этот гид — практический разбор для предпринимателя: что обязательно соблюдать сегодня, что готовится к принятию, какие штрафы и как минимизировать риски. Без юридического тумана, с конкретными чек-листами.

Дисклеймер: статья — обзорная. Для конкретных кейсов консультируйтесь с практикующим юристом, специализирующимся на цифровом праве.

Что нужно знать в одной таблице

Где	Что	Когда вступило в силу	Главное обязательство
ЕС	AI Act	поэтапно 2024–2026	классификация рисков AI-систем, маркировка
ЕС	GDPR	с 2018	согласие на обработку ПДн, право на удаление
РФ	152-ФЗ	с 2006, обновления	резидентство ПДн, согласие, цели обработки
РФ	Законопроект «Об ИИ»	проект, обсуждается	классификация AI-систем, реестр
РФ	38-ФЗ «О рекламе»	действует	маркировка AI-контента в рекламе
РФ	Указы по биометрии	действует	биометрические данные — отдельный режим

Российское регулирование

152-ФЗ: ПДн и AI

Главный закон, который касается AI в России. Ключевые требования к работе с моделями:

1. Согласие пользователя на обработку ПДн. Если в данные, попадающие в AI, входят ФИО, телефон, email, фото — нужно явное согласие.
2. Резидентство ПДн. Первичная база ПДн граждан РФ должна быть на серверах в РФ. Использование зарубежных облачных моделей без специального договора и копии данных в РФ — нарушение.
3. Цели обработки. Должны быть определены и зафиксированы в политике. «Обучение AI на наших данных» само по себе — недостаточная цель.
4. Срок хранения и уничтожение. После достижения цели — данные уничтожаются.

Что это значит для предпринимателя:

• При работе с ПДн клиентов — используйте YandexGPT, GigaChat или подписывайте отдельный договор с OpenAI/Anthropic.
• Подробнее о российских моделях — в отдельной статье.
• Опубликуйте на сайте политику обработки ПДн с явным упоминанием AI-обработки.

Штрафы: до 18 000 000 ₽ за нарушение трансграничной передачи ПДн.

38-ФЗ «О рекламе»

С 2025 года требования стали жёстче:

• Реклама с AI-сгенерированным образом должна это раскрывать (либо в самом креативе, либо в настройках кампании).
• Дипфейки реальных лиц без согласия — запрещены.
• Голосовой обзвон с AI должен начинаться с раскрытия «Это автоматический звонок».

Штрафы: до 500 000 ₽ за нарушение.

Биометрия и Единая биометрическая система (ЕБС)

В 2024–2025 ужесточили правила работы с биометрией:

• Сбор биометрии — только в ЕБС.
• Использование AI для идентификации по лицу/голосу без размещения в ЕБС — запрещено.

Это существенно меняет правила для услуг, где была популярна биометрическая идентификация (банки, телекомы, сервисы доставки).

Законопроект «Об ИИ»

В Госдуме обсуждается отдельный закон, основные тезисы (могут измениться):

• Классификация AI-систем по уровню риска (как в ЕС AI Act).
• Реестр AI-систем для регулируемых отраслей.
• Обязательная сертификация для «высокорисковых» применений (медицина, кредитование, госуслуги).
• Запрет на социальный скоринг.

Срок принятия — ориентировочно 2027 год. Лучше готовиться заранее.

Регулирование в ЕС: AI Act

Если ваш бизнес работает с европейскими клиентами или предоставляет AI-сервисы в ЕС — AI Act вас касается, даже если вы не зарегистрированы в Европе.

Классификация AI-систем

Уровень риска	Примеры	Требования
Запрещено	социальный скоринг, биометрия в публичных местах без согласия, манипулятивные техники	полный запрет
Высокий риск	AI в HR, кредитовании, образовании, здравоохранении, госуслугах	сертификация, документация, аудит, человек в петле
Ограниченный риск	чат-боты, дипфейки в развлекательных целях	обязательная маркировка
Минимальный риск	спам-фильтры, AI в играх	без обязательств

Обязательная маркировка

С августа 2026 любой AI-сгенерированный контент в ЕС должен быть помечен в метаданных (через C2PA Content Credentials или эквивалент). Картинки, видео, аудио — маркировка с указанием источника модели.

Штрафы

• За высокий риск без сертификации: до 7% мирового оборота или €35 М (что больше).
• За обманчивые AI-системы: до 3% оборота или €15 М.
• За некорректные данные обучения: до 1.5% оборота или €7.5 М.

GDPR + AI

Помимо AI Act, действует GDPR. Ключевые пункты для AI:

• Право на объяснение решения — если AI принимает решение в отношении человека, человек имеет право на объяснение.
• Право на удаление — пользователь может потребовать удалить себя из данных, на которых модель обучалась.
• Privacy by Design — приватность встроена в архитектуру с нуля.

Чек-лист compliance для российского бизнеса

Базовый уровень — что нужно сделать прямо сейчас:

• Опубликовать политику обработки ПДн на сайте, явно указать AI-обработку.
• Получить согласие пользователей на обработку ПДн с упоминанием AI.
• Использовать российские модели (YandexGPT, GigaChat) для работы с ПДн граждан РФ.
• Если используете OpenAI/Claude — подписать договор о zero retention и обеспечить резидентство копий данных в РФ.
• Маркировать AI-сгенерированный контент в рекламе.
• Раскрывать AI в начале голосовых звонков.
• Не использовать дипфейки реальных людей без согласия.
• Хранить логи всех AI-запросов и ответов 6+ месяцев для аудита.
• Назначить ответственного за compliance (это требование 152-ФЗ).

Дополнительно для регулируемых отраслей (банки, медицина, образование):

• Подготовить документацию AI-систем (что делает, на чём обучалась, какие риски).
• Заложить процесс human-in-the-loop в каждое значимое решение.
• Провести аудит на дискриминационные смещения.
• Подготовиться к будущей сертификации (для законопроекта «Об ИИ»).

Чек-лист compliance для работы с ЕС

• Определить уровень риска вашей AI-системы.
• Если высокий — собрать пакет документов (technical file).
• Включить маркировку AI-контента в продукт.
• Организовать систему обработки запросов на объяснение решений.
• Проверить, что обучающие данные соответствуют GDPR.
• Назначить EU representative, если у вас нет офиса в ЕС.

Главные риски

1. Наказание за «не маркировал»

Самая частая претензия в 2025–2026: «креатив сгенерирован AI, но не помечен». Штрафы небольшие, но репутационный ущерб бывает значительный.

2. Утечки ПДн через AI

Передал данные в чат-бот → они попали в обучение → утечка. По закону — ответственность вашей компании.

3. Дипфейки сотрудников и руководителей

Внутри компании могут «развлекаться», публикуя видео с дипфейком руководителя. Реальный риск — обвинение в экстремизме, мошенничестве. Запретите политикой.

4. Дискриминация AI в найме и кредитовании

Если AI-скрининг отсеивает кандидатов по полу, возрасту, национальности — это нарушение ТК РФ и Конституции. AI не освобождает от ответственности.

5. Несоответствие 152-ФЗ при использовании зарубежных моделей

Самый частый и недооценённый риск. Без специального договора — практически любая отправка ПДн в OpenAI/Claude — нарушение.

Как минимизировать риски: 7 практических действий

1. Гибридный стек. Российская модель для ПДн + зарубежная для остального.
2. Маскирование данных. Перед отправкой в любую модель — заменяйте ПДн на токены (имя → ИМЯ_001).
3. Логи всех запросов. Минимум 6 месяцев. Это и compliance, и улучшение качества.
4. Политики и регламенты. Каждый сотрудник, использующий AI — расписался в инструкции.
5. Аудит раз в полгода. Внутренний или внешний — проверка соответствия.
6. Маркировка. Любой AI-контент в маркетинге — с явным disclaimer.
7. Юрист в теме. Минимум одна консультация в год с цифровым юристом.

Готовится в ближайшие 12 месяцев

В 2026–2027 ждём:

• Принятие закона «Об ИИ» в РФ с реестром AI-систем.
• Усиление требований по маркировке AI-контента в Telegram, ВК, других платформах.
• Расширение требований к раскрытию AI в финансовых и медицинских услугах.
• Унификация подходов между РФ и СНГ (Беларусь, Казахстан движутся в близком направлении).

FAQ

Можно ли использовать ChatGPT в работе российской компании? Можно, но с ограничениями: не для обработки ПДн без специального договора, с маркировкой контента, с раскрытием в рекламе. Лучшая стратегия — российская модель как основная + ChatGPT для не-ПДн задач.

Что делать, если уже использовали зарубежную модель с ПДн?

1. Прекратите практику.
2. Подайте уведомление в Роскомнадзор о нарушении (минимизирует штраф).
3. Переезжайте на российскую модель.
4. Добавьте процесс маскирования.

Нужно ли согласие пользователя на каждый AI-запрос? Не на каждый запрос, но на сам факт AI-обработки в рамках сервиса — да, в политике обработки ПДн и при первом взаимодействии.

Какие штрафы за дипфейки? По 152-ФЗ: до 6 000 000 ₽ за повторное нарушение. Плюс репутационные риски и иски от пострадавшего лица.

Как маркировать AI-контент? Простой способ: текстовая пометка «AI-генерированный контент» в подписи к креативу. Расширенный: C2PA Content Credentials в метаданных.

Что считается «высоким риском» в AI Act? Использование AI для решений, влияющих на жизнь человека: наём, кредит, образование, медицина, госуслуги. Подробный список — в Annex III к AI Act.

Будет ли реестр AI-систем в России? Скорее всего да, в составе закона «Об ИИ». Это означает обязательную регистрацию AI-систем для регулируемых отраслей.

Как часто пересматривать compliance? Минимум раз в полгода. При изменениях в законодательстве — оперативно. Включите это в регламенты.

Что делать дальше

1. Сегодня: пройдите чек-лист compliance, отметьте «не сделано».
2. На этой неделе: разделите задачи на «срочные» (штрафы) и «второстепенные» (готовность к будущему регулированию).
3. Этот месяц: закройте срочные. Назначьте ответственного за compliance.
4. Этот квартал: проведите аудит ваших процессов с AI на соответствие.

Связанные материалы:

• Тренды ИИ в 2026: что ждёт российский бизнес
• YandexGPT и GigaChat: разбор российских моделей
• Полный гид по нейросетям для бизнеса

Регулирование AI — это не помеха, а правила игры. Те компании, которые встроят compliance в процессы заранее, в 2027 будут работать спокойно. Те, кто отложил — рискуют либо штрафами, либо срочной перестройкой под новые правила.