Впровадження AI Act відбувається поетапно, з 2 лютого 2025 року до кінця 2027 року. Такий поступовий підхід покликаний дати економічним гравцям час для адаптації, водночас забезпечуючи якнайшвидший запуск найнагальніших захисних заходів.
Викладені у розділі V регламенту, вимоги GPAI є ядром регулювання foundation models. Кожен постачальник моделі ІА загального призначення, яка виводиться на європейський ринок - у тому числі у форматі open source, з частковими винятками - зобов'язаний:
Для моделей системного ризику, визначених за обсягом тренування понад 10²⁵ FLOPS або рішенням Комісії, додаються: безперервна оцінка ризиків, стандартизовані adversarial tests (red-teaming), заходи кібербезпеки, повідомлення про серйозні інциденти до AI Office та публікація звіту про енергетичну ефективність. На момент набуття чинності у серпні 2025 року до цієї категорії входили GPT-4, Gemini Ultra, Claude 3 Opus та Llama 3.1 405B. Поріг може бути переглянутий Комісією відповідно до розвитку state of the art.
Для полегшення дотримання статей 53 і 55 до прийняття гармонізованих стандартів, Європейська Комісія у липні 2024 року розпочала розробку Кодексу належної практики для моделей ІА загального призначення. Під координацією AI Office, за участі тринадцяти незалежних експертів та сотні консультацій з організаціями, кодекс пройшов кілька проміжних редакцій до фінальної публікації 10 липня 2025 року.
Кодекс базується на трьох стовпах: прозорість (публікація технічної інформації для впроваджувачів і громадськості), авторське право (операційні процедури для дотримання opt-out), а також безпека/надійність для моделей системного ризику. Дотримання кодексу є добровільним, але дає презумпцію відповідності: постачальник, який його дотримується, вважається таким, що виконує відповідні вимоги. Основні американські та європейські лабораторії погодилися дотримуватися положень кодексу, за винятком Meta, яка у липні 2025 року відмовилася його підписати, посилаючись на несумісність з практиками щодо Llama. Google та Anthropic підписали з застереженнями, тоді як OpenAI, Mistral AI та Microsoft повністю підтримали ініціативу.
Стаття 53 стала центральною точкою дискусій щодо співіснування генеративної ІА та креативних індустрій. Її §1(с) зобов'язує постачальників GPAI впроваджувати політику дотримання авторського права, а §1(d) - публікувати достатньо деталізований підсумок навчального контенту за шаблоном від AI Office.
На практиці механізм базується на поєднанні виключення TDM (text and data mining, стаття 4 Директиви 2019/790) та opt-out machine-readable. Правовласники, які не бажають використання своїх творів для тренування моделей ІА, повинні заявити про це у машиночитному форматі - зазвичай через файл robots.txt, HTTP-заголовок або метадані у творі. Існує кілька альтернативних стандартів - TDM Reservation Protocol від W3C, ai.txt, C2PA - жоден з яких не став домінуючим станом на 2026 рік.
Французькі правовласники ставлять під сумнів ефективність механізму. SACEM, SCAM, SACD та SDRM вказують на інформаційну асиметрію та відсутність реальних санкцій у разі недотримання opt-out. У травні 2026 року відхилення в Національних зборах законопроекту Даркоса, що мав запровадити зворотний доказовий механізм (презумпція використання творів за відсутності прозорості) через статтю L. 331-4-1 Кодексу інтелектуальної власності, залишило правовласників без національної законодавчої підтримки, покладаючи все на суворе застосування статті 53 Європейською Комісією.
AI Act створює два ключові європейські органи. European AI Office (European AI Office), заснований рішенням Комісії у травні 2024 року та підпорядкований DG CONNECT, координує впровадження регламенту для GPAI та моделей системного ризику. Він розробляє кодекс належної практики, здійснює нагляд за постачальниками, розглядає скарги та може накладати санкції. На момент створення офіс нараховував близько сотні співробітників і очолювався Lucilla Sioli.
European AI Board (European AI Board) об'єднує представників національних наглядових органів 27 держав-членів. Перше офіційне засідання відбулося у вересні 2024 року. Він координує взаємодію між країнами, гармонізує тлумачення регламенту та консультує Комісію. Додатково діє Консультативний форум за участі індустрії, громадянського суспільства, академічних кіл та МСП.
На національному рівні кожна держава-член призначає один або кілька компетентних органів. У Франції CNIL координує застосування положень щодо персональних даних, тоді як DGCCRF та DGE відповідають за продукти та внутрішній ринок. Міжвідомча координаційна група була анонсована у 2025 році, але ще не була формалізована на момент набуття чинності вимог GPAI.
AI Act передбачає градуйовану шкалу санкцій залежно від тяжкості порушення:
Для МСП та стартапів встановлено пропорційний ліміт: застосовується менша з двох сум. Перші формальні процедури очікуються від AI Office наприкінці 2026 року, після періоду поступової адаптації.
AI Act суттєво змінив європейську екосистему ІА. Для великих користувачів (банки, страхування, охорона здоров'я, HR) тепер необхідно інтегрувати дотримання вимог ще на етапі проектування систем - підхід compliance by design. Це означає картографування використання ІА, оцінки впливу, ведення технічної документації та внутрішнє управління. Консалтингові компанії Wavestone, France Digitale та Gide вже у лютому 2024 року опублікували практичні посібники для підвищення компетентності у цій сфері.
Для постачальників моделей open source регламент передбачає часткові винятки з вимог GPAI, якщо параметри, архітектура та інформація про використання є загальнодоступними - за винятком моделей системного ризику. Коаліція європейських open source-активістів (Hugging Face, GitHub, Mistral, La Quadrature du Net) ще у липні 2023 року вимагала більш гнучких рамок для збереження інноваційної співпраці. Компромісне рішення зберігає ці винятки, але зобов'язує публікувати підсумок навчальних даних та політику авторського права, що ускладнює масштабування моделей на дуже великих корпусах.
Для європейських чемпіонів - Mistral AI, LightOn, Aleph Alpha, Black Forest Labs - AI Act став подвійним викликом: необхідність швидкої адаптації та одночасно підготовка конкурентних моделей у змаганні з OpenAI, Anthropic чи Google. Декілька експертів, зокрема Arthur Mensch (Mistral AI), попереджали про ризик деіндустріалізації Європи, якщо регуляторний тиск стане непропорційним порівняно з країнами поза ЄС. Водночас Yoshua Bengio, Raja Chatila та Nicolas Miailhe вважають, що суворий контроль є ключовим для захисту стратегічної автономії Європи та довіри суспільства.
AI Act вписується у фрагментований міжнародний ландшафт. У США Executive Order Байдена з жовтня 2023 року був здебільшого скасований адміністрацією Трампа у січні 2025 року, залишивши федеральним агентствам та окремим штатам (зокрема Каліфорнії з SB 1047) розробку власних галузевих або місцевих підходів. Китай ще з серпня 2023 року запровадив систему попереднього дозволу для генеративних ІА-моделей масового призначення, схваливши понад 190 LLMs ціною політичного контролю над генерованим контентом.
Велика Британія обрала принциповий підхід, реалізований через наявні галузеві регулятори, без окремого закону на цей момент. Бразилія, Канада, Японія та Південна Корея розробляють власні рамки, часто орієнтуючись на ризик-орієнтований європейський підхід. Ефект Bruxelles - фактична екстериторіальність європейських регламентів, коли міжнародні постачальники вирішують дотримуватися єдиних правил глобально, а не керувати кількома режимами - ймовірно, проявиться як і з GDPR, хоча його масштаби ще не виміряні у 2026 році.
Кілька міжнародних самітів стали віхами цього процесу: AI Safety Summit у Bletchley Park (листопад 2023), Séoul AI Safety Summit (травень 2024), AI Action Summit у Парижі (лютий 2025). Усі вони підтвердили відсутність глобального консенсусу щодо регулювання, але підкреслили особливу відповідальність ЄС як першого регулятора, що ухвалив обов'язковий акт.
Ключові виклики наступних 18 місяців стосуються:
AI Act не є остаточним рішенням, а живою рамкою. Його перегляд передбачено кожні чотири роки, перший очікується у 2028 році. Успіх регламенту вимірюватиметься не стільки текстом, скільки здатністю поєднувати захист фундаментальних прав, промислові інновації та технологічний суверенітет Європи.
Регламент набрав чинності 1 серпня 2024 року, через двадцять днів після публікації в Офіційному журналі Європейського Союзу 12 липня 2024 року. Його застосування розподілено до серпня 2027 року залежно від типу відповідних систем: заборони діють з 2 лютого 2025 року, вимоги GPAI - з 2 серпня 2025 року, системи з високим ризиком - з серпня 2026 року.
Модель вважається такою, що має системний ризик, якщо вона перевищує поріг у 10²⁵ FLOPS сукупних обчислень під час навчання. На момент запровадження вимоги в серпні 2025 року під це підпадали GPT-4, Gemini Ultra, Claude 3 Opus та Llama 3.1 405B. Комісія також може визначати інші моделі за якісними критеріями (кількість користувачів, способи використання, оцінені можливості).
Кожен постачальник моделі загального призначення, що виходить на європейський ринок, повинен вести технічну документацію, публікувати детальний опис даних навчання, запровадити політику дотримання авторського права та співпрацювати з Бюро ШІ. Для моделей із системним ризиком додаються обов'язки постійної оцінки, проведення adversarial testing, кібербезпеки та повідомлення про інциденти.
Стаття 53 зобов'язує постачальників GPAI дотримуватися opt-out, заявлених правовласниками відповідно до Директиви 2019/790. Такий opt-out має бути machine-readable (robots.txt, HTTP-заголовки, метадані). Французькі правовласники ставлять під сумнів ефективність механізму, оскільки скасування закону Даркос у травні 2026 року позбавило правовласників національної законодавчої підтримки.
Санкції сягають 35 мільйонів євро або 7 % від світового річного обороту за заборонені практики, 15 мільйонів або 3 % - за порушення вимог до систем з високим ризиком та GPAI, та 7,5 мільйона або 1 % - за подання некоректної інформації. Для великих компаній застосовується більша сума, для МСП - менша.
Це референтний документ, опублікований 10 липня 2025 року Європейською комісією, розроблений тринадцятьма незалежними експертами та сотнею залучених організацій. Його добровільне прийняття надає презумпцію відповідності статтям 53 і 55. OpenAI, Mistral AI, Microsoft, Anthropic і Google підписали цей кодекс, Meta відмовилась.
Європейське бюро ШІ, підпорядковане Європейській комісії (DG CONNECT), контролює постачальників GPAI і моделі із системним ризиком. Європейський комітет з питань ШІ об'єднує національні органи 27 держав-членів. У Франції компетентними органами є CNIL, DGCCRF та DGE залежно від сфери.
Так, моделі, параметри, архітектура та інформація про використання яких опубліковані під вільною ліцензією, мають часткові винятки щодо вимог GPAI - окрім випадків системного ризику. Однак публікація резюме даних навчання та політика щодо авторських прав залишаються обов'язковими для всіх open source моделей.
У липні 2025 року понад 150 керівників європейських компаній - зокрема Carrefour, BNP Paribas, Airbus і TotalEnergies - підписали відкритого листа з вимогою дворічного мораторію на застосування AI Act. Вони посилалися на ризик конкурентного відставання від американських і китайських гравців. Європейська комісія відхилила цю вимогу, залишивши початковий графік.
RGPD регулює обробку персональних даних, а AI Act - виведення на ринок та використання систем ШІ, незалежно від того, чи обробляють вони персональні дані. Обидва акти діють кумулятивно: система ШІ з високим ризиком, що обробляє персональні дані, повинна виконувати як вимоги AI Act, так і принципи RGPD (законність, мінімізація, права суб'єктів).
Перший чотирирічний перегляд регламенту заплановано на 2028 рік. Комісія має оцінити ефективність механізму, розвиток технологій та доцільність зміни порогів, переліків високоризикових сфер та механізмів управління.
5 articles liés à ce sujet
Конференція одинадцяти голів груп Національної асамблеї не прийняла 12 травня 2026 року пропозицію закону Даркос про авторські права та штучний інтеле...
AI Act, європейський регламент з питань штучного інтелекту (ШІ), набув чинності з лютого 2024 року, незважаючи на опозицію деяких компаній. Він висува...
Європейська комісія опублікувала фінальну версію кодексу належної практики для загальних моделей ІІ (GPAI), спрямованого на допомогу постачальникам у...
Близько п'ятдесяти європейських компаній закликали до дворічної паузи у впровадженні AI Act, що викликало занепокоєння через операційні виклики. Європ...
Бюро ІІ Європейської комісії опублікувало третій проект Кодексу належної практики, що покликаний допомогти постачальникам моделей ІІ загального призна...
