Регулирование искусственного интеллекта в России активно формируется: принята Национальная стратегия развития ИИ до 2030 года, разрабатывается федеральный закон об ИИ, а экспериментальные правовые режимы уже действуют в Москве. Для разработчиков и бизнеса, использующих AI API, это создаёт новые требования и обязательства, которые важно понимать заранее.
Текущее состояние: что уже регулируется
На середину 2025 года правовое поле для AI в России включает:
- Национальная стратегия развития ИИ (Указ Президента от 10.10.2019 No 490, обновлён в 2024) -- задаёт рамку развития: поддержка исследований, создание инфраструктуры, подготовка кадров
- ЭПР в Москве (Федеральный закон No 123-ФЗ) -- экспериментальный правовой режим, позволяющий тестировать AI-технологии в упрощённых условиях
- Закон о персональных данных (152-ФЗ) -- обработка персональных данных в AI-системах требует согласия субъекта и локализации данных на территории РФ
- Проект закона об ИИ -- федеральный закон, определяющий классификацию AI-систем по уровням риска, обязанности разработчиков и операторов
Ключевой тренд -- движение к risk-based approach, аналогичному EU AI Act: AI-системы классифицируются по уровню риска, и чем выше риск, тем строже требования.
Что это значит для разработчиков AI-приложений
Если вы используете AI API (GPT-4o, Claude, Gemini) в своих продуктах, текущее и готовящееся регулирование затрагивает вас по нескольким направлениям:
- Прозрачность -- пользователь должен знать, что взаимодействует с AI. Если ваш чат-бот использует LLM, это нужно раскрывать
- Персональные данные -- нельзя отправлять персональные данные российских граждан в зарубежные API без правового основания (согласие, трансграничная передача)
- Ответственность -- за вред, причинённый AI-системой, отвечает разработчик/оператор, а не провайдер модели
- Логирование -- для AI-систем высокого риска потребуется логирование входов и выходов модели
- Маркировка AI-контента -- контент, сгенерированный AI, может потребовать маркировки (аналогично требованиям к deepfakes)
Практические шаги для бизнеса
Что стоит сделать уже сейчас, чтобы подготовиться к ужесточению регулирования:
- Аудит данных -- определите, какие данные вы отправляете в AI API. Содержат ли они персональные данные? Если да -- обеспечьте правовое основание для обработки
- Data Processing Agreement -- заключите DPA с провайдером AI API. ModelSwitch как российский контрагент предоставляет DPA в соответствии с 152-ФЗ
- Логирование -- настройте сохранение запросов и ответов AI для аудита. ModelSwitch ведёт лог всех API-вызовов в вашем личном кабинете
- Раскрытие информации -- добавьте уведомление для пользователей о том, что ваш продукт использует AI
- Документация -- опишите архитектуру AI-системы, используемые модели, цели применения. Это потребуется для реестра AI-систем
Как ModelSwitch помогает с compliance
ModelSwitch упрощает соблюдение российских регуляторных требований:
- Российское юрлицо -- договор, закрывающие документы, DPA в соответствии с российским правом
- Логирование -- полная история API-вызовов: модель, токены, стоимость, временные метки
- Контроль моделей -- вы можете ограничить доступные модели для каждого API-ключа, обеспечивая использование только одобренных моделей
- Локализация данных -- инфраструктура ModelSwitch размещена в российских дата-центрах
- НДС и бухгалтерия -- корректный документооборот с НДС 20%, что особенно важно при взаимодействии с госструктурами
Регулирование AI неизбежно, но это не повод для паники. Компании, которые заранее выстроят compliance-процессы, получат конкурентное преимущество: их продукты будут доступны для enterprise-клиентов и госсектора, где требования к compliance наиболее строгие.