Искусственный интеллект вошел в малый бизнес без организованной юридической и технической оценки. Магазин использует ChatGPT для описаний товаров. Интернет-магазин тестирует Claude или другого AI-помощника для вопросов клиентов, а человек проверяет ответы. Бухгалтерская фирма пробует инструмент, который резюмирует документы. Компания услуг пишет коммерческие предложения, emails и публикации с AI. Работодатель думает использовать программу, которая «отбирает» резюме.
Первая реакция часто практическая: если это экономит время, почему бы не использовать? Вторая реакция тревожная: не запрещено ли это теперь? Правильный ответ находится посередине. AI Act, то есть Регламент (ЕС) 2024/1689 об искусственном интеллекте, не запрещает в целом использование таких инструментов, как ChatGPT, Claude или другие AI-помощники. Но он устанавливает правила в зависимости от риска, роли бизнеса и результата, который производит система.
Начинайте с способа использования, а не с инструмента
Один и тот же AI-инструмент может быть простым вспомогательным средством, когда пишет черновик email, но становится гораздо более чувствительным, когда участвует в найме, кредитовании, страховании, образовании или доступе к базовым услугам.
Для малого греческого бизнеса главный вопрос не в том, «прекратить ли использовать AI?». Он проще и серьезнее: где я его использую, какие данные в него ввожу, кто проверяет результат, должен ли клиент быть уведомлен и затрагивает ли мое использование чувствительные решения, такие как найм, оценка, кредит, страхование, образование или доступ к услугам.
Эта статья является практическим руководством. Это не технический manual и не замена юридической консультации. Цель — помочь профессионалу отличить повседневное использование с низким риском от использования, которое требует внутренних правил, и от использования, которое не должно происходить без специальной проверки.
На практике юридический вопрос не в том, чтобы демонизировать AI. Вопрос в наличии простой политики использования: что разрешено вводить в инструмент, кто проверяет результат, когда информируется клиент и когда нужна юридическая или техническая оценка до включения системы в повседневную работу.
Что такое AI Act простыми словами
AI Act — первый единый европейский регламент для систем искусственного интеллекта. Европейская комиссия представляет его как рамку, основанную на оценке риска: чем выше риск для безопасности, здоровья, основных прав или важных решений о людях, тем тяжелее обязанности.
Не все AI-инструменты рассматриваются одинаково. Инструмент, предлагающий заголовки для social media, не имеет такой же значимости, как система, оценивающая кандидатов на работу или дающая персонализированные инструкции без человеческого надзора.
Философия регламента ступенчатая. Некоторые практики запрещены. Некоторые системы являются высокорисковыми и требуют строгого соблюдения требований. Некоторые в основном имеют обязанности прозрачности. Большинство повседневных инструментов низкого риска не потребуют тяжелого досье, но это не значит, что ими можно пользоваться хаотично.
Для малого бизнеса это означает очень конкретную вещь: не начинайте с названия инструмента, начинайте с способа использования. Один и тот же AI-инструмент может быть простым помощником, когда пишет черновик email, но гораздо более чувствительным, когда используется, чтобы исключить клиента, работника или кандидата из чего-то важного.
Даты, которые важны в 2026 году
AI Act вступил в силу 1 августа 2024 года и применяется постепенно. Официальная страница Европейской комиссии и AI Act Service Desk показывают, что уже с 2 февраля 2025 года применяются общие положения, определения, запрещенные практики и обязанность AI literacy, то есть обязанность людей, которые используют или управляют AI, иметь достаточное понимание его использования и рисков.
С 2 августа 2025 года применяются правила для поставщиков моделей общего назначения, таких как крупные AI models. Это больше касается компаний, которые создают или предоставляют такие модели, но важно и для малого бизнеса, потому что влияет на его поставщиков.
Главная практическая дата для многих компаний — 2 августа 2026 года, когда начинает применяться большинство правил и обязанностей прозрачности по статье 50. Комиссия также объявила, в рамках AI Omnibus, о политическом соглашении по более позднему применению некоторых high-risk обязанностей. Поскольку рамка развивается, малый бизнес не должен опираться только на одну дату. Уже сейчас нужно навести порядок в использовании AI.
| Дата | Что это значит на практике | Что должен сделать малый бизнес |
|---|---|---|
| 1 августа 2024 | AI Act вступил в силу | Начать картирование использования AI |
| 2 февраля 2025 | Действуют определения, запреты и AI literacy | Базово обучить тех, кто использует AI, и запретить опасные практики |
| 2 августа 2025 | Действуют обязанности для поставщиков AI models общего назначения | Проверять AI-поставщиков и их условия |
| 2 августа 2026 | Начинаются основные обязанности прозрачности и более широкое применение | Иметь уведомления для клиентов, политики использования и проверку риска |
| 2027-2028, в зависимости от категории | Некоторые high-risk графики сдвигаются из-за упрощения | Запрашивать специальную оценку до AI в HR, кредитовании, критических услугах или regulated products |
Вы provider, deployer или простой пользователь?
AI Act использует роли. Для малого бизнеса самая обычная роль — deployer: бизнес использует AI-систему в своем профессиональном контексте. Он не создал ее сам, но вводит ее в повседневную работу. Мастерская, которая ставит chatbot на свой сайт, e-shop, использующий AI для рекомендаций товаров, или офис, использующий ChatGPT для подготовки текстов, обычно является deployer.
Provider — это тот, кто разрабатывает или размещает AI-систему на рынке под своим именем. Малый бизнес может стать provider, если создаст собственный chatbot и будет продавать его другим, или если встроит AI в продукт/услугу, которую предлагает как свое решение.
Многие компании не создают AI с нуля, но сильно настраивают готовую систему: загружают knowledge base, дают инструкции и ставят ее перед клиентами. Даже тогда бизнес несет ответственность за использование, данные и обещания пользователю.
ChatGPT для повседневных задач: на что обратить внимание
Использование ChatGPT или похожего инструмента для идей, черновиков текстов, переводов, резюме или внутренней организации обычно является низкорисковым, если туда не вводятся чувствительные или конфиденциальные данные и есть человеческая проверка. Проблема не в том, что вы написали email с AI. Проблема в том, чтобы копировать данные клиентов, договоры или коммерческие секреты, не зная, куда они попадают и как хранятся.
Практическая политика для малого бизнеса может быть короткой, но она должна быть ясной. Она должна говорить, какие инструменты разрешены, для каких целей, что запрещено вводить, кто утверждает использование в коммуникации с клиентами и когда требуется проверка ответственным лицом или юридическим консультантом.
| Использование ChatGPT | Обычный риск | Правило для малого бизнеса |
|---|---|---|
| Идеи для social media или blog | Низкий, если не вводятся персональные данные | Разрешено с проверкой точности и стиля |
| Резюме публичного текста | Низкий до среднего | Проверять верность и сохранять источник |
| Перевод договора клиента | Средний до высокого | Не без разрешения, анонимизации и проверки конфиденциальности |
| Ответ клиенту о правах/обязанностях | Средний до высокого | Использовать только как черновик, никогда как автоматическую финальную консультацию |
| Оценка кандидатов на работу | Высокий | Не делать без специальной юридической/HR-проверки |
| Автоматическое решение о кредите, скидке или отказе клиенту | Высокий | Требовать специальной оценки и человеческого надзора |
Базовый принцип прост: чем ближе AI к решению, которое влияет на человека, тем осторожнее должен быть бизнес. Чем более вспомогательным и внутренним является использование, тем проще его можно организовать, не игнорируя при этом конфиденциальность.
Chatbot на сайте или в e-shop
Chatbot более чувствителен, чем внутренний инструмент, потому что разговаривает с клиентами. Даже если он отвечает на простые вопросы, пользователь должен понимать, что не разговаривает с человеком, когда это не очевидно. Обязанности прозрачности по статье 50 AI Act станут практически критичными с 2 августа 2026 года. Европейская комиссия в 2026 году опубликовала draft guidelines по обязанностям прозрачности именно для систем, которые взаимодействуют с людьми или создают синтетический контент.
Для малого бизнеса самый безопасный вариант — ясно уведомлять пользователя с самого начала: «Вы разговариваете с автоматизированным помощником. По вопросам договора, платежа, жалобы или юридического требования вам ответит человек». Не нужен чрезмерный текст. Но нужно не создавать впечатление, что человек проверяет каждый ответ, если это не так.
Второй момент — персональные данные. Chatbot в e-shop может собирать имя, email, номер заказа, адрес или описание проблемы. Здесь вступает GDPR. Политика конфиденциальности должна объяснять, какие данные собираются, с какой целью, кто является поставщиком, есть ли передача за пределы ЕС и сколько хранятся разговоры.
Третий момент — предел ответов. Chatbot может сообщать часы работы, политику возвратов, статус заказа или базовые инструкции. Он не должен обещать вещи, которые связывают бизнес, если у него нет таких полномочий. Например, фраза «вы точно имеете право на компенсацию» опасна. Лучше: «Я передам ваш запрос в компетентный отдел для проверки».
AI literacy: обязанность, которую многие игнорируют
AI literacy не означает, что все работники должны стать инженерами искусственного интеллекта. Это означает, что те, кто использует AI от имени бизнеса, должны иметь достаточные знания основ: что инструмент может делать, чего не может, какие риски существуют, как избегать персональных данных, как проверять точность и когда запрашивать человеческую/юридическую оценку.
Статья 4 AI Act действует уже с 2 февраля 2025 года. Официальный Q&A Европейской комиссии объясняет, что обязанность учитывает технические знания, опыт, обучение и контекст использования. Значит, малому бизнесу не нужна программа уровня multinational. Но нужно показать, что он не позволил каждому использовать AI как угодно.
Практически двухчасовой внутренний training, короткая политика использования и файл мониторинга могут быть достаточными для первого порядка. Кто прошел обучение? Какие инструменты использует компания? Какие данные запрещены? Кто утверждает новое использование?
Ошибки, которых должен избегать малый бизнес
Первая ошибка — использовать личный аккаунт работника для корпоративной работы. Если работник уйдет или туда были введены данные клиентов, бизнес теряет контроль. Для корпоративного использования нужны корпоративные аккаунты, права доступа и базовые правила.
Вторая ошибка — некритичное копирование данных. Многие загружают в AI счета, списки клиентов, резюме, emails или договоры, потому что «хотят резюме». Если не проверены поставщик, договор, политика конфиденциальности и настройки хранения, это может создать проблему GDPR, коммерческой тайны и конфиденциальности.
Третья ошибка — публиковать AI-текст без проверки. AI может ошибаться, придумывать источники, путать законы или писать так, что вводит в заблуждение. В статьях, рекламе, юридической информации, ценах, условиях продажи и ответах клиентам человеческая проверка не декоративна. Она необходима.
Четвертая ошибка — использование AI в HR без серьезной проверки. Автоматическая оценка резюме или сортировка кандидатов может затрагивать зоны высокого риска. Это не то же самое, что простой черновик объявления о вакансии.
Пятая ошибка — смешивать AI Act с GDPR. Одно не заменяет другое. Использование AI может быть низкорисковым для AI Act, но проблемным для GDPR, если вы передаете персональные данные без правового основания или уведомления. Также может потребоваться DPIA, когда обработка с новыми технологиями, вероятно, создает высокий риск для прав и свобод.
Практическая рамка из 10 шагов
Не нужен тяжелый compliance department. Нужна минимальная рамка, которая выдержит проверку, жалобу или ошибку.
| Шаг | Что делаю | Какое доказательство сохраняю |
|---|---|---|
| 1 | Записываю, какие AI-инструменты используются | Список инструментов, поставщик, использование |
| 2 | Разделяю использования на внутренние, клиентские и решающие | Короткий risk register |
| 3 | Запрещаю конкретные данные в публичных AI-инструментах | Внутренняя политика использования |
| 4 | Обучаю персонал, использующий AI | Дата, материал, участники |
| 5 | Проверяю условия поставщика и настройки конфиденциальности | Ссылка/файл условий, заметки |
| 6 | Обновляю privacy policy, где есть chatbot или AI-обработка | Обновленная политика конфиденциальности |
| 7 | Ставлю ясное указание, что пользователь разговаривает с chatbot | Текст уведомления на сайте |
| 8 | Определяю, когда вмешивается человек | Процедура escalation |
| 9 | Избегаю AI в HR/кредитовании/чувствительных решениях без специальной проверки | Решение руководства или юридическое заключение |
| 10 | Периодически проверяю, изменилась ли цель использования или поставщик | Дата повторной проверки |
Самое важное — последовательность. Если политика говорит «мы не загружаем персональные данные», но работники делают это ежедневно, она мало чего стоит. Если chatbot обещает возвраты или компенсации без человека, практика отменяет правило.
Примеры по виду бизнеса
| Бизнес | Полезное использование AI | Красная линия |
|---|---|---|
| E-shop | Описания товаров, FAQ, классификация tickets | Полные данные клиентов в инструменте без проверки, обязательные ответы о возвратах без человека |
| Бухгалтерская фирма | Черновики уведомлений, резюме публичных циркуляров | Налоговые декларации, payroll, налоговые номера или данные клиентов в публичном AI-инструменте |
| Консалтинговая или юридическая фирма | План, языковая доработка, идеи структуры | Судебные документы, чувствительные данные или финальный юридический вывод без человеческой проверки |
| Поддержка клиентов | Chatbot для часов работы, заказов и tracking | Жалобы, компенсации, обращения или юридические требования без escalation к человеку |
| HR/найм | Черновик объявления о вакансии | Автоматическая оценка, отказ или ранжирование кандидатов без специальной проверки |
Логика общая: чем ближе AI к конфиденциальным данным или решению, влияющему на человека, тем строже должна быть рамка.
Что включить в политику использования AI в компании
Небольшая политика использования AI не должна быть на 30 страниц. Она может занимать 2-4 страницы, если ясно отвечает на основные вопросы.
Во-первых, какие инструменты разрешены. Во-вторых, какие виды использования разрешены: черновики текстов, идеи, переводы публичных материалов, внутренняя организация. В-третьих, какие виды использования запрещены без утверждения: персональные данные клиентов, финансовые сведения, резюме, медицинские данные, договоры, конфиденциальные документы, автоматические решения.
В-четвертых, кто проверяет результат. Каждый AI-текст, который публикуется, отправляется клиенту или влияет на право, должен пройти через человека. В-пятых, что происходит при инциденте, например ошибочном вводе списка клиентов в AI-инструмент. Политика должна требовать немедленного внутреннего сообщения, а не сокрытия.
Когда нужен юрист или DPO
Не каждое простое использование AI должно проходить через юриста. Но специальная проверка нужна, когда AI обрабатывает персональные данные в масштабе, когда принимает или влияет на решения о людях, когда используется при найме, когда касается детей, здоровья, финансовой оценки или доступа к базовым услугам.
DPO, если он есть, должен подключаться рано в случаях, затрагивающих персональные данные. Если DPO нет, в бизнесе по крайней мере должен быть ответственный человек, который может сотрудничать с техническим специалистом, юристом или IT-поставщиком. Искусственный интеллект — это не только юридический вопрос, но и организационный.
Короткий checklist перед покупкой AI-инструмента или chatbot
Перед оплатой AI-инструмента запросите ответы на основные вопросы:
- Где размещаются данные?
- Используются ли наши данные для обучения модели?
- Есть ли возможность отключить training/use of prompts?
- Подписывается ли соглашение об обработке данных там, где это нужно?
- Могу ли я удалить историю разговоров?
- Есть ли logs и права доступа по пользователям?
- Могу ли я поставить человеческое утверждение перед критическими ответами?
- Как конечный пользователь уведомляется, что говорит с AI?
- Какую поддержку дает поставщик для соблюдения AI Act/GDPR?
- Что происходит, если инструмент ошибется или произойдет утечка информации?
Если поставщик не может ответить на базовые вопросы, низкая цена не является достаточным аргументом. Самый опасный инструмент — тот, который вводится в production без понимания, что он делает.
FAQ
Могу ли я использовать ChatGPT в своем бизнесе?
Да, но с правилами. Для идей, drafts и вспомогательного использования обычно нет проблемы, если вы не вводите персональные или конфиденциальные данные и проверяете результат.
Должен ли я писать клиенту, что использовал AI?
Если клиент взаимодействует с AI-системой, например chatbot, его нужно ясно уведомлять, когда это не очевидно. Для контента общественного интереса и синтетического контента требуется особое внимание к обязанностям прозрачности.
Если я использую готовый chatbot сторонней компании, отвечает только provider?
Нет. У provider есть собственные обязанности, но бизнес отвечает за то, как он устанавливает его, какие данные собирает, что говорит клиенту, какие пределы устанавливает и соблюдает ли GDPR и потребительские правила.
Нужно ли делать DPIA?
Не всегда. Оценка нужна, когда обработка, особенно с новыми технологиями, вероятно, создает высокий риск для прав и свобод. Chatbot с простыми FAQ может не требовать DPIA, тогда как AI для HR, profiling клиентов или чувствительных данных может требовать ее.
Можно ли вводить данные клиентов в ChatGPT?
Только если есть ясное правовое основание, уведомление, подходящий поставщик, договорные гарантии и технические меры. На практике для малого бизнеса самый безопасный принцип — не вводить персональные данные в публичные AI-инструменты без специального утверждения и анонимизации.
Незаконно ли использовать AI для найма?
В целом это не незаконно, но это зона высокого риска. Автоматическая классификация, оценка или отклонение кандидатов может создать серьезные обязанности и риски дискриминации. Это не должно делаться без специальной юридической и технической проверки.
Заключение
AI Act пришел не для того, чтобы снизить продуктивность малого бизнеса. Он пришел, чтобы установить границы там, где искусственный интеллект влияет на людей, данные и права. Запишите, какие инструменты вы используете. Обучите своих людей. Не загружайте персональные данные без проверки. Ясно информируйте, когда клиент разговаривает с chatbot. И не позволяйте AI принимать решения о людях без специальной оценки.
Искусственный интеллект может помочь малому бизнесу работать быстрее. Но доверие клиента не автоматизируется. Оно строится на прозрачности, контроле и ответственности.
Источники и исследовательские заметки
- European Commission, AI Act regulatory framework: Европейская комиссия - regulatory framework AI Act
- AI Act Service Desk, Timeline for the implementation of the EU AI Act: AI Act Service Desk - график применения
- EUR-Lex, Regulation (EU) 2024/1689 Artificial Intelligence Act: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689
- AI Act Service Desk, Article 2 Scope: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-2
- AI Act Service Desk, Article 4 AI literacy: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-4
- European Commission, AI Literacy Questions & Answers: Европейская комиссия - вопросы об AI literacy
- European Commission, first AI Act rules applicable: https://digital-strategy.ec.europa.eu/en/news/first-rules-artificial-intelligence-act-are-now-applicable
- European Commission, guidelines on prohibited AI practices: https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
- European Commission, consultation on transparency obligations under Article 50 AI Act: https://digital-strategy.ec.europa.eu/en/consultations/consultation-draft-guidelines-transparency-obligations-under-ai-act
- European Commission, draft guidelines on transparency obligations under Article 50: https://digital-strategy.ec.europa.eu/en/library/draft-guidelines-implementation-transparency-obligations-certain-ai-systems-under-article-50-ai-act
- European Commission, General-purpose AI obligations under the AI Act: https://digital-strategy.ec.europa.eu/en/factpages/general-purpose-ai-obligations-under-ai-act
- European Commission, General-Purpose AI Code of Practice: https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
- Hellenic Data Protection Authority, responsibilities and duties: https://www.dpa.gr/en/hdpa/responsibilities_duties_powers
- Hellenic Data Protection Authority, Data Protection Impact Assessment: Греческий орган защиты данных - оценка воздействия DPIA
Комментарии
Поделитесь мнением об этой статье.
Комментариев пока нет. Оставьте первый комментарий.
Оставить комментарий