Искусственный интеллект в России больше не находится в правовом вакууме. К 2026 году сформировалась многоуровневая система регулирования, которая затрагивает разработчиков, бизнес и обычных пользователей. В этом гиде — полный разбор действующего законодательства, требований к бизнесу и практические рекомендации по compliance.
Текущая правовая база: ключевые документы
Регулирование AI в России опирается на несколько фундаментальных документов. Национальная стратегия развития искусственного интеллекта (Указ Президента РФ от 10 октября 2019 г. № 490) задала общий вектор. В 2024–2025 годах стратегия была обновлена с учётом новых реалий — генеративного AI, больших языковых моделей и автономных агентов.
Федеральный закон об экспериментальных правовых режимах (ЭПР) в сфере цифровых инноваций (№ 258-ФЗ) остаётся ключевым инструментом. Он позволяет тестировать AI-технологии с ослабленным регулированием в определённых отраслях: медицине, транспорте, финансах, образовании. К марту 2026 года в России действует более 20 ЭПР, связанных с AI.
В конце 2025 года был принят Федеральный закон «Об искусственном интеллекте», который впервые дал юридическое определение AI-систем, установил классификацию по уровням риска и определил ответственность разработчиков и операторов AI.
Классификация AI-систем по рискам
Российская классификация частично вдохновлена EU AI Act, но адаптирована под национальный контекст:
| Уровень риска | Описание | Примеры | Требования |
|---|---|---|---|
| Минимальный | AI без значимого влияния на решения | Рекомендательные системы, чат-боты для FAQ | Информирование пользователя об использовании AI |
| Ограниченный | AI с влиянием на доступ к услугам | Кредитный скоринг, HR-скрининг, модерация контента | Аудит алгоритмов, объяснимость решений, право на апелляцию |
| Высокий | AI в критических областях | Медицинская диагностика, автономный транспорт, системы безопасности | Обязательная сертификация, human-in-the-loop, регулярный аудит |
| Недопустимый | AI, нарушающий права человека | Социальный скоринг, манипуляция поведением | Полный запрет |
Персональные данные и AI: 152-ФЗ в новом контексте
Закон о персональных данных (152-ФЗ) приобрёл особое значение в эпоху AI. Роскомнадзор выпустил разъяснения, которые прямо влияют на разработчиков и пользователей нейросетей.
Что изменилось
Обучение моделей на персональных данных — теперь требует либо явного согласия субъектов данных, либо обезличивания данных до степени невозможности идентификации. Это касается как текстовых, так и визуальных данных (фотографии, видео).
Генерация контента с персональными данными — создание дипфейков, синтезированных голосов или изображений реальных людей без их согласия квалифицируется как нарушение 152-ФЗ и может повлечь штрафы до 18 миллионов рублей для юридических лиц.
Трансграничная передача данных — использование зарубежных AI-сервисов (ChatGPT, Claude, Midjourney) для обработки персональных данных российских граждан требует соблюдения правил трансграничной передачи. Для критически важных данных рекомендуется использовать российские AI-решения или self-hosted модели.
Биометрические данные — обработка биометрии через AI (распознавание лиц, голоса) регулируется отдельно. С 2024 года работа с биометрией через AI возможна только через Единую биометрическую систему (ЕБС) или с отдельным разрешением Роскомнадзора.
Маркировка AI-контента
Одно из самых практически значимых требований — обязанность маркировки контента, созданного или существенно модифицированного с помощью AI. С 1 марта 2026 года требования вступили в полную силу.
Что нужно маркировать
- Тексты, полностью сгенерированные AI или где AI внёс более 50% содержания
- Изображения, созданные генеративными моделями
- Аудио и видео, синтезированные или существенно модифицированные AI
- Deepfake-контент любого объёма
Маркировка должна быть видимой (текстовая пометка «Создано с помощью AI» или аналогичная) и машиночитаемой (метаданные файла, C2PA-стандарт или аналог). За отсутствие маркировки — штрафы от 100 000 до 500 000 рублей для юрлиц.
Исключения
Маркировка не требуется для: внутренних документов компании (не публикуемых), научных исследований с раскрытием методологии, художественных произведений с указанием авторства AI в выходных данных.
Отраслевое регулирование
Медицина — AI-системы для диагностики подлежат регистрации как медицинские изделия. К 2026 году зарегистрировано более 30 AI-решений. Требуются клинические испытания и подтверждение эффективности.
Финансы — Банк России выпустил рекомендации по использованию AI в кредитном скоринге, AML/KYC-процедурах и робоэдвайзинге. Ключевое требование — объяснимость решений AI для клиентов.
Образование — использование AI-инструментов в образовательном процессе регулируется на уровне отдельных образовательных организаций. Минобрнауки подготовило методические рекомендации, но единого запрета нет.
Реклама — AI-генерированная реклама подчиняется тем же требованиям, что и обычная (Закон «О рекламе»), плюс требование маркировки AI-контента.
Практический чек-лист для бизнеса
Если ваша компания использует AI-инструменты, вот что нужно сделать для соответствия требованиям:
Аудит AI-систем
- Составьте реестр всех используемых AI-инструментов (включая SaaS-сервисы)
- Классифицируйте каждый инструмент по уровню риска
- Определите, какие инструменты обрабатывают персональные данные
- Оцените, какой контент генерируется AI и публикуется
Документация
- Разработайте внутреннюю политику использования AI
- Обновите политику конфиденциальности — укажите использование AI для обработки данных
- Подготовьте согласия на обработку данных с помощью AI (где требуется)
- Документируйте процессы принятия решений с участием AI
Техническая реализация
- Внедрите систему маркировки AI-контента
- Настройте логирование AI-решений для аудита
- Обеспечьте возможность human-in-the-loop для систем высокого риска
- Проверьте трансграничную передачу данных при использовании зарубежных AI-сервисов
Обучение
- Проведите обучение сотрудников по правилам использования AI
- Назначьте ответственного за AI-compliance
- Установите процедуры отчётности и мониторинга
Сравнение с международным регулированием
| Аспект | Россия | ЕС (AI Act) | США |
|---|---|---|---|
| Классификация по рискам | 4 уровня | 4 уровня | Отсутствует единая |
| Маркировка AI-контента | Обязательна с 2026 | Обязательна с 2025 | Добровольная |
| Штрафы | До 18 млн руб. | До 35 млн евро | Зависит от штата |
| Сертификация | Для высокого риска | Для высокого риска | Секторальная |
| Подход | Риск-ориентированный | Риск-ориентированный | Секторальный |
Что ожидать в ближайшем будущем
До конца 2026 года ожидается принятие нескольких подзаконных актов, детализирующих требования к AI-системам в конкретных отраслях. Готовятся стандарты ГОСТ для AI-систем, гармонизированные с международными (ISO/IEC 42001). Обсуждается создание единого реестра AI-систем, аналогичного реестру операторов персональных данных.
Для бизнеса ключевое правило — не ждать окончательного регулирования, а начинать compliance уже сейчас. Компании, которые заранее выстроят прозрачные процессы использования AI, получат конкурентное преимущество и избегут штрафов при ужесточении контроля.
Полезные ресурсы
- ai.gov.ru — официальный портал по AI в России
- Роскомнадзор — разъяснения по персональным данным и AI
- Ассоциация «Искусственный интеллект» — отраслевые стандарты и практики
- Сколково AI — программы поддержки AI-стартапов