[ Комплаенс ]

GDPR и Закон ЕС об ИИ:Чек-лист по ИИ-инфраструктуре

Что два взаимосвязанных регламента реально требуют от инфраструктуры, на которой работает ваш ИИ, — и чек-лист для проверки вашего стека.

2 апреля 2026 г.11 мин чтенияОбновлено 18 июня 2026 г.

Два регламента регулируют развёртывание ИИ, затрагивающее субъектов данных ЕС: GDPR, который регулирует персональные данные, и Закон ЕС об ИИ, который регулирует системы ИИ по уровню риска. Они пересекаются. Это руководство отсекает юридический текст от того, что они реально требуют от вашей инфраструктуры, — и предоставляет чек-лист для проверки развёртывания на соответствие обоим.

Не юридическая консультация

Это инженерно-операционный чек-лист, а не юридическая консультация. Он предназначен для поддержки работы по обеспечению соответствия и выявления вопросов, на которые должны ответить ваш DPO и юрисконсульт, — сам по себе он не делает ни одну организацию соответствующей требованиям.

ОриентацияДва регламента, один стек

Полезно чётко разграничить задачи двух регламентов, а затем посмотреть, где они пересекаются на вашей инфраструктуре.

GDPRЗакон ЕС об ИИ
РегулируетОбработку персональных данныхСистемы ИИ по уровню риска
Ключевой вопросЗаконны ли эти данные, минимизированы ли они, защищены ли?Насколько рискованна эта система ИИ и какие средства контроля применяются?
Требования к инфраструктуреЛокализация, контроль доступа, шифрование, удалениеПрозрачность, ведение журналов, надзор человека, надёжность
ПересечениеОба требуют ведения журналов аудита, управления данными и безопасности по умолчанию

GDPRЧто GDPR требует от вашей инфраструктуры

GDPR основан на принципах, однако ряд принципов напрямую транслируется в требования к инфраструктуре:

  • Законность и ограничение цели — вы можете назвать правовое основание и цель для каждой категории данных, обрабатываемых ИИ.
  • Минимизация данных — система извлекает и предоставляет модели только данные, необходимые для задачи; PII маскируются там, где они не нужны.
  • Безопасность обработки (ст. 32) — шифрование при передаче и в состоянии покоя, контроль доступа, изоляция арендаторов и возможность их демонстрации.
  • Ограничение хранения и удаление — данные могут быть удалены по запросу и по истечении срока хранения, в том числе из векторных хранилищ и журналов.
  • Записи и подотчётность — вы можете предоставить реестр операций обработки и продемонстрировать средства контроля, а не просто декларировать их.
  • Трансграничные передачи — там, где данные покидают ЕС (например, через закрытый API), действуют надлежащий механизм передачи (например, SCC) и оценка рисков передачи.
Локализация настраивается, изоляция — нет

GDPR вознаграждает за хранение данных в известной юрисдикции с чётким правовым основанием. Архитектура, которая привязывает инференс к выбранному региону — ЕС или on-premise — и обеспечивает изоляцию арендаторов по архитектуре, значительно упрощает обоснование соответствия GDPR.

GDPRКогда необходима DPIA

Оценка воздействия на защиту данных требуется там, где обработка, вероятно, создаёт высокий риск для физических лиц, — а масштабная обработка персональных данных с помощью ИИ нередко именно такова. DPIA документирует обработку, оценивает необходимость и соразмерность, анализирует риски и фиксирует меры их снижения. Рассматривайте её как артефакт, который связывает средства контроля инфраструктуры с юридическим требованием.

Закон ЕС об ИИУровни риска и их требования

Закон ЕС об ИИ классифицирует системы по риску и устанавливает обязательства соответственно. Уровень, к которому относится ваш сценарий использования, определяет тяжесть требований к инфраструктуре:

Уровень рискаПримерыКлючевые обязательства
НеприемлемыйСоциальный скоринг, манипулятивные системыЗапрещено
Высокий рискСистемы, влияющие на доступ к трудоустройству, кредитованию, основным услугам, правосудиюУправление рисками, управление данными, ведение журналов, надзор человека, точность и надёжность, техническая документация
Ограниченный / прозрачностьЧат-боты, генеративный контентРаскрытие того, что пользователи взаимодействуют с ИИ / что контент сгенерирован ИИ
МинимальныйБольшинство других приложенийДобровольные кодексы поведения

Большинство ИИ общей производительности относится к ограниченному или минимальному уровню, где главная обязанность — прозрачность. Но как только система влияет на решение о человеке — найме, кредитовании, праве на услугу — применяются обязательства высокого риска, и ваша инфраструктура должна обеспечивать ведение журналов, прослеживаемость и возможность надзора человека.

Чек-листЧек-лист по ИИ-инфраструктуре

Данные и локализация

  • Инференс и хранение привязаны к известной, задокументированной юрисдикции.
  • Персональные данные минимизированы, а PII маскируются до того, как достигнут модели там, где они не нужны.
  • Данные могут быть удалены по запросу и по истечении срока хранения — в том числе из векторных хранилищ и журналов.

Безопасность и доступ

  • Шифрование при передаче (TLS 1.3) и в состоянии покоя (AES-256) с задокументированным управлением ключами.
  • Изоляция арендаторов и ролей применяется в слое поиска, а не только в интерфейсе.
  • Трансграничные передачи охвачены надлежащим механизмом и оценкой рисков передачи.

Прозрачность, ведение журналов и надзор

  • Пользователям сообщается, когда они взаимодействуют с системой ИИ или контентом, сгенерированным ИИ.
  • Каждое взаимодействие с ИИ неизменно регистрируется с достаточной детализацией для восстановления произошедшего.
  • Для высокорисковых применений существуют путь надзора человека и техническая документация.

Управление и документация

  • DPIA существует там, где обработка сопряжена с высоким риском.
  • Подписанный DPA заключён с каждым обработчиком; BAA — там, где задействованы данные о здоровье.
  • Реестр операций обработки и матрица средств контроля доступны для проверки.
Связанное →Узнайте, как эти средства контроля реализованы в нашем Центре доверия, или ознакомьтесь с руководством по развёртыванию для юридических фирм.
[ FAQ ]

Часто задаваемые вопросы

Заменяет ли Закон ЕС об ИИ GDPR?

Нет. Они дополняют друг друга. GDPR регулирует обработку персональных данных; Закон ЕС об ИИ регулирует системы ИИ по уровню риска. Развёртывание ИИ, затрагивающее персональные данные ЕС, должно соответствовать обоим: GDPR — в части данных, Закону об ИИ — в части системы. Они пересекаются в требованиях к ведению журналов, управлению данными и безопасности по умолчанию.

Нужна ли мне DPIA для системы ИИ?

Оценка воздействия на защиту данных требуется по GDPR там, где обработка, вероятно, создаёт высокий риск для физических лиц, — что нередко справедливо для масштабной обработки персональных данных с помощью ИИ. DPIA документирует обработку, оценивает необходимость и соразмерность, анализирует риски и фиксирует меры их снижения.

Что делает систему ИИ высокорисковой по Закону ЕС об ИИ?

Системы, влияющие на доступ к трудоустройству, кредитованию, основным услугам или правосудию, классифицируются как высокорисковые. Они несут обязательства, включая управление рисками, управление данными, ведение журналов, надзор человека, точность и надёжность, а также техническую документацию. Большинство ИИ общей производительности относится к ограниченному (прозрачность) или минимальному уровню.

Делает ли хранение данных ИИ в ЕС меня соответствующим требованиям?

Ни одно отдельное средство контроля не обеспечивает соответствия. Привязка инференса и хранения к известной юрисдикции ЕС существенно поддерживает обоснование GDPR в части локализации и передачи и упрощает доказательство соответствия, однако вам по-прежнему нужен полный набор средств контроля — минимизация, безопасность, ведение журналов, удаление, управление и соответствующие обязательства по Закону об ИИ.

[ Поговорите с нами ]

Внедрите приватный ИИ в свою регулируемую нагрузку

Мы проведём вашу команду по архитектуре, договорам и средствам контроля — исходя из ваших реальных требований, а не из шаблонной презентации.

Запросить предложениеЦентр доверия