редакции
У закона об ИИ осталось 8 недель: что бизнес не успеет сделать потом
Если закон пройдёт в текущем виде, с 1 сентября 2027 года правила работы с ИИ изменятся для всех, кто его разрабатывает, внедряет или эксплуатирует на территории России. Ниже — не пересказ норм, а то, что из этих норм следует практически.
8 недель до голосования: почему время на подготовку уже заканчивается
Принятие рамочного закона — не финальная точка. Параллельно разрабатывается около семнадцати подзаконных актов: постановления Правительства, которые определят конкретные требования к каждой категории ИИ-систем. Их плановое принятие — первая половина 2027 года.
Логика «подождём ясности» здесь не работает. Когда ясность появится, требования уже вступят в силу. Компании, которые начнут разбираться с договорной архитектурой, аудитом процессов и оценкой иностранных инструментов после принятия подзаконных актов, обнаружат, что переходный период уже заканчивается.
Закон регулирует кирпичи, а не здания — и это создаёт конкретный правовой риск
Центральный конструктивный дефект законопроекта — предмет регулирования. Документ устанавливает требования к моделям ИИ: где обучены, кем созданы, на каких данных. Именно от этого зависит, получит ли система статус «суверенной», «национальной» или «доверенной».
Проблема в том, что модель сама по себе никому не причиняет вреда. Вред причиняет система, в которую модель встроена, и решение, которое эта система принимает. Скоринговый алгоритм, отказывающий в кредите по дискриминационному признаку, — это не модель, это сервис. Медицинский классификатор, поставивший ошибочный диагноз, — это не веса нейросети, это продукт.
Евросоюз и Китай регулируют системы применения: конкретные сервисы в конкретных контекстах. Российский законопроект требует сертифицировать компоненты — до того, как они встроены в продукт и до того, как причинили вред. Практическое следствие: компании с «правильным» происхождением модели формально соответствуют закону, даже если их продукт дискриминирует пользователей. Компании с «неправильным» происхождением несут регуляторную нагрузку независимо от безопасности своего продукта.
Распределённая ответственность — это не защита, а ловушка для договорных отношений
Законопроект описывает цепочку ответственности за вред, причинённый ИИ: разработчик модели → оператор системы → владелец сервиса → пользователь. Ответственность распределяется «соразмерно степени вины каждого».
Звучит справедливо. На практике это означает следующее: если ваш бизнес использует чужую ИИ-платформу и через неё клиенту причинён вред, вы, как владелец сервиса, входите в эту цепочку. Вы несёте ответственность за то, что не разрабатывали и не можете полностью контролировать.
Большинство действующих договоров с вендорами ИИ-решений писалось в логике стандартного программного продукта — с максимальным ограничением ответственности поставщика. Закон создаёт внешнюю норму, которая перераспределяет риски независимо от того, что написано в договоре. Пересматривать их нужно сейчас — пока поставщики сами не переложили риски на клиентов в новых редакциях своих стандартных форм.
Иностранный ИИ в рабочих процессах: риск существует уже сегодня
Законопроект вводит категорию «трансграничных технологий ИИ» — систем, обрабатывающих данные российских пользователей за пределами России. Прямого запрета для частных пользователей в тексте нет. Но для компаний, работающих с госсектором или объектами критической информационной инфраструктуры, использование иностранных ИИ-систем прямо ограничивается.
Это важно не только в контексте будущего закона. Компания, которая сегодня пропускает через иностранный ИИ-сервис клиентские данные или внутренние документы, уже сейчас может нарушать действующие нормы о локализации данных и требования отраслевых регуляторов — вне зависимости от того, принят закон об ИИ или нет. Новый закон сделает эту ситуацию измеримой и публичной.
«Суверенный ИИ» — это про госзакупки, а не про безопасность
Категория «суверенных» моделей в публичном дискурсе подаётся как инструмент технологической независимости. По существу — это механизм сегментации рынка государственных закупок.
Статус суверенного оператора открывает доступ к госконтрактам и льготам. Это понятная политика поддержки отечественных разработчиков. Но отождествлять «суверенное» с «безопасным» — юридически некорректно. Суверенная модель, обученная на российских данных российскими гражданами, может иметь ровно те же проблемы с дискриминационными алгоритмами или генерацией вредоносного контента, что и любая другая. Требования к суверенности описывают происхождение, а не качество.
Для компаний, которые не работают с госсектором, гонка за этим статусом лишена практического смысла.
Что нужно сделать до того, как закон пройдёт первое чтение
До конца весенней сессии — около восьми недель. Именно сейчас, пока текст ещё обсуждается и поправки возможны, бизнес имеет возможность формировать позицию через отраслевые ассоциации. После принятия закона эта возможность закроется — останется только адаптация.
Параллельно есть четыре вещи, которые не зависят от финального текста.
— Инвентаризация. Зафиксировать, где в бизнес-процессах используется ИИ, в каком качестве и чьи данные при этом обрабатываются. Это не ИТ-задача — это юридическая карта рисков.
— Договорная ревизия. Соглашения с вендорами ИИ-решений, операторские условия, пользовательские лицензии — все они написаны в логике, которую новый закон меняет.
— Оценка иностранных инструментов. Не «заблокируют или нет», а «создаёт ли их использование уже сейчас измеримый регуляторный риск для конкретного бизнеса».
— Мониторинг подзаконных актов. Около семнадцати правительственных постановлений, которые выйдут в 2027 году, важнее основного текста закона. Именно в них будут требования по отраслям.
До 26 июля закон либо пройдёт первое чтение, либо уйдёт в осеннюю сессию. Если пройдёт — следующие события будут развиваться быстро. Те, кто начнёт готовиться сейчас, окажутся в принципиально другой позиции, чем те, кто будет разбираться постфактум.
ADVOLAW специализируется на правовом сопровождении бизнеса в сфере цифрового права и новых технологий. Разбор конкретной ситуации — @antonpulyaev