Искусственный интеллект уже здесь и он повсюду: от производственных линий трубопрокатных заводов до брейнрот-контента в вашей ленте. С вами снова Михаил Семенов, ведущий юрисконсульт Cloud.ru и человек, который 6 лет прослужил в прокуратуре.

Сегодня предлагаю обсудить слона в комнате, а именно: что вам будет с точки зрения закона, если AI, который вы разрабатываете или закупаете для своей компании, ошибется, некорректно сработает или будет использован для нарушения чужих прав. Ныряйте под кат, там разберем какие правовые документы регулируют это у нас и за рубежом, в какую сторону скорее всего будет развиваться законодательство в сфере AI и что предусмотреть в доке, договорах и регламентах уже сейчас, чтобы потом не пришлось тушить пожары. Постараюсь сильно не грузить и сразу переводить с юридического на человеческий.

Как косячит AI во всем мире и как это решается

В США было несколько громких случаев, где AI причинил вред. В 2018 году автопилот Tesla не заметил грузовик — водитель погиб. Суд решил, что Tesla не виновата, потому что водитель должен был взять на себя управление после предупреждений системы. А в 2023 году рекрутинговый AI Amazon поймали на дискриминации женщин при найме: алгоритм скрининга резюме предпочитал мужчин, поскольку их было больше в обучающей выборке. Компании пришлось отключить систему, что впрочем не уберегло их от другого иска за дискриминацию (но это совсем другая история). Поскольку AI не является самостоятельным «субъектом права», то в случае причинения вреда в результате использования AI, суды ищут вину людей — разработчиков или пользователей.

В январе 2025 года FTC (Федеральная торговая комиссия США) опубликовала запись в блоге о рисках AI для потребителей, напоминая, что действующие законы (например, Section 5 FTC Act, запрещающий недобросовестные практики) относятся и к AI/ML-инструментам. Хоть запись в блоге и не обладает юридической силой, игнорировать такие рекомендации рискованно. Итак, за что же FTC может наказать штрафом или требованием изменить/отозвать продукт с рынка:

• Обман потребителей. AI не должен давать ложную информацию, например, приписывать людям несуществующие долги и предлагать «эксклюзивную» скидку, если она на самом деле действует для всех. Если ваш продукт врет — это риск.

• Дискриминация. Алгоритмы не должны ухудшать условия для какой-либо группы людей (например, отказывать в кредитах из-за расы, пола или района проживания). Для этого модель должна быть «прозрачной»: т. е. у суда должна быть возможность проанализировать данные для обучения и результаты тестирования на bias в спорных случаях.

• Нарушение конфиденциальности. AI, работающий с персональными данными, должен соответствовать нормам (например, COPPA для детей). Должна быть возможность проверить, как данные собираются и хранятся.

• Небезопасные решения. В критических сферах (медицина, финансы) AI должен предварительно проходить тесты на ошибки, разумеется такие тесты тоже нужно подробно документировать. 

В Европе все чуть более однозначно, там действует AI Act — закон об искусственном интеллекте. Он делит системы по уровню риска: 

• Запрещенные (например, социальный скоринг). Системы, которые массово оценивают людей по степени «благонадежности» на основе их социальных связей, политических взглядов, района проживания, покупок или перемещений, а также системы прогнозной аналитики для карательных целей попадают под полный запрет. Штраф за нарушение до €35 млн или 7% глобального оборота.

• Высокорисковые (медицина, транспорт) — требуют проверок от разработчиков и компаний, которые внедряют такие системы. Конкретные требования зависят от типа AI. Если немецкая больница использует продукт для диагностики рака, разработчик (например, французский стартап) должен доказать, что AI в нем безопасен, а сама больница обязана следить, чтобы врачи правильно его применяли. Если продукт попадет на рынок и будут выявлены нарушения, виновника ждут штрафы до €15 млн или 3% оборота.

• Низкого риска (чат-боты) — почти не регулируются. Поскольку обычно ответы чат-ботов носят индивидуальный характер, а сами боты не влияют на принятие решений. Однако, если низкорисковый AI поймают на нарушении общих законов, отвечать все-таки придется. Так, например, в Финляндии и Германии были случаи, когда компании оштрафовали за неправильное хранение персональных данных. 

В Китае дела обстоят интереснее всего: здесь еще в 2021 году приняли закон «Об управлении алгоритмическими рекомендациями», а позднее и «Временные правила регулирования услуг генеративного искусственного интеллекта». Их суть — жесткий контроль, но поддержка технологического развития. Первый предписывает алгоритмам не навязывать пользователям контент без их согласия, требует, чтобы была возможность отключить персонализацию и запрещает ценовую дискриминацию через AI (например, завышение цен для «лояльных» клиентов). Второй — требует маркировать контент, сгенерированный AI, запрещает использовать для обучения моделей нелегально полученный контент и предусматривает наказание за распространение фейковых новостей. 

Однако у медали прогресса есть обратная сторона и имя ей «социальный кредит», это госсистема оценки граждан и компаний по поведению (налоги, нарушения, соцактивность). Низкий рейтинг влечет запрет на покупку билетов, устройство детей в престижные школы. Высокий — дает право на льготы (например, скидки на ЖКХ).

А что у нас? 

Начнем издалека. В России пока нет какого-то отдельного закона об искусственном интеллекте, и ответственности за ущерб, причиненный в результате его использования, но по классике обратимся к общим видам юридической ответственности:

1. Гражданская (имущественная). Такая ответственность зачастую выражается во взыскании ущерба, убытков и компенсации с нарушителя прав. 

2. Административная. Наступает за нарушения ряда правил и требований, установленных государством (нарушение ПДД, несоблюдение СанПина,  нарушение миграционных правил и т. д.). К административной ответственности может быть привлечен как человек, так и организация, зачастую выражается в назначении штрафа, лишения специального права (например права вождения автомобилем), приостановления деятельности организации. 

3. Уголовная. К уголовной ответственности всегда привлекается конкретный человек (а не организация в целом), и наступает она за нарушение особо охраняемых законом прав — причинения вреда жизни и здоровью, преступлений против общественной безопасности и государства (экономика тоже считается).

В рамках каждой из этих сфер AI может выступать орудием преступления, объектом спора или источником правовых рисков и наказание будет выноситься на общих основаниях в зависимости от сферы правонарушения. В редких случаях AI может выступать и инструментом расследования: видел экзотический кейс из Челябинска, где общедоступная нейросеть использовалась как вспомогательное средство для отождествления личности в деле о похищении банковской карты. Там похититель попал на камеру «умного домофона», оперуполномоченный прогнал стоп-кадр через нейросеть и нашел страницу предполагаемого правонарушителя в ВК. Оценив другие доказательства по делу (алиби, данные с камеры банкомата и т. д.), суд доказал вину подозреваемого.

Теперь к примерам дел, связанных с AI и ML, начнем с гражданской ответственности. Помните ролик с Киану Ривзом и утюгом? Суть такова: продакшн-команда использовала дипфейк для создания юмористического ролика, другая компания решила, что дипфейки не являются объектом авторского права, а значит их можно использовать в своей рекламе. Суд не согласился и взыскал компенсацию в 500 000 рублей за использование чужого видео. Технологию дипфейк в данном случае признали дополнительным инструментом обработки, а не способом создания материала, материал создан творческим трудом авторов, а значит авторским правом охраняется. 

Еще один случай из области гражданского права не про ошибки, но он демонстрирует как AI может неожиданным образом истончить грань между личным и общественным. Итак, девушка купила 18 видеокарт, чтобы использовать их для обучения игрового бота в видеоигре, но в итоге захотела расторгнуть договор купли-продажи, за чем и обратилась в суд. Суд изучил вопрос и пришел к выводу, что на самом деле оборудование приобреталось не для собственных нужд (любительского геймдева), а с целью извлечения прибыли (для последующей продажи ботов или майнинга). Это значит, что случай не попадает под закон «О защите прав потребителей», а регулируется Гражданским кодексом РФ, поэтому иск удовлетворили лишь частично: обязали продавца вернуть деньги за товар ненадлежащего качества плюс процент за пользование чужими денежными средствами, но вот другими своими правами истица воспользоваться не смогла: такими как повышенная неустойка за нарушения прав потребителей и выплата штрафа за отказ добровольно удовлетворить требования потребителя. 

А что насчет уголовной и административной ответственности? Тут все тоже интересно. 

Первый случай связан с использованием робота-коллектора. Банки использовали голосовых ботов для звонков должникам. Роботы вели диалог, как живые операторы, но формально это были автоматизированные системы. Возник вопрос: считать такие звонки «непосредственным взаимодействием» (что строго регулируется) или просто «голосовыми сообщениями» (где правил меньше). Суд решил, что раз робот поддерживает диалог, реагирует на ответы и пытается получить обратную связь, это приравнивается к прямому общению, ведь для должника нет разницы во взаимодействии. Как итог банки были привлечены к административной ответственности за нарушения законодательства роботом-коллектором. 

С дипфейками, однако, все не так однозначно: в рекламе они уже используются  довольно успешно и без правовых проблем, хоть в настоящий момент специального регулирования технологии дипфейков в стране не предусмотрено. Тем не менее недавно Верховный Суд РФ указал на то, что использование технологии в агитационных материалах в ходе избирательных кампаний влечет за собой административную ответственность, т.к. в соответствии с п. 1.1 ст. 56 Закона об основных гарантиях избирательных прав «использование вводящих в заблуждение и выдаваемых за достоверные недостоверных изображений, аудио- и аудиовизуальной информации, в т.ч. созданных с помощью компьютерных технологий, влечет административную ответственность по ч. 1 ст. 5.12 КоАП РФ».

Пожалуй, самый грустный кейс, связанный с ошибками искусственного интеллекта, в отечественной судебной практике — это кейс Александра Цветкова. Ярославский ученый-гидролог провел 10 месяцев в СИЗО из-за того, что система распознавания лиц показала 55% совпадение с фотороботом преступника, совершившего серию убийств 20 лет назад. К счастью, невиновность Александра удалось доказать, уголовное преследование в его отношении прекратили, ввиду непричастности. 

Парадоксально, но ни одного приговора суда, связанного с подделкой голоса в делах о телефонных мошенничествах, найти не удалось. Хотя даже мне самому однажды приходило голосовое якобы от коллеги с просьбой одолжить денег. Если меня читают юристы из других компаний, поделитесь  в комментариях реквизитами приговоров, если вам такие дела попадались — будет очень интересно почитать. Могу лишь предположить, что часто в материалах дел не уточняется инструмент, с помощью которого обманывали потерпевших, либо отсутствие обвинительных приговоров связано с невозможностью установить виновника или его нахождением за пределами РФ. 

У вас может возникнуть закономерный вопрос: «То есть выходит, что вопросы AI в правовом поле отдельно никак не регулируются? А если кто-то завтра сделает Скайнет?». Ну, не совсем: в  РФ c 2020 года действует Федеральный закон «Об экспериментальных правовых режимах». Он имеет комплексный характер, т. е. распространяется на все сферы права, но в первую очередь на административное. Статьей 18.1 этого закона устанавливается ответственность за причинение вреда в результате использования решений с применением технологий искусственного интеллекта: 

Формулировка выглядит довольно расплывчато, но давайте не забывать, что ЭПР — это по сути «песочница», а данная статья ФЗ — «рамка», которая позволяет в ней играть. Его цель протестировать новые регуляторные подходы без изменения отраслевых кодексов. 

Участие в ЭПР добровольное, но после вступления в режим соблюдение его правил обязательно, поэтому такой рамочный закон должен покрывать спорные случаи причинения вреда, в результате применения AI-технологий. Скорее всего закон обрастает судебной практикой и формализуется во что-то более конкретное. Давайте разберемся, что понятно уже сейчас.

• Субъект ЭПР несет ответственность за «Вред, причиненный жизни, здоровью или имуществу человека либо имуществу юридического лица при реализации ЭПР, подлежит возмещению лицом, причинившим вред, в соответствии с гражданским законодательством». 

• Если вред причинен ИИ, создается комиссия для расследования, которая может рекомендовать: изменить условия ЭПР, приостановить работу субъекта ЭПР или взыскать ущерб через суд.

• Комиссия должна формироваться регулирующим органом, который курирует направление эксперимента. То есть для медицинского AI — Минздрав, для беспилотников — Минтранс, для финансовых решений — Банк России.

• Комиссия формируется из (ч. 2 ст. 18.1) обязательных участников (представители регулирующего и уполномоченных органов), а также из дополнительных, среди которых участники ЭПР, представители госорганов, профильных сообществ, пострадавшей стороны и независимые эксперты.

Практики по ФЗ-258, где был бы вред причиненный участником экспериментального режима пока нет

Какие законы скорее всего примут в ближайшие годы

Теперь давайте немного поспекулируем и попробуем предсказать, в какую сторону будет двигаться законодательство в сфере AI в РФ и в мире в ближайшие годы. Основываться будем на трендах, которые прослеживаются в правовых документах США, Китая и Евросоюза. 

С высокой долей вероятности документирование для AI станет обязательным, по крайней мере в таких сферах как медицина и финансы. От разработчиков потребуют фиксировать, какие данные использовались для обучения и какие алгоритмы лежат в основе модели/сервиса. В общем для закона важно, чтобы процесс принятия решений искусственным интеллектом стал прозрачным. В случае судебных разбирательств это поможет установить виновного. 

Скорее всего появится страхование AI-рисков, например, что-то вроде ОСАГО для беспилотников или отдельных пунктов в полисах ДМС, оговаривающих применение AI. 

Почти наверняка для медицины будут запрещены неинтерпретируемые модели (ака «Черные ящики»), по крайней мере FDA уже блокирует непрозрачные медицинские модели. Та же ситуация касается госсектора: если невозможно будет установить как AI пришел к выводу, например, не дать социальное пособие определенному человеку, то и оспорить такое решение будет сложно. Думаю, такую ситуацию не допустят, поэтому либо полностью запретят непрозрачные модели в госсекторе, либо предусмотрят дополнительный механизм рассмотрения спорных случаев «на ручнике» человеческими ресурсами. 

Какие изменения могут произойти в отечественном правовом поле? Те же, но с акцентом на цифровой суверенитет. Вангую, что нас ждут: 

• обязательная сертификация AI для госзаказчиков;

• усиление ответственности  за вред, причиненный AI из-за допущенных ошибок. 

Сейчас четких правил для тех, кто не участвует в ЭПР, нет, но когда они появятся — только вопрос времени. 

Что делать уже сейчас

Если вы разработчик и создаете сервисы на базе AI для своей компании или в качестве подрядчика для другого бизнеса, лучше уже сейчас начать потихоньку внедрять следующие практики, потому что когда-нибудь экспериментальные режимы станут обязательными или перестанут быть экспериментальными, перестроиться резко будет довольно сложно. В особенности эти рекомендации касаются любых продуктов вокруг госсектора, медицины и транспорта. 

Зафиксируйте официально все, что можно: 

• цель сервиса, функции, ограничения;

• предполагаемую категорию риска (запрещенный / высокий / ограниченный / минимальный) — это обязательно для тех, кто разрабатывает свои продукты в странах EC, для РФ точные критерии пока не установлены;

• если сервис использует AI (например, чат-бот или генеративный AI), пользователи должны об этом знать, пропишите это в документации или предусмотрите дисклеймер в UI.

В технической документации прописывайте:

• архитектуру модели, алгоритмы, данные обучения/валидации/тестирования;

• метрики точности, устойчивости к ошибкам, смещения;

• для данных указывайте источники, методы очистки, репрезентативность (например, для кредитного скоринга). 

Если используются персональные данные, то, надеюсь, все в курсе, что храниться они должны в соответствии со 152-ФЗ? Если вы предпочитаете не влезать в историю с допиливанием инфраструктуры до соответствия всем требованиям и пользуетесь услугами сторонних провайдеров, запросите у них документы подтверждающие соответствие: 152-ФЗ, 187-ФЗ, PCI DSS, ISO. Также должны быть лицензии Роскомнадзора и ФСТЭК. Платформенные сервисы должны быть аттестованы. Вот у нас, например, все это есть. 

Оценивайте потенциальные угрозы, например, дискриминации в HR-AI, имейте план, как реагировать на инциденты и предусмотрите человеческий контроль как финальную линию отбора. Например, согласно ТК РФ при принятии решения, затрагивающего интересы работника, не допускается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки. Автоматизированные системы не могут отказывать в приеме на работу по признакам пола, возраста, расы, религии и другим дискриминиционным критериям. Если алгоритм использует эти данные, например, отсеивает всех кандидатов старше 40, это может быть признано нарушением. И хотя рекомендовать определенных кандидатов система может, финальное решение всегда должен принимать человек. 

Прямо указывайте в Terms & Conditions к сервису кому и для каких целей его использовать запрещается и на ком лежит ответственность, например, за содержание сгенерированного контента. Вот как это реализовано у Fusion Brain: 

Что предусмотреть в договоре, если вы заказали разработку кастомного сервиса на базе AI для своей компании? 

Прежде всего необходимо четко прописать предмет разработки с требованиями к качеству и прозрачности алгоритмов, гарантии легальности используемых данных в соответствии со 152-ФЗ и законодательством об интеллектуальной собственности, а также передачу прав на  результаты заказчику. Важно закрепить обязательства по соответствию текущему законодательству, включая запрет дискриминации по ТК РФ, и предусмотреть механизм адаптации сервиса под будущие изменения регулирующих документов. Договор должен включать этапы приемки с тестированием на дискриминацию и уязвимости, требования к документации, условия послепродажной поддержки и дообучения моделей, а также распределение ответственности за возможные нарушения. Вот пример формулировок, которые можно использовать в договоре: 

1.1. Исполнитель гарантирует, что разрабатываемый AI-сервис не использует персональные данные без согласия субъектов (ст. 9 152-ФЗ) и не содержит дискриминирующих алгоритмов (ст. 3 ТК РФ).  

1.2. В случае принятия в РФ нового закона относительно регулирования AI, Исполнитель обязуется в течение [X] дней доработать сервис для соответствия новым требованиям за дополнительную плату.  

1.3. Все права на ИИ-модель, исходный код и данные передаются Заказчику после полной оплаты.

В комментах можно покидать ссылки на интересные юридические коллизии, связанные с AI (я их коллекционирую), пожаловаться на глюки сервисов и через 5-7 лет подвести итог, сбылись ли мои прогнозы.