Регулирование использования искусственного интеллекта в Европейском союзе развивается в условиях уже существующего и устоявшегося режима защиты персональных данных. Базовым нормативным актом в этой сфере продолжает оставаться Общий регламент ЕС по защите данных 2016/679 (далее — GDPR), который распространяется на обработку персональных данных независимо от применяемых технологий, включая автоматизированную обработку.
Принятие Регламента ЕС 2024/1689 от 13 июня 2024 года, устанавливающего гармонизированные правила в сфере искусственного интеллекта (далее — AI Act), не пересматривает этот подход. В преамбуле регламента прямо указано, что он применяется без ущерба для действующего права Союза, включая право о защите персональных данных, и не направлен на изменение применения законодательства, регулирующего обработку персональных данных.
Вместе с тем широкое внедрение ИИ-систем оказывает влияние на правовое регулирование защиты персональных данных не только через вопросы правоприменения, но и через формирование повестки законодательного уточнения и последующей «донастройки» действующих правил. Это, в частности, проявляется в том, что в рамках развития и совершенствования регулирования ИИ на уровне ЕС прямо поднимаются вопросы, связанные с обработкой персональных данных, включая специальные категории, для целей выявления и устранения алгоритмической предвзятости (bias), а также для обеспечения соблюдения требований о недискриминации и управлении рисками.
В этом контексте вопросы, формально урегулированные GDPR, приобретают иное значение именно как предмет последующего уточнения и адаптации регулирования. Массовое профилирование, повторное использование данных для обучения моделей, формирование характеристик и выводов, не предоставленных субъектом данных напрямую, а также масштабируемость автоматизированных решений формируют устойчивый запрос на нормативную конкретизацию допустимых режимов обработки и соответствующих гарантий.
Далее мы рассмотрим ключевые точки, в которых использование ИИ стимулирует необходимость уточнения и развития регулирования защиты персональных данных в ЕС, а также сопоставим, какие элементы аналогичной повестки в явном или зачаточном виде присутствуют в российском праве.
Искусственный интеллект и «точки напряжения» в конструкции GDPR
Использование ИИ-систем в обработке персональных данных не создает новых институтов в праве ЕС, однако делает практически значимыми те элементы регулирования, которые изначально закладывались в GDPR как универсальные и технологически нейтральные. В условиях массового применения ИИ именно эти элементы становятся объектом последующего уточнения и потенциальной корректировки.
Автоматизированное принятие решений и профилирование
Одним из ключевых узлов напряжения остается автоматизированное принятие решений и профилирование. GDPR изначально исходит из того, что обработка персональных данных может осуществляться в автоматизированном режиме, включая профилирование, однако вводит специальные гарантии для случаев, когда решения, имеющие правовые последствия или иным образом существенно затрагивающие субъекта данных, принимаются исключительно на автоматизированной основе (статья 22 GDPR).
На практике ИИ-системы существенно расширяют сферу применения этих положений. Речь идет не только о классических сценариях кредитного скоринга или оценки благонадежности, но и о системах рекомендаций, ранжирования, оценки рисков и поведенческого анализа, которые формально могут не подпадать под прямые запреты статьи 221, но фактически влияют на доступ к услугам, возможностям и ресурсам. Это создает устойчивый запрос на более четкое разграничение допустимых и недопустимых форм автоматизированного воздействия на субъектов данных в контексте ИИ.
Целевое ограничение и повторное использование данных
ИИ также обостряет проблему целевого ограничения обработки персональных данных (purpose limitation). GDPR допускает дальнейшую обработку персональных данных для целей, совместимых с первоначальными, однако именно в ИИ-контексте границы такой совместимости становятся размытыми.
Обучение моделей на исторических наборах данных, повторное использование ранее собранной информации и агрегирование данных из различных источников ставят под вопрос традиционное понимание целей обработки, сформулированных на момент сбора данных. В результате возникает необходимость нормативного уточнения критериев допустимости использования персональных данных для обучения и дообучения ИИ-систем, в том числе в тех случаях, когда такие данные первоначально собирались для иных целей.
Формирование выводов и характеристик, не предоставленных субъектом данных
Отдельного внимания заслуживает вопрос данных, которые не предоставляются субъектом напрямую, а формируются в результате анализа и обработки информации ИИ-системами. Речь идет о выводах, оценках, прогнозах и характеристиках, относящихся к конкретному лицу, но полученных в результате алгоритмической обработки.
GDPR формально охватывает такие данные в рамках широкого определения персональных данных, однако не содержит специальных правил, учитывающих специфику их формирования и использования. В условиях ИИ именно эти категории информации становятся источником повышенных рисков для прав субъектов данных, включая риски предвзятости, дискриминации и непрозрачности обработки. Это, в свою очередь, подталкивает законодателя к обсуждению необходимости дополнительных гарантий и требований к прозрачности таких процессов.
Оценка рисков и обязанность проведения такой оценки
Наконец, ИИ усиливает значение оценки воздействия на защиту данных (Data Protection Impact Assessment, DPIA)2. GDPR уже предусматривает обязанность проведения DPIA в случаях обработки, которая с высокой вероятностью влечет высокий риск для прав и свобод физических лиц.
Масштабируемость ИИ-систем, использование больших массивов данных и автоматизированный характер принятия решений делают проведение DPIA не исключением, а практически стандартной процедурой для многих ИИ-проектов. Это, в свою очередь, ставит перед законодателем вопрос о необходимости более детальной нормативной конкретизации критериев риска и содержания таких оценок применительно именно к ИИ-сценариям.
AI Act и уточнение подходов законодательства к защите персональных данных
AI Act не пересматривает и не заменяет режим защиты персональных данных, установленный GDPR. Вместе с тем его конструкция и используемые в нем регуляторные инструменты наглядно демонстрируют, в каких именно точках законодатель ЕС исходит из недостаточности общих норм GDPR для управления рисками, возникающими при использовании ИИ-систем.
Риск-ориентированный подход и связь с защитой персональных данных
В основе AI Act лежит риск-ориентированная модель регулирования, в рамках которой ИИ-системы классифицируются в зависимости от уровня риска для охраняемых прав и интересов. При этом в числе таких интересов прямо названы основные права и свободы человека, включая право на защиту персональных данных и недискриминацию.
Для ИИ-систем, отнесенных к категории высокого риска, AI Act устанавливает комплекс требований, значительная часть которых фактически направлена на минимизацию рисков, традиционно относимых к сфере защиты персональных данных. Речь идет, в частности, о требованиях к управлению данными, качеству обучающих наборов, выявлению и устранению предвзятости, документированию процессов и обеспечению надлежащего уровня прозрачности.
Таким образом, хотя формально эти требования адресованы ИИ-системам как объекту регулирования, по своему содержанию они напрямую соприкасаются с задачами защиты персональных данных и дополняют существующие механизмы GDPR.
Обработка специальных категорий персональных данных и предвзятость
Особого внимания заслуживает подход законодателя ЕС к вопросу использования персональных данных, включая специальные категории3, в целях выявления и устранения алгоритмической предвзятости. В рамках регулирования ИИ прямо признается, что без анализа соответствующих данных невозможно обеспечить соблюдение требований о недискриминации и корректности функционирования высокорисковых ИИ-систем.
Именно в этой связи в последующих законодательных инициативах Европейской комиссии, направленных на уточнение и упрощение применения AI Act4, поднимается вопрос о допустимости обработки специальных категорий персональных данных для целей мониторинга, тестирования и коррекции ИИ-систем. Эти предложения не отменяют общих запретов и ограничений GDPR, но указывают на необходимость нормативной конкретизации допустимых оснований и гарантий такой обработки в контексте ИИ.
Управление рисками и перераспределение регуляторных ожиданий
Еще один показательный момент — смещение регуляторных ожиданий в сторону предварительного управления рисками. В AI Act значительное внимание уделяется обязанностям по оценке, документированию и постоянному мониторингу рисков, связанных с функционированием ИИ-систем.
В сочетании с требованиями GDPR о проведении оценки воздействия на защиту данных это формирует более сложную и многоуровневую модель compliance5. Для участников оборота это означает, что вопросы защиты персональных данных в ИИ-проектах все в меньшей степени могут рассматриваться как формальное соблюдение отдельных норм GDPR и все в большей степени требуют системного управления рисками на протяжении всего жизненного цикла ИИ-системы.
AI Act как индикатор дальнейшего развития регулирования
В совокупности AI Act и сопутствующие ему инициативы Европейской комиссии выступают не как альтернатива GDPR, а как индикатор тех направлений, в которых законодатель ЕС видит необходимость дальнейшего уточнения и развития регулирования защиты персональных данных.
Речь идет прежде всего о нормативной конкретизации допустимых режимов обработки данных в ИИ-контексте, об уточнении гарантий недискриминации и прозрачности, а также о согласовании требований к управлению рисками в сфере ИИ с уже существующими инструментами законодательства о защите персональных данных.
Перспективы уточнения регулирования защиты персональных данных в ЕС под влиянием ИИ
Перспектива изменений в сфере защиты персональных данных в ЕС в связи с использованием ИИ на данном этапе проявляется не как пересмотр GDPR, а как его последующее уточнение и развитие через смежное регулирование. Это следует как из структуры AI Act, так и из законотворческих инициатив Европейской комиссии6, направленных на совершенствование порядка его применения.
1) Принцип применения «без ущерба» GDPR и необходимость согласования режимов
AI Act последовательно исходит из сохранения автономии и приоритета права ЕС о защите персональных данных. В его преамбуле прямо указано, что данный регламент не направлен на изменение применения действующего права Союза, регулирующего обработку персональных данных, и применяется без ущерба для действующего законодательства Союза, в частности в области защиты персональных данных.
Эти формулировки имеют принципиальное значение. Они фиксируют, что любое дальнейшее развитие регулирования ИИ в ЕС неизбежно будет осуществляться в границах, заданных GDPR, и что именно нормы о защите персональных данных продолжают играть системообразующую роль при оценке допустимости использования ИИ-систем, если их функционирование предполагает обработку персональных данных.
2) Специальные категории персональных данных и алгоритмическая предвзятость
Одной из ключевых точек будущей нормативной конкретизации является вопрос допустимости обработки специальных категорий персональных данных в целях выявления и устранения алгоритмической предвзятости.
В предложении Европейской комиссии COM(2025) 8367 прямо указывается на необходимость облегчения соблюдения законодательства о защите данных в контексте применения AI Act. В частности, среди предлагаемых мер обозначается возможность обработки специальных категорий персональных данных в строго определенных целях, связанных с выявлением и устранением предвзятости в ИИ-системах, при условии применения надлежащих гарантий.
Тем самым законодатель прямо признает, что обеспечение недискриминации и корректного функционирования высокорисковых ИИ-систем в ряде случаев невозможно без обращения к данным, обработка которых в обычном режиме GDPR подлежит строгим ограничениям. Это не означает ослабления защиты таких данных, но указывает на необходимость более точного нормативного описания допустимых оснований и сопровождающих мер защиты.
3) Согласование регулирования и институционализация разъяснений
Еще одно направление развития связано не столько с изменением материальных норм, сколько с институционализацией согласованных подходов к применению действующего законодательства.
В COM(2025) 836 отдельно подчеркивается необходимость подготовки разъясняющих документов по вопросам взаимодействия AI Act с иными актами права ЕС. В этом контексте прямо упоминается разработка совместных разъяснений Европейской комиссии и Европейского совета по защите данных, посвященных соотношению регулирования ИИ и законодательства о защите персональных данных.
Практическое значение таких разъяснений заключается в том, что именно они, как правило, формируют единообразную линию административной практики и становятся ориентиром для надзорных органов и участников рынка при оценке соблюдения требований GDPR в ИИ-проектах.
4) Управление рисками как базовая модель соблюдения требований
Предлагаемые Комиссией изменения также подчеркивают сдвиг в сторону риск-ориентированной модели комплаенса. В COM(2025) 836 прямо указывается на поэтапное вступление в силу ключевых требований AI Act и на необходимость сопровождать их внедрение стандартами, шаблонами и методическими рекомендациями.
В совокупности это ведет к закреплению подхода, при котором соблюдение требований о защите персональных данных в ИИ-проектах оценивается не только через формальное наличие правового основания для обработки, но и через качество управления рисками, включая документирование, мониторинг и корректировку процессов на протяжении всего жизненного цикла ИИ-системы.
5) Общий вывод для режима защиты персональных данных
Анализ действующих норм и текущих законодательных инициатив позволяет сделать вывод, что развитие регулирования ИИ в ЕС не направлено на замену или пересмотр GDPR. Вместо этого формируется более сложная и дифференцированная модель регулирования, в рамках которой:
- GDPR сохраняет статус базового акта в сфере защиты персональных данных;
- допускается нормативная конкретизация отдельных режимов обработки данных применительно к ИИ;
- усиливается роль согласованных разъяснений и риск-ориентированного подхода.
Именно в этом контексте имеет смысл рассматривать дальнейшие изменения европейского регулирования защиты персональных данных под влиянием искусственного интеллекта.
Российский контекст: асимметричное сопоставление и возможные точки заимствования
Сопоставление европейского подхода и российского регулирования неизбежно асимметрично. В ЕС ИИ «подсвечивает» необходимость нормативной конкретизации режимов обработки данных и гарантий, и эта повестка уже транслируется через смежное регулирование и законотворческие предложения. В России специализированного регулирования ИИ, сопоставимого по масштабу и инструментарию, нет; при этом отдельные элементы, релевантные именно для защиты персональных данных в ИИ-контексте, уже присутствуют — прежде всего в 152-ФЗ8 и в московском эксперименте9.
1) 152-ФЗ: автоматизированные решения уже урегулированы, но узко
Российское законодательство уже содержит прямую конструкцию, близкую по смыслу к европейской проблематике автоматизированных решений.
Статья 16 152-ФЗ устанавливает запрет на принятие решений «на основании исключительно автоматизированной обработки персональных данных», если такие решения «порождают юридические последствия … или иным образом затрагивают его права и законные интересы», за исключением предусмотренных случаев. Разрешенная модель построена вокруг письменного согласия либо прямого указания федерального закона с мерами защиты. Дополнительно закреплена обязанность оператора разъяснить порядок принятия такого решения и его последствия, предоставить возможность заявить возражение и рассмотреть его в 30-дневный срок.
Это важная точка сближения: российский законодатель уже идентифицировал риск исключительно автоматизированных решений как самостоятельный объект гарантий. При этом 152-ФЗ не развивает эту конструкцию в сторону системного риск-управления для ИИ-сценариев (качество данных, предвзятость, документация жизненного цикла), что в ЕС последовательно закрепляется в ИИ-регулировании и сопутствующих инициативах.
Практическая аналогия с ЕС здесь просматривается в следующем: европейская логика движется к тому, чтобы обеспечить не только процессуальные права (возражение, разъяснение), но и управляемость источников риска (данные, тестирование, мониторинг). Российская норма статьи 16 уже создает правовую «рамку эффекта» (запрет/разрешение/возражение), но почти не затрагивает «рамку причины» (почему система принимает решение, и какие свойства данных/модели повышают риск).
2) Московский эксперимент: «данные для ИИ» как самостоятельный предмет регулирования
Федеральный закон от 24.04.2020 № 123-ФЗ10 демонстрирует, что российская повестка ИИ и персональных данных развивается через экспериментальные механизмы, а не через общий режим.
Сам эксперимент устанавливается «в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта», и закон прямо посвящен «особенностям обработки персональных данных» при формировании и использовании региональных составов данных.
Наиболее значимые для темы поста элементы:
- Введенная статья 6.1 описывает формирование «региональных составов данных» как составов данных, полученных в результате обезличивания персональных данных и сгруппированных по определенному признаку, при условии, что последующая обработка «не позволит определить принадлежность … конкретному субъекту». Одновременно установлен запрет на формирование таких составов из данных, указанных в статье 10 152-ФЗ, с оговоренными исключениями, а также из данных статьи 11 152-ФЗ, также с исключениями.
- Уполномоченный орган обязан обеспечивать конфиденциальность, а также уничтожить персональные данные в определенный срок (в тексте — «не превышающий тридцати дней …»), с подтверждением в соответствии с требованиями уполномоченного органа по защите прав субъектов.
- Закон содержит ограничение на предоставление результатов обработки региональных составов данных иностранным субъектам (с исключениями по международному договору, федеральному закону или решению Президента).
- Координационный совет по итогам эксперимента готовит предложения о целесообразности внесения изменений в законодательство РФ.
Смысловая аналогия с ЕС здесь не в совпадении норм, а в выборе «точки приложения»: и ЕС, и РФ фактически пришли к тому, что развитие ИИ неминуемо упирается в доступ к данным, их качество, допустимость повторного использования и гарантии недопущения идентификации.
Разница в том, что европейская траектория оформляется как общая нормативная конструкция риск-управления, а российская — как специализированный режим для отдельных сценариев, где центральным инструментом становится обезличивание и организационная архитектура доступа к данным.
3) Стратегические и этические документы: «обезличивание», доступ к данным и делегирование решений
Указ Президента РФ № 490 (Национальная стратегия развития ИИ)11 прямо включает в задачи такие элементы, как обеспечение доступа разработчиков к данным «на основе модели ‘данные как сервис'», создание механизмов «гарантированного обезличивания и разметки данных» при соблюдении прав обладателей информации, а также разработку правил использования ИИ по вопросам делегирования информационным системам возможности принятия отдельных решений при недопущении нарушений прав и законных интересов граждан.
Кодекс этики в сфере ИИ12, хотя и носит рекомендательный характер, закрепляет рамку “человеко-ориентированного” подхода, недискриминации и оценки рисков применения систем ИИ, включая вопросы данных и методов обработки.
Эти документы сами по себе не создают непосредственной юридической обязанности для участников обработки персональных данных, но фиксируют направление, в котором может появиться нормативная конкретизация.
Что из европейского подхода потенциально применимо в российской логике
С учетом уже имеющихся российских конструкций (статья 16 152-ФЗ и эксперимент 123-ФЗ) европейская повестка может быть полезна не как «копирование», а как набор инструментов, которые закрывают именно те пробелы, которые очевидны в ИИ-контексте.
1) Нормативная конкретизация «управления данными» и качества наборов данных
Российская модель пока опирается на обезличивание и организационный контроль доступа (в эксперименте).
Европейский подход, напротив, последовательно формирует требования к управлению данными и рисками на протяжении жизненного цикла системы. Для российского регулирования потенциально значима сама постановка вопроса: не только «можно ли использовать данные», но и «какие требования к данным и процедурам должны выполняться, чтобы риск был управляемым».
2) Отдельный режим для целей выявления и устранения алгоритмической предвзятости
В ЕС в повестку уже поставлен вопрос об обработке специальных категорий персональных данных для «выявления и устранения предвзятости» при наличии гарантий.
Для российского контекста это может быть полезно как модель: сформулировать допустимые цели и минимальные гарантии обработки (включая специальные категории) именно под задачи контроля недискриминации и качества моделей, а не оставлять эту зону исключительно на уровне этических рекомендаций.
3) Согласованное применение AI Act и GDPR
ЕС прямо обозначает подготовку совместных разъяснений по соотношению ИИ-регулирования и законодательства по защите персональных данных.
В российской модели близким по функционалу механизмом может выступать институциональное оформление результатов эксперимента 123-ФЗ, поскольку координационный совет прямо уполномочен формировать предложения о внесении изменений в законодательство РФ.
Иными словами: если эксперимент рассматривается как «песочница» под ИИ-данные, то следующий шаг — превратить его выводы в единые, проверяемые правила.
4) Расширение логики статьи 16 152-ФЗ от «запрета решения» к «управлению риском решения»
Статья 16 уже задает важные процессуальные гарантии по исключительно автоматизированным решениям.
Европейская логика может быть полезна как ориентир для следующего этапа: дополнить процессуальные права инструментами, которые заранее минимизируют риск возникновения незаконных или дискриминирующих решений (требования к тестированию, мониторингу, документированию).
Заключение
Использование искусственного интеллекта не формирует в Европейском союзе самостоятельного режима регулирования персональных данных и не подменяет собой GDPR. Вместе с тем именно ИИ делает очевидными те пределы и допущения, которые изначально были заложены в GDPR как технологически нейтральные и универсальные. В результате защита персональных данных в ИИ-контексте перестает восприниматься исключительно как вопрос формального соблюдения отдельных норм и все в большей степени рассматривается как задача управления рисками.
Анализ европейского регулирования показывает, что ключевой вектор изменений связан не с пересмотром базовых принципов GDPR, а с их нормативной конкретизацией применительно к новым технологическим сценариям. В фокусе оказываются допустимость повторного использования данных, обращение с данными, формируемыми в результате алгоритмической обработки, обработка специальных категорий персональных данных для целей контроля предвзятости, а также институционализация согласованных разъяснений по соотношению различных элементов цифрового регулирования. Все это указывает на постепенное усложнение режима защиты персональных данных без отказа от его фундаментальных оснований.
Российский контекст в этом отношении развивается по иной траектории. Отсутствие комплексного нормативного акта об искусственном интеллекте компенсируется точечными конструкциями в законодательстве о персональных данных и экспериментальными правовыми режимами. При этом уже существующие нормы, прежде всего в части автоматизированного принятия решений, демонстрируют концептуальную близость к европейской проблематике, но не развиваются в сторону системного управления рисками, характерного для подхода ЕС.
Сравнение этих моделей позволяет сделать вывод, что европейский опыт представляет интерес для российского законодательства не как объект прямого заимствования, а как источник методологических ориентиров. Речь идет о переходе от реактивного контроля последствий обработки персональных данных к предварительной настройке допустимых режимов обработки и гарантий, ориентированных на предотвращение рисков, включая риски дискриминации и непрозрачности решений.
В этом смысле влияние искусственного интеллекта на правовое регулирование защиты персональных данных следует рассматривать не как технологический вызов в узком смысле, а как фактор, стимулирующий эволюцию самого подхода к защите персональных данных. Для правопорядков, находящихся на разных стадиях нормативного развития в этой сфере, это влияние проявляется по-разному, но в обоих случаях оно указывает на необходимость переосмысления роли персональных данных в условиях автоматизированного и масштабируемого принятия решений.
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1–88, Art. 22. ↩︎
- Regulation (EU) 2016/679, Art. 35. ↩︎
- Regulation (EU) 2016/679, Art. 9. ↩︎
- Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending certain Union legislative acts, OJ L, 2024/1689, 12.7.2024. ↩︎
- Под compliance в настоящем контексте понимается совокупность организационных, правовых и технических мер по обеспечению соблюдения требований одновременно нескольких нормативных режимов (в частности, GDPR и AI Act), включая управление рисками, документирование процессов и контроль их реализации на протяжении всего жизненного цикла ИИ-систем. ↩︎
- European Commission. COM(2025) 836 final, Proposal for a Regulation amending Regulation (EU) 2024/1689 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), 19.11.2025. ↩︎
- European Commission. COM(2025) 836. ↩︎
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», статья 16. ↩︎
- Федеральный закон от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в городе федерального значения Москве». ↩︎
- Федеральный закон от 24.04.2020 № 123-ФЗ. ↩︎
- Указ Президента Российской Федерации от 10.10.2019 № 490 «О развитии искусственного интеллекта в Российской Федерации» (вместе с Национальной стратегией развития искусственного интеллекта на период до 2030 года). ↩︎
- Кодекс этики в сфере искусственного интеллекта. Доступен на официальном сайте Альянса в сфере искусственного интеллекта: https://a-ai.ru. ↩︎