С августа 2025-го — “условно-строгий” режим для HR-нейросетей. А что Россия?


С середины июня в брюссельском коридоре Жака Делора стало привычно слышать короткий, но нервный месседж: «GPAI — minus 400 days». Так чиновники считают время до 2 августа 2025 года, момента, когда в силу вступит самая обсуждаемая часть AI Act — правила для general-purpose AI-моделей (GPAI), а заодно и «пакет» строгих требований к всем инструментам, которые автоматизируют рекрутинг, оценку и управление персоналом. В траншеях HR-теха это называют «новым GDPR, только больнее»: вместо уведомлений о cookie теперь придётся проходить сертификацию, вести журнал рисков и открывать API для проверяющего инспектора.

Почему именно август 2025-го, а не позже?

AI Act уже формально действует с 1 августа 2024-го, но расписан по этапам. С 2 февраля 2025 года заработали запреты (классические deep-fake без маркировки, социальный рейтинг, скрытая биометрия) и требования «цифровой грамотности» для чиновников и госкомпаний. Следующей датой стоит 2 августа 2025 года — дедлайн, после которого:

  • провайдерам GPAI нужны техдосье, сводка о датасетах и политика авторского права;
  • крупные модели (IOC ≥ 10²⁵ FLOP) должны показать аудит кибербезопасности и сценарии «системных рисков»;
  • любой AI-сервис, который решает за людей «брать / не брать» кандидата или «повышать / увольнять» сотрудника, автоматически приобретает статус high-risk и обязан пройти внешний аудит, зарегистрироваться в EU AI Database и получить CE-маркировку*. digital-strategy.ec.europa.euartificialintelligenceact.eu

Чтобы индустрия не влетела в невыполнимые нормы, Комиссия придумала Code of Practice — свод «домашних правил», которые напишут сами участники рынка под надзором AI Office. Третий драфт уже на столе, финальную версию обещают до 2 мая 2025-го; если не успеют, Брюссель издаст собственный «указ» (implementing act) — и будет жёстче.

“Красная зона” HR-инструментов: за какие грехи?

Внутри AI Act Annex III секция Employment, workers’ management and access to self-employment звучит почти как судебный приговор: любое ПО, которое «фильтрует резюме, ранжирует кандидатов, распределяет задачи, оценивает производительность или принимает решение об увольнении», признаётся высокорисковым. Логика проста — ошибка алгоритма напрямую влияет на конституционное право гражданина на труд. artificialintelligenceact.eu

Решающую роль сыграла история Amazon Recruiting Engine — в 2018-м компания обнаружила, что обучила модель «немного ненавидеть женщин»: резюме, где встречались слова women’s, система автоматически занижала в рейтинге. Скандал стал идеальным аргументом для евродепутатов: «если даже Amazon не обезопасился, надо обязать всех». reuters.com

Что ждёт рынок в практике

«Мы спим на рельсах, а поезд уже виден», — так описывает ситуацию Даниэль Фридлэндер из CCIA Europe, лобби-группы Google, Meta и Apple. В конце июня он публично попросил Евросоюз «поставить акт на паузу» — за полтора месяца до вступления GPAI-главы в силу из документа всё ещё отсутствуют технические стандарты по метрикам bias. Но Брюссель отступать не намерен.

Тем временем Deloitte оценивает: audit-стоимость для среднестатистического ATS-сервиса может съесть до 12 % годовой выручки. Лайфхак крупных вендоров — уходить в «open weave»: отдавать модели клиенту как SDK + white-paper, а обязанности по риску перекладывать на deployers.

Чем ответит Россия

В Москве дискуссия идёт менее публично, но схема до боли знакома: законопроект, внесённый на рассмотрение в апреле, тоже делит ИИ по четырём уровням риска и запрещает «неприемлемые» системы. Высокорисковые — обязательная госрегистрация и сертификация, «ограниченные» — внутренняя система контроля, «минимальные» — рекомендованные практики. rbc.ru

Однако Минцифры сигнализирует: «не торопиться с рамочным законом, сначала — песочницы и отраслевые стандарты». Гос-ИТ-гиганты вроде «Ростелекома» поддерживают: слишком жёсткие нормы могут «убить» экспортный потенциал. rbc.ru

Экспорт — вот где болит сильнее всего

Российские HR-платформы, продающие SaaS-лицензии в Европу, уже попали под экстерриторию AI Act: если ваш сервер выдаёт рекомендации для резидента ЕС, — готовьте европейский аудит, иначе заказчик-владелец рискует штрафом до €35 млн или 7 % глобального оборота.

Означает ли это, что российский стартап должен «покомпонентно» переписать продукт? Необязательно. Оптимальная стратегия на 2025-м:

  1. ISO 42001 + NIST AI RMF — строим скелет системы управления рисками; международный аудитор легко распознает знакомый фреймворк.
  2. Data-sheet на датасеты — описание источников, процедуры деперсонализации, метрики fairness; это превращается в техдосье для европейского клиента.
  3. API для “explainability” — даже базовый SHAP-граф приносит +30 % к довериям юристов-комплаенсов.

Кто выиграет?

Парадокс: строгий режим может стать конкурентным преимуществом нишевых игроков. Пока Big Tech спорит о «паузе», стартапы уровня 20-30 человек создают LLM-based движки «под ГОСТ AI Act» и уже сегодня предлагают банкам package “bias-free-by-design”.

Марко Анкл (EQT Ventures) в интервью Politico кратко сформулировал инвест-тезис: «GDPR создал целую отрасль reg-tech, AI Act сделает то же самое с ml-ops. Простой признак: если у команды есть в roadmap сертификация CE AI — это уже плюс к оценке».