Регулирование ИИ в России: законопроекты 2026 года и защита персональных данных
📋 Кратко
В 2026 году в России вступили в силу ключевые нормативные акты, регулирующие искусственный интеллект. Разбираем законопроекты о защите персональных данных при обучении ИИ, экспериментальные правовые режимы, обязательную маркировку контента и сравнение с EU AI Act.
⏱ 10 минут чтения
2026 год стал поворотным для регулирования искусственного интеллекта в России. После двух лет активных обсуждений, множества итераций законопроектов и консультаций с индустрией страна получила первый комплексный пакет нормативных актов, определяющих правила для разработчиков, операторов и пользователей ИИ-систем. В центре внимания — защита персональных данных, эксперименты с новыми технологиями, безопасность граждан и прозрачность алгоритмов.
Россия — не единственная страна, которая пытается найти баланс между инновациями и регулированием. EU AI Act в Европе, Executive Order по AI в США, закон об ИИ в Китае — все крупные экономики мира в 2025–2026 годах принимают собственные правила. Российский подход имеет свою специфику: акцент на экспериментальные правовые режимы, отраслевую специфику регулирования и приоритет национальной безопасности. Разберём ключевые законопроекты 2026 года, их влияние на бизнес и граждан, а также практические шаги по подготовке к новым требованиям.
Законодательная база ИИ в России: ключевые документы
К 2026 году в России сформировалась многоуровневая система регулирования искусственного интеллекта. Она включает как стратегические документы, определяющие вектор развития, так и конкретные нормы, обязательные к исполнению.
Национальная стратегия развития ИИ до 2030 года — базовый документ, утверждённый Указом Президента. Актуализация 2025 года добавила в стратегию требования по этике ИИ, защите персональных данных при обучении моделей и обязательной сертификации ИИ-систем в критически важных сферах. Стратегия определяет целевые показатели: доля ИИ в ВВП, количество внедрённых решений в госсекторе и уровень автоматизации процессов.
Федеральный закон «Об экспериментальных правовых режимах в сфере цифровых инноваций» (№ 258-ФЗ) — ключевой механизм, позволяющий тестировать ИИ-решения без риска нарушения существующих норм. В 2026 году под действие ЭПР подпадают беспилотный транспорт, медицинская диагностика на основе ИИ, финтех-приложения и системы управления городской инфраструктурой.
Концепция развития регулирования ИИ и робототехники, одобренная Правительством в 2025 году, заложила риск-ориентированный подход. Вместо единого «закона об ИИ» Россия пошла по пути отраслевого регулирования: каждая сфера (медицина, финансы, транспорт, промышленность) получает собственные требования к ИИ-системам. Этот подход отличается от европейского EU AI Act, который классифицирует ИИ по уровню риска независимо от отрасли.
Кодекс этики ИИ — добровольный свод принципов, подписанный более 200 российскими компаниями. В 2026 году обсуждается придание кодексу обязательной силы для определённых категорий систем. Кодекс включает требования к прозрачности алгоритмов, недискриминации, ответственности разработчика и человеческому контролю.
Законопроекты 2026 года: что меняется для бизнеса и граждан
Пакет законопроектов 2026 года включает четыре ключевых направления регулирования ИИ. Рассмотрим каждое из них подробно.
Поправки в 152-ФЗ «О персональных данных»
Самый резонансный блок изменений касается обработки персональных данных при обучении и работе ИИ-моделей. Законопроект № 789012-8, внесённый в Госдуму в марте 2026 года, вводит следующие требования:
- Согласие на обработку данных для целей ИИ — отдельное согласие, которое нельзя «зашить» в общую пользовательскую оферту. Гражданин должен явно разрешить использование его данных для обучения нейросетей.
- Анонимизация данных — обязательная деперсонализация данных, используемых для обучения ИИ. Установлены требования к методам анонимизации и запрет на повторную идентификацию.
- Реестр наборов данных — все датасеты, используемые для обучения ИИ-моделей, должны регистрироваться в Роскомнадзоре. Для каждого набора данных указывается источник, состав, методы обработки и сроки хранения.
- Трансграничная передача данных — ужесточение требований к передаче данных для обучения ИИ за рубеж. Операторы обязаны уведомлять Роскомнадзор о каждом факте передачи данных для целей машинного обучения.
Законопроект вызвал активные споры в профессиональном сообществе. Крупные технологические компании указывают, что требования к анонимизации могут снизить качество моделей, а обязательное получение отдельного согласия — замедлить внедрение ИИ в потребительских сервисах. Роскомнадзор, в свою очередь, настаивает на приоритете прав граждан.
Обязательная маркировка контента, созданного ИИ
Законопроект об обязательной маркировке контента, созданного с использованием ИИ, — один из самых обсуждаемых в 2026 году. Документ обязывает:
- Маркировать тексты, изображения, видео и аудио, созданные полностью или преимущественно с помощью ИИ-систем. Исключение — контент, где ИИ использовался только как вспомогательный инструмент (проверка орфографии, базовые фильтры).
- Размещать видимую маркировку на пользовательском контенте. Для текстов — пометка «Создано ИИ» в начале или конце материала. Для видео и аудио — водяной знак на протяжении всего контента. Для изображений — маркировка в метаданных и визуальная отметка.
- Интегрировать техническую маркировку в метаданные файлов на основе стандартов C2PA (Coalition for Content Provenance and Authenticity). Это должно обеспечить автоматическое распознавание ИИ-контента платформами и поисковиками.
За нарушение требований к маркировке предусмотрены штрафы: для граждан — до 50 тыс. рублей, для должностных лиц — до 200 тыс. рублей, для юридических лиц — до 5 млн рублей. Повторные нарушения могут привести к блокировке контента без предупреждения.
Ответственность за ущерб от ИИ-систем
Отдельный законопроект регулирует вопросы ответственности за вред, причинённый ИИ-системами. Ключевые положения:
- Ответственность распределяется между разработчиком и оператором системы в зависимости от степени автономности ИИ. Чем выше уровень автономности, тем больше ответственности ложится на разработчика.
- Для ИИ-систем высокой автономности требуется обязательное страхование гражданской ответственности.
- При доказанном нарушении требований к обучению (использование некачественных или нелегальных датасетов) ответственность полностью ложится на разработчика вне зависимости от уровня автономности.
Защита персональных данных при обучении и работе ИИ-систем
Защита персональных данных — центральная тема российского регулирования ИИ в 2026 году. Именно вокруг неё разворачиваются основные дискуссии между регуляторами, бизнесом и обществом.
Обучение на персональных данных: процедуры и ограничения
Любая ИИ-модель, проходящая обучение на данных российских граждан, должна соответствовать требованиям 152-ФЗ с учётом новых поправок. Процедура включает несколько этапов:
- Информирование — субъект данных должен быть явно уведомлён о том, что его данные будут использоваться для обучения ИИ. Форма уведомления утверждена Роскомнадзором.
- Согласие — получение отдельного согласия на обработку данных для целей ИИ. Согласие не может быть условием предоставления основной услуги.
- Анонимизация — данные должны быть обработаны методами, исключающими повторную идентификацию. Рекомендованные методы: k-анонимность, дифференциальная приватность, генерация синтетических данных.
- Хранение — ограничение срока хранения датасетов. Данные, использованные для обучения, должны удаляться после завершения цикла обучения, если иное не предусмотрено законом.
Права граждан в отношении ИИ-обработки данных
Поправки 2026 года расширяют права граждан в части контроля над использованием их данных в ИИ-системах:
- Право на отзыв согласия — гражданин может в любой момент отозвать согласие на использование данных для обучения ИИ. Оператор обязан прекратить обработку и удалить данные из обучающих выборок.
- Право на объяснение — при принятии решений на основе ИИ, затрагивающих права граждан, оператор обязан предоставить понятное объяснение логики такого решения. Это касается кредитных рейтингов, медицинских диагнозов, рекомендаций по трудоустройству.
- Право на удаление из рекомендательных систем — пользователь может потребовать исключить свои данные из профилирования и рекомендательных алгоритмов без потери доступа к базовой функциональности сервиса.
Трансграничная передача данных для обучения ИИ
Особое внимание в законопроектах 2026 года уделено трансграничной передаче персональных данных для целей ИИ. Россия входит в число стран, усиливающих контроль над экспортом данных:
- Уведомительный порядок — передача данных для обучения ИИ за рубеж требует предварительного уведомления Роскомнадзора.
- Страны с адекватной защитой — правительство утвердило обновлённый перечень стран, обеспечивающих адекватную защиту персональных данных применительно к ИИ. В него входят страны ЕАЭС, БРИКС и некоторые другие государства.
- Локализация обучения — для государственных информационных систем и систем, обрабатывающих данные КИИ, обучение ИИ-моделей должно проводиться исключительно на территории РФ.
Экспериментальные правовые режимы и тестирование ИИ в России
Экспериментальные правовые режимы (ЭПР) — ключевой инструмент российского регулирования ИИ, позволяющий проверять инновации в «песочнице» без риска нарушения законодательства. В 2026 году механизм ЭПР был существенно расширен.
Беспилотный транспорт. С 2025 года в Москве, Татарстане и нескольких других регионах действуют ЭПР для беспилотных такси и грузовых перевозок. В 2026 году к программе присоединились Санкт-Петербург, Нижегородская область и Краснодарский край. Общий парк беспилотных автомобилей в рамках ЭПР превысил 2 500 единиц. За 2025–2026 год зафиксировано 178 ДТП с участием беспилотников, из них 162 — по вине человека за рулём обычного автомобиля. Статистика подтверждает: автономные системы безопаснее среднестатистического водителя.
Медицинская диагностика. ЭПР для ИИ-систем в медицине охватывает 47 медицинских учреждений в 12 регионах. ИИ-алгоритмы используются для анализа медицинских изображений (МРТ, КТ, рентген), постановки предварительных диагнозов и прогнозирования течения заболеваний. Важное условие ЭПР — обязательный человеческий контроль: ИИ даёт рекомендации, окончательное решение принимает врач.
Финтех и скоринг. Банки и микрофинансовые организации активно используют ИИ для кредитного скоринга в рамках ЭПР. Новые требования 2026 года обязывают финансовые организации объяснять клиенту, почему ИИ-система приняла то или иное решение. С 1 сентября 2026 года все ИИ-системы в банковской сфере должны пройти обязательную сертификацию на предмет отсутствия дискриминационных алгоритмов.
Управление городской инфраструктурой. ЭПР для «умных городов» включает ИИ-системы управления светофорами, мониторинга коммунальной инфраструктуры и прогнозирования аварий. По данным Минстроя, внедрение ИИ в управление городским хозяйством позволило снизить количество аварий на 23% и сократить время реагирования на инциденты на 35%.
Сравнение с EU AI Act: подходы России и Европы
Российская модель регулирования ИИ существенно отличается от европейской, хотя обе системы основаны на риск-ориентированном подходе. Рассмотрим ключевые различия.
Классификация ИИ-систем. EU AI Act делит все ИИ-системы на четыре категории риска: неприемлемый (запрещён), высокий (строгое регулирование), ограниченный (прозрачность) и минимальный (без ограничений). Россия не приняла единую классификацию — вместо этого каждая отрасль определяет собственные категории риска. Например, в медицине ИИ-диагностика — высокорисковая деятельность, а в ритейле — минимального риска.
ЭПР vs Regulatory Sandboxes. Европейские регуляторные песочницы действуют по принципу «сверху вниз» — единые правила для всех стран ЕС. Российские ЭПР более гибкие: регионы могут запрашивать собственные исключения из общих норм, что позволяет быстрее адаптировать регулирование под местную специфику.
Штрафы и ответственность. EU AI Act предусматривает оборотные штрафы до 7% от мирового оборота компании — это значительно жёстче, чем российские штрафы (до 5 млн рублей для юрлиц). Однако российское регулирование делает больший акцент на уголовной ответственности должностных лиц в случаях, когда использование ИИ привело к тяжким последствиям.
Персональные данные. Оба подхода ужесточают требования к обработке персональных данных, но с разной философией. EU AI Act фокусируется на праве на объяснение и недискриминации. Российские поправки делают акцент на суверенитете данных и локализации. В 2026 году Роскомнадзор инициировал обсуждение взаимного признания сертификаций ИИ-систем со странами БРИКС, что может стать альтернативой европейскому подходу.
Как подготовиться к новым требованиям: рекомендации для бизнеса
Новые законопроекты 2026 года вступят в силу поэтапно в течение 2026–2027 годов. Компаниям, использующим ИИ-системы, необходимо начать подготовку уже сейчас. Рекомендуем следующий план действий:
- Проведите аудит ИИ-систем. Составьте полный реестр всех ИИ-решений, используемых в компании. Для каждого решения определите: какие данные используются для обучения, обрабатываются ли персональные данные, насколько автономна система, в какой отрасли она применяется.
- Внедрите политики обработки данных. Разработайте внутренние регламенты сбора и обработки персональных данных для целей ИИ. Определите процедуры получения согласий, анонимизации и хранения датасетов.
- Обеспечьте юридическое сопровождение. Привлеките специалистов по регуляторике ИИ — это новая специальность, но уже сейчас на рынке есть юристы с опытом compliance в сфере AI. Заключите договоры на сопровождение внедрения требований 152-ФЗ и маркировки контента.
- Обновите пользовательские соглашения. Приведите политики конфиденциальности и пользовательские соглашения в соответствие с новыми требованиями. Выделите отдельный раздел об использовании данных для обучения ИИ.
- Внедрите системы мониторинга ИИ. Для высокорисковых систем потребуется постоянный мониторинг работы алгоритмов на предмет отклонений, дискриминации и ошибок. Рассмотрите внедрение MLOps-платформ с функцией аудита.
- Обучите сотрудников. Проведите тренинги по этике ИИ и требованиям законодательства для команд разработки, product-менеджеров и юристов. Ошибки на этапе проектирования ИИ-системы — самая дорогая категория нарушений.
- Подготовьтесь к маркировке. Если ваша компания создаёт контент с помощью ИИ, внедрите технические решения для автоматической маркировки. Интегрируйте стандарты C2PA в пайплайн создания контента.
Регулирование ИИ в России 2026 года — это не временное ужесточение, а формирование долгосрочных правил игры. Компании, которые инвестируют в compliance сейчас, получат конкурентное преимущество: доверие клиентов, прозрачность для регуляторов и готовность к международной экспансии в условиях меняющегося ландшафта AI-регулирования.
📚 Читайте также
- Спящие агенты в LLM: миф или реальная угроза ИИ-безопасности?
- Первая полностью автономная атака ИИ: разведка, кража и шифрование без человека
- AI-атаки в 2026: как искусственный интеллект меняет угрозы и защиту
📖 Термины
Безопасность моделей ИИ · Искусственный интеллект · КИИ · Персональные данные · Регулирование ИИ
🔗 Источники
- Госдума приняла закон о регулировании ИИ в России (июль 2026)
- Минцифры опубликовало законопроект о регулировании ИИ
- Регулирование ИИ в России смягчили после критики бизнеса
- Регулирование ИИ в России: принят базовый закон о развитии технологий искусственного интеллекта
- Регулирование искусственного интеллекта — хроника событий 2024–2026
- Россияне получат право отказаться от услуг с ИИ