Пошаговый гайд: что нужно сделать бизнесу после принятия закона об ИИ
И с чего начать внедрение ИИ в соответствии с новым законом: технологический аудит и классификация рисков
В конце прошлого года в Казахстане был принят Закон «Об искусственном интеллекте». Forbes Kazakhstan проанализировал, какие действия должен предпринять казахстанский бизнес, чтобы не только грамотно внедрять ИИ, но и адаптироваться к нюансам его законодательного регулирования.
Шаг 1. Технологический аудит и классификация
Первое, с чего должен начать любой бизнес, — провести инвентаризацию всех алгоритмических систем. Для многих компаний станет открытием, сколько у них на самом деле ИИ-систем — от простого чат-бота на сайте до сложной скоринговой модели в финансах.
Закон требует не просто использовать технологии, а понимать и документировать их. Закон вводит риск-ориентированный подход, обязывая собственников классифицировать системы ИИ по степени риска (минимальный, средний, высокий) и уровню автономности. Системы высокого риска, способные нанести значительный ущерб здоровью, безопасности или правам граждан, подпадают под особый контроль. По мере развития подхода регулятора следует ожидать обязательного аудита внедренных технологий и включения в государственные реестры доверенных систем, поэтому подготовка компании к такому аудиту начинается задолго до его запуска.
Шаг 2. Внедрение методологии управления рисками и прозрачности
Юридическая ответственность за решения ИИ теперь прописана четко: ее несут собственники, владельцы и операторы систем на всех этапах жизненного цикла. «Управление рисками ИИ — это не разовая проверка, а непрерывный процесс, как и в случае с рисками кибербезопасности. Необходимы внедрение и адаптация методологий, в том числе определяющих: регулярную оценку, тестирование на смещение данных, протоколирование решений», — комментирует Александр Косенков, руководитель SOC PS Cloud Services.
В авторском праве произошла тихая революция: промпты (текстовые запросы к ИИ) теперь признаются объектом интеллектуальной собственности, если в них есть творческий вклад. Использование авторских произведений для обучения моделей разрешено, только если правообладатель не выразил запрет в машиночитаемой форме. Эта техническая норма максимально адаптирована именно для развития технологии, но все же потребует от бизнеса пересмотра политик использования данных с учетом возможного появления запрета.
Шаг 3. Работа с государственной экосистемой
Государство создает Национальную ИИ-платформу как центральный хаб для доступа к вычислительным ресурсам, данным и сервисам. Однако технологии управляются людьми. Закон прямо требует от пользователей понимания принципов работы ИИ, а от компаний — обеспечения этого понимания. Это создает беспрецедентный спрос на грамотных специалистов. В 2025 году бизнесу критически важно включиться в эту повестку, инвестируя во внутреннее обучение и привлекая экспертов в области AI-этики и соответствия регуляторным требованиям.
Шаг 4. Создание системы управления данными и обеспечение их легитимности
Закон прямо связывает качество и легитимность данных с безопасностью и законностью самой ИИ-системы. Бизнесу необходимо внедрить технологии Data Provenance (отслеживание происхождения данных) и Data Lineage (контроль за путем и трансформацией данных), внедрить создание и хранение подробных «паспортов данных», включающих методы сбора, очистки и разметки данных. Потребуется создание внутренней политики управления данными для ИИ с процедурой получения информированного согласия на использование персональных данных для обучения ИИ-моделей и механизмами реагирования на запросы об удалении информации.
«Уже в 2027 году мы увидим прецеденты, когда не легитимность алгоритма, а именно происхождение и чистота тренировочных данных станут главным предметом судебных исков и проверок регулятора. Компании, которые не смогут документально подтвердить генезис своих данных, окажутся в правовой ловушке. Также ключевые юристы компаний должны углубить знания в области ИТ-права, специфики лицензионных соглашений на дата-сеты и авторских прав на синтетические данные», — прогнозирует Даурен Акшалов, председатель наблюдательного совета Ассоциации комплаенс и деловой этики.
Шаг 5. Организация процессов взаимодействия с регулятором и прозрачной отчетности
Для систем высокого риска закон предполагает взаимодействие с уполномоченным органом (вероятно, на базе МИ-ИЦР). Бизнесу необходимо будет технически обеспечить возможность предоставления выборок решений алгоритма для анализа, а также логов его работы в определенные периоды. Внедрение API для регуляторного доступа (с соблюдением строгих норм информационной безопасности) может стать будущим требованием.
Компаниям нужно назначить ответственного за compliance ИИ (AI Compliance Officer) и выстроить регламент инцидент-менеджмента. Любой значимый сбой, дискриминационное решение или утечка данных, связанная с ИИ, должны фиксироваться, и в предусмотренных законом случаях о них сообщается регулятору в четкие сроки.
Потребуются специалисты, способные быть «переводчиками» между технарями и регулятором, — юристы и менеджеры с глубоким погружением в машинное обучение. Их задача — корректно оформлять документы для подачи в госорганы, вести диалог по техническим вопросам на понятном языке и оперативно адаптировать бизнес-процессы под вновь принимаемые подзаконные акты. «Пассивное ожидание инструкций — проигрышная стратегия. Выиграют те, кто сможет вовремя ввести у себя добровольную, а затем и провести обязательную сертификацию ИИ-систем по аналогии с сертификацией средств киберзащиты», — прогнозирует Тимур Марусяк, исполнительный директор Docrobot Центральная Азия.
Шаг 6. Разработка стратегии и операционных тактик этичного ИИ и управления репутационными рисками
Аналогично западным подходам, в управлении возникнет новая C-level-позиция — Chief Trust Officer или Head of AI Ethics. Это специалист, отвечающий за доверие к алгоритмам компании на рынке. Советам директоров предстоит создание этического комитета по ИИ, куда войдут не только топ-менеджеры и техлиды, но и представители HR, PR, юристы, а также внешние эксперты или общественники. Его задача — оценивать новые ИИ-проекты на предмет этических, социальных и репутационных рисков до их запуска, контролировать объяснения решений черных ящиков (например, в кредитном скоринге или найме).
«В 2026–2027 годах главные скандалы и потери рыночной капитализации будут связаны не с хакерскими атаками, а с разоблачениями в СМИ о «предвзятых», «несправедливых» или «необъяснимых» алгоритмах. Бренд, который сможет сказать: «Наш ИИ прозрачен, этичен и работает под человеческим контролем», завоюет лояльность на десятилетия вперед», — считает Александра Волкова, директор по работе с медиа продуктового бюро Heartland.
Шаг 7. Гармонизация с международными стандартами и подготовка к глобальному compliance
Бизнесу, особенно экспорт-ориентированному или работающему с иностранными инвестициями, необходимо внедрить системы модульного комплаенса. Архитектура ИИ-решений должна позволять относительно легко адаптировать протоколы аудита, логирования и документирования под требования разных юрисдикций.
«Необходимо начать сравнительно-правовой анализ казахстанского закона с ключевыми международными актами (к примеру, EU AI Act) и создать внутреннюю матрицу соответствия, где будут отражены пересечения и «белые пятна» между национальными и зарубежными нормами. Для компаний, входящих в международные холдинги, критически важно разработать единую глобальную политику этики ИИ, которая будет локально адаптирована в рамках казахстанского закона», — уверена Жанаргуль Изимова, директор PwC Eurasia и лидер практики консалтинга фининститутов в Евразии.
Сауле Молдажанова, Chief People Officer, MOST Holding, добавляет: «Потребуются юристы и менеджеры по комплаенсу с международной экспертизой, способные ориентироваться в быстро эволюционирующем ландшафте регулирования ИИ в разных странах. Инвестиции в обучение и сертификацию ключевых сотрудников по стандартам, например ISO 42001 (Управление системами ИИ), станут конкурентным преимуществом».
Шаг 8. Внедрение продвинутых систем аудита и валидации алгоритмов «черного ящика»
Международный тренд (особенно в ЕС и финансовом секторе США) смещается от декларативной прозрачности к доказуемой надежности. «Бизнесу следует подготовиться к требованиям проведения независимого аудита систем высокого риска третьей стороной. Это потребует разработки внутренних регламентов подготовки данных и моделей к такому аудиту, включая создание полного «технического досье» алгоритма. В методологию управления рисками необходимо включить сценарный анализ последствий сбоев ИИ, аналогичный стресс-тестам в банковском секторе», — считает Олжас Сатиев, президент TSARKA Group.
Сауле Молдажанова видит на основании этого мнения формирование новой высокооплачиваемой профессии — «аудитор алгоритмов, которых компаниям нужно растить внутри, в подразделениях внутреннего аудита или риск-менеджмента, либо налаживать партнерства со специализированными консалтинговыми и IT-фирмами, которые предлагают услуги алгоритмического аудита».
Шаг 9. Проактивная работа с цепочкой поставок и сторонними алгоритмами
Необходимо внедрить инструменты SCA (Software Composition Analysis) для ИИ, которые позволяют отслеживать происхождение и лицензионную чистоту не только кода, но и используемых предобученных моделей, фреймворков и датасетов. При использовании облачных AI/ML-платформ (например, Azure AI, AWS SageMaker) требуется тщательная проверка их настроек и выходных данных на соответствие местным нормам. Для этого потребуется разработка due diligence процедуры для закупок ИИ. Любой контракт с поставщиком, включающий элемент ИИ (от CRM с прогнозной аналитикой до системы видеоанализа), должен содержать раздел о гарантиях соответствия казахстанскому законодательству и механизмах распределения ответственности. Необходимо вести реестр всех сторонних алгоритмов, используемых в бизнес-процессах, с указанием уровня риска и статуса их проверки.
Айымгуль Абилева, президент Казахстанской ассоциации IT-компаний, предполагает, что экономический эффект от ИИ появляется только тогда, когда он встроен в реальные бизнес-процессы. Уже до 70 % корпоративных SaaS-решений содержат AI/ML-компоненты, а рынок ИИ растет более чем на 30 % в год. Это расширяет перечень рисков — от утечек данных до непрозрачной логики алгоритмов и зависимости от внешних провайдеров. При закупке ПО компании не всегда понимают, как и где обрабатывает данные ИИ, и важно обеспечить зрелость подхода. Чем глубже ИИ интегрирован в процессы, тем выше нужно устанавливать требования к ИИ-квалификации поставщиков решений, в том числе решений кибербезопасности.
Шаг 10. Формирование публичной позиции бизнеса
Помимо соблюдения «жесткого» закона, казахстанский бизнес все больше ориентируется на «мягкое право» — отраслевые стандарты, кодексы, рекомендации профильных ассоциаций. Компаниям-лидерам стоит перейти от пассивного соблюдения к активному лоббизму и кооперации. Участие в рабочих группах при госорганах, отраслевых ассоциациях, публикация открытых отчетов об этичном использовании ИИ — все это формирует репутацию ответственного игрока и позволяет влиять на повестку. Рекомендуется разработать программу публичных образовательных инициатив об ИИ для клиентов и общества, снижающую уровень недоверия, при этом PR/GR-команде, поддерживая такую программу, нужно научиться говорить об ИИ не как о магии, а как об управляемом инструменте, рассказывать истории о рабочем комплаенсе и этических принципах компании.