До 2 августа 2026 года остаётся около месяца — и именно в этот день Европейский AI Act перестаёт быть «бумажным» регламентом и получает реальные полномочия по штрафам. Для всех, кто собирает данные в сети — от тренировки больших моделей до простого мониторинга цен — это рубеж, после которого машиночитаемые запреты на сбора данных впервые получают вес авторского права, а провайдеры AI-моделей обязаны раскрывать, на чём они обучались. Разбираем, что конкретно меняется и кого это касается на практике.
Что включается 2 августа 2026 года
EU AI Act вводился поэтапно. Запрещённые практики стали неприменимы ещё в феврале 2025-го, обязательства для провайдеров моделей общего назначения (GPAI — general-purpose AI) формально вступили в силу 2 августа 2025 года. Но именно 2 августа 2026 года регламент становится полностью применимым: включаются требования к системам высокого риска и, главное, у регулятора появляются полномочия штрафовать за несоблюдение обязательств GPAI.
Размер санкций выглядит так:
- до €35 млн или 7% мирового оборота — за запрещённые практики (что выше);
- до €15 млн или 3% мирового оборота — за нарушения по системам высокого риска и обязательствам GPAI;
- до €7,5 млн или 1% оборота — за предоставление регулятору недостоверной информации.
Действие регламента экстерриториально: обязательства распространяются на провайдера независимо от его местонахождения, если модель размещается на рынке ЕС. Американская или азиатская AI-компания, чей продукт доступен европейцам, подпадает под те же правила.
Что обязаны делать провайдеры GPAI
Ключевых обязанностей три, и две из них напрямую завязаны на сбор данных:
- Техническая документация — описание архитектуры модели, методологии и ресурсов обучения, доступное надзорным органам и нижестоящим разработчикам.
- Публичное резюме обучающих данных — провайдер обязан опубликовать «достаточно подробное» описание контента, на котором обучалась модель, по шаблону, который выпускает AI Office. Это первая в мире попытка заставить разработчиков моделей публично отчитываться об источниках данных.
- Политика соблюдения копирайта — провайдер обязан уважать механизмы отказа от text-and-data-mining (TDM) по статье 4 Директивы об авторском праве 2019/790, включая машиночитаемые сигналы.
Для моделей с системным риском (порог обучения 10^25 FLOPs) добавляются адверсарное тестирование и обязательная отчётность об инцидентах. Уже существующие на рынке модели получают отсрочку — привести их в полное соответствие нужно к 2 августа 2027 года.
robots.txt получает «вес» авторского права
Главное изменение для индустрии сбора данных спрятано именно в копирайт-требовании. Раньше файл robots.txt был джентльменским соглашением: его игнорирование нарушало правила сайта, но само по себе не считалось нарушением закона. Теперь под зонтиком статьи 4 Директивы 2019/790 машиночитаемое резервирование прав — robots.txt, появляющийся стандарт ai.txt, TDM-метки — приобретает копирайтный вес. Правообладатель, который выразил отказ от data mining в машиночитаемой форме, фактически защищён авторским правом от использования его контента для обучения.
Чтобы стандартизировать эти сигналы, Еврокомиссия запустила консультацию по протоколам резервирования прав: задача — договориться о машиночитаемом формате, который будет признан «состоянием отрасли» и широко принят правообладателями. Иными словами, ЕС строит юридически значимый язык отказа от скрапинга для обучения AI.
Контекст: платформы и так перешли в наступление
Регламент ложится на и без того ожесточившийся рынок. В июле 2025 года Cloudflare, защищающий около 20% веба, стал первым инфраструктурным провайдером, который по умолчанию блокирует AI-краулеров для всех новых доменов — владельцу сайта теперь нужно явно разрешать конкретных ботов. К августу 2025-го более 2,5 млн сайтов полностью запретили использование своего контента для обучения AI; один только GPTBot блокируется примерно 19% сайтов. В числе самых блокируемых краулеров — GPTBot, ClaudeBot, CCBot, Google-Extended и Bytespider.
При этом разрыв колоссальный: по данным Cloudflare, AI-боты обращаются примерно к 39% из топ-1 млн ресурсов сети, но лишь 2,98% из них реально блокируют или челленджат такие запросы. Параллельно Cloudflare запустил модель Pay Per Crawl — сайт отдаёт ботам ответ «402 Payment Required», а AI-компании платят за доступ. Сбор данных из бесплатного «всё разрешено» превращается в рынок с ценником.
Юридический фронт не отстаёт. Reddit подал иски против Perplexity AI и связанных с ним сборщиков и прокси-провайдеров (SerpApi, Oxylabs, AWMProxy), а его главный юрист сформулировал суть конфликта жёстко: «AI-компании заперты в гонке вооружений за качественный человеческий контент, и это давление породило промышленного масштаба экономику отмывания данных». Одновременно Reddit заключил лицензионные сделки с OpenAI и Google — то есть данные продаются тем, кто платит, и преследуются те, кто берёт даром. LinkedIn в отдельном иске обвинил компанию ProAPIs в создании около миллиона фейковых аккаунтов для скрапинга и перепродажи профилей по цене до $15 000 в месяц.
Что это значит для тех, кто собирает данные
Первое и главное — без паники. EU AI Act не запрещает веб-скрапинг как таковой и не превращает сбор публичных данных в преступление. Регламент прицельно бьёт по провайдерам AI-моделей и системам высокого риска. Если вы мониторите цены конкурентов, собираете данные для SEO-аналитики, проверяете выдачу или агрегируете публичные отзывы, вы не становитесь «провайдером GPAI» и под новые обязательства напрямую не подпадаете.
Кого Act действительно касается
Под удар попадают те, кто обучает или дообучает большие модели на собранных данных и размещает их на рынке ЕС. Для них публикация резюме обучающих данных и уважение TDM-отказов становятся юридическим требованием с реальными штрафами. Если ваш скрапинг — звено в пайплайне обучения модели, источники придётся документировать, а машиночитаемые запреты — соблюдать.
Как собирать данные грамотно
Второй эффект — косвенный, но он затронет всех. Чем больше юридического веса получают машиночитаемые отказы и чем агрессивнее платформы блокируют автоматический трафик, тем выше планка для любого сбора данных. Практические выводы:
- Читайте robots.txt и TDM-метки и принимайте по ним осознанное решение. Игнорирование машиночитаемого отказа теперь — это не только риск бана, но и потенциальная копирайт-история, особенно если данные идут в обучение модели.
- Разделяйте задачи. Сбор публичных фактов (цены, наличие, рейтинги) и копирование защищённого авторским правом контента для обучения — это юридически разные вещи. Стройте процессы так, чтобы не смешивать их.
- Минимизируйте нагрузку и не маскируйтесь под живого пользователя там, где это вводит в заблуждение. История с миллионом фейковых аккаунтов LinkedIn — наглядный пример того, как «серые» методы превращаются в иск.
- Используйте легальную инфраструктуру доступа. Когда сбор данных идёт распределённо и с реальных пользовательских IP, он создаёт меньше нагрузки на отдельный узел и не выглядит как залп с одного дата-центра. Резидентные прокси дают трафик, неотличимый от обычного пользователя, а для высоконагруженных задач, где не нужна максимальная «человечность», подойдут более быстрые датацентр-прокси.
Стоит помнить и про общую картину трафика: мы уже разбирали, как боты впервые обогнали людей в интернете — именно этот сдвиг и заставляет платформы закрываться. А для практической работы с конкретными площадками полезен наш разбор безопасного скрапинга X (Twitter) без банов: те же принципы — уважать ограничения, распределять запросы, использовать доверенные IP — работают и в новой регуляторной реальности.
Вывод
2 августа 2026 года — это не «конец скрапинга», а точка, после которой сбор данных окончательно делится на две дорожки. Документированный, уважающий машиночитаемые отказы и работающий с публичными данными — становится нормой и защитой. Скрытый, обходящий явные запреты и маскирующийся под пользователей для обучения моделей — попадает под риск штрафов до €15 млн или 3% оборота и исков от платформ. EU AI Act не закрывает дверь — он переводит сбор данных из «дикого поля» в режим, где правила наконец-то имеют цену. И выигрывают те, кто перестроит процессы заранее, а не за неделю до дедлайна.
