10 мая 2026 года Европейский комитет по защите данных（EDPB）официально ввёл в действие дополнительные руководящие указания к GDPR, требующие, чтобы все B2B-независимые сайты, ориентированные на рынок ЕС（включая официальные сайты китайских поставщиков）, чётко публиковали в политике конфиденциальности или на отдельной странице заявления об AI географические страны происхождения обучающих данных, используемых для генеративного AI-контента, а также временной диапазон сбора данных. Это положение напрямую влияет на соответствие официальных сайтов китайских внешнеторговых предприятий требованиям комплаенса, и в особенности представляет собой существенную точку соблюдения требований для экспортно-ориентированных компаний, ведущих B2B-бизнес через онлайн-независимые сайты, что заслуживает пристального внимания со стороны отраслей, связанных с трансграничной торговлей, цифровым маркетингом, SaaS-сервисами и комплаенсом цепочек поставок.

Обзор события

10 мая 2026 года Европейский комитет по защите данных（EDPB）официально ввёл в действие дополнительные руководящие указания к GDPR, чётко включив обязательство по раскрытию географического происхождения обучающих данных для генеративного AI-контента в нормативную рамку. Требования распространяются на все B2B-сайты, предоставляющие товары или услуги компаниям в пределах ЕС, включая независимые сайты, управляемые субъектами, зарегистрированными в Китае. Конкретные требования таковы: на странице ‘Privacy Policy’ или на отдельно созданной странице заявления об AI необходимо в ясной и читаемой форме указывать страны происхождения обучающих данных, на которые опирается AI-генерируемый контент（например, США、Индия、Китай и т. д.）, а также соответствующий временной диапазон сбора данных（например, ‘с января 2021 года по июнь 2024 года’）. Это требование не имеет обратной силы, однако новые или обновлённые AI-функции, запускаемые после даты вступления в силу, должны немедленно ему соответствовать.

На какие сегменты отрасли это влияет

Предприятия прямой торговли

Китайские B2B-экспортные предприятия（например, производители промышленного оборудования、электронных компонентов、кастомизированного машиностроения）обычно выходят на покупателей из ЕС через собственные независимые сайты. Если их официальный сайт использует AI для генерации описаний продукции、сводок технических параметров、многоязычных ответов службы поддержки и другого контента, но не раскрывает географическое происхождение обучающих данных, то регуляторы стран-членов, таких как Германия и Франция, могут признать их субъектами с комплаенс-рисками, что, в свою очередь, повлияет на due diligence со стороны покупателей и на процесс утверждения заказов.

Перерабатывающие и производственные предприятия

Для производственных предприятий, работающих по модели OEM/ODM для зарубежных брендов, если на официальном сайте размещаются созданные с помощью AI сценарии видеороликов о производственных линиях、краткие содержания ESG-отчётов、описания комплаенс-сертификаций и т. д., они также подпадают под действие данных требований. Влияние главным образом проявляется на этапе комплаенс-аудита со стороны закупщиков——некоторые ведущие покупатели из ЕС уже включили пункты о GDPR AI-раскрытии в приложение к «Кодексу поведения поставщика», и несоответствие требованиям может вызвать предупреждение при оценке исполнения договора.

Предприятия услуг цепочки поставок

Сторонние поставщики услуг, предоставляющие трансграничную логистику、комплаенс-сертификацию、услуги по созданию многоязычных сайтов, обслуживают преимущественно малые и средние внешнеторговые предприятия. Это положение косвенно повышает стандарты предоставления их услуг: например, поставщики услуг по созданию сайтов должны подтверждать, можно ли отследить информацию об источнике обучающих данных AI-контента клиента; комплаенс-консалтинговые организации должны включать поле географического происхождения в шаблон чек-листа самопроверки GDPR; если переводческие компании используют постредактирование машинного перевода с помощью AI（PEMT）, им также необходимо уточнять территориальную принадлежность обучающих данных базовой модели.

На какие ключевые моменты соответствующим компаниям или специалистам следует обратить внимание и как реагировать в настоящий момент

Следить за последующими официальными примерами и ответами на часто задаваемые вопросы（FAQ）, публикуемыми EDPB

В текущих руководящих указаниях EDPB не уточнены критерии определения “географического происхождения обучающих данных”（например: страна регистрации разработчика модели、местонахождение команды разметки данных、страна, где расположен сервер для сбора исходных данных, и т. д.）. Компаниям следует постоянно отслеживать практические рекомендации, публикуемые на официальном сайте EDPB начиная со второго квартала 2026 года, чтобы избегать самостоятельного заполнения информации на основе неавторитетных трактовок.

Разделять типы AI-функций на официальном сайте и в первую очередь проверять контентные модули с высокой видимостью

Нет необходимости единообразно переделывать все AI-приложения. В настоящий момент больше внимания заслуживают модули, с которыми пользователи часто взаимодействуют и которые влияют на коммерческие решения, например: AI-генерируемые рекламные тексты рекомендаций товаров на главной странице、AI-генерируемые таблицы технического сравнения на страницах товаров、база фраз для ответов в реальном времени на странице запроса, управляемая AI. AI-инструменты, используемые только внутри бэкенда（например, модели прогнозирования запасов）, не входят в рамки данного требования по раскрытию.

Проверить положения о суверенитете данных в действующих соглашениях об AI-услугах

Если компания закупает сторонние AI SaaS-сервисы（например, инструменты для генерации текстов、синтеза изображений）, необходимо запросить положения соглашения об услугах, касающиеся происхождения обучающих данных, а также потребовать у поставщика письменное разъяснение. Некоторые зарубежные AI-поставщики услуг не раскрывают проактивно географическое распределение обучающих данных своих моделей, поэтому компаниям следует включить это как одно из предварительных условий допуска поставщика с точки зрения комплаенса.

Пока не спешить с изменением полного текста политики конфиденциальности, а сначала создать проверяемые записи об источниках данных

С аналитической точки зрения фокус регулирования заключается в том, “можно ли доказать, что указанная информация является достоверной и проверяемой”, а не просто в наличии поля на странице. В настоящее время компаниям целесообразнее понимать это так: начать внутреннюю инвентаризацию использования AI-контента, собрать сведения об AI-инструментах, версиях, названиях поставщиков и доступной документации с описанием регионов происхождения обучающих данных, используемых в каждом модуле, сформировав базовый архив прослеживаемости для последующего обновления страниц.

Редакторская точка зрения / отраслевое наблюдение

Очевидно, данное положение не является поправкой к тексту закона GDPR, а представляет собой расширительное толкование “принципа прозрачности”, данное EDPB на основе действующих статей 5、13、14, и относится к детализации на уровне правоприменения и надзора. Это скорее структурный сигнал——он показывает, что ЕС постепенно расширяет регулирование AI от стадии “подотчётности алгоритмов” к стадии “прозрачности цепочки поставок данных”. В настоящее время ещё не появилось случаев наказания именно по этому положению, однако земля Бавария в Германии и Национальная комиссия Франции по информатике и свободам（CNIL）уже отдельно включили “комплаенс раскрытия AI на B2B-сайтах” в свои приоритетные списки правоприменения на 2026 год. Отрасли необходимо продолжать следить за тем, будут ли регуляторы стран-членов увязывать этот пункт раскрытия с определением высокорисковых систем в соответствии с «Законом ЕС об искусственном интеллекте»（AI Act）, а также за тем, будут ли закупщики использовать это как новое измерение в ESG-оценке поставщиков.

Заключение: данное положение означает, что фокус регулирования AI в ЕС распространяется от стороны конечного пользователя（B2C）к стороне коммерческих сделок（B2B）. Его отраслевое значение заключается не в немедленном давлении штрафов, а во включении географических атрибутов данных в базовую комплаенс-инфраструктуру трансграничной цифровой торговли. В настоящее время правильнее рассматривать это как регулярное требование, которое следует включить в ежегодный чек-лист комплаенс-проверки, а не как внезапный кризис. Компаниям следует продвигать подготовку по принципам “проверяемость、прослеживаемость、разделение по сценариям”, избегая чрезмерной реакции, но и не игнорируя долгосрочную тенденцию к институционализации.

Пояснение по источникам информации：
Основной источник：«Guidelines 02/2026 on GDPR Transparency Obligations for Generative AI in B2B Contexts», опубликованный на официальном сайте Европейского комитета по защите данных（EDPB）, дата вступления в силу 10 мая 2026 года。
Части, требующие дальнейшего наблюдения：опубликует ли EDPB обязательные к исполнению детальные правила реализации в отношении определения “географического происхождения”; выпустят ли надзорные органы стран-членов, таких как Германия и Франция, сопутствующие правоприменительные разъяснения или типовые кейсы наказаний。