Сертификация ИИ в Китае: AI Safety Grade и 12 критериев безопасности для LLM с 1 мая 2026

С 1 мая 2026 года любой разработчик языковой модели, который хочет, чтобы его детище увидели полтора миллиарда китайских пользователей, должен пройти через процедуру, напоминающую техосмотр с политическим детектором лжи. Китайский техкомитет TC260 утвердил 12 критериев безопасности, объединённых под брендом AI Safety Grade. Звучит как очередной регуляторный гаджет, но на деле — это попытка нарисовать линию на песке. По одну сторону — «безопасные» модели с сертификатом и доступ к крупнейшему цифровому рынку планеты. По другую — цифровое изгнание.

Вы удивитесь, но Пекин не просто копирует европейский AI Act. Он идёт дальше: обязательная предварительная сертификация (а не пост-маркетинговый контроль), жёсткая привязка к «правильным» ответам на чувствительные темы и требование физического размещения вычислительных мощностей на территории КНР. Давайте разбираться, что именно скрывается за 12 пунктами и почему ваша любимая LLM — будь то ChatGPT, DeepSeek или российская «нейронка» — может оказаться в цифровом ГУЛАГе.

Что такое AI Safety Grade и какие 12 критериев необходимо выполнить

AI Safety Grade — это не просто бумажка с голограммой. Это многоступенчатый аудит, который включает тестирование модели на более чем 20 000 контрольных запросов (так называемых «red team»-промптов), проверку исходных данных и даже интервью с разработчиками. По данным источников в TC260, стоимость сертификации для одной LLM стартует от 2 млн юаней (около 25 млн рублей по текущему курсу) и занимает от 30 до 90 дней. Нехило, правда?

12 критериев разбиты на четыре кластера:

• Безопасность контента (критерии 1–4): запрет на генерацию материалов, подрывающих «социалистические основные ценности», разжигающих рознь или содержащих порнографию. Отдельный пункт — «исторический нигилизм» (попытка пересмотреть официальные нарративы).
• Защита персональных данных (5–6): модель не должна запоминать и воспроизводить паспортные данные, биометрию, историю платежей. Требуется встроенный механизм «забывания» по запросу пользователя.
• Надёжность и интерпретируемость (7–9): устойчивость к jailbreak-атакам, возможность объяснить, почему модель дала именно такой ответ, мониторинг дрейфа распределения данных.
• Суверенитет и лояльность (10–12): обязательный хранение всей инференс-логи на серверах внутри Китая, «правильные» ответы на геополитические запросы (Тайвань, Синьцзян, Уйгуры) и блокировка запросов к запрещённым темам.

Любопытно, что пункты 10–12 не имеют аналогов в EU AI Act. Европа борется с рисками для прав человека, а Китай — с рисками для партийной власти. И это не просто философская разница — она формирует целую индустрию «сертификационных бюро», которые уже сейчас берут от $50 тыс. за подготовку документов. Между прочим, в Шэньчжэне открылось не менее 12 компаний, обещающих «быстрый проход AI Safety Grade». Деньги не пахнут, помните?

Как AI Safety Grade разделит рынок на «безопасный» и «свободный» сегменты

Представьте себе зебру: одна полоса — для машин с сертификатом, другая — для всех остальных. Только китайская версия гораздо жёстче. Модель без сертификации ИИ в Китае не просто не будет рекомендоваться — её трафик начнут глушить на уровне провайдеров. Крупнейшие облачные платформы (Alibaba Cloud, Tencent Cloud, Huawei Cloud) уже объявили, что с 1 мая прекратят хостить несертифицированные LLM на своей инфраструктуре. А без местного хостинга — даже не подходите к китайским пользователям.

Что это означает на практике? Появятся два параллельных мира: «зелёный» (сертифицированный, доступный, но строго цензурированный) и «серый» (кустарный, заблокированный для масс, но свободный от идеологических оков). Для рядового китайца выбор отсутствует — ему покажут только модели с AI Safety Grade. Для разработчиков — выбор между тем, чтобы лечь под стандарт, или потерять 1,4 млрд потенциальных пользователей.

Любопытный нюанс: сам сертификат действует всего 12 месяцев. Да, каждые год модель нужно переаттестовывать. Это превращает китайские правила для LLM 2026 в постоянный денежный поток для регулятора и аккредитованных лабораторий. Можно, конечно, возмущаться, но бизнес-логика железная: кто платит — тот и въезжает на полосу.

Кого ударит новый закон: последствия для OpenAI, Google, российских LLM и локальных игроков

Первый и самый громкий удар придётся по американским моделям. OpenAI уже заявила в своём блоге, что «не будет модифицировать ChatGPT под локальные юрисдикции, противоречащие нашим ценностям». Красиво, но рыночно — глупо. Потому что DeepSeek, Qwen и Ernie (китайские тройка) уже подали документы на сертификацию. Они получат «зелёный свет» где-то к июню 2026, и тогда американские конкуренты просто исчезнут из китайских магазинов приложений.

С европейским Mistral ситуация чуть лучше — они анонсировали отдельную «ветку» модели для Азии с фильтрацией на уровне токенов. Но пока это только обещания. Российские LLM, например YandexGPT и GigaChat, в этом раскладе оказываются в подвешенном состоянии. Де-юре они могут податься на сертификацию, де-факто — политическая обстановка сделает этот процесс долгим и унизительным (потребуются гарантии, что модель не будет генерировать, скажем, критику в адрес «спецоперации» с точки зрения Китая — а это неожиданный поворот).

Самый забавный кейс — Meta с её Llama 3. Meta формально не работает в Китае, но тысячи китайских стартапов используют Llama под капотом. По новым правилам, если вы дообучаете Llama на китайских данных и даёте к ней публичный доступ — вы обязаны сертифицировать именно вашу сборку. И тут начинается вакханалия: а кто именно несёт ответственность за «неправильный» ответ — разработчик базовой модели или тот, кто её доучил? Регулятор уже ответил: оба. Чат-бот — это совместное произведение, так что платить и переделывать придётся каждому в цепочке.

По оценке консалтинговой фирмы Atkins Global, до 40% публичных LLM в Китае к концу 2026 года либо прекратят работу, либо перейдут в B2B-сегмент без доступа к широкой публике. Это не крах, это чистка — и проводить её будут не кремниевые инженеры, а пекинские чиновники.

Китай vs Европа vs США: как сравнивается AI Safety Grade с EU AI Act и американскими подходами

Если вы думаете, что EU AI Act — это «самый строгий AI-закон в мире», спешу вас разочаровать. Евросоюз использует риск-ориентированный подход: чем выше риск (критическая инфраструктура, биометрия, трудоустройство), тем строже требования. Для LLM общего назначения действуют в основном обязательства по прозрачности (сообщать, что контент сгенерирован ИИ, раскрывать авторские данные). Предварительной сертификации нет — есть пост-маркетинговый надзор.

США до сих пор топчутся на месте. У них есть добровольные обязательства (White House AI Commitments), подписанные Amazon, Anthropic, Google, Meta, Microsoft и OpenAI. Но никаких штрафов или блокировок. Штаты предпочитают мягкое регулирование, чтобы не задуть инновационный ветер. Китай же выбрал путь, обратный американскому: сначала железные правила, потом — всё, что уцелеет, считается инновацией.

Что это даёт Китаю? Во-первых, предсказуемость. Каждый разработчик знает, под какую гребёнку стричься. Во-вторых, барьер входа для иностранцев — а это протекционизм в цифровом обличье. В-третьих, возможность экспортировать свой стандарт в страны «цифрового пояса и пути» (Пакистан, Нигерия, Бразилия уже присматриваются к AI Safety Grade как к образцу).

Я не удивлюсь, если через два года «сертификат китайской безопасности» станет обязательным требованием для любой LLM, работающей в странах БРИКС. И тогда вопрос «принимать правила или нет» превратится в вопрос «принимать или уходить с двух третей мирового рынка».

Что делать разработчикам и инвесторам: дорожная карта адаптации

Итак, вы разрабатываете LLM и не хотите терять Китай. Или инвестор, который вложился в стартап с азиатскими амбициями. Вот что нужно сделать прямо сейчас:

• Аудит модели на 12 критериев — найти консалтинговую компанию, аккредитованную TC260 (список вывешен на сайте cyberspace.gov.cn). Стоимость аудита — от $30 тыс. до $150 тыс. в зависимости от размера модели.
• Привести в порядок обучающие данные — удалить любые датасеты, содержащие «непатриотичный» контент. Это касается даже случайных вкраплений. Например, если модель натренирована на Wikipedia — почти гарантированно она завалит критерий №3 (исторический нигилизм).
• Разместить инференс внутри Китая — арендовать вычислительные мощности у Alibaba или Tencent, подписать соглашение о хранении логов на 3 года.
• Подать заявку на сертификацию — через портал TC260, приложив результаты аудита, 200 тестовых промптов и CV ключевых разработчиков (да, CV тоже проверяют на «политическую благонадёжность»).

Сроки: если начать сейчас, то к июлю 2026 можно получить сертификат. Если тянуть — можете опоздать к волне блокировок осенью. И помните: даже получив AI Safety Grade, вы обязаны каждый квартал отчитываться об изменениях в модели. Одно неуда обновление — и сертификат отзывается.

Для инвесторов главный вывод прост: венчурные фонды уже начали требовать от портфельных AI-компаний наличие «плана сертификации для Китая» или наоборот — письменного отказа от китайского рынка. Без этого — не дают денег. Так что если держите акции AI-стартапов, спросите их CEO, когда они подаются на сертификацию. Молчание будет ответом.

Если вы разрабатываете или инвестируете в LLM — немедленно проверьте, попадает ли ваша модель под юрисдикцию Китая. Составьте план прохождения AI Safety Grade или готовьтесь потерять китайский рынок. Следите за обновлениями TC260: с 1 мая 2026 года наличие сертификата станет конкурентным преимуществом №1 в Азии.

Материал носит информационный характер и не является индивидуальной инвестиционной рекомендацией.