Перейти к содержанию
среда, 8 июля 2026 г.

ИИ Вестник

Главные новости о развитии искусственного интеллекта в России

Сотрудники сливают данные в ИИ: юридические риски и способы защиты для бизнеса

Employee uploading confidential contract to ChatGPT in modern office, legal documents visible on screen.
AI Generated via Pollinations Flux

Массовое использование сотрудниками публичных ИИ-сервисов для рабочих задач оборачивается утечками персональных данных и коммерческой тайны. За год объём такой информации, по оценкам экспертов, вырос в десятки раз, а компании зачастую не имеют внутренних регламентов. Разбираемся, какие законы нарушаются, чем грозят штрафы и как минимизировать риски.

За последний год специалист по корпоративным ИИ-тренингам, кандидат технических наук, провёл десятки занятий в компаниях разного масштаба. На каждом тренинге, по его словам, кто-то из участников вполголоса признаётся, что загружал договоры с клиентами в ChatGPT для автоматической выжимки. Многие искренне не понимают, чем это чревато: вместе с текстом договора за рубеж уходят ФИО, паспортные данные, ИНН и реквизиты, причём без ведома ответственного за персональные данные. Масштаб явления подтверждается статистикой: группа компаний «Солар» проанализировала трафик 150 организаций из госсектора, финансов, промышленности, ритейла, телекома и ИТ и обнаружила, что за год объём данных, отправляемых сотрудниками в публичные ИИ-сервисы, вырос примерно в тридцать раз. При этом около 60% компаний не имеют внутренних правил, регулирующих такое использование, ни технически, ни документально. Эта ситуация напоминает ранние дни интернета, когда корпоративные политики безопасности отставали от реального поведения пользователей, но сегодня ставки гораздо выше из-за чувствительности данных.

Отдельного закона об искусственном интеллекте в России пока нет. В марте 2026 года Минцифры выложило на общественное обсуждение законопроект «Об основах государственного регулирования сфер применения технологий искусственного интеллекта», но он вступит в силу не раньше 1 сентября 2027 года и ещё дорабатывается. Пока же регулирование опирается на 152-ФЗ о персональных данных, КоАП и режимы различных тайн. Основная проблема — 152-ФЗ: с 1 июля 2025 года требование о локализации баз данных ужесточилось, запрещая использование баз за пределами РФ при сборе персональных данных россиян. Зарубежные сервисы хранят промпты и историю переписки где угодно, только не в российском ЦОДе. Трансграничная передача (статья 12) разрешена, но требует уведомления Роскомнадзора и соблюдения ряда условий, о которых рядовой сотрудник не задумывается. В отличие от западных стран, где существуют чёткие регламенты использования ИИ в корпоративной среде, российское законодательство только формируется, что создаёт дополнительную неопределённость для бизнеса.

Штрафы с мая 2025 года стали чувствительными: за незаконную обработку персональных данных — до 700 тысяч рублей, за утечку — от 3 до 15 миллионов, а если утекла биометрия — до 20 миллионов. Повторные утечки грозят оборотными штрафами, способными обнулить годовую прибыль средней компании. Кроме того, подорожало наказание за неуведомление РКН о начале обработки персданных. Но помимо персональных данных существуют три режима конфиденциальности, о которых часто забывают: коммерческая тайна (98-ФЗ), налоговая (статья 102 НК) и банковская (статья 857 ГК). Если в компании введён режим коммерческой тайны и документ с грифом попадает в публичный сервис, это уже конкретное нарушение, влекущее увольнение по статье и взыскание убытков с сотрудника. Эти штрафы значительно выше, чем были до 2025 года, и уже заставили часть бизнеса пересмотреть политику, но полного контроля нет, особенно в средних и малых компаниях.

Сотрудники часто опасаются перехвата трафика провайдером или спецслужбами, но на самом деле трафик шифруется по TLS, и заглянуть в содержимое «на проводе» посторонний не может. Реальная угроза — на стороне сервера: провайдер ИИ-модели видит все промпты, которые сохраняются в истории чатов. На бесплатных тарифах эти данные по умолчанию могут использоваться для дообучения модели, если не отключить соответствующую настройку приватности. Дополнительные риски — утечка пароля от аккаунта, что раскрывает всю историю переписки, и человеческий фактор: сотрудники сами рассказывают коллегам о том, что «скармливали» нейросети. Технически проблема усугубляется тем, что многие компании не используют корпоративные прокси-серверы с фильтрацией или локальные версии ИИ-моделей, которые могли бы изолировать данные.

Чтобы снизить риски, эксперты рекомендуют чётко разделять, что можно отправлять в ИИ-сервисы, а что нет. Безопасно загружать обезличенные тексты без ФИО и реквизитов, шаблоны договоров и регламентов, а также информацию, уже находящуюся в открытом доступе. Категорически нельзя передавать персональные данные клиентов и сотрудников, договоры с реквизитами физлиц, бухгалтерскую отчётность с банковской и налоговой тайной, а также документы под грифом коммерческой тайны. Простой приём, снимающий большую часть проблем: перед вставкой текста в чат-бот заменить живые данные на заглушки, например {ФИО}, {ИНН}, {КОМПАНИЯ}. Модели отлично работают с такими болванками, а юридический риск падает на порядок. Для регулярных задач этот шаг можно автоматизировать с помощью небольшого скрипта-анонимизатора, который на лету заменяет конфиденциальные данные, не требуя от сотрудника ручных действий.

На российском рынке ситуация осложняется тем, что многие компании до сих пор не осознали масштаб угрозы. Штрафы, введённые с мая 2025 года, уже заставили часть бизнеса пересмотреть политику, но полного контроля нет. В отличие от западных стран, где существуют чёткие регламенты использования ИИ в корпоративной среде, в России регулирование только формируется. Законопроект Минцифры, который вступит в силу лишь в 2027 году, пока не даёт оперативных решений. Эксперты советуют компаниям внедрять внутренние инструкции, обучать сотрудников и использовать технические средства защиты, такие как прокси-серверы с фильтрацией или корпоративные версии ИИ-моделей, работающие на локальных серверах. Открытым остаётся вопрос о том, насколько быстро бизнес адаптируется к новым реалиям, особенно учитывая, что большинство компаний реагируют постфактум — после утечки или штрафа.

Перспективы развития ситуации связаны с ужесточением контроля со стороны Роскомнадзора и ростом судебных исков от пострадавших клиентов. Однако превентивные меры, такие как анонимизация данных и использование специализированных корпоративных ИИ-решений, могут не только снизить риски, но и повысить доверие клиентов. В долгосрочной перспективе ожидается появление отраслевых стандартов и сертификации ИИ-инструментов, что сделает их использование более безопасным и прозрачным. Пока же бизнесу приходится балансировать между эффективностью ИИ и соблюдением законодательства, и ключевым фактором успеха станет внедрение культуры осознанного использования технологий на всех уровнях организации.

Читайте также