В последнее время всё чаще приходится слышать о том, что использование искусственного интеллекта — это удобно, но рискованно. Особенно когда речь заходит о конфиденциальности данных.
Многие компании активно внедряют ИИ в свою работу: для анализа документов, генерации текстов, поддержки клиентов, обработки запросов. Но не все задумываются, куда попадают эти данные и кто к ним имеет доступ.
⚠️ Проблема: данные могут остаться навсегда
Случай с OpenAI
Недавно стало известно, что OpenAI по решению суда теперь обязан хранить даже удалённые чаты пользователей — в том числе и те, которые пользователи явно просили удалить. Это связано с судебным процессом, который обвиняет компанию в использовании своих материалов для обучения ИИ без разрешения.
Суд постановил, что на время разбирательства все данные, включая переписки по финансовым, юридическим, медицинским и личным вопросам, должны быть сохранены. При этом в июне 2025 года суд отклонил просьбы пользователей об исключении таких данных из хранения, заявив, что доступ к ним ограничен. Ранее OpenAI хранил удалённые диалоги 30 дней, а теперь этот срок стал бессрочным — как минимум до окончания процесса.
🔍 Ключевая проблема
Получается, даже если вы удалили чат — он остаётся у провайдера. И неизвестно, когда и будет ли он действительно удалён.
Аналогичные риски есть и у других крупных провайдеров. Например, в Китае из-за уязвимости в системе DeepSeek произошла утечка миллионов конфиденциальных сообщений. При этом китайские платформы часто не обеспечивают достаточного уровня прозрачности и защиты данных.
Кроме того, почти все облачные ИИ-сервисы могут использовать ваши запросы для дообучения моделей. Даже если компания заявляет, что этого не делает, соблазн воспользоваться данными велик — ведь качественные данные сейчас в дефиците. А в ряде случаев можно даже получить из модели исходные данные, на которых она обучалась, в неизменном виде — такие инциденты уже фиксировались.
⚖️ Юридические риски: что важно знать при использовании облачного ИИ
Если ваша компания работает с персональными данными — например, в сфере здравоохранения, юриспруденции, финансов, HR или образования — передача этих данных в облачные ИИ-сервисы может повлечь серьёзные юридические последствия.
📋 Что попадает под персональные данные?
Многие заблуждаются, думая, что ПД — это только ФИО, паспортные данные или номер телефона. На самом деле, персональные данные — это любая информация, прямо или косвенно позволяющая идентифицировать человека.
💼 Что может быть ПД:
- упоминание имени в переписке
- данные о заболевании сотрудника
- зарплата или структура команды
- даже косвенные сведения вроде должности, отдела и места работы
Когда вы загружаете в чат с ИИ документ, письмо или просто задаёте вопрос вроде «Подготовь письмо для Анны Петровой по поводу её больничного» — вы уже передаёте персональные данные. И если ИИ-сервис находится за пределами России, это автоматически становится трансграничной передачей персональных данных.
📜 Что говорит закон?
Согласно Федеральному закону №152-ФЗ «О персональных данных», трансграничная передача возможна только при соблюдении ряда условий:
1. Уведомление Роскомнадзора
Необходимо подать уведомление о намерении осуществлять трансграничную передачу персональных данных в Роскомнадзор, указав необходимые сведения, и дождаться получения разрешения
2. Согласие субъектов ПД
Получить согласие субъекта персональных данных на передачу за рубеж — письменного, отдельного, с чётким указанием, куда и зачем данные передаются
3. Гарантии защиты
Получить от органов власти иностранного государства, иностранных юридических лиц, сведения о принимаемых мерах по защите передаваемых персональных данных
4. Локализация базы данных
Обеспечить, что база данных с ПД, с которой происходит передача, локализована в РФ
🇷🇺 А что с российскими провайдерами?
Даже если ИИ-сервис позиционируется как российский, нужно проверять, где физически хранятся данные и кто является оператором. Если серверы находятся за границей или используется иностранная инфраструктура (например, AWS, Google Cloud), риск для вас остаётся. Также существует много сервисов-прокладок, которые для предоставления сервиса фактически отправляют данные к зарубежным провайдерам через API.
💰 Последствия нарушений
Несоблюдение требований 152-ФЗ может привести к:
- Штрафам для компании — до 18 млн рублей (ст. 13.11 КоАП РФ)
- Штрафам для должностных лиц — до 750 тыс. рублей
- Блокировке сервиса Роскомнадзором
- Гражданской ответственности — субъекты ПД вправе требовать компенсацию морального вреда
🔧 Что делать?
1. Использовать открытую модель
Одним из вариантов решения является использование open-source модели, которые будут работать на вашем оборудовании. Если 2-3 года назад такое решение не было реалистичным из-за космической стоимости оборудования и низкого качества открытых моделей, то сегодня открытые модели часто не так сильно уступают по качеству проприетарным решениям, и могут быть запущены на оборудовании стоимостью до 200 тыс рублей (а в ряде случаев и значительно меньше).
Например, Qwen3-coder по качеству уже не уступает Claude Sonnet 4 (подробнее — в нашем разборе на сайте).
Но тут возникают другие сложности: нужно подбирать оборудование, настраивать окружение, обеспечивать безопасность, поддерживать работоспособность. Кроме того, существующие интерфейсы для таких моделей зачастую сырые, неудобные и лишены привычного функционала: проектов, анализа файлов, совместной работы, поиска, составления отчетов, персонализации и памяти.
🎯 Купить готовое и настроенное решение
Наша компания собрала готовое решение для бизнеса, которому важно использовать ИИ, но при этом контролировать свои данные.
«ИИ в коробке» — это программно-аппаратный комплекс, который подключается к локальной сети. После настройки сотрудники получают доступ к ИИ через веб-интерфейс.
Решение не требует глубокой технической подготовки для запуска. Мы настраиваем оборудование, устанавливаем ПО, помогаем с интеграцией и проводим обучение сотрудников эффективным практикам работы с ИИ.
Готовы обезопасить свои данные?
Получите консультацию по внедрению безопасного ИИ в вашу компанию
Получить консультацию