Тендеры и лиды
Информация
Многие компании используют искусственный интеллект — официально или на уровне отдельных команд. Сотрудники просят модель разобрать договор, переписать коммерческое предложение, сгенерировать баннер с лицом человека, озвучить ролик чужим голосом или сделать вывод по данным клиента.
С точки зрения права в этот момент компания может одновременно столкнуться с вопросами персональных данных, коммерческой тайны, авторских прав и согласия на использование изображения или биометрии. Что говорит закон о таких сценариях и какие правила стоит ввести внутри компании — разберем в статье.
Один из ключевых законов для российского бизнеса о персональных данных — 152-ФЗ. Он определяет обработку персональных данных как любые действия с данными, в том числе с использованием средств автоматизации.
Когда сотрудник компании загружает в нейросеть клиентскую таблицу, переписку, резюме, обращение в поддержку или любой другой массив, где можно идентифицировать человека, компания как оператор должна соблюдать требования 152-ФЗ.
Универсальная формулировка «согласен на обработку персональных данных» не всегда покрывает работу с ИИ. Нужно смотреть, для какой цели данные собирали, можно ли использовать их в таком сценарии и передаются ли они внешнему провайдеру.
За использование данных без надлежащего основания или не для той цели, для которой их собирали, штраф для юрлица — 150 000–300 000 рублей, повторно — 300 000–500 000 рублей. Если в конкретном случае нужно письменное согласие, но его нет или оно оформлено неправильно, штраф для юрлица — 300 000–700 000 рублей, повторно — 1–1,5 миллиона рублей.
За нарушение локализации штраф для юрлица может составить 1–6 миллионов рублей, повторно — 6–18 миллионов рублей. За крупную утечку данных из-за ИИ — от 3 до 15 миллионов рублей, при повторном нарушении возможен оборотный штраф 1–3% выручки, но не менее 20 миллионов и не более 500 миллионов рублей. Если компания не уведомила Роскомнадзор об инциденте с персональными данными — предусмотрен штраф для юрлиц от 1 до 3 миллионов рублей.
Когда сотрудники вставляют в нейросети договоры, финмодели, скидочные условия, клиентские базы, код или внутренние презентации, для бизнеса возникает два риска.
Первый — утечка ценной для бизнеса информации через запрос. Во внешний сервис могут попасть условия сделки и внутренняя экономика бизнеса: скидки, маржинальность, ценовая логика, пределы уступок в переговорах.
Второй — ослабление правовой защиты. Если сотрудники свободно отправляют чувствительные данные во внешние сервисы, компании потом сложнее доказать, что эта информация реально находилась под режимом коммерческой тайны.
По 98-ФЗ для режима коммерческой тайны важно определить перечень защищаемой информации, ограничить доступ, установить порядок обращения и контроля, закрепить правила в договорах и ознакомить с ними сотрудников под расписку.
В контексте ИИ компании полезно отдельно прописать, что нельзя загружать в публичные нейросети: например, договоры, финмодели, цены, клиентские условия, код, внутреннюю аналитику, материалы для совета директоров и стратегии запуска.
Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.
Заполнить заявку
13590 тендеров
проведено за восемь лет работы нашего сайта.
С помощью ИИ можно создавать тексты, изображения, рекламные материалы, видео и озвучку. Для компании здесь важны два вопроса: можно ли использовать результат и не нарушает ли он права конкретного человека.
Вопросы, связанные с контентом, регулирует часть четвертая Гражданского кодекса РФ. По общему правилу автором результата интеллектуальной деятельности признается человек, творческим трудом которого он создан.
Перед использованием такого результата стоит проверить, кто его доработал, на каком сервисе он создан, какие правила действуют у этого сервиса и может ли компания подтвердить право использовать результат в коммерческих целях.
Отдельный риск — контент с узнаваемым лицом человека. В статье 152.1 Гражданского кодекса закреплено, что использовать изображение гражданина можно только с его согласия.
Статья 16 152-ФЗ запрещает принимать решения только на основе автоматизированной обработки персональных данных. Исключения есть, но их немного: письменное согласие самого человека или прямое основание в федеральном законе.
На практике компании стоит особенно внимательно смотреть на сценарии, где ИИ сам решает, кому отказать в трудоустройстве, чью заявку отклонить, кого заблокировать или доступ к услуге, чье обращение поставить в приоритет.
Если ИИ участвует в значимом решении, важно, чтобы человек участвовал в его принятии. Сотрудник может опираться на оценку модели, но не перекладывать на нее окончательный отказ или допуск.
Например, если система только ранжирует резюме, а сотрудник проверяет результат и принимает финальное решение, риск ниже. Если кандидат автоматически исключается без человеческой проверки, это уже зона ответственности статьи 16 152-ФЗ.
Не передавать персональные данные во внешние нейросети
Самый простой путь — использовать только обезличенные или неперсональные данные. Такой вариант часто подходит для общих корпоративных помощников, внутренних поисковиков и черновой работы с текстами и документами.
Использовать данные в рамках одной цели
Например, когда ИИ помогает разобрать заявку, извлечь данные из документов или подготовить ответ клиенту в пределах уже оказываемой услуги.
Взять отдельное согласие на ИИ-обработку
В нем стоит описать цель, категории данных, действия с ними, возможную передачу провайдеру и трансграничную передачу, если она есть.
Использовать закрытый контур или корпоративный доступ
Если компания использует внешнюю модель, можно делать это через корпоративный доступ, где есть договор и отдельные настройки обработки данных.
Поставить внутренний шлюз перед моделью
Сервис сначала проверяет текст, находит и маскирует персональные данные и отправляет очищенный запрос во внешнюю модель.
Разделить данные и задачу
Например, реальные карточки клиентов, договоры и переписка остаются во внутренней системе, а во внешнюю модель уходит краткое описание ситуации: «клиент просит изменить график платежей», «подготовить вежливый ответ на жалобу». После ответа модели сервис подставляет нужные данные.
Дать сотрудникам понятный маршрут
Важно определить, какие сервисы разрешены, какие данные нельзя загружать в публичные нейросети, когда нужен внутренний контур и кто согласует нестандартные сценарии.
