Корпоративная система защиты персональных данных при применении ИИ — от персональной до правовой

Стремительное развитие ИИ открывает невероятные возможности для бизнеса: рекомендательные системы, предиктивная аналитика, персональные помощники — все это стало возможным благодаря обработке огромных массивов данных. Но у такого технологического чуда есть и обратная сторона: все больше размывается граница приватности и растет риск утечки данных в компании. Именно в этом противоречии рождается ключевой вопрос: как реализовать потенциал ИИ в компании, не жертвуя приватностью ради технологических преимуществ? Ответ — через градацию ответственности в компании (см. примерный чек-лист).

С приходом ИИ в повседневность возникло много рисков, а с течением времени их количество будет расти. Но если выделять один, то, представляется, заслуживает внимания именно риск утечки данных.

Этот ключевой риск — утечка или иная компрометация данных — связан, в первую очередь, с массовым сбором и анализом персональных данных, последствия которого носят комплексный, а иногда и катастрофический для человека характер: от шантажа и компрометации до манипулирования и кражи личности.

Решение данной проблемы находится в плоскости совместной ответственности, которая распределяется между международным сообществом, государством, разработчиками (поставщиками) технологий и их конечными пользовате­лями.

Защита персональных данных при применении ИИ на международном уровне

Мировое сообщество активно исследует вопросы разработки и применения ИИ с технической, экономической и социальной точек зрения, а также ведет работу по их разъяснению. Цель этих усилий: сформировать комплексное понимание рисков и предложить законодательные меры для ответственного развития технологии. А их итогом становятся практические руководства, стандарты и разъяснительные записки регуляторов, связанные в том числе с использованием ИИ в контексте информационной безопасности и защиты персональных данных.

В силу стремительного развития и новизны технологии подобные исследования и разъяснения пока находятся в начальной стадии. Существующие документы носят скорее рекомендательный характер и, несмотря на то что закладывают основы лучших практик, еще не успели кристаллизоваться в универсальные и общепринятые стандарты. Ситуацию усложняет и то, что значительная часть этих документов создается вне тех юрисдикций, где находятся ведущие игроки рынка ИИ.

Это создает уникальные вызовы для бизнеса и регуляторов: с одной стороны, необходимо не отставать от прогресса, а с другой — действовать осмотрительно в условиях правовой и этической неопределенности.

Государство и политика защиты персональных данных при применении ИИ

Ключевая роль государства в условиях защиты персональных данных заключается не только в защите граждан, но и в формировании предсказуемой и безопасной среды для бизнеса. Например, с этой целью государственные органы и ведомства разрабатывают правила применения ИИ в отдельных сферах, при этом указывая на важность защиты персональных данных клиентов (см., например, Кодекс этики в сфере разработки и применения искусственного интеллекта на финансовом рынке, утв. информационным письмом Банка России от 09.07.2025 № ИН-016-13/91). Такой подход, в конечном счете, выгоден для всех участников цифровой экосистемы.

При этом необходимо отметить, что каждое государство выбирает свою стратегию применения ИИ: выжидать, анализируя международный опыт, траектории развития технологий и их влияние на общественные отношения либо вводить строгое регулирование.

Такое разделение стратегий по регулированию ИИ можно объяснить тем, что например, политика максимального благоприятствования инноваций зачастую сознательно ограничивает строгое регулирование. Это создает комфортные условия для разработчиков, но оставляет вопросы защиты персональных данных открытыми. В результате формируется ситуация, при которой отсутствуют универсальные гарантии, а защита персональных данных начинает зависеть от «доброй воли» разработчиков и личной осмотрительности самих пользователей.

Как разграничивается ответственность разработчиков и пользователей?

В основе функционирования любого доступного пользователю ИИ лежит политика конфиденциальности — документ, который объясняет пользователю, какие данные пользователя собирает инструмент: от истории запросов и загружаемых файлов до личной информации, используемой им для обучения и улучшения моделей.

В своих политиках разработчики ИИ зачастую гарантируют безопасную обработку персональных данных пользователей и ограничивают цели их использования. Однако в действительности конечная судьба этой информации остается на усмотрение самих разработчиков, а также зависит от ее способности противостоять постоянно эволюционирующим угрозам неправомерного использования такой информации. Более того, даже без злонамеренных атак данные могут быть скомпрометированы из-за банальных технических ошибок и человеческого фактора.

Таким образом, данные, в том числе и те, на которых ИИ обучался, в определенных случаях могут быть распространены. Это создает ситуацию, когда в условиях формирующейся нормативной базы и не всегда прозрачных гарантий разработчиков единственным по-настоящему надежным способом защиты приватности становится осознанное поведение самих пользователей.

С учетом этого уровень доверия пользователя определяет масштаб использования ИИ-инструмента и, как следствие, объем передаваемых данных. В цифровую эпоху взвешенный подход к передаче персональных данных любым сервисам, особенно ИИ, становится критически важным как для частных лиц, так и для пользователей-компаний. Минимизация, а в идеале полное исключение таких данных из запросов является не просто мерой предосторожности, но и фундаментальным принципом цифровой гигиены XXI века.

Суть риска заключается в том, что, обращаясь к облачным ИИ-сервисам (например, для генерации промптов или составления документов), пользователь теряет контроль над своими данными. Вся переданная информация оседает на серверах провайдера, формируя обширные базы запросов.

Таким образом, передача персональных данных облачным ИИ-сервисам — это, по сути, отказ от контроля над информацией. Даже при нынешнем низком уровне вероятности инцидентов нельзя гарантировать их абсолютную невозможность в будущем, что делает подобную практику высокорисковой.

Главная угроза в этой области — утечка персональных данных. Согласно российскому законодательству под утечкой понимается неправомерная или случайная передача персональных данных, повлекшая нарушение прав их субъектов (п. 3.1 ст. 21 Закона о персональных данных). Таким образом, даже однократная передача данных в облачный ИИ без надлежащих правовых оснований уже подпадает под это определение, является нарушением и влечет крупные штрафы (в некоторых случаях исчисляемые миллионами).

С учетом этого для частных пользователей основная задача — это контроль над своим цифровым следом и отказ от передачи персональных данных ИИ-сервисам.

Для профессиональных пользователей риски многократно возрастают, поскольку они часто работают с данными третьих лиц: клиентов, партнеров, сотрудников. Это происходит как при внутреннем использовании ИИ для оптимизации процессов, так и при его интеграции в собственные продукты или услуги (существуют также компании, которые создают свои ИИ-сервисы с использованием сторонних ИИ-моделей, но для целей настоящей ста­тьи такие компании не рассматриваются).

Для минимизации рисков необходим комплексный подход, затрагивающий три ключевых аспекта: технический, организационный и правовой.

Примерный чек-лист по защите персональных данных при использовании ИИ в компании

В условиях, когда глобальное регулирование только формируется, а гарантии поставщиков ИИ не всегда абсолютны, основная ответственность ложится на пользователя. Для компаний-пользователей, интегрирующих ИИ в свои процессы, защита данных становится критически важной задачей.

В качестве основы для разработки собственной системы защиты предлагается рассмотреть распределение ответственности внутри компании через выстраивание собственной архитектуры безопасности, которая должна учитывать специфику компании и риски, связанные с использованием ИИ (см. таблицу).

Внедрение этих мер — это не разовый проект, а непрерывный процесс. Системный подход, объединяющий технологии, процессы и людей, создает устойчивую среду для безопасного использования ИИ. Это позволит компании не просто избежать штрафов, а превратить защиту данных в конкурентное преимущество, вызывающее доверие клиентов и партнеров.

Таблица. Примерный чек-лист по защите персональных данных