Разбираем историю, которую habr.com вытащил из корпоративных тренингов: сотрудники массово закидывают в ChatGPT договоры, бухгалтерию и клиентские базы, чтобы «сделать выжимку по-быстрому». Вместе с текстом в чужой дата-центр уезжают ФИО, паспорта, ИНН и реквизиты — а формально ответственный за персданные об этом обычно не знает.
Масштаб не бытовой. ГК «Солар» проанализировала трафик 150 организаций из госсектора, финансов, промышленности, ритейла, телекома и ИТ: за год объём данных, сливаемых в публичные ИИ-сервисы, вырос примерно в 30 раз. При этом около 60% компаний не имеют вообще никаких внутренних правил на этот счёт — ни технических, ни бумажных.
Закона об ИИ нет, а ответственность есть
Отдельного закона про искусственный интеллект в России пока не приняли. В марте 2026 года Минцифры выложило на обсуждение законопроект «Об основах государственного регулирования сфер применения технологий искусственного интеллекта», но вступление в силу — не раньше 1 сентября 2027 года, и текст ещё правят под замечания бизнеса.
Пока работают старые знакомые: 152-ФЗ, КоАП и режимы тайн. С 1 июля 2025 года ужесточили требование по локализации: собирать персданные россиян в базы за пределами страны нельзя, а зарубежный чат-бот хранит промпты где угодно, только не в российском ЦОДе. Плюс трансграничная передача по ст. 12 требует предварительного уведомления Роскомнадзора — о чём менеджер, вклеивающий ФИО клиента в окно чата, обычно не задумывается.
Штрафы, от которых уже больно
С 30 мая 2025 года (закон № 420-ФЗ переписал ст. 13.11 КоАП) цифры перестали быть символическими: за незаконную обработку персданных — до 700 тыс. рублей, за утечку — от 3 до 15 млн, за утечку биометрии — до 20 млн. За повторные утечки ввели оборотные штрафы, способные обнулить годовую прибыль среднего бизнеса.
Отдельная история — коммерческая, налоговая и банковская тайна. Документ с грифом, ушедший в публичный сервис, — это уже не «теоретический риск», а конкретное нарушение режима, с увольнением по статье и взысканием убытков с сотрудника.
Что с этим делать
Практический минимум для компании:
- Написать внутреннее правило: что можно скармливать ИИ, а что нельзя.
- Перед вставкой в чат-бот менять живые данные на заглушки — {ФИО}, {ИНН}, {КОМПАНИЯ}. Модели работают с болванками не хуже, риск падает на порядок.
- Снять галочку про использование переписки для дообучения — на бесплатных тарифах она обычно стоит по умолчанию.
- Помнить, что TLS защищает трафик «на проводе», но не спасает от утечки аккаунта и от коллеги, который сам расскажет, что скармливал модели.
Главный вывод простой: удобство ChatGPT — это не индульгенция от 152-ФЗ. Пока в компании нет ни правил, ни анонимизации, каждый закинутый в чат договор — потенциальные миллионы штрафа и лично подписанное сотрудником нарушение режима тайны.