Нейросети и 152-ФЗ: как легально использовать ИИ в компании
Публичные нейросети отправляют данные за рубеж — а это риск по 152-ФЗ. Разбираем, как компании легально и безопасно использовать ИИ, не нарушая закон о персональных данных.
Когда сотрудник вставляет в публичный ChatGPT договор с ФИО и паспортными данными клиента, эти персональные данные уходят на зарубежные серверы. Для компании — оператора персональных данных — это потенциальное нарушение 152-ФЗ.
Что требует 152-ФЗ
- Локализация — персональные данные россиян должны храниться в РФ;
- Согласие субъекта на обработку персональных данных;
- Защита — меры по предотвращению утечек и несанкционированного доступа;
- Обезличивание там, где идентификация не нужна.
В чём риск публичных сервисов
Личные аккаунты зарубежных нейросетей не дают гарантий по хранению данных в РФ, не логируют, что именно отправили сотрудники, и не обезличивают ПДн. Компания не контролирует поток данных — и не может доказать соответствие требованиям.
Как использовать ИИ легально
Корпоративная платформа с контуром в РФ решает проблему. На что смотреть:
- Данные в РФ — обработка и хранение на российских серверах;
- Обезличивание (DLP) — автоматическая замена ПДн токенами перед отправкой в модель;
- Контроль и аудит — журнал действий, кто и что отправлял;
- Права доступа — по ролям и отделам;
- Шифрование и 2FA/SSO — защита доступа.
Как это реализовано — см. безопасность Neurocorp: DLP, обезличивание ПДн, данные в РФ и соответствие 152-ФЗ.
Чек-лист для бизнеса
- Запретить сотрудникам личные аккаунты для рабочих данных;
- Подключить корпоративную платформу с контуром в РФ;
- Включить DLP и обезличивание персональных данных;
- Настроить права доступа и журнал аудита;
- Провести инструктаж: что нельзя отправлять в модель.
Попробуйте Neurocorp в своей компании
50+ нейросетей, корпоративная база знаний и 152-ФЗ — из России, без VPN, оплата в рублях.
Оставить заявку