Безопасность

Нейросети и 152-ФЗ: как легально использовать ИИ в компании

·7 мин чтения

Публичные нейросети отправляют данные за рубеж — а это риск по 152-ФЗ. Разбираем, как компании легально и безопасно использовать ИИ, не нарушая закон о персональных данных.

Когда сотрудник вставляет в публичный ChatGPT договор с ФИО и паспортными данными клиента, эти персональные данные уходят на зарубежные серверы. Для компании — оператора персональных данных — это потенциальное нарушение 152-ФЗ.

Что требует 152-ФЗ

  • Локализация — персональные данные россиян должны храниться в РФ;
  • Согласие субъекта на обработку персональных данных;
  • Защита — меры по предотвращению утечек и несанкционированного доступа;
  • Обезличивание там, где идентификация не нужна.

В чём риск публичных сервисов

Личные аккаунты зарубежных нейросетей не дают гарантий по хранению данных в РФ, не логируют, что именно отправили сотрудники, и не обезличивают ПДн. Компания не контролирует поток данных — и не может доказать соответствие требованиям.

Риск не в самих нейросетях, а в бесконтрольной отправке персональных и коммерческих данных в неподконтрольные сервисы.

Как использовать ИИ легально

Корпоративная платформа с контуром в РФ решает проблему. На что смотреть:

  • Данные в РФ — обработка и хранение на российских серверах;
  • Обезличивание (DLP) — автоматическая замена ПДн токенами перед отправкой в модель;
  • Контроль и аудит — журнал действий, кто и что отправлял;
  • Права доступа — по ролям и отделам;
  • Шифрование и 2FA/SSO — защита доступа.

Как это реализовано — см. безопасность Neurocorp: DLP, обезличивание ПДн, данные в РФ и соответствие 152-ФЗ.

Чек-лист для бизнеса

  • Запретить сотрудникам личные аккаунты для рабочих данных;
  • Подключить корпоративную платформу с контуром в РФ;
  • Включить DLP и обезличивание персональных данных;
  • Настроить права доступа и журнал аудита;
  • Провести инструктаж: что нельзя отправлять в модель.

Попробуйте Neurocorp в своей компании

50+ нейросетей, корпоративная база знаний и 152-ФЗ — из России, без VPN, оплата в рублях.

Оставить заявку

Частые вопросы

Можно ли законно использовать ChatGPT в компании в России?

Да — через корпоративную платформу с обработкой данных в РФ, обезличиванием ПДн и DLP. Использование личных зарубежных аккаунтов для персональных данных клиентов рискованно по 152-ФЗ.

Что такое обезличивание данных перед отправкой в нейросеть?

Это автоматическая замена персональных данных (ФИО, паспорт, телефон) токенами до отправки в модель. Модель не получает реальные ПДн, а в ответе токены восстанавливаются.

Кто отвечает за утечку данных через нейросети?

Ответственность несёт компания как оператор персональных данных. Поэтому важно контролировать, какие данные сотрудники отправляют в ИИ, через корпоративный контур с DLP.

Читайте также