Вы думаете, что такого не может быть, потому что в действующем законодательстве нет таких штрафов? Что ж, напрямую и правда, нет. Но в определенных случаях использование ИИ может быть расценено как утечка данных, например. Или как нарушение требований о локализации и трансграничной передаче. И это не говоря о нарушении конфиденциальности коммерческой тайны.
Как с помощью ИИ можно нарушить закон
Наверняка ваши сотрудники с удовольствием используют DeepSeek или ChatGPT для решения каких-то рабочих вопросов. А вы и рады – можно говорить о высокой технологичности бизнеса, об инновациях. Вот только есть довольно серьезная проблема, и я сейчас не о «галлюцинациях», которые щедро раздают эти ИИ.
Я сейчас о том, что именно в диалоги с машиной загружают ваши сотрудники. Нужно понимать, что ни одна из общедоступных ИИ не обещает конфиденциальности. Напротив, они как раз говорят о том, что загруженные в них данные могут быть использованы самым разным образом.
Сэм Алтман, СЕО компании OpenAI, разработчика и владельца ChatGPT, не так давно предупредил, что все диалоги с машиной, даже те, что пользователь вроде как удалил, сохраняются для возможного использования их как доказательства в суде. Та же OpenAI в какой-то момент делала возможным для Google поиска находить и показывать отдельные диалоги пользователей. Правда, от этой идеи отказались, но можно придумать и новые.
Недавнее исследование ученых из Италии и Великобритании показало и еще одну уязвимость в 10 наиболее популярных моделях ИИ в мире. Очень большой процент вероятности, что они, работая в браузере вашего компьютера, собирают через этот браузер довольно чувствительную информацию. Например, банковские данные, которые вы также вводите в браузере, налоговые данные, медицинскую информацию. Куда и как они ее передают и где хранят, увы, пока загадка. Владельцы ИИ информацию об этом не раскрывают.
При этом надо помнить, что сервера, на которых «живут» эти ИИ, находятся за пределами РФ. США, Китай. Если ваш HR для проведения аналитики по соискателям загружает их базу в любую иностранную ИИ, то это фактически трансграничная передача. А она потребует указания такого вида обработки в реестре операторов, проведения проверки надежности той стороны, которой вы передаете данные, уведомления Роскомнадзора… А в случае с ChatGPT еще и ждать 10 дней, т.к. США – неадекватная юрисдикция.
Если бесконтрольно загружать данные в зарубежные ИИ без указания такой обработки, без учета требований трансграничной передачи, то в случае, если всплывет эта история, она может быть квалифицирована как утечка. Это следует из того, как утечку трактует КоАП. Штрафы там значительные. А если в тех данных будут и результаты медосмотров работников, то это уже утечка спец категорий данных, там штрафы гораздо выше.
Может бизнесу не использовать ИИ?
Почему не использовать? Этот ящик Пандоры уже не закрыть, а если что-то нельзя прекратить, остается это возглавить.
Для использования ИИ в бизнесе нужны жесткие правила:
Запретите сотрудникам бесконтрольно использовать подряд все бесплатные общедоступные варианты ИИ.
Установите, какие именно инструменты будут использоваться, кто и что может туда загружать.
Избегайте, по возможности, загрузки персональных данных, коммерческой тайны, данных клиентов, контрагентов юридических лиц и т.д. Если ничего из этого не загружается, что нарушения не будет, трансграничной передачи данных тоже.
Если какие-то процессы бизнеса требуют обработки через ИИ персональных данных, то тут надо очень внимательно разбираться, что именно будет обрабатываться, зачем, как и т.д.
Совет: лучше всего выбрать какой-то закрытый вариант ИИ, еще лучше – российский. Если будете выбирать зарубежный, не забудьте тогда провести трансграничку по всем правилам.
В целом, если у вас в компании есть обработка персональных данных с помощью ИИ, то это должно быть отражено в документах, которые регулируют всю обработку в компании. Если вы понимаете, что вам нужна помощь в вопросе с документами, приходите к нам. На услуге по созданию документального фонда по персональным данным мы не просто подготовим вам формальные шаблоны документов, а проанализируем ваши процессы и отразим в документах вашу специфику.
