Правила безопасного ИИ в компании: политики и риски простым языком
- Правила нужны не «для галочки»: сотрудники пользуются ИИ уже сейчас, просто вы об этом не знаете.
- Настоящих рисков три: утечка данных, уверенное враньё модели и ответственность за решение по её совету.
- Для компании до сотни человек это страница текста, а не проект и не софт.
Правила безопасного ИИ в компании — это короткий внутренний документ, который отвечает на три вопроса: чем сотрудникам можно пользоваться, что туда нельзя отправлять и кто отвечает, если ответ нейросети оказался неверным. Это не «сертификация» и не софт, который надо купить: в большинстве компаний до сотни человек это страница-другая текста и один разговор с командой. Ниже — что в такие правила реально входит, какие риски настоящие, а какие вам продают. Это скорее гайд, чем предложение услуги: сделать это можно и своими силами, и мы прямо покажем как.
«Вы примерно догадываетесь, что менеджер вставляет договоры в нейросеть, бухгалтер просит её посчитать, а маркетолог давно пишет тексты не сам. Запретить — потеряете скорость и всё равно не выполнят, просто перестанут говорить. Разрешить — непонятно, где граница и что будет, если однажды ваша ценовая политика или база клиентов всплывёт в чужом сервисе. Спросить не у кого: консультанты продают страх и «аудит соответствия», а внятного «вот что напишите на листе» никто не даёт.»
Как это работает
-
1
Сначала узнаём, чем уже пользуются
Не с запрета, а с разговора. Практически всегда выясняется, что ИИ в компании уже используют — просто с личных аккаунтов и без вашего ведома. Пока вы не знаете, кто, где и зачем, любые правила будут написаны про воображаемую компанию. Спрашивать надо без угрозы наказания, иначе честных ответов не будет.
-
2
Делим данные на три корзины
Красная — нельзя никуда: персональные данные клиентов и сотрудников, себестоимость, условия договоров с поставщиками, всё, что составляет коммерческую тайну. Жёлтая — можно, но обезличенно: убрали имена, телефоны, названия компаний — отправляйте. Зелёная — можно свободно: тексты, идеи, переводы, черновики, обучающие материалы. Три корзины понимает любой сотрудник, а двадцатистраничный регламент — никто.
-
3
Называем, чем пользоваться можно
Правило «пользуйтесь чем хотите» на практике означает «отправляйте наши данные куда попало». Список из двух-трёх разрешённых сервисов (или ваша собственная модель в закрытом контуре) решает половину проблемы: вы хотя бы знаете, куда уходят данные и по какому договору. Отдельно стоит проверить, где физически обрабатываются данные — российские площадки в этом смысле проще.
-
4
Пишем, кто отвечает за результат
Самый важный пункт и самый пропускаемый. Нейросеть — не сотрудник, отвечать она не может. Отвечает тот, кто взял её ответ и применил: подписал договор, отправил письмо клиенту, посчитал налог. Формулировка простая: ответ ИИ — черновик, ответственность за проверку на том, кто его использует. Пока это не проговорено, все считают, что виноват будет кто-то другой.
-
5
Проговариваем это с людьми, а не рассылаем файл
Правила, которые пришли письмом и остались в папке, не работают. Полчаса с командой и три примера «вот так можно, вот так нельзя, вот так было у знакомых и чем кончилось» дают больше, чем любой документ под подпись. Возвращаться к разговору стоит раз в полгода — сервисы и привычки меняются быстро.
-
6
Не изобретаем сертификацию
Обязательной сертификации «безопасного ИИ» для обычной компании в России не существует. Есть добровольный Кодекс этики в сфере ИИ — к нему можно присоединиться, это про репутацию и намерение, а не про обязанность. Есть 152-ФЗ — вот он обязателен, и там штрафы настоящие. Всё остальное, что вам продают как «соответствие», стоит проверять вопросом: какой конкретно нормой это требуется?
Когда это оправдано — а когда нет
Частые вопросы
Сколько стоит навести порядок с ИИ в компании?+
Зависит от задачи — считаем на бесплатном разборе. Но честно: если у вас небольшая компания и понятные процессы, вы сделаете это сами по разбору с этой страницы, и платить нам не за что. Мы нужны там, где надо разбираться, куда именно текут данные и что с этим делать технически. Прайс-таблиц у нас нет.
Можно просто запретить нейросети сотрудникам?+
Можно, но работать это будет ровно до первого дедлайна. Люди уйдут на личные телефоны и личные аккаунты, а вы потеряете даже ту видимость, что была. Запрет без альтернативы — это не безопасность, это неведение. Работает связка «нельзя вот это, а вот этим пользуйтесь спокойно».
Нужен ли отдельный софт для контроля?+
Для большинства компаний — нет. Сначала правила и понятные разрешённые сервисы, потом уже, если данных много и людей много, инструменты контроля. Начинать с покупки софта — это как купить сейф, не решив, что в него класть.
Что говорит закон про использование ИИ сотрудниками?+
Отдельного закона именно об этом нет. Принятый в июле 2026 года закон о технологиях ИИ адресован разработчикам больших моделей, а не компаниям-пользователям. Ваши реальные обязанности идут из 152-ФЗ о персональных данных — и там с 30 мая 2025 года действуют серьёзно ужесточённые штрафы, вплоть до оборотных при повторных утечках.
Чем это отличается от чат-бота на сайте?+
Полностью. Мы про внутренние процессы: что можно вашим сотрудникам, куда уходят ваши документы, кто отвечает за ответ модели. Клиентские боты, обзвон и поддержка покупателей — не наша тема и на этой странице не рассматриваются.
На одну страницу правил правда хватит?+
Для компании до сотни человек — как правило, да: три корзины данных, список разрешённых сервисов, пункт про ответственность и что делать при сомнении. Длинный регламент никто не читает, а значит, он не защищает ни от чего, кроме упрёка «мы же написали».
Подойдёт ли это вашему бизнесу?
Оставьте контакт — в бесплатном разборе честно скажем, окупится ли это именно у вас.
Заявка принята
Свяжемся в течение 24–48 часов и пришлём разбор на одну страницу.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (КонсультантПлюс)
- С 30 мая 2025 года ужесточена ответственность за нарушения в области персональных данных (КонсультантПлюс)
- Персональные данные: новые штрафы с 30 мая 2025 года (КонсультантПлюс, обзор)
- Кодекс этики в сфере искусственного интеллекта (Альянс в сфере ИИ) — добровольный документ
- Законопроект № 1271570-8 «О поддержке развития технологий искусственного интеллекта в РФ» — карточка (СОЗД Госдумы)
Смежные темы
152-ФЗ и нейросети
Боитесь, что данные клиентов в ChatGPT — уже нарушение.
Безопасность и законКак проверить, что ваш ИИ не врёт
Ответ выглядит уверенно, а проверить его нечем.
Безопасность и законНовый закон об ИИ: что делать бизнесу
Закон приняли, а что менять у себя — непонятно.
Безопасность и законЛокальная LLM в закрытом контуре
Хотите пользоваться ИИ, не отдавая данные наружу.