Зачем и кому нужна политика работы с искусственным интеллектом
Четкого регулирования искусственного интеллекта и его использования в России пока нет, но это не мешает 73% россиян регулярно пользоваться нейросетями. При этом многие используют их и для решения рабочих задач. Среди них около 40% отправляет запросы нейросетям ежедневно. То есть сотрудники уже активно используют ИИ — вопрос только в том, делают они это в контролируемом контуре или через личные аккаунты, обращает внимание советник практики M&A и корпоративного права, руководитель направления AI & Legal Tech O2 Consulting (О2 Консалтинг) Софья Смирнова.
Политика по использованию ИИ необходима абсолютно всем компаниям, включая те, что пока придерживаются консервативного подхода к внедрению технологий. Реальность такова, что, даже если бизнес официально не использует ИИ-решения, сотрудники уже активно применяют общедоступные нейросети для решения рабочих задач. Не имея злого умысла, они при этом могут не учесть серьезных рисков, связанных с конфиденциальностью или интеллектуальными правами.
Валерия Эйстрах, старший юрист практики технологий, медиа, телекоммуникаций Melling, Voitishkin & Partners
Таким образом, политика работы с ИИ критически необходима бизнесу, который работает с регулируемыми данными и чужой интеллектуальной собственностью, уверена Смирнова. Это финтех и банки, медицина, юридические и консалтинговые компании, IT-разработка, госконтракты, операторы персональных данных. В этих же сферах довольна высока цена ошибки: например, с 30 мая 2025 года действуют оборотные штрафы за утечку персональных данных. Кроме того, использование зарубежных больших языковых моделей означает передачу данных за рубеж. «Для таких компаний документ — не только управленческий инструмент, но и доказательство принятия разумных мер при проверках и спорах», — указывает Смирнова.
Еще один аргумент в пользу принятия отдельного документа, который будет регулировать работу с нейросетями, — это подготовка закона о регулировании ИИ. Минцифры опубликовало проект документа в марте, сейчас идет обсуждение его положений, а вступление в силу запланировано на 1 сентября 2027 года. «Переходный период — это окно для того, чтобы привести внутренние процессы в порядок», — считает Смирнова.
При этом юристы рекомендуют разрабатывать отдельный полноценный документ и не ограничиваться точечными положениями в уже действующих политиках использования другого программного обеспечения. Дело в том, что ИИ довольно специфичен: у него есть возможности анализировать информацию, имитировать человеческое мышление, генерировать результат этих процессов, перечисляет партнер Ermolina & Partners Дмитрий Грачев. В итоге основные риски лежат не в технической стороне, а в использовании искусственного интеллекта и результатов его работы.
Формат включения пары положений об ИИ в другие политики компании — это не выход. Слишком много сложных категорий, которые невозможно раскрыть частично и вскользь: цели использования ИИ, какие данные считать чувствительными, коммуникация с клиентами, на ком и в каком объеме лежит ответственность, до какой степени в конечном продукте может быть результат ИИ. И это только верхний уровень.
Никита Соколов, юрист Legal Tech BGP Litigation
Но необязательно сразу разрабатывать полноценный документ — многое здесь зависит от ситуации в конкретной компании. Например, отдельные положения о работе с ИИ можно включить в уже имеющиеся локальные акты (положение об обработке данных, об информационной безопасности), считает руководитель практики интеллектуальной собственности и партнер Comply Максим Али. Главное, чтобы нормы покрывали основные риски, а не сводились к общей фразе «использовать ИИ с осторожностью», добавляет Смирнова.
Что обязательно предусмотреть
Законодательно содержание политики использования ИИ не регулируется, и конкретные положения такого документа будут зависеть от отрасли. «Например, консалтингу очень важно сохранять результат своей интеллектуальной, творческой деятельности и экспертизы, тогда как производственным сферам может быть важно качество финального продукта и скорость его создания», — рассуждает Соколов. Но есть и общее правило: политика по использованию ИИ должна регулировать не столько техническую эксплуатацию, сколько взаимодействие с технологией и управление ее результатами, уверена Эйстрах. Для этого в политике работы с ИИ должно быть несколько обязательных разделов.
Вопросы безопасности
Одна из главных задач политики работы с ИИ — это защита конфиденциальной информации и персональных данных. ФЗ «О персональных данных» запрещает работнику компании, у которого есть доступ к клиентским базам, в силу своих должностных обязанностей передавать публичным ИИ-сервисам данные третьих лиц. «Такую передачу могут квалифицировать как утечку, за которую компанию оштрафуют. При этом обработка персональных данных в локальном ИИ возможна, если соблюдены требования киберзащиты по ФЗ „О персональных данных”», — уточняет партнер Ermolina & Partners Михаил Шолохов. Кроме этого, Роскомнадзор обращает внимание на передачу персональных данных в зарубежные ИИ-сервисы без правовых оснований, добавляет Смирнова. Связано это с тем, что п. 5 ст. 18 ФЗ «О персональных данных» запрещает запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных россиян с использованием баз данных за пределами РФ.
Учитывая это, в таком документе важно указать, какие есть методы защиты, какие ИИ-сервисы можно использовать для разных задач, где хранится информация и в каком виде, какие данные и в каком виде используются в работе с ИИ, как предотвращать риски утечек, перечисляет Соколов. Еще стоит предусмотреть порядок обезличивания данных и акцентировать внимание на трансграничной передаче персональных данных, рекомендует Али.
Персональные данные относятся к конфиденциальной информации вместе с коммерческой тайной, финансовыми отчетами, юридически значимыми документами. И в отношении таких данных юристы рекомендуют вовсе запретить использовать внешний ИИ. «Исполнение этого запрета не всегда можно эффективно проконтролировать, поэтому в некоторых случаях есть смысл на техническом уровне полностью ограничить доступ к внешним ИИ-инструментам и оставить только разрешенные», — советует старший юрист практики технологий, медиа, телекоммуникаций Melling, Voitishkin & Partners Екатерина Абясова. Например, так поступил Samsung после того, как сотрудники компании трижды передали конфиденциальную информацию ChatGPT. Сначала это был внутренний исходный код, затем шаблоны для выявления дефектных чипов, а в третий раз сотрудник отправил в нейросеть запись закрытого совещания, попросив преобразовать ее в текст и сделать презентацию.
В политике желательно предусмотреть понятный алгоритм, по которому работник сможет оценить возможность загрузки конфиденциальной информации в публичный ИИ. Если работник не будет соблюдать его, то это станет основанием для привлечения его к ответственности в случае утечки информации или возникновения убытков у компании. В политике также целесообразно закрепить обязанность работника проявлять повышенную осмотрительность при формулировании промпта для работы ИИ, чтобы избежать утечек конфиденциальной информации.
Михаил Шолохов, партнер Ermolina & Partners
В то же время сотрудники могут оказаться недовольными такими ограничениями, и тогда важно будет найти баланс. Например, при разработке политики использования ИИ в O2 Consulting самый болезненный спор, по словам Смирновой, был как раз о закрытом периметре и рабочих инструментах. «Юристы хотели пользоваться лучшими доступными моделями. Компромиссом стала двухконтурная модель: для работы с клиентскими данными разрешен только корпоративный закрытый контур, а для общих задач (исследование по открытым источникам, языковая правка маркетинговых текстов, кодинг внутренних утилит) допускается расширенный белый список сервисов», — рассказывает юрист.
Ответственность
В политике работы с ИИ важно закрепить четкое разграничение зон ответственности: за что отвечают рядовые сотрудники, лидеры групп и отделов, руководители департаментов и высший менеджмент, указывает Соколов. А Смирнова напоминает: ИИ — это не субъект права, поэтому отвечает сотрудник и работодатель. Эта логика согласуется и с подходом законопроекта Минцифры.
Дополнительно Абясова рекомендует определить ответственных за внедрение ИИ и контроль над ним и установить случаи, когда сотрудники обязаны указывать, что тот или иной материал был создан с использованием искусственного интеллекта. Смирнова же считает, что важно еще предусмотреть процедуру реагирования на инциденты. Это, например, утечка данных через промпт или ошибочный вывод, который попал наружу.
Работа с результатами ИИ
Базовое правило: результат работы нейросети нужно верифицировать в любом случае. Это включает проверку и достоверности данных, на которые ссылается модель, и логики их изложения, и соответствия нормативному регулированию. Чтобы все предусмотреть, Соколов предлагает прописать в политике обязательные процедуры проверки результатов, регламент их выполнения, методы предотвращения и проверки «галлюцинаций» и указать, в каких задачах и что проверяется. «Важно донести, что ИИ — это рабочий инструмент, а не замена человека», — говорит Абясова.
Это положение становится особенно важным с развитием практики привлечения к ответственности за использование ИИ. Так, в деле № А27-7831/2025 АС Западно-Сибирского округа оштрафовал сторону за то, что ее представитель ссылался в судебных документах на несуществующую практику и разбирательства, которые не имели никакого отношения к рассматриваемому спору. Такие примеры юристу предложил ИИ, но кассация отметила, что подготовка обращения с помощью технологий искусственного интеллекта не оправдывает заявителя. Судьи разъяснили: по смыслу ч. 2 ст. 9 АПК ответственность за достоверность сгенерированного текста несет тот, кто эти технологии применил.
Другой важный аспект — работа с интеллектуальной собственностью.
В первую очередь нужно внимательно изучить условия использования ИИ-инструментов: не ограничивает ли пользовательское соглашение использование сгенерированного контента, не забирает ли сервис себе права на контент. В некоторых случаях очень важно прописать в политике порядок документирования своего творческого вклада в сгенерированный результат, чтобы компания могла защитить свои права на него.
Екатерина Абясова, старший юрист практики технологий, медиа, телекоммуникаций Melling, Voitishkin & Partners
Типичные ошибки при разработке политики
Не стоит совсем запрещать работать с нейросетями и сервисами на базе искусственного интеллекта. «Это только выталкивает сотрудников в личные аккаунты, и контроля становится меньше, а не больше», — предупреждает Смирнова.
Тотальный запрет на использование ИИ работниками будет ошибкой. Это сродни попытке остановить флагом паровоз.
Максим Али, руководитель практики интеллектуальной собственности, партнер Comply
При этом разрешение на использование ИИ нужно правильно сформулировать. По мнению Соколова, сухое декларирование, что в компании используют искусственный интеллект, не отвечает на основные вопросы: клиенты не понимают, что будет с их данными, где конкретно юристы используют ИИ, могут ли они отказаться от этой технологии. Это стало одной из причин принятия декларации в О2 Consulting. «Клиенты из числа банков и крупных корпораций начали включать в анкеты вопрос: „Есть ли в фирме политика по ИИ и какие инструменты используют юристы при работе с нашими данными?” Без внятного ответа на этот вопрос подписать NDA с заказчиком становилось все сложнее», — делится Смирнова.
Чтобы сделать политику использования ИИ максимально прозрачной для клиента, BGP Litigation сформировали фокус-группу из доверителей из разных отраслей и честно обсудили с ними декларацию. Это помогло понять, что важно им, рассказывает Соколов. Кроме этого, нужно устранять непонимание и среди сотрудников.
Абстрактные формулировки уровня «применять разумно» не работают — нужны конкретные сценарии и примеры. Если нет списка одобренных инструментов, то сотрудник просто не понимает, чем пользоваться. Еще важно реальное обучение, иначе документ существует, но сотрудники о нем не знают.
Софья Смирнова, советник практики M&A и корпоративного права, руководитель направления AI & Legal Tech O2 Consulting (О2 Консалтинг)
О важности тренингов сотрудников говорит и Али: нужно объяснить цель внедрения политики, дать живые примеры, инструменты обезличивания. Это можно сделать и до разработки полноценного документа. Например, команда BGP Litigation еще до создания декларации использования ИИ обучила всех сотрудников навыкам работы с этой технологией и разработала десять правил использования ИИ внутри фирмы.
Более того, четко сформулированные правила, перечни разрешенных сервисов и разработанные процессы обучения сотрудников помогут защитить компанию в суде. Еще важно регулярно пересматривать политику использования ИИ и актуализировать ее под новое регулирование. А Смирнова рекомендует прислушиваться к мнению юристов, которые пользуются политикой и ИИ, и переписывать документ на основании их обратной связи.
Но при формулировании четких правил важно не перестараться и не усложнить документ до такой степени, что его не будут читать. «Бюрократизация процесса и неоправданные этапы согласований ставят сотрудников перед неприятным выбором: либо отказаться от эффективного инструмента и проиграть в продуктивности, либо проигнорировать правила и поставить под угрозу безопасность компании», — говорит Эйстрах. Учитывая это, юрист рекомендует сформулировать емкие понятные принципы работы в документе на 1–2 страницы.
Еще одна ошибка, которая распространена среди компаний, — это бездумное копирование чужих политик использования ИИ. Соколов объясняет: «Если просто взять выдержки извне и скопировать в свои документы, то получится то же самое, что взять первый попавшийся типовой устав и зарегистрировать компанию с ним». По мнению юриста, очень важно, чтобы политика работы с ИИ была персонализированной и учитывала контекст бизнес-целей, уровень навыков команды, общую этику компании и ее окружения.
Но главное — это не просто разработать документ, а встроить его в ежедневные процессы. «Документ ради документа создает ложное чувство защищенности», — резюмирует Смирнова.







