ГК «Солар» проанализировала трафик 150 организаций из госсектора, финансов, промышленности, ритейла, телекома и ИТ. По данным компании, за год объём данных, которые сотрудники загружают в публичные ИИ-сервисы, вырос примерно в 30 раз. При этом около 60% компаний вообще не имеют внутренних правил на этот счёт: процесс не контролируется ни технически, ни на бумаге.

Основным регулятором остаётся 152-ФЗ «О персональных данных». С 1 июля 2025 года требование по локализации ужесточили: собирая персональные данные россиян, нельзя использовать базы за пределами страны. Зарубежные ИИ-сервисы хранят промпты и историю переписки за рубежом, что прямо нарушает эту норму. Кроме того, трансграничная передача данных (ст. 12) требует уведомления Роскомнадзора и соблюдения ряда условий, о которых сотрудники обычно не вспоминают.

Штрафы стали чувствительными с 30 мая 2025 года после вступления в силу федерального закона № 420-ФЗ. За незаконную обработку персональных данных — до 700 тысяч рублей. За утечку — от 3 до 15 миллионов, а если утекла биометрия, то до 20. Введены оборотные штрафы за повторные утечки, способные обнулить годовую прибыль средней компании.

60% компаний не имеют внутренних правил использования ИИ.

Помимо персональных данных, под угрозой режимы коммерческой тайны (98-ФЗ), налоговой тайны (ст. 102 НК) и банковской тайны (ст. 857 ГК). Если в компании введён режим коммерческой тайны и документ с грифом улетел в публичный сервис, это конкретное нарушение со всеми вытекающими вплоть до увольнения и взыскания убытков с сотрудника.

Безопасно отправлять в ИИ-сервисы обезличенные тексты без ФИО и реквизитов, шаблоны документов, общедоступную информацию, код и документы без тайн. Категорически нельзя передавать персональные данные клиентов и сотрудников, договоры с реквизитами физлиц, бухгалтерию с банковской и налоговой тайной, а также документы под грифом коммерческой тайны. Чтобы снизить риски, достаточно заменить живые данные на заглушки — {ФИО}, {ИНН}, {КОМПАНИЯ}. Модели работают с такими болванками, а юридический риск падает на порядок. При регулярной задаче этот шаг можно автоматизировать скриптом-анонимизатором.