Сотрудники сливают корпоративные данные в ChatGPT: объём вырос в 30 раз за год
ГК «Солар» проанализировала трафик 150 российских компаний из госсектора, финансов и ИТ — объём корпоративных данных, которые сотрудники самостоятельно загружают в ChatGPT и другие публичные ИИ, вырос за год примерно в 30 раз. При этом 60% организаций не имеют ни одного внутреннего правила на этот счёт. Договоры, ФИО, ИНН, паспортные данные — всё это уходит в сторонние дата-центры без ведома даже тех, кто в компании формально отвечает за персональные данные.
AI-обработка оригинала Habr AI; редакция Hamidun News
ГК «Солар» проанализировала трафик 150 российских организаций и зафиксировала: объём корпоративных данных, которые сотрудники самостоятельно отправляют в публичные ИИ-сервисы, вырос примерно в 30 раз — при этом около 60% компаний не имеют никаких внутренних правил на этот счёт.
Что именно уходит в чужие дата-центры
Схема простая: нужно сделать выжимку из договора — загружаешь в ChatGPT. Надо обработать список клиентов — вставляешь в таблицу с ИИ-функциями. Результат хороший, времени тратится меньше. Проблема в том, что вместе с документами в сторонний дата-центр уходят:
- ФИО сотрудников и клиентов
- Паспортные данные и ИНН
- Банковские реквизиты и суммы сделок
- Коммерческие условия и внутренняя переписка
- Сведения, составляющие коммерческую тайну
Никаких предупреждений сервис обычно не показывает. Формально пользователь принял условия, в которых написано, что данные могут использоваться для обучения модели — но мало кто это читает.
Где реальный риск, а где страшилки
Крупные ИИ-провайдеры декларируют, что не используют корпоративные данные из API-режима для обучения моделей. Но для российских компаний это не снимает проблему.
«Около 60% компаний вообще не имеют внутренних правил на этот счёт:
процесс не контролируется ни технически, ни на бумаге», — из исследования ГК «Солар».
Реальные риски распределяются по трём направлениям.
Регуляторный. По российскому закону 152-ФЗ «О персональных данных» передача персональных данных третьим лицам без согласия субъекта и без надлежащего договора — нарушение. С 30 мая 2025 года штрафы за повторные нарушения для юридических лиц достигают 15 миллионов рублей.
Коммерческий. Если в договоре с клиентом прописана конфиденциальность, а сотрудник отправил документ в ChatGPT — компания нарушила договорное обязательство. Контрагент вправе требовать возмещения убытков.
Репутационный. Утечка данных партнёров через неосторожное использование ИИ становится поводом для расторжения контрактов.
Что компании делать прямо сейчас
Хорошая новость: решения есть, и они не требуют запрета на ИИ.
Первый шаг — внутренняя политика: документ на одну страницу с перечнем того, какие данные можно обрабатывать во внешних ИИ-сервисах, а какие — нельзя. Без этого у компании нет инструмента для дисциплинарного взыскания и нет аргумента в разговоре с регулятором.
Второй шаг — обучение сотрудников. Не запрещать, а объяснять: что именно является персональными данными и коммерческой тайной, почему это нельзя загружать в публичный сервис и какие корпоративные альтернативы существуют.
Третий шаг — технические меры: DLP-системы, которые блокируют или фиксируют передачу определённых категорий данных за периметр; корпоративные ИИ-инструменты на собственной инфраструктуре или в российском облаке у провайдера, подписавшего договор поручения по 152-ФЗ.
Что это значит
Массовый переход сотрудников на ИИ-инструменты не остановить — да это и не нужно. Но 30-кратный рост объёма передаваемых данных за один год говорит о том, что большинство компаний пропустили момент, когда это перестало быть частной инициативой и стало системным корпоративным риском. Правила нужны не «когда-нибудь», а прямо сейчас.
Частые вопросы
Грозит ли штраф компании, если сотрудник сам загрузил данные в
ChatGPT?
Да, потенциально. По 152-ФЗ ответственность за обработку персональных данных несёт оператор — то есть компания, а не конкретный сотрудник. Если факт передачи персональных данных третьей стороне будет установлен, регулятор вправе наложить штраф на юридическое лицо. С 30 мая 2025 года за повторные нарушения он достигает 15 миллионов рублей.
Есть ли безопасная альтернатива публичным ИИ-сервисам?
Да: корпоративные ИИ-решения, развёрнутые на собственных серверах или в российском облаке у провайдера, заключившего договор поручения на обработку персональных данных. В этом случае данные не покидают контролируемый периметр.
Хотите не читать про ИИ, а внедрить его?
«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.
Главное из мира ИИ — раз в неделю
7 ключевых событий недели, отобранных вручную. Без шума, репостов и пресс-релизов.
Готово! Проверьте почту — мы отправили подтверждение.