Habr AI→ оригинал

Сотрудники сливают корпоративные данные в ChatGPT: объём вырос в 30 раз за год

ГК «Солар» проанализировала трафик 150 российских компаний из госсектора, финансов и ИТ — объём корпоративных данных, которые сотрудники самостоятельно загружают в ChatGPT и другие публичные ИИ, вырос за год примерно в 30 раз. При этом 60% организаций не имеют ни одного внутреннего правила на этот счёт. Договоры, ФИО, ИНН, паспортные данные — всё это уходит в сторонние дата-центры без ведома даже тех, кто в компании формально отвечает за персональные данные.

AI-обработка оригинала Habr AI; редакция Hamidun News
Сотрудники сливают корпоративные данные в ChatGPT: объём вырос в 30 раз за год
Источник: Habr AI. Коллаж: Hamidun News.
◐ Слушать статью

ГК «Солар» проанализировала трафик 150 российских организаций и зафиксировала: объём корпоративных данных, которые сотрудники самостоятельно отправляют в публичные ИИ-сервисы, вырос примерно в 30 раз — при этом около 60% компаний не имеют никаких внутренних правил на этот счёт.

Что именно уходит в чужие дата-центры

Схема простая: нужно сделать выжимку из договора — загружаешь в ChatGPT. Надо обработать список клиентов — вставляешь в таблицу с ИИ-функциями. Результат хороший, времени тратится меньше. Проблема в том, что вместе с документами в сторонний дата-центр уходят:

  • ФИО сотрудников и клиентов
  • Паспортные данные и ИНН
  • Банковские реквизиты и суммы сделок
  • Коммерческие условия и внутренняя переписка
  • Сведения, составляющие коммерческую тайну

Никаких предупреждений сервис обычно не показывает. Формально пользователь принял условия, в которых написано, что данные могут использоваться для обучения модели — но мало кто это читает.

Где реальный риск, а где страшилки

Крупные ИИ-провайдеры декларируют, что не используют корпоративные данные из API-режима для обучения моделей. Но для российских компаний это не снимает проблему.

«Около 60% компаний вообще не имеют внутренних правил на этот счёт:

процесс не контролируется ни технически, ни на бумаге», — из исследования ГК «Солар».

Реальные риски распределяются по трём направлениям.

Регуляторный. По российскому закону 152-ФЗ «О персональных данных» передача персональных данных третьим лицам без согласия субъекта и без надлежащего договора — нарушение. С 30 мая 2025 года штрафы за повторные нарушения для юридических лиц достигают 15 миллионов рублей.

Коммерческий. Если в договоре с клиентом прописана конфиденциальность, а сотрудник отправил документ в ChatGPT — компания нарушила договорное обязательство. Контрагент вправе требовать возмещения убытков.

Репутационный. Утечка данных партнёров через неосторожное использование ИИ становится поводом для расторжения контрактов.

Что компании делать прямо сейчас

Хорошая новость: решения есть, и они не требуют запрета на ИИ.

Первый шаг — внутренняя политика: документ на одну страницу с перечнем того, какие данные можно обрабатывать во внешних ИИ-сервисах, а какие — нельзя. Без этого у компании нет инструмента для дисциплинарного взыскания и нет аргумента в разговоре с регулятором.

Второй шаг — обучение сотрудников. Не запрещать, а объяснять: что именно является персональными данными и коммерческой тайной, почему это нельзя загружать в публичный сервис и какие корпоративные альтернативы существуют.

Третий шаг — технические меры: DLP-системы, которые блокируют или фиксируют передачу определённых категорий данных за периметр; корпоративные ИИ-инструменты на собственной инфраструктуре или в российском облаке у провайдера, подписавшего договор поручения по 152-ФЗ.

Что это значит

Массовый переход сотрудников на ИИ-инструменты не остановить — да это и не нужно. Но 30-кратный рост объёма передаваемых данных за один год говорит о том, что большинство компаний пропустили момент, когда это перестало быть частной инициативой и стало системным корпоративным риском. Правила нужны не «когда-нибудь», а прямо сейчас.

Частые вопросы

Грозит ли штраф компании, если сотрудник сам загрузил данные в

ChatGPT?

Да, потенциально. По 152-ФЗ ответственность за обработку персональных данных несёт оператор — то есть компания, а не конкретный сотрудник. Если факт передачи персональных данных третьей стороне будет установлен, регулятор вправе наложить штраф на юридическое лицо. С 30 мая 2025 года за повторные нарушения он достигает 15 миллионов рублей.

Есть ли безопасная альтернатива публичным ИИ-сервисам?

Да: корпоративные ИИ-решения, развёрнутые на собственных серверах или в российском облаке у провайдера, заключившего договор поручения на обработку персональных данных. В этом случае данные не покидают контролируемый периметр.

ЖХ
Hamidun News
AI‑новости без шума. Ежедневный редакторский отбор из 400+ источников. Продукт Жемала Хамидуна, Head of AI в Alpina Digital.

Хотите не читать про ИИ, а внедрить его?

«AI News» — это полезные новости из мира ИИ. Системно научиться работать с нейросетями и применять их в работе — в Hamidun Academy.

Что вы думаете?
Загружаем комментарии…