REG

Внедрение языковых моделей в корпоративной среде — это не только технический, но и юридический вопрос. Российское законодательство в сфере ИИ и данных активно развивается, и незнание норм может привести к серьёзным последствиям.

Дисклеймер: Эта статья носит информационный характер и не является юридической консультацией. Для конкретных ситуаций рекомендую обращаться к специализированным юристам.

Ключевые нормативные акты

152-ФЗ

Федеральный закон «О персональных данных»

Требует хранить и обрабатывать персональные данные граждан РФ на серверах, расположенных в России. Передача данных в зарубежные LLM-сервисы может нарушать этот закон.

149-ФЗ

Закон «Об информации, информационных технологиях»

Определяет требования к безопасности информационных систем. LLM-системы, обрабатывающие корпоративные данные, должны соответствовать требованиям ИБ.

Указ №250

Указ Президента об ИБ в КИИ

Субъекты критической информационной инфраструктуры обязаны использовать отечественное ПО и средства защиты. Использование иностранных AI-сервисов в КИИ крайне ограничено.

ФЗ об ИИ

Развитие регулирования ИИ (2024–2025)

В 2024–2025 годах активно разрабатываются специальные нормы для ИИ-систем: требования к прозрачности, ответственности за решения, принятые с помощью ИИ, и маркировке AI-контента.

Практические требования при внедрении LLM

Классификация данных

Первый шаг — определить, какие данные будет обрабатывать LLM-система:

  • Персональные данные — только локальные или российские облачные сервисы с сертификацией
  • Коммерческая тайна — необходима НДА с провайдером и контроль за утечками
  • Данные КИИ — только сертифицированные российские решения
  • Общедоступная информация — практически без ограничений

Технические требования

  • Логирование всех запросов к LLM с возможностью аудита
  • Ограничение доступа на основе ролей (RBAC)
  • Шифрование данных в покое и при передаче
  • Возможность удаления данных по запросу (право на забвение)
  • Документирование AI-решений, влияющих на права граждан

Организационные меры

  • Политика использования ИИ-инструментов сотрудниками
  • Инструктаж персонала о запрете передачи конфиденциальной информации в публичные LLM
  • Назначение ответственного за AI-compliance
  • Регулярные аудиты используемых AI-систем

Самый простой способ соответствовать требованиям — развернуть LLM локально. Данные никуда не уходят, нет вопросов о трансграничной передаче, полный контроль над логированием.

Отраслевые особенности

Некоторые отрасли имеют дополнительные требования:

  • Финансы и банки — нормы ЦБ РФ, требования к защите банковской тайны
  • Здравоохранение — врачебная тайна, специальные категории ПД
  • Госсектор — обязательное использование отечественного ПО из реестра Минцифры
  • Телеком — СОРМ, хранение данных в России

Чек-лист для compliance

  • ☑ Классифицированы данные, которые обрабатывает LLM
  • ☑ Выбрана модель хранения/обработки (локал/российское облако/иностранное облако)
  • ☑ Проведена оценка соответствия 152-ФЗ
  • ☑ Настроено логирование и аудит
  • ☑ Разработана внутренняя политика использования ИИ
  • ☑ Сотрудники прошли инструктаж
  • ☑ Назначен AI-compliance офицер
← All Articles Использование чат-ботов и ИИ ассистенто… →