Почему регулирование ИИ стало критически важным

2025 год - переломный для технологий. Все больше ИИ становится «полноценным» участником процессов. Он создает контент, который может нарушать закон, предлагает решения, которые могут влиять на жизнь и здоровье людей, анализирует персональные данные, формирует рекомендации, влияющие на деньги, репутацию и безопасность. И логичный результат: бизнес внезапно оказался в зоне юридических рисков, которые несколько лет назад не существовали.

Особенно необходимо учитывать, что в России в настоящий момент нет закона «Об искусственном интеллекте», но есть ряд норм, которые уже прямо или косвенно регулируют использование ИИ.

Что лежит в зоне регулирования, смежной с ИИ и что в первую очередь «зацепит» бизнес в 2025 году

Отдельного закона об искусственном интеллекте в России пока нет. Однако это вовсе не означает отсутствия регулирования. Ряд смежных норм станут первыми «точками давления» на компании, использующие ИИ. На данном этапе законодательство пока регулирует не сам ИИ, а последствия его использования: данные, контент, безопасность, ответственность.

Контентные риски и информационная безопасность (149-ФЗ)

Это первая зона, куда ИИ попадает автоматически. ИИ генерирует контент, а значит, он может нарушить нормы о:

❗ И здесь важный момент. Мы уже наблюдаем, что многие владельцы сайтов и сервисов стали добавлять дисклеймеры вроде: «Контент сгенерирован автоматически с помощью ИИ», «Материалы получены от нейросети», «Сайт использует автоматическую генерацию контента».

⚠️ Однако необходимо понимать, что дисклеймер НЕ снимает ответственности. В российском праве нет механизма, который позволял бы «переложить» ответственность на ИИ или объявить алгоритм источником правонарушения.

Даже если на сайте написано, что тексты или изображения сгенерированы автоматически:

Поэтому ответственность за любые нарушения на сайте лежит на владельце/администраторе сайта, даже если он не видел конкретный материал. Следует учитывать, что при выявлении нарушения, сайт может быть внесен в реестр и доступ к нему может быть ограничен.

Данные: персональные, чувствительные, биометрические (152-ФЗ)

Вторая зона, куда ИИ попадает неизбежно – это персональные данные. Любая ИИ-система обучается на данных, собирает данные пользователя, анализирует, классифицирует и ранжирует, хранит и передает, иногда распознает лица, голоса, поведение (уже биометрия). ИИ не существует без данных, а значит, автоматически попадает под требования 152-ФЗ «О персональных данных» и связанных подзаконных актов.

Почему риски с данными - одни из самых серьезных? ИИ увеличивает объемы собираемых данных, делает их глубже и чувствительнее, а главное повышает риски утечек. На практике это приводит к тому, что почти любое использование ИИ создает сразу несколько юридически значимых действий: сбор данных, обработка данных, хранение и обезличивание, передача ( в т.ч. трансграничная), использование данных для обучения моделей. Каждое из этих действий регулируется отдельно.

Ключевые риски для бизнеса

1. Неполное согласие на обработку данных

   Обычное согласие «на обработку персональных данных» не подходит для ИИ. ИИ выполняет множество операций, которые должны быть перечислены отдельно:

   • профилирование;
   • решения, влияющие на пользователя;
   • обучение моделей;
   • повторное использование данных в новых целях;
   • передача третьим лицам (включая зарубежные LLM).

   Без этого согласие считается неполным, что ведет к риску штрафов.

2. Избыточный сбор данных

   ИИ может «захватывать» больше данных, чем нужно:

   • полные логи;
   • файлы, содержащие лишнюю информацию;
   • метаданные;
   • биометрические «по умолчанию» (например, фото профиля).

   152-ФЗ содержит прямой запрет: обрабатывать можно только те данные, которые необходимы для конкретной цели. Если ИИ собирает больше, это уже нарушение.

3. Обезличивание данных для обучения

   Обучать модели можно на обезличенных данных. При этом обезличивание должно быть необратимым. Однако большинство компаний, скорее всего, этим требованиям пока не соответствует.

4. Трансграничная передача данных

   Если компания отправляет данные в ChatGPT, Claude, Gemini, Midjourney, Open-source LLM, развернутым на зарубежных серверах — это трансграничная передача данных, которая требует:

   • уведомления Роскомнадзора;
   • проверки уровня защиты страны-получателя;
   • получения отдельного согласия пользователя.

   В 2024-2025 гг. Роскомнадзор уже начал точечные проверки.

5. Биометрические данные

   Достаточно часто ИИ распознает:

   • лица;
   • голоса;
   • эмоциональные реакции;
   • движения (поведенческие паттерны).

   Это все считается биометрией. По закону требуется отдельное согласие, данные должны обрабатываться только через ЕБС или аккредитованные поставщики, хранение по повышенным критериям безопасности. Большинство ИИ-продуктов к такому пока не готовы.

Также как и с контентом, если компании даже будут указывать, что «Мы используем ИИ для обработки данных», «Ваши данные могут анализироваться автоматически» и тд. Это не освобождает от ответственности. Дисклеймер – это не согласие. Дисклеймер – это не уведомление Роскомнадзора. Дисклеймер – это не выполнение требований 152-ФЗ. И даже если пользователь поставит галочку под подобным сообщением, это не корректное согласие, если не указано конкретно: какие данные, как используются, кем, зачем, как долго, передаются ли за границу, обучают ли модель и т.д.

ИИ-модели «живут» на данных, а значит, регулирование персональных данных станет одной из первых точкек давления на бизнес.

Коммерческая тайна и корпоративная безопасность (98-ФЗ)

Третья зона, где ИИ автоматически попадает под регулирование – это коммерческая тайна. Любая организация, использующая ИИ для обработки внутренних данных, сталкивается с рисками разглашения или утечки. ИИ в бизнесе уже часто используется для анализа внутренних процессов, генерации прогнозов, автоматизации отчетности, обучения моделей на корпоративных данных (например, LLM для внутренних знаний, документации, CRM). В случае, если данные не защищены должным образом, ИИ может стать источником раскрытия коммерческой тайны.

❗ 98-ФЗ «О коммерческой тайне» защищает сведения, которые имеют фактическую или потенциальную ценность для бизнеса, неизвестны третьим лицам, охраняются компанией через соответствующие меры конфиденциальности. ИИ, который обучается на таких данных, может непреднамеренно распространять их:

• генерируя текст, содержащий фрагменты документации, внутренних инструкций, стратегий, ценообразования, персонала, процессов;
• через внешние сервисы (облачные LLM), когда данные передаются сторонним провайдерам;
• при интеграции с внешними API или плагинами, где безопасность данных не гарантирована.

Ключевые риски для бизнеса

1. Обучение модели на внутренних документах

   Обучение модели на внутренних документах за пределами компании без договора NDA и гарантий конфиденциальности подпадает под прямое нарушение 98-ФЗ. Утечка через сгенерированный контент ИИ может случайно «вспомнить» чувствительные сведения при генерации текста, даже если пользователь запрашивает не относящиеся к ним данные.

2. Ответственность компании

   Как и в случае с контентом и персональными данными, ответственность несет компания, предоставляющая доступ к ИИ или размещающая его результаты, а не сам алгоритм.

3. Требования к внутренним политикам

   Внутренние политики должны предусматривать:

   • ограничение доступа к конфиденциальным данным;
   • шифрование;
   • логирование действий ИИ и пользователей;
   • мониторинг утечек.

Практические рекомендации

Любая ошибка или недосмотр может привести к штрафам, судебным искам, утечке корпоративных секретов, потере конкурентных преимуществ. ИИ в бизнесе требует четкой юридической и технической стратегии защиты данных, иначе использование даже «лучших» моделей может стать источником серьезных проблем.

Авторское право и интеллектуальная собственность (часть IV ГК РФ)

Четвертая зона - это интеллектуальная собственность и авторские права. В России часть IV Гражданского кодекса регулирует права на произведения науки, литературы, искусства и программное обеспечение. ИИ уже активно создает контент: тексты, изображения, видео, музыку, программный код. При этом важно понимать, что отвечает не алгоритм, а владелец ресурса или продукта, на котором размещен или сгенерирован контент.

Ключевые моменты

• ИИ - инструмент, а не субъект права
• Модель не может быть автором
• Права (при должном участии), как и ответственность за контент «принадлежат» человеку или компании, использующей ИИ.
• Любая публикация, созданная ИИ, формально считается размещенной владельцем площадки.

Риски нарушения авторских прав:

Важно понимать, что даже если ИИ создает материал самостоятельно, владелец ресурса несет ответственность за нарушение авторских прав. Штрафы и судебные иски могут быть предъявлены владельцу сайта, а не разработчику модели.

Практические рекомендации для бизнеса

• Проверка контента

  Фильтрация и проверка генераций на совпадение с существующими произведениями.

• Качественные промпты

  Создание хорошо проработанных промптов для ИИ, чтобы минимизировать риск генерации контента, нарушающего авторские права или нормы законодательства.

• Контроль уникальности

  Проверка сгенерированного контента:

  • проверка текста и изображений на плагиат;
  • соответствие корпоративным стандартам.
• Договорная база

  Корректные договоры с подрядчиками и разработчиками, если контент создается в рамках работы или на основе сторонних библиотек.

• Внутренняя политика

  Разработка внутренней политики использования ИИ, включая:

  • ответственность за проверку и согласование результатов генерации;
  • правила хранения и использования материалов.
• Документирование прав

  Документирование и фиксация прав на созданный ИИ контент, включая депонирование или хранение исходных версий генераций для доказательства даты создания и авторства.

ИИ автоматически попадает в поле авторского права, даже если отдельного закона о его статусе нет. Любая публикация ИИ-контента может стать объектом претензий по части IV ГК РФ, поэтому владельцам сайтов и компаний важно иметь юридическую стратегию контроля и фиксации прав на все создаваемые материалы.

Ответственность за вред, причинённый технологиями (ГК РФ, УК РФ)

Поскольку искусственный интеллект не является субъектом права, ответственность за действия ИИ несут реальные люди и организации.

• Оператор системы - лицо, управляющее ИИ в процессе его работы.
• Владелец технологии или площадки, на которой используется ИИ.
• Разработчик в отдельных сценариях, если ошибка возникла по вине программного обеспечения.
• Лицо, внедрившее ИИ в бизнес-процесс, например, компания, автоматизировавшая решение задач с помощью ИИ.

С ростом автономных решений, включая роботов и системы машинного обучения, именно эта область вскоре станет центром регулирования. Основные риски, которые будут тщательно контролироваться следующие:

Важно понимать, что даже если ИИ действует автономно, формально ответственность всегда лежит на человеке или организации, внедрившей систему. Это значит, что любая ошибка или инцидент требует юридической и технической оценки, а также наличия страховочных механизмов и протоколов безопасности.

Фактически, будущий закон об ИИ не создаст новый мир, а расширит 149-ФЗ в части контента, усилит 152-ФЗ для алгоритмов, добавит обязанности по прозрачности решений, уточнит ответственность владельцев ИИ, интегрирует ИИ в сферу безопасности автономных систем. Поэтому бизнесу важно понимать, что фактически регулирование ИИ уже действует через соседние законы и новые поправки в первую очередь затронут именно эти зоны.

Границы ответственности: кто отвечает за решения ИИ

Это главный вопрос 2025 года. Большинстов стран придерживаются одной позиции в этом вопросе:

• ИИ - НЕ субъект права.
• Отвечает владелец системы или оператор, в зависимости от того, кто внедрил и использует ИИ.
• Если модель встроена в продукт, будет отвечать бизнес.
• Если используется облачный ИИ, то ответственность, скорее всего, будет делиться, но конечный ущерб в итоге ляжет на заказчика.

Примеры:

• ИИ выдал ложную медицинскую рекомендацию - ответственность оператора системы.
• Рекламная модель нарушила закон о рекламе - отвечает рекламодатель.
• ИИ создал контент с нарушением авторских прав - отвечает владелец сайта.
• Робот причинил вред - ответственность собственника оборудования.

Международная практика: куда движется регулирование ИИ

Во многих странах подход к регулированию ИИ развивается схожим образом. Законодательство сосредоточено на классификации рисков, прозрачности, ответственности человека и ограничении опасных практик. Несмотря на различия в деталях, общий тренд - усиление контроля за использованием ИИ и защиту прав пользователей.

Евросоюз (EU AI Act, 2024–2025): классификация ИИ по уровню риска, запрет на определенные виды систем (например, социальный рейтинг), обязательные аудиты, прозрачность и отчетность. Нарушения могут караться штрафами до 35 млн евро или 7 % глобального оборота компании.

В США нет единого закона, но отдельные отрасли (медицина, финансы, безопасность) регулируются строго. Для генеративных моделей вводятся стандарты прозрачности и требований к безопасной эксплуатации.

В Китае одно из самых жестких регулирований генеративного ИИ. Обязательная регистрация моделей, контроль процесса обучения, применение маркировки и фильтров для контента.

Общий международный тренд

• ИИ должен быть прозрачным и подотчетным.
• Ответственность за действия ИИ всегда несет человек или организация.
• Запрещены опасные или дискриминационные практики.
• Вводятся требования к качеству, безопасности и проверке моделей.

Таким образом, международная практика создает ориентиры для будущего регулирования в России, где, скорее всего, будут сочетаться риск-ориентированные подходы с конкретными юридическими обязанностями для владельцев и операторов ИИ.

Куда движется российское законодательство: что ждать в 2025-2026

Официально в РФ готовится проект закона. Он еще не принят, но основные положения уже обсуждаются. Предполагаемые ключевые элементы:

• Классификация ИИ по уровням риска.
• Маркировка генерируемого контента.
• Обязательный аудит ИИ-систем для бизнеса.
• Требования прозрачности (раскрытие факта использования ИИ).
• Ответственность владельца ИИ за причиненный вред.
• Стандарты безопасности автономных систем (роботов).
• Регулирование использования ИИ в медицине, образовании, госуслугах.

ИИ - источник повышенного риска и бизнес обязан управлять этим риском.

Как бизнесу подготовиться уже сейчас

FAQ

Я могу использовать ИИ без специальных разрешений?

Да, пока закон об ИИ не принят, но применять ИИ нужно так, чтобы не нарушать уже действующие нормы.

Если ИИ нарушил закон, то кто виноват?

Оператор или владелец системы - модель не является субъектом права.

Что будет после принятия закона об ИИ?

Появятся требования к прозрачности, аудитам, маркировке контента и сертификации рисковых ИИ.

Может ли сайт быть заблокирован из-за ИИ?

Да. Если ИИ генерирует запрещенные материалы, то владелец несет ответственность.