+357 25590530 [email protected]

Личная и корпоративная безопасность при работе с ИИ: взгляд IT-специалиста и юриста

Бизнес на Кипре активно внедряет ИИ и приветствует его использование своими сотрудниками. При этом большинство пользователей воспринимают ChatGPT, Gemini, Grok и другие ИИ-сервисы как обычный текстовый редактор или поисковую систему. На практике это не так. Что происходит с данными, содержащимися в промпте, и какие последствия может повлечь за собой копирование в чат с ИИ корпоративных документов и другой важной информации? Объясняют специалисты.

 
Каждый запрос в ИИ — это передача информации

При использовании в рабочих целях зачастую сотрудники копируют в окно чата с ИИ отрывки рабочей документации, либо загружают документы целиком или даже их скан-копии, не удаляя чувствительные данные, чтобы ускорить работу. Тем самым фактически происходит отправка информации, которая не должна покидать пределы компании. Каждый запрос — это передача данных внешнему сервису, а значит, вопрос информационной и юридической безопасности.

Для компаний на Кипре эта тема становится особенно актуальной: сотрудники уже активно используют искусственный интеллект в ежедневной рутинной работе, а внутренние корпоративные правила использования нейросетей часть еще не разработаны.

 
Что происходит в компаниях

На текущий момент IT-департаменты многих даже крупных компаний ещё не готовы предоставить пользователям собственный корпоративный ИИ, работающий внутри защищенной инфраструктуры. Поэтому их сотрудники используют публичные сервисы — ChatGPT, Gemini, Grok, DeepSeek и другие. С технической точки зрения это означает, что информация покидает пределы компании и передается стороннему сервису.

Также многие департаменты информационной безопасности компаний ещё не успели разработать свод практических правил для работы с данными публичными моделями. Чувствительная информация ежедневно покидает пределы компаний и попадает к производителям ИИ моделей, которые сами решают, что с ней делать далее. Несмотря на заявления о конфиденциальности, модель, обучающаяся на полученных данных, в теории может прямо либо косвенно передать их при неких условиях другим пользователям. В данном случае ответственность обычно целиком ложится на сотрудника, который должен вручную удалять из промптов и загружаемых документов всю чувствительную информацию.

 
Что говорит закон

С юридической точки зрения проблема значительно шире, чем кажется.

Если документ содержит персональные данные клиентов, сотрудников или контрагентов, их передача в ИИ может подпадать под действие Общего регламента ЕС по защите данных (GDPR). При отсутствии законного основания такая обработка – это риски, как для сотрудника, так и для работодателя. Любая компания, которая хранит и обрабатывает данные – даже только своих сотрудников, – с точки зрения европейского Регламента считается контролером персональных данных и несет юридическую ответственность за их сохранность, надлежащую обработку и неразглашение.

Не менее важны договорные обязательства. Многие компании работают под NDA (Non-Disclosure Agreement, соглашение о неразглашении конфиденциальной информации), а в отдельных отраслях — юридический сектор, финансовые, медицинские, аудиторские организации— дополнительно связаны профессиональной тайной.

Даже если поставщик ИИ заявляет о соблюдении конфиденциальности, это не освобождает компанию от обязанности самостоятельно оценивать законность передачи информации третьему лицу.

Именно поэтому в некоторых международных организациях уже действуют AI-политики, определяющие, какие сервисы разрешены, какие данные запрещено передавать и в каких случаях информация должна быть предварительно обезличена (удалены персональные данные, коммерческая тайна, чувствительная информация).

 
Бесплатный сервис тоже имеет цену

Используя бесплатный аккаунт, пользователь редко задумывается, за счет чего финансируется работа сервиса (серверная инфраструктура дата-центров, графические/ИИ процессоры, затрачиваемая электроэнергия). Обработка «бесплатных» запросов требует дорогостоящей инфраструктуры, поэтому данные пользователей сами по себе становятся ценным активом для разработчиков ИИ, так как не следует забывать, что основная цель работы компаний-разработчиков ИИ на рынке – это извлечение прибыли.

На данных, которые пользователи загружают в нейросеть, в первую очередь обучается сама ИИ модель. Не исключена также дальнейшая продажа срезов полученной информации третьим лицам для формирования общей статистики по каким-либо признакам и / или таргетной рекламы на основании информации, которой интересуется пользователь.

Следует внимательно изучать условия использования конкретной платформы. В зависимости от настроек выбранного сервиса, промпты пользователя могут использоваться для улучшения моделей, если такая функция не отключена. Именно поэтому не стоит исходить из предположения, что любой загруженный документ останется доступным только его автору в его личном пространстве. То, что загружено в Интернет – навсегда остается в Интернете.

Для обычного пользователя это означает простое правило: не следует передавать в публичные ИИ сведения, которые вы не готовы передать третьей стороне.

 
Какие данные лучше не загружать

Перед использованием публичного ИИ рекомендуется удалить из документов и промптов:

  • персональные данные (как свои, так и чужие);
  • финансовую информацию (личную и корпоративную);
  • коммерческую тайну (компании-работодателя, партнеров, контрагентов и клиентов);
  • проекты и скан-копии договоров (любых, можно загружать только обще-юридические условия, без описания бизнес-договоренностей);
  • внутреннюю переписку компании (как внутри компании, так и с внешними адресатами);
  • программный код и API-ключи (а также любую информацию, которая является интеллектуальной собственностью или используется в таком качестве);
  • пароли и учетные данные (любые, включая e-mail адреса и используемые имена пользователей).

Если обезличить документ невозможно – лучше и безопаснее отказаться от его загрузки в публичную нейросеть.

 
Главное

Искусственный интеллект значительно повышает эффективность работы, однако ответственность за содержание запроса по-прежнему несет человек.

Для бизнеса на Кипре использование ИИ уже становится не только вопросом цифровой трансформации, но и частью корпоративного управления, защиты коммерческой информации и соблюдения требований GDPR.

В следующей статье мы поговорим о другой не менее важной проблеме — почему искусственный интеллект иногда выдает убедительные, но недостоверные ответы и как научиться отличать факты от правдоподобных ошибок.

Дмитрий Данилюк

Маргарита Кривошеева

Читайте также:

Безопасность при работе с ИИ: взгляд IT-специалиста и юриста

Безопасность при работе с ИИ: взгляд IT-специалиста и юриста

Искусственный интеллект – это новый рабочий инструмент. Все больше людей используют…

Читать →
Цифровые права граждан – новая институциональная повестка Кипра

Цифровые права граждан – новая институциональная повестка Кипра

Парламентский комитет по правам человека приступил к рассмотрению идеи создания национальной…

Читать →
Кипр теряет позиции в инновациях

Кипр теряет позиции в инновациях

Еще год назад Кипр считался одной из самых успешных инновационных экономик…

Читать →