AI-этика и регулирование в России: что нужно знать бизнесу

ИИ уже работает во многих российских компаниях — от чат-ботов и скоринга до внутренних ассистентов и аналитики. При этом в России нет одного большого закона об ИИ. Вместо него действует набор норм о персональных и биометрических данных, безопасности, экспериментальных режимах и несколько этических кодексов.

Для бизнеса это означает простую вещь: если просто подключить нейросеть к CRM, аналитике или клиентским коммуникациям, можно неожиданно получить проблему с персональными данными или биометрией. В статье разберём, какие документы задают рамки для ИИ, где проходит граница ответственности компании и как подойти к AI-проекту так, чтобы он не стал юридическим риском.

Почему тема этики и регулирования ИИ стала критичной именно сейчас

Рост применения ИИ и LLM в бизнесе

За последние несколько лет ИИ вышел из стадии пилотов. Компании используют:

• чат-ботов и голосовых помощников для клиентов

• внутренних ассистентов для сотрудников (поиск по регламентам и базам знаний)

• скоринговые и антифрод-системы

• инструменты для аналитики и прогнозирования

• генерацию текстов, документов и отчётов

Доля компаний, которые применяют AI-инструменты, растёт. Во многих организациях ИИ становится обычной частью продуктовой и маркетинговой работы.

Ужесточение контроля над данными

Параллельно растут требования к работе с данными:

• персональные данные клиентов и сотрудников (Ф.И.О., контакты, идентификаторы устройств и т. п.)

• финансовые данные

• коммерческая тайна

• биометрия (лицо, голос и др.)

Базовый документ здесь — закон 152-ФЗ «О персональных данных». Он определяет, на каком основании компания может брать данные, как их хранить и кому отдавать.

Последние поправки усилили часть про локализацию. С 1 июля 2025 года первичный сбор и хранение персональных данных граждан РФ должны происходить в базах данных на территории России.

Говоря проще, когда человек оставляет данные в форме на сайте, первое место, куда они попадают, должно быть в РФ. Про сценарий «форма → сразу в зарубежный CRM / CDP» можно забыть.

Штрафы за нарушения, особенно за утечки и повторные случаи, стали заметно выше. Теперь бизнесу критично важно знать, где живут логи запросов к моделям, тренировочные наборы и индексы поиска, и содержат ли они персональные данные.

Российская специфика

Отдельная группа факторов связана с общей ситуацией:

• санкции и ограничения на использование зарубежных облаков, сервисов и чипов

• риски блокировок или изменений условий работы внешних платформ и API

• курс на развитие собственной инфраструктуры и отечественных моделей

При этом уже существуют Национальная стратегия развития ИИ и концепция регулирования, но единого специального закона об ИИ пока нет.

Базовый правовой фундамент: из чего сегодня состоит право об ИИ в России

Отдельного закона об искусственном интеллекте пока нет. Но почти любой AI-проект в России упирается в несколько действующих законов.

Персональные данные: 152-ФЗ и локализация

152-ФЗ — основной закон о персональных данных. Он защищает права граждан и описывает, как компании могут обрабатывать ПД.

Для ИИ важны несколько моментов:

• на каком основании вы берёте данные (согласие, договор, требования закона)

• с какой целью и как долго храните

• где физически находятся базы данных

Персональные данные граждан РФ должны обрабатываться в базах данных на территории России. Поправки 2025 года прямо говорят: первичный сбор и хранение ПД граждан РФ за рубежом недопустимы.

Для AI-систем это относится к:

• логам запросов к моделям, если в них есть ПД

• тренировочным выборкам

• поисковым индексам (например, в RAG-системах), если в них попадают персональные данные

Компаниям, которые используют AI, важно ответить на вопросы:

• куда попадает пользовательский ввод из чат-ботов и ассистентов

• не утекают ли данные сразу в зарубежные сервисы

• кто внутри отвечает за локализацию и соответствие 152-ФЗ

Биометрия: 572-ФЗ и ЕБС

572-ФЗ регулирует работу с биометрическими персональными данными и Единой биометрической системой (ЕБС).

Биометрические данные — это не email и не телефон. Это параметры, по которым можно однозначно идентифицировать человека: лицо, голос, отпечаток, изображение радужки и т. п.

Если AI-система:

• использует распознавание лиц на камерах

• сверяет голос клиента с эталонной записью

то она работает с биометрией и попадает в зону действия 572-ФЗ и ЕБС. Там жёстче правила сбора, хранения и передачи, отдельные требования к согласию и проверкам.

Это может всплывать, например:

• при использовании распознавания лиц на офлайн-мероприятиях

• при внедрении голосовой биометрии в колл-центрах

Если такие идеи появляются в планах, их имеет смысл обсуждать вместе с юристами и ИБ, а не запускать как обычный маркетинговый тест.

Информация и контент: 149-ФЗ

149-ФЗ «Об информации, информационных технологиях и о защите информации» — общий закон про обращение информации в цифровой среде.

Это означает:

• ответственность за контент несёт владелец сервиса

• границы по видам информации (что нельзя публиковать и распространять) относятся и к сгенерированным текстам, и к медиа

Если ассистент в приложении выдаёт пользователю некорректные или незаконные рекомендации, с точки зрения права отвечать придётся компании.

Критическая информационная инфраструктура (КИИ)

КИИ — это информационные системы в критичных отраслях: банки, энергетика, транспорт, связь, часть промышленности и госсектора. Для них действуют отдельные требования по защите и аттестации.

Если ваша компания входит в этот круг, любой AI-проект, который подключается к системам КИИ (например, ассистент для операторов сетей или инструмент для планирования в генерирующей компании), автоматически попадает под дополнительные требования ИБ. Если нет — упоминание КИИ можно воспринимать как ориентир, а не как прямую обязанность.

Стратегии, концепции и мягкое право вокруг ИИ

Помимо законов существуют документы, которые задают направление регулирования на ближайшие годы.

Национальная стратегия развития ИИ и концепция регулирования

Указ Президента № 490 утвердил Национальную стратегию развития ИИ до 2030 года. Она описывает цели по развитию технологий, кадров, инфраструктуры и регулирования.

Распоряжением Правительства № 2129-р утверждена Концепция развития регулирования в сфере ИИ и робототехники. Там зафиксирован риско-ориентированный подход и приоритет защиты прав человека.

Почему это важно и что это даёт:

• понимание, что регулирование ИИ будет расширяться

• сигнал: архитектуру AI-решений лучше делать управляемой, с прозрачной логикой и учётом рисков, а не как набор разрозненных пилотов

Общий кодекс этики ИИ

Общий кодекс этики в сфере ИИ — добровольный документ, который подписывают компании и организации. В нём закреплены принципы:

• уважение прав и свобод человека

• надёжность и безопасность систем

• недискриминация

• прозрачность и возможность разбирать решения

• ответственность участников

Формально это не закон. Но для крупных игроков и госкомпаний кодекс часто становится базой для внутренних политик. Кроме того, регуляторы используют его как ориентир в дискуссиях и оценке практик.

Отраслевые этические кодексы

В ряде отраслей появились свои документы. Например, Банк России утвердил кодекс этики ИИ на финансовом рынке.

Такие кодексы:

• формулируют ожидания регулятора к поведению участников (объяснимость скоринга, честное отношение к клиентам, контроль за данными)

• помогают компаниям выстроить внутренние правила до того, как появятся жёсткие прямые требования

Если ваша компания работает на финансовом рынке, в медицине или в другой регулируемой отрасли, игнорировать такие документы рискованно: при проблемах регулятор будет опираться и на них тоже.

Ответственность и риски для компаний, которые внедряют ИИ

При внедрении ИИ компании отвечают за его работу так же, как за любые другие информационные системы. Отдельного режима, который переносил бы ответственность на сам ИИ, в российском праве нет. В случае инцидента вопросы в любом случае адресуются организации, которая использует систему.

Кто отвечает за решения ИИ

В общем порядке:

• организация-владелец или эксплуатант ИИ-системы может быть привлечена к ответственности за вред, если установлена связь между работой системы и наступившими последствиями (стандарт гражданского права)

• оператор персональных данных несёт ответственность за нарушения 152-ФЗ: утечки, неправомерную передачу ПД, ошибки в локализации хранения

• должностные лица отвечают за нарушения требований по защите информации и обработке ПД

• подрядчики и облачные провайдеры отвечают в пределах условий договора, но перед регулятором и пользователем первично выступает компания, которая запустила сервис

Штрафы за нарушения в сфере ПД действительно растут, а повторные инциденты рассматриваются жёстче. Если ИИ-решение работает с персональными данными, оно автоматически подпадает под те же нормативные требования, что и любые ИС компании.

Как распределить ответственность внутри компании

Для CMO ключевой вопрос — кто внутри компании считается владельцем AI-системы и как распределены роли.

На практике часто работает такая схема:

• бизнес-подразделение формулирует задачу и использует результаты работы ИИ

• ИТ или команды данных отвечают за архитектуру, интеграции и эксплуатацию

• юристы и ИБ контролируют соответствие требованиям по персональным данным и защите информации

• внешние подрядчики выполняют свои обязательства в рамках договора

Если эти роли не закреплены, при инциденте начинается спор, кто отвечает за решение, а кто — за данные. Чтобы избежать этого, до запуска крупного AI-проекта стоит определить владельца системы, оператора ПД, порядок взаимодействия с подрядчиками и процедуру действий при обнаружении ошибки или сбоя.

AI-этика в России: какие принципы уже закреплены

Этическая рамка ИИ в России пока в основном оформлена в виде кодексов и принципов. Но для бизнеса это уже полезный инструмент.

В общих и отраслевых документах повторяются одни и те же идеи:

• уважение прав человека и недопустимость обмана пользователей

• прозрачные правила работы с данными

• недискриминация — нельзя строить модели, которые необоснованно ущемляют группы клиентов

• возможность объяснить значимые решения (например, отказ в услуге, существенное изменение условий)

• понятное распределение ответственности

Для CMO это можно приземлить на три вопроса:

• кого может нечестно отсечь или поставить в худшее положение ваш алгоритм

• понимает ли клиент, что с ним работает ИИ и какие данные используются

• есть ли у вас сценарий, как разбирать спорные решения и жалобы

Практика: как нормы и принципы проявляются в реальной жизни

• Растёт число дел и штрафов за нарушения 152-ФЗ, в том числе за утечки из цифровых сервисов и приложений. Частая история: маркетинговый или продуктовый сервис, где плохо настроен доступ к базе, и данные пользователей оказываются в открытом виде.

• Усиливается внимание к биометрии и системам видеонаблюдения. Регуляторы анализируют, на каком основании собираются данные, кто к ним имеет доступ и передаются ли они третьим лицам.

• В банках, телекомах, медицине и госсекторе ИИ уже используется в скоринге, антифроде, диагностике и поддержке решений. Здесь обсуждение этики и права идёт не в теории, а вокруг конкретных моделей и процессов.

Для маркетинга это означает: если вы расширяете применение ИИ за пределы генерации текстов — в сторону скоринга, персонализации, оценки клиентов, — вопросы данных и объяснимости решений быстро становятся не менее важными, чем качество креатива.

Что бизнесу делать уже сейчас: чек-лист

Перед запуском или масштабированием AI-решений полезно пройти несколько шагов.

1. Перечень AI-сценариев

   • какие процессы в компании уже используют ИИ или LLM

   • где задействованы персональные или биометрические данные

   • какие решения завязаны на выводы алгоритма (например, предложения по условиям, приоритизация лидов, автоответы клиентам)

2. Проверка соответствия 152-ФЗ и 572-ФЗ

   Вместе с юристами и ИБ:

   • определить правовые основания обработки данных в каждом сценарии

   • проверить, где физически находятся базы данных, логи и индексы

   • оценить, нет ли первичного сбора ПД граждан РФ в зарубежных сервисах

   • если используется биометрия, понять, как это соотносится с требованиями 572-ФЗ и ЕБС

3. Распределение ответственности

   • зафиксировать, кто внутри отвечает за конкретную AI-систему

   • понять, кто является оператором ПД

   • прописать в договорах с подрядчиками и облаками, кто за что отвечает при инцидентах

4. Внутренние правила по ИИ

   • описать, как сотрудники могут использовать внешние модели (ChatGPT-подобные сервисы, генераторы изображений) в работе с данными компании

   • задать подход к логам и тренировочным набором: какие данные туда можно включать, а какие нет

   • определить процедуры фиксации и разбора инцидентов

5. Этические рамки

   Несколько чётких тезисов, которые можно включить во внутреннюю политику и коммуникацию:

   • «человек принимает окончательное решение» — для критичных сценариев (кредитные решения, медицинские выводы и т. п.)

   • «мы не используем ИИ для скрытой дискриминации по социальным признакам»

   • «пользователь знает, где в сервисе с ним взаимодействует ИИ»

Куда движется регулирование ИИ в России и как к этому готовиться

Обновлённая концепция регулирования ИИ и недавние изменения в законах показывают несколько направлений:

• усиление требований к локализации и защите данных

• риско-ориентированный подход: более строгие правила для систем, которые могут нанести серьёзный вред

• формализация ответственности за вред, связанный с решениями с применением ИИ

• постепенное сближение этических принципов и обязательных требований

Практический вывод:

При проектировании AI-решений не стоит опираться на актуальный минимум требований. Выгоднее сразу закладывать контролируемый контур данных, нормальное логирование и понятные роли, чтобы не перестраивать всё после очередных поправок.

Вывод: как совместить развитие ИИ и регуляторные рамки

В России нет запрета на ИИ как технологию. Но рамки по данным и ответственности становятся жёстче, а внимание к AI-системам пристальнее.

Для компаний с большим объёмом чувствительных данных и критичными процессами (банк, телеком, медицина, промышленность, госсектор) вопросы этики и регулирования ИИ уже входят в базовый набор управленческих задач, наравне с ИБ и комплаенсом.

Рациональный подход — строить AI-архитектуру так, чтобы она:

• работала в локальном или контролируемом контуре

• позволяла управлять данными и доступами

• давала возможность разбирать решения и инциденты

• выдерживала усиление регулирования без полной перестройки

Тогда ИИ останется для компании инструментом роста и оптимизации, а не источником юридических и репутационных проблем.