Безопасность документов в AI-сервисах: что нужно знать по 152-ФЗ

«Можно ли загружать наши договоры в AI-сервис?» — один из самых частых вопросов, который задают юристы и безопасники, когда компания начинает работать с DocAI. Отвечаем честно и по существу: что говорит закон, что реально происходит с данными и как выбрать сервис без рисков.

Что считается персональными данными в рабочих документах

Большинство рабочих документов содержат персональные данные — и это важно понимать до начала работы с любым AI-инструментом.

По 152-ФЗ, персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. В стандартном пакете документов это:

• Договоры с физлицами — ФИО, паспортные данные, адрес регистрации, ИНН, банковские реквизиты
• Трудовые договоры и кадровые документы — полный набор ПДн сотрудника, включая данные о здоровье (медосмотры), что относится к специальным категориям
• Договоры ГПХ с самозанятыми и ИП — если ИП — это физлицо, его данные тоже ПДн
• Акты и счёта с подписями физлиц — ФИО подписантов
• Договоры между юрлицами — если указаны контактные лица (ФИО, email, телефон), это тоже ПДн

Что требует 152-ФЗ при передаче данных третьим лицам

Когда вы загружаете документ с ПДн в сторонний сервис — вы фактически передаёте данные оператору. Закон требует:

1. Соглашение об обработке ПДн — между вашей компанией и сервисом. Должно прямо указывать: какие данные, с какой целью, как хранятся, когда удаляются
2. Хранение данных на серверах в РФ — требование ч. 5 ст. 18 152-ФЗ. Если сервис хранит данные на зарубежных серверах без уведомления Роскомнадзора — нарушение
3. Техническая и организационная защита — шифрование, ограниченный доступ, логирование

Как на практике работают разные AI-сервисы

Как устроена защита данных в DocAI

Отвечаем прямо, без маркетинга:

• Серверы в России — вся инфраструктура DocAI размещена на российских серверах, данные не покидают юрисдикцию РФ
• Документы не хранятся постоянно — загруженные файлы обрабатываются в рамках сессии. После завершения работы файлы удаляются с сервера
• Не используется для обучения — ваши документы не идут в обучающую выборку модели
• Передача данных в AI — для анализа документа его текст передаётся в языковую модель через API. Это указано в политике конфиденциальности
• Соглашение об обработке ПДн — заключается при регистрации, доступно в личном кабинете

Чек-лист: как выбрать AI-сервис для работы с документами

• ✅Серверы находятся в России (уточните в документации или поддержке)
• ✅Есть политика конфиденциальности с явным указанием сроков хранения данных
• ✅Сервис заключает DPA / соглашение об обработке ПДн с организациями
• ✅Явно указано, используются ли ваши данные для обучения модели
• ✅Есть возможность удалить аккаунт и все связанные данные
• ✅HTTPS соединение (очевидно, но проверяйте)
• ✅Служба поддержки может ответить на вопросы по безопасности на русском языке

Что делать, если в вашей организации запрещено использовать внешние AI-сервисы

Некоторые компании (особенно с государственным участием, банки, медицинские организации) имеют внутренние политики, запрещающие передачу данных в сторонние облачные сервисы. В этом случае возможны два подхода:

Анонимизация перед загрузкой — заменяете все ПДн на заглушки («Сторона А», «ФИО1», «[ИНН]»), анализируете договор на уровне условий, затем возвращаете реальные данные в результат.

On-premise развёртывание — установка AI-инструмента на собственную инфраструктуру компании. Для DocAI это обсуждается в индивидуальном порядке — напишите на info@officeai.online.

Итог

Вопрос безопасности при работе с AI-сервисами реальный и правомерный. Ключевые критерии: российские серверы, отсутствие постоянного хранения файлов, наличие DPA, прозрачность в отношении передачи данных в модель.

Использование иностранных AI-чатботов для анализа рабочих документов с ПДн — нарушение 152-ФЗ. Это не страшилка, а практика, которую уже начинают применять проверяющие органы при аудите.