Персональные данные и ИИ-агенты: как соблюсти 152-ФЗ и не получить штраф

С ноября 2024 года штрафы за нарушение 152-ФЗ выросли в 10 раз, а за повторные нарушения -- до 500 млн рублей. При этом ИИ-агенты по своей природе работают с данными: резюме кандидатов, тексты договоров, переписка с клиентами. Эта статья -- практическое руководство по тому, как внедрить ИИ-агента и не создать себе юридическую проблему.

Что требует 152-ФЗ: краткий обзор для бизнеса

Федеральный закон 152-ФЗ «О персональных данных» устанавливает правила для любого оператора, который собирает, хранит, обрабатывает или передаёт персональные данные (ПД) граждан РФ. Ключевые требования, которые касаются ИИ-агентов:

• Согласие субъекта. Обработка ПД допускается только с согласия человека или при наличии законного основания (исполнение договора, закон и т.д.).
• Целевое ограничение. Данные можно обрабатывать только для тех целей, для которых они были собраны. Если кандидат отправил резюме -- его данные нельзя использовать для маркетинга.
• Локализация хранения. ПД граждан РФ должны первично храниться на серверах, расположенных на территории России.
• Защита данных. Оператор обязан принять технические и организационные меры для предотвращения несанкционированного доступа.
• Уведомление Роскомнадзора. В случае утечки -- уведомление в течение 24 часов.

Какие данные обрабатывают ИИ-агенты

Разные агенты работают с разными типами данных. Вот что обрабатывают агенты на платформе AI Agenta:

Основные риски при использовании ИИ без защиты

Если вы подключили ИИ-инструмент без анализа рисков, вы можете столкнуться с реальными проблемами:

1. Утечка данных через модель. Если ИИ-сервис использует ваши данные для дообучения или передаёт их третьим сторонам, вы теряете контроль над ПД. Это прямое нарушение 152-ФЗ.
2. Хранение за рубежом. Многие ИИ-сервисы используют зарубежные серверы. Если первичное хранение ПД происходит за пределами РФ -- это нарушение требования локализации.
3. Отсутствие аудита. Если вы не можете показать, кто и когда получил доступ к данным, вы не сможете выполнить требования при проверке.
4. Избыточная обработка. Агент, который «на всякий случай» сохраняет все данные кандидатов навсегда, нарушает принцип минимизации данных.
5. Штрафы. С 2024 года: до 18 млн за первое нарушение, до 500 млн за повторное, до 6% годового оборота для крупных компаний.

Как обеспечить соответствие: технические меры

Ниже -- конкретные технические меры, которые должна обеспечивать платформа ИИ-агентов. При выборе решения проверяйте каждый пункт.

RBAC -- разграничение доступа

Role-Based Access Control означает, что каждый пользователь системы имеет ровно те права, которые необходимы для его работы. HR-менеджер видит данные кандидатов, но не видит договоры. Юрист видит договоры, но не видит резюме. Администратор управляет настройками, но не видит содержимое документов.

Журнал аудита

Все действия с данными должны логироваться: кто запросил доступ, какие данные были обработаны, когда и с каким результатом. Это не опция, а требование для прохождения проверок. Журнал должен быть защищён от модификации.

Шифрование

Данные должны шифроваться в двух состояниях: при передаче (TLS 1.3) и при хранении (AES-256 или аналог). Это защищает от перехвата трафика и от кражи данных с серверов.

Локализация и on-premise

Для компаний с повышенными требованиями к безопасности критично, чтобы данные не покидали контур организации. On-premise развёртывание или размещение в российских дата-центрах решает эту задачу. Для корпоративных клиентов AI Agenta предлагает варианты развёртывания, соответствующие самым строгим требованиям.

Подход AI Agenta к безопасности данных

Платформа AI Agenta разработана с учётом требований российского законодательства:

• Данные обрабатываются и хранятся на серверах в Российской Федерации
• Агенты не используют пользовательские данные для обучения моделей -- ваши данные остаются вашими
• Поддержка RBAC: настройка прав доступа на уровне агентов и данных
• Полный журнал аудита всех операций с данными
• Шифрование данных при передаче (TLS 1.3) и хранении
• Автоматическое удаление данных по истечении срока хранения
• Возможность on-premise развёртывания для корпоративных клиентов

Подробнее о наших мерах безопасности и сертификациях читайте на странице соответствия 152-ФЗ.

Организационные меры: что зависит от вас

Даже самая безопасная платформа не спасёт, если в компании нет процессов. Вот что нужно сделать на вашей стороне:

• Назначьте ответственного за обработку ПД (Data Protection Officer или ответственное лицо)
• Обновите политику конфиденциальности, указав ИИ-агентов как средство автоматизированной обработки данных
• Получите или проверьте согласия субъектов на обработку ПД с помощью автоматизированных средств
• Внесите изменения в реестр операторов ПД (уведомление Роскомнадзора), если меняется способ обработки
• Проведите оценку воздействия на защиту данных (DPIA) перед запуском агента с доступом к чувствительным данным
• Обучите сотрудников правилам работы с ИИ-агентами и персональными данными

Чеклист: готовы ли вы к внедрению ИИ-агента по 152-ФЗ

Итог: безопасность -- не барьер, а требование

Соответствие 152-ФЗ -- не причина откладывать внедрение ИИ-агентов. Это требование, которое нужно учесть при выборе платформы. Если платформа изначально спроектирована с учётом российского законодательства, ваши дополнительные затраты на комплаенс минимальны. Если же вы выбираете решение без оглядки на безопасность, прочитайте сначала статью об ошибках при выборе ИИ-агента -- там мы подробно разбираем, почему игнорирование безопасности входит в топ-3 ошибок.

Также рекомендуем посчитать ROI ИИ-агента — чтобы убедиться, что безопасное решение ещё и выгодное. О том, как выбрать платформу с учётом требований 152-ФЗ — чеклист выбора платформы ИИ-агентов. А что конкретно умеет юридический ИИ-агент при работе с договорами — в статье ИИ-агент для юридического отдела.