Регулирование ИИ в России 2026: юридические риски для бизнеса и как их снизить | AI Радар
Большой гайд

Юридические риски и регулирование ИИ в России: руководство для бизнеса

📅 Обновлено 15.07.2026 ✍️ Александр Григорьев🏷 ИИ в профессии
Нейросеть не подписывает договор, не несёт ответственности и не идёт в суд — это делает компания, которая её использует. Пока сотрудники экспериментируют с чат-ботами, юридическая ответственность за результат этого эксперимента уже наступила — просто не всегда очевидно, в какой момент. Это руководство — не пересказ текста законов, а разбор того, где именно бизнес чаще всего попадает в юридический риск при использовании ИИ, и что сделать, чтобы не оказаться первым в новой правоприменительной практике. Материал ориентирован на руководителей, юристов и специалистов по комплаенсу, которые отвечают за то, чтобы внедрение ИИ в компании не создавало рисков, несоразмерных полученной выгоде. Разберём каждый источник риска по порядку — от персональных данных до договоров с поставщиками — и дадим практические шаги, которые можно применить уже сейчас, а не откладывать до появления окончательной судебной практики.
152-ФЗ
база регулирования
персональных данных
до 6 млн ₽
штраф за нарушение
обработки данных для юрлиц
2026
год вступления в силу
отдельного закона об ИИ
3 слоя
регулирования ИИ:
152-ФЗ + закон об ИИ + отрасль

Как устроено регулирование ИИ в России к 2026 году

⚖️Не один закон, а три слоя

У регулирования ИИ в России нет одного всеобъемлющего закона, который описывал бы все случаи использования технологии сразу — вместо этого работает несколько слоёв законодательства, которые применяются в зависимости от того, что именно делает компания. Базовый слой — 152-ФЗ «О персональных данных», который действует независимо от того, обрабатываются данные человеком или нейросетью. Поверх него с 2026 года действует отдельный закон об ИИ, вводящий требования к маркировке ИИ-контента, к операторам значимых ИИ-систем и к экспериментальным правовым режимам для тестирования новых технологий.

Третий слой — отраслевое регулирование: банки отчитываются перед Центробанком, медицинские организации — перед Росздравнадзором, компании со статусом критической информационной инфраструктуры (КИИ) — перед ФСТЭК. Каждое из этих ведомств может предъявлять к использованию ИИ дополнительные требования сверх общих норм — и именно здесь бизнес чаще всего упускает риски, ориентируясь только на общее законодательство и не проверяя отраслевые предписания, которые касаются именно его сектора.

Практический вывод для бизнеса: прежде чем внедрять ИИ в конкретный процесс, стоит задать не один вопрос «законно ли использовать нейросети», а три отдельных — что говорит общее законодательство о персональных данных, что говорит отраслевой регулятор именно для этой функции (кредитное решение, медицинское заключение, кадровое решение), и есть ли отдельные требования у закона об ИИ к этому конкретному сценарию использования. Ответ может быть разным даже для двух похожих задач в одной компании.

Для бизнеса важно понимать и динамику: регулирование ИИ в России меняется заметно быстрее, чем большинство смежных областей корпоративного права, поскольку и сама технология, и практика её массового применения в бизнесе — относительно новое явление даже для законодателя. Нормы, которые формулировались в первую очередь для генеративных текстовых и графических моделей, дополняются требованиями к автономным ИИ-агентам, способным самостоятельно совершать действия (отправлять сообщения, инициировать платежи, вносить изменения в системы) — и эта область регулирования пока наименее устоявшаяся, а значит и наиболее рискованная для компаний, которые внедряют такие агентские сценарии первыми на своём рынке.

Практический ориентир — не пытаться самостоятельно уследить за каждым новым нормативным актом, а закрепить за конкретным человеком в компании (юристом, комплаенс-специалистом или внешним консультантом) регулярный мониторинг изменений в сфере регулирования ИИ хотя бы раз в квартал. Для большинства компаний среднего размера этого достаточно, чтобы не пропустить существенные изменения, не превращая при этом отслеживание законодательства в отдельную полноценную функцию.

Персональные данные и нейросети: что можно передавать, а что нельзя

🔒Обезличивание — не формальность

Самый частый источник юридического риска — не злой умысел, а невнимательность: сотрудник вставляет в публичный чат-бот фрагмент договора с именем и телефоном клиента, чтобы нейросеть помогла составить ответ. С точки зрения 152-ФЗ это может быть передачей персональных данных третьей стороне — оператору нейросети — без надлежащего правового основания, особенно если публичный сервис использует введённые данные для дальнейшего обучения модели.

Практическое правило, которое стоит закрепить в внутренней политике: любые данные, позволяющие идентифицировать конкретного человека — ФИО, телефон, адрес, номер договора, медицинские или финансовые сведения, — обезличиваются или заменяются на условные обозначения до того, как текст попадает в нейросеть, если только компания не использует сервис с явными договорными гарантиями неиспользования данных для обучения и хранения на территории России.

Отдельный нюанс — согласие субъекта персональных данных. Если компания хочет использовать ИИ для анализа обращений клиентов или сотрудников, стандартное согласие на обработку персональных данных, собранное для других целей, может не покрывать передачу данных в конкретный ИИ-сервис — это стоит явно проверить с юристом до масштабного внедрения, а не постфактум, когда инструмент уже используется всем отделом.

Полезная практика — прямо прописать в договоре с поставщиком публичного ИИ-сервиса, на каком тарифе данные не используются для дообучения модели, и требовать письменного подтверждения этого условия, а не полагаться на общие формулировки в пользовательском соглашении, рассчитанном на массового частного пользователя, а не на корпоративного заказчика с обязательствами перед своими клиентами по 152-ФЗ.

AI Радар — Аналитический дашборд
Полная картина рынка ИИ России и мира
520 млрд ₽рынок ИИ России
+24%рост г/г
800+AI-компаний
$3.68 трлнпрогноз мир к 2030
На главную

Кто отвечает за ошибку, если решение приняла нейросеть

⚠️Отвечает компания, не модель

Ключевой принцип, который российское право применяет к ИИ так же, как и к любому другому инструменту: ответственность несёт человек или организация, принявшие решение, а не сама модель и не её разработчик — если иное прямо не предусмотрено договором с поставщиком. Формулировка «так решил ИИ» не освобождает компанию от ответственности перед клиентом, регулятором или судом, если решение оказалось ошибочным или дискриминационным.

Это особенно важно для сценариев, где ИИ участвует в решениях с прямыми последствиями для человека — отказ в кредите, отклонение резюме, автоматический ответ клиенту с юридически значимой информацией. В таких сценариях практика склоняется к требованию «человек в контуре» (human in the loop): окончательное решение подтверждает сотрудник, а не автоматическая система, даже если черновик решения готовит модель.

Договор с поставщиком модели может частично перераспределять ответственность — например, за технический сбой самого сервиса, — но почти никогда не покрывает ответственность компании перед её собственными клиентами за содержание итогового решения. Поэтому внутренний процесс проверки критичных решений, принятых с участием ИИ, — не дополнительная бюрократия, а прямая юридическая необходимость.

Отдельный практический вопрос — страхование ответственности. Часть страховых компаний на российском рынке уже предлагает расширение полисов профессиональной ответственности на риски, связанные с использованием ИИ в бизнес-процессах, но такое покрытие обычно требует, чтобы у компании уже был задокументирован базовый процесс контроля за ИИ-решениями — страховщик оценивает не сам факт использования ИИ, а зрелость внутреннего управления этим риском, и без документированного процесса получить вменяемые условия страхования почти невозможно.

Авторские права на контент, созданный ИИ

📝Творческий вклад человека решает

Российское законодательство об авторском праве построено вокруг творческого труда человека, и результат работы нейросети без значимого творческого вклада человека, строго говоря, не получает такой же охраны, как произведение, созданное человеком — на практике это означает, что права на чисто сгенерированный ИИ текст или изображение могут оказаться слабее, чем ожидает компания, планирующая защищать такой контент как уникальный актив.

Обратная сторона того же вопроса — риск использовать в коммерческих целях ИИ-изображение, похожее на существующее защищённое произведение или узнаваемый образ реального человека. Модель обучена на большом массиве данных и иногда воспроизводит элементы, близкие к охраняемым объектам, и ответственность за итоговое использование такого материала лежит на компании, которая его публикует, а не на разработчике модели.

Практический совет для маркетинга и контент-команд: относиться к сгенерированному ИИ материалу как к черновику, который требует человеческой доработки и проверки перед публикацией — не только по соображениям качества, но и потому, что степень творческого вклада человека в финальный результат напрямую влияет на то, можно ли этот результат защитить как объект авторского права компании.

Ещё один нюанс, который стоит держать в поле зрения при использовании ИИ для написания коммерческих текстов, дизайна или кода, — вопрос о том, обучалась ли конкретная модель на охраняемых произведениях без согласия правообладателей. Практика по искам к разработчикам моделей за использование чужого контента при обучении пока формируется и в России, и за рубежом, и хотя прямая ответственность конечного пользователя модели за состав обучающих данных маловероятна, репутационный риск использования продукта, вокруг которого идёт судебный спор об авторских правах, стоит учитывать при выборе поставщика для долгосрочного контракта.

Маркировка ИИ-контента: новые требования

🏷️Граница определяет, нужна ли пометка

С 2026 года в России действуют требования к маркировке контента, созданного или существенно доработанного с помощью ИИ, в первую очередь для контента, распространяемого публично — рекламных материалов, новостных публикаций, синтетических изображений и видео. Требование распространяется не только на очевидно синтетический контент вроде дипфейков, но и на менее заметные случаи — например, на статьи, написанные нейросетью и опубликованные без существенной правки.

Для бизнеса это означает необходимость выстроить внутренний процесс учёта: какой контент создан полностью человеком, какой — с использованием ИИ как вспомогательного инструмента (черновик, идея, редактура), а какой — практически полностью нейросетью. Граница между этими категориями определяет, требуется ли маркировка, и произвольное решение отдельного сотрудника публиковать материал без пометки создаёт риск для всей компании, а не только для автора конкретного текста.

Штрафы за отсутствие маркировки для юридических лиц не критичны в разовом случае, но системное нарушение — например, если весь маркетинговый контент компании генерируется без разметки — создаёт кумулятивный риск и, что часто важнее штрафа, репутационный риск при обнаружении регулятором или конкурентами первого нарушения.

Степень участия ИИ в контенте — граница, от которой зависит маркировка
Создано человеком
не требуется
ИИ как инструмент (черновик, правка)
спорная зона
Создано почти полностью ИИ
требуется

КИИ и отраслевое регулирование: банки, медицина, госсектор

🏛️Регулятор свой для каждой отрасли

Компании со статусом критической информационной инфраструктуры — крупные банки, энергетические и промышленные предприятия, операторы связи — обязаны согласовывать использование значимых информационных систем, включая ИИ-решения, с требованиями ФСТЭК и отраслевых регуляторов, что на практике означает приоритет сертифицированного и часто отечественного программного обеспечения и повышенные требования к аудиту.

Банки · Центробанк
Требование к объяснимости автоматизированных решений: если ИИ участвует в кредитном скоринге или оценке риска, банк должен быть способен объяснить клиенту и регулятору логику отказа, а не сослаться на «решение алгоритма» как на достаточное основание — модели «чёрный ящик» без слоя интерпретации результата не подходят.
Медицина · Росздравнадзор
Использование ИИ для диагностики или рекомендаций по лечению регулируется через требования к сертификации медицинских изделий и программного обеспечения — внедрение инструмента без прохождения этой процедуры создаёт риск не только для компании, но и для врача, который на него опирается в клинической практике.
КИИ, промышленность · ФСТЭК
Государственная политика импортозамещения требует приоритетного использования решений из реестра отечественного ПО Минцифры при закупках с участием государственного капитала или для объектов КИИ — выбор зарубежной модели без сертифицированной альтернативы создаёт регуляторный и репутационный риск при проверках.

Трудовое право: мониторинг сотрудников и решения об увольнении

👥Решение — всегда за человеком
1
Шаг 1
Уведомить сотрудников
О факте автоматизированного мониторинга — тихое внедрение без уведомления создаёт риск трудового спора даже при обоснованной цели.
2
Шаг 2
Определить роль ИИ
Вспомогательная (сортировка по формальным критериям) или решающая (автоматический отказ без участия человека) — для каждого кадрового процесса отдельно.
3
Шаг 3
Проверка человеком
Для решающей роли — обязательный этап проверки человеком до того, как решение доводится до сотрудника или кандидата.

Использование ИИ для анализа переписки сотрудников, оценки продуктивности по цифровым следам или автоматической сортировки кандидатов при найме попадает в зону трудового права и законодательства о персональных данных одновременно. Работодатель обязан уведомить сотрудников о факте автоматизированного мониторинга — тихое внедрение системы отслеживания без уведомления создаёт риск трудового спора даже в случаях, когда сама цель мониторинга (например, контроль за утечкой данных) юридически обоснована.

Отдельный чувствительный сценарий — использование ИИ-системы как формального основания для кадрового решения: увольнения, отказа в повышении, дисциплинарного взыскания. Российская практика по трудовым спорам стабильно требует, чтобы конечное решение принимал человек с возможностью объяснить его причины — автоматическая оценка продуктивности может быть одним из факторов, но не может быть единственным формальным основанием, которое компания предъявляет в суде при оспаривании увольнения.

Практический ориентир для HR-функции: документировать, какую роль ИИ играет в каждом кадровом процессе — вспомогательную (сортировка резюме по формальным критериям) или решающую (автоматический отказ без участия человека) — и для решающей роли предусмотреть обязательный этап проверки человеком до того, как решение доводится до сотрудника или кандидата.

Международное регулирование и почему оно касается российского бизнеса

🌍Даже без выхода за рубеж — касается

Даже компания, работающая только на российском рынке, может столкнуться с зарубежным регулированием ИИ — если использует зарубежную модель через публичное API, чьи условия использования подчиняются иностранному праву, или если среди клиентов и партнёров есть организации из Евросоюза, подпадающие под требования AI Act. В последнем случае требования могут распространяться и на российского поставщика, чей ИИ-продукт используется в цепочке, затрагивающей рынок ЕС.

Практический риск здесь редко в прямых штрафах — скорее в договорных последствиях: зарубежный партнёр может потребовать подтверждения соответствия определённым стандартам использования ИИ как условие продолжения сотрудничества, и отсутствие внутренней документации о том, как компания управляет ИИ-рисками, может стать неожиданным барьером при заключении или продлении контракта, а не только формальным нарушением закона.

Практический совет — вне зависимости от того, работает ли компания на международных рынках сейчас, полезно выстраивать внутреннюю документацию об использовании ИИ (какие модели используются, для каких задач, какие данные обрабатываются) так, чтобы её можно было быстро адаптировать под запрос зарубежного партнёра или регулятора — это заметно дешевле, чем собирать такую документацию задним числом под конкретный срочный запрос.

Договоры с поставщиками ИИ: на что смотреть перед подписанием

📄Стандартные условия — в пользу поставщика

Стандартные условия использования публичных ИИ-сервисов почти всегда написаны в интересах поставщика и редко подходят для корпоративного использования без дополнительного соглашения. Ключевые пункты, которые стоит проверить или отдельно согласовать: используются ли введённые компанией данные для дальнейшего обучения модели, где физически хранятся данные, и какой уровень ответственности поставщик принимает на себя за качество и достоверность ответов модели.

Отдельное внимание стоит уделить пункту о доступности сервиса (SLA) и последствиях простоя — если ИИ-инструмент встроен в критичный бизнес-процесс, отсутствие зафиксированных гарантий доступности означает, что при сбое у поставщика компания останется без инструмента и без формальных оснований требовать компенсацию за связанные с этим потери.

Для российских компаний, работающих с зарубежными моделями через посредников или параллельный доступ, стоит отдельно проверить легальность самой схемы доступа — использование сервиса в обход официальных ограничений поставщика создаёт дополнительный юридический и операционный риск, отдельный от вопросов персональных данных: доступ может быть заблокирован без предупреждения, а формальных договорных отношений с поставщиком в такой схеме часто нет вообще.

Полезно также заранее определить в договоре, кто из субподрядчиков поставщика (субпроцессоров) получает доступ к данным компании — крупные ИИ-сервисы часто используют внешние облачные платформы и партнёров для отдельных функций, и без явного перечня субпроцессоров в договоре компания не может гарантированно ответить собственному регулятору на вопрос о том, где физически находятся её данные и кто именно имеет к ним доступ на протяжении всей цепочки обработки.

Экспериментальные правовые режимы (ЭПР) как способ снизить риск

🧪Диалог с регулятором вместо риска
1
Шаг 1
Заявка и обоснование
Компания готовит заявку на вход в ЭПР с обоснованием, почему сценарий не покрывается действующим регулированием.
2
Шаг 2
Согласование с ведомствами
Заявка проходит согласование с несколькими регулирующими органами, затрагиваемыми сценарием использования.
3
Шаг 3
Тестирование под надзором
Технология тестируется по специальным, более гибким правилам под надзором регулятора, а не в юридически неопределённой зоне.
4
Шаг 4
Результат и масштабирование
По итогам теста компания получает основание масштабировать сценарий или скорректировать его до выхода в полноценную эксплуатацию.

Для сценариев использования ИИ, которые прямо не урегулированы существующим законодательством — например, автономные решения в определённых отраслях или нестандартная обработка данных, — в России действует механизм экспериментальных правовых режимов: компания может получить временное разрешение тестировать технологию по специальным, более гибким правилам под надзором регулятора, вместо того чтобы действовать в юридически неопределённой зоне на свой риск.

Практическая ценность ЭПР для бизнеса не только в юридической защите, но и в возможности протестировать нестандартный сценарий использования ИИ в диалоге с регулятором, а не в одностороннем порядке — это снижает вероятность того, что успешный с точки зрения бизнеса пилот придётся сворачивать из-за более позднего решения контролирующего органа, принятого без учёта специфики конкретного проекта.

Вход в ЭПР требует подготовки — заявки, обоснования и часто согласования с несколькими ведомствами, — поэтому имеет смысл рассматривать этот путь не для любого пилота, а именно для тех сценариев, где юридическая неопределённость реально сдерживает запуск проекта и где потенциальный эффект от масштабирования оправдывает время на прохождение процедуры.

Практика проверок и штрафы: чего ожидать к 2026 году

🔎Регулятора интересуют последствия, не факт использования ИИ

Правоприменительная практика по ИИ в России пока формируется, и большинство известных случаев связано не с самим фактом использования нейросетей, а с нарушениями смежного законодательства — обработкой персональных данных без основания, отсутствием маркировки контента, использованием ИИ для действий, которые были бы нарушением и без участия технологии (например, недостоверная реклама, сгенерированная нейросетью).

Штрафы за нарушения обработки персональных данных для юридических лиц могут достигать существенных сумм при повторных нарушениях, а для отдельных категорий нарушений предусмотрена оборотная ответственность, привязанная к выручке компании, а не фиксированная сумма — это делает системные, повторяющиеся нарушения значительно более рискованными, чем разовый инцидент, даже если разовый штраф на первый взгляд выглядит некритичным для бюджета компании.

Практический вывод — регуляторы в первую очередь обращают внимание не на факт использования ИИ как таковой, а на последствия для конкретных людей: жалобы клиентов, публичные инциденты, системные утечки данных. Поэтому внутренний контроль качества и быстрая реакция на первые жалобы снижают юридический риск заметно эффективнее, чем попытка заранее предугадать все возможные формальные нарушения.

Практика последних проверок также показывает, что регуляторы всё чаще запрашивают у компаний не только сам факт наличия политики использования ИИ, но и доказательства её реального применения — журналы обращений к ИИ-сервисам, записи о прохождении обучения сотрудниками, историю пересмотра документа. Формально существующая, но не применяемая на практике политика использования ИИ защищает компанию заметно слабее, чем более скромный, но реально работающий процесс.

Как выстроить внутренний юридический комплаенс по ИИ

🧭Четыре уровня зрелости
1
Уровень 1
Базовые элементы
Реестр используемых ИИ-инструментов, короткая памятка для сотрудников и назначенный ответственный за вопросы использования ИИ.
2
Уровень 2
Юрист на этапе выбора
Проверка договора с поставщиком и рисков по персональным данным до внедрения нового ИИ-инструмента, а не после.
3
Уровень 3
Периодический пересмотр
Ежегодный пересмотр комплаенс-практик по мере изменения законодательства и появления новых прецедентов.
4
Уровень 4
Обучение сотрудников
Обязательный инструктаж с подтверждением ознакомления — не просто рассылка документа, который никто не прочитал.

Минимальный работающий комплаенс по ИИ начинается не с толстого регламента, а с трёх простых элементов: реестра используемых ИИ-инструментов и того, кто их применяет; короткой памятки для сотрудников о том, какие данные нельзя передавать в неодобренные сервисы; и назначенного ответственного (не обязательно юриста на полную ставку), к которому можно обратиться с вопросом о конкретном новом сценарии использования ИИ до его запуска, а не после.

Второй уровень зрелости — привлечение юриста на этапе выбора нового ИИ-инструмента для значимого процесса, а не после того, как инструмент уже используется несколько месяцев. Юридическая проверка договора с поставщиком, оценка рисков по персональным данным и проверка отраслевых требований дешевле и быстрее на этапе выбора, чем при необходимости срочно исправлять уже внедрённый и используемый процесс.

Третий уровень — периодический (например, ежегодный) пересмотр комплаенс-практик по мере того, как меняется законодательство и появляются новые прецеденты правоприменения. Регулирование ИИ в России меняется быстрее, чем большинство внутренних корпоративных регламентов, и практика, признанная безопасной год назад, не гарантированно остаётся такой же безопасной сегодня — особенно в части маркировки контента и требований к объяснимости автоматизированных решений.

Четвёртый, часто упускаемый элемент — обучение самих сотрудников, а не только принятие документа. Памятка, которую разослали по электронной почте и никто не прочитал, с юридической точки зрения защищает компанию заметно слабее, чем короткий обязательный инструктаж с подтверждением ознакомления — при разборе инцидента способность показать, что сотрудник был обучен и предупреждён о правилах, существенно меняет то, как выглядит ответственность компании перед регулятором или судом.

Иллюстративный пример: как ритейл-компания снижала юридический риск при внедрении ИИ

Следующий пример — иллюстративный, собирательный сценарий, а не описание конкретной компании, но он показывает типичную последовательность действий. Условная розничная сеть внедряет ИИ-чат-бота для обработки обращений клиентов и на старте сталкивается с типичной проблемой: сотрудники поддержки вставляют в бесплатный публичный интерфейс нейросети номера заказов и телефоны клиентов, чтобы получить помощь в формулировке ответа.

После внутреннего аудита компания вводит короткую памятку — какие данные обезличивать перед обращением к ИИ — и переходит на корпоративный тариф сервиса с договорной гарантией неиспользования данных для обучения модели и хранения на территории России. Одновременно юрист компании проверяет, покрывает ли существующее согласие клиентов на обработку персональных данных передачу информации в новый ИИ-сервис, и при необходимости обновляет формулировку согласия.

Ритейл · внутренний аудит
Инструмент, до аудита
Публичный чат-бот
Инструмент, после аудита
Корпоративный тариф
Переход закрывает риск передачи данных клиентов в публичный интерфейс за счёт договорной гарантии неиспользования данных для обучения модели и хранения на территории России.

Отдельно стоит проверить, куда физически передаются данные при использовании зарубежного ИИ-сервиса — если серверы расположены за пределами России, компания должна соблюдать требования о трансграничной передаче персональных данных, включая уведомление Роскомнадзора и оценку того, обеспечивает ли страна назначения адекватный уровень защиты данных. Для многих популярных зарубежных сервисов эта проверка не проводится вообще, и компания узнаёт о проблеме только при проверке регулятора, а не на этапе выбора инструмента.

Отдельно компания фиксирует внутреннее правило: если чат-бот не может уверенно ответить на вопрос, связанный с возвратом денег или юридическим спором с клиентом, диалог автоматически передаётся человеку, а не продолжается ИИ — это не только снижает риск некорректного юридически значимого ответа, но и создаёт видимую для регулятора и клиентов границу между вспомогательной и решающей ролью ИИ в компании.

Частые ошибки бизнеса в вопросах права и ИИ

01
Самая распространённая ошибка — считать, что раз конкретного пункта про ИИ нет в договоре или регламенте, значит, использование инструмента ничем не регулируется. На практике почти любой сценарий использования ИИ уже подпадает под действующее законодательство о персональных данных, авторском праве или отраслевое регулирование — просто это регулирование написано без упоминания слова «нейросеть».
02
Вторая ошибка — реагировать на юридические риски ИИ только после первого инцидента, а не превентивно. Штраф или судебный спор обходятся компании не только напрямую, но и репутационными издержками, которые редко закладываются в первоначальную оценку риска при внедрении инструмента. Компании, которые вкладываются в базовый комплаенс на старте, на практике тратят на это меньше ресурсов, чем те, кто разбирается с последствиями уже после того, как проблема стала публичной.
03
Третья ошибка — использовать один и тот же подход к разным по чувствительности сценариям: маркетинговый черновик текста и кредитное решение банка требуют совершенно разного уровня юридической проверки, а компании нередко применяют одинаково формальный (или одинаково поверхностный) подход к обоим случаям, вместо того чтобы сегментировать процессы по уровню риска.
04
Четвёртая ошибка — полагаться исключительно на договор с поставщиком модели как на защиту от собственной ответственности. Договор может ограничивать ответственность поставщика за сбой сервиса, но почти никогда не защищает компанию от ответственности перед её собственными клиентами, сотрудниками и регулятором за содержание итогового решения, принятого с использованием ИИ.
05
Пятая ошибка — держать вопросы права и регулирования ИИ полностью в стороне от команды, которая непосредственно внедряет инструменты. Юридическая функция, работающая изолированно и подключаемая только после того, как отдел уже выбрал и начал использовать конкретный сервис, физически не успевает предотвратить риск — она может только фиксировать его постфактум. Компании, где юрист или комплаенс-специалист участвует в обсуждении нового ИИ-сценария на этапе идеи, а не готового решения, системно избегают заметно большей доли типичных ошибок, описанных выше.
📝 Материал носит справочный характер и обновляется по мере изменений на рынке ИИ. Дата последнего обновления — 15.07.2026.

Частые вопросы

01Можно ли передавать данные клиентов в публичный чат-бот вроде ChatGPT?
Только после обезличивания (удаления ФИО, телефонов, адресов и других идентифицирующих сведений) — если сервис не даёт договорных гарантий неиспользования данных для обучения и хранения на территории России. Для чувствительных данных лучше использовать корпоративный тариф или отечественную модель с такими гарантиями.
02Кто несёт ответственность, если ИИ дал клиенту неверный юридически значимый ответ?
Компания, которая использует инструмент, а не разработчик модели — если иное прямо не предусмотрено договором. Поэтому для критичных сценариев (спорные вопросы, возвраты, юридические консультации) стоит предусмотреть обязательную проверку ответа человеком.
03Нужно ли маркировать текст, который написала нейросеть, а потом отредактировал человек?
Зависит от степени доработки: чисто сгенерированный и практически неотредактированный материал, как правило, требует маркировки, тогда как текст с существенной творческой переработкой человеком — не всегда. Однозначного числового порога нет, поэтому спорные случаи стоит решать в пользу маркировки.
04Можно ли использовать ИИ для отбора резюме кандидатов при найме?
Можно для вспомогательной сортировки по формальным критериям, но окончательное решение об отказе кандидату должен принимать человек — автоматический отказ без участия человека создаёт повышенный риск трудового и антидискриминационного спора.
05Что делать компании со статусом КИИ перед внедрением ИИ-инструмента?
Заранее привлечь службу информационной безопасности и юристов, проверить требования ФСТЭК и отраслевого регулятора к используемому программному обеспечению и приоритетно рассматривать сертифицированные и отечественные решения для чувствительных данных.
06Затрагивает ли европейский AI Act российский бизнес?
Напрямую — только если компания работает с рынком ЕС или встроена в цепочку поставки ИИ-продукта, затрагивающую европейских клиентов. Но даже без прямых обязательств наличие внутренней документации об использовании ИИ облегчает работу с зарубежными партнёрами, которые могут требовать подтверждения соответствия стандартам.
07Обязательно ли уведомлять сотрудников об ИИ-мониторинге их работы?
Да — работодатель обязан уведомить сотрудников о факте автоматизированного мониторинга. Тихое внедрение системы отслеживания без уведомления создаёт риск трудового спора даже при юридически обоснованной цели самого мониторинга.
08Что такое экспериментальный правовой режим (ЭПР) и когда он нужен бизнесу?
Механизм, позволяющий тестировать нестандартные ИИ-сценарии по специальным правилам под надзором регулятора, если текущее законодательство прямо не регулирует конкретный случай. Имеет смысл для проектов, где юридическая неопределённость реально сдерживает запуск, а не для рядовых пилотов.
09С чего начать построение юридического комплаенса по ИИ, если его пока нет вообще?
С реестра используемых ИИ-инструментов, короткой памятки для сотрудников о запрещённых к передаче данных и назначенного ответственного, к которому можно обратиться до запуска нового сценария использования ИИ, а не после.
10Насколько велик риск штрафа за использование ИИ без специальной подготовки?
Прямой риск для разового нарушения обычно не критичен для бюджета компании, но системные нарушения (постоянная передача персональных данных без основания, отсутствие маркировки у всего контента) создают кумулятивный и репутационный риск, который стоит гораздо дороже одного штрафа.
11Можно ли застраховать ответственность компании за ошибки ИИ?
Да, часть страховщиков на российском рынке уже предлагает расширение полисов профессиональной ответственности на риски, связанные с использованием ИИ, но для получения адекватных условий страхования компании обычно нужно заранее показать задокументированный внутренний процесс контроля за ИИ-решениями.
12Нужно ли проверять, где физически хранятся данные при использовании зарубежного ИИ-сервиса?
Да — если данные передаются за пределы России, действуют требования о трансграничной передаче персональных данных, включая уведомление Роскомнадзора и оценку уровня защиты в стране назначения. Эту проверку стоит проводить на этапе выбора сервиса, а не после начала использования.
13Может ли договор с поставщиком ИИ полностью снять с компании ответственность за ошибку модели?
Нет. Договор может ограничить ответственность поставщика за технический сбой сервиса, но почти никогда не защищает компанию от ответственности перед её собственными клиентами, сотрудниками и регулятором за содержание итогового решения, принятого с использованием ИИ.
14Как понять, относится ли конкретный ИИ-сценарий к сфере действия закона об ИИ 2026 года?
Ориентироваться не на факт использования нейросети как таковой, а на конкретные признаки — публичное распространение сгенерированного контента, статус оператора значимой ИИ-системы, участие в экспериментальном правовом режиме. В спорных случаях быстрее и дешевле получить короткую консультацию юриста, чем внедрять сценарий и разбираться с последствиями постфактум, особенно если сценарий предполагает автономные действия ИИ-агента без прямого участия человека на каждом шаге.