Коммерческая тайна и искусственный интеллект: что нельзя загружать в нейросети

Сотрудник вставляет договор или финмодель в чат с нейросетью — и коммерческая тайна выходит за периметр компании за одну секунду. Разбираем, что закон относит к секретам бизнеса, как именно происходят утечки через искусственный интеллект и что должна сделать компания, чтобы защитить данные.

Коммерческая тайна и искусственный интеллект: что нельзя загружать в нейросети

Один скопированный в чат-бот абзац может стоить компании контракта, переговорной позиции или целого продукта. Когда речь заходит про коммерческую тайну и искусственный интеллект, главная угроза — не хакеры, а собственные сотрудники, которые в спешке вставляют рабочие документы в нейросеть, чтобы «быстро переписать» или «составить summary». В этот момент сведения, которые компания годами держала в секрете, оказываются на серверах стороннего сервиса.

В этой статье разберём три вещи: что по закону относится к коммерческой тайне, как именно происходят утечки через ИИ и что компании сделать, чтобы защита данных компании от ИИ перестала быть теорией.

Что составляет коммерческую тайну по ФЗ №98

Базовый документ — Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне». Он определяет коммерческую тайну как режим конфиденциальности информации, который позволяет её обладателю увеличить доходы, избежать расходов, сохранить положение на рынке или получить иную коммerческую выгоду.

Ключевой момент: информация защищена законом не сама по себе, а только если компания ввела режим коммерческой тайны. Это значит, что организация должна:

  • определить перечень сведений, составляющих тайну;
  • ограничить доступ к ним и вести учёт лиц, которые этот доступ получили;
  • нанести гриф «Коммерческая тайна» с указанием обладателя на материальные носители;
  • урегулировать отношения с работниками и контрагентами (NDA, положения в трудовых договорах).

Если режим не введён, привлечь сотрудника к ответственности за разглашение практически невозможно — формально тайны не существовало.

Какие сведения чаще всего относят к коммерческой тайне

Категория Примеры
Финансы себестоимость, маржинальность, финансовые модели, бюджеты, P&L
Клиенты и сделки база клиентов, условия договоров, цены и скидки, воронка продаж
Технологии и продукт ноу-хау, исходный код, рецептуры, конструкторская документация
Стратегия планы выхода на рынок, M&A, переговорные позиции
Поставщики условия закупок, эксклюзивные договорённости

Что коммерческой тайной быть НЕ может

Закон прямо перечисляет сведения, на которые режим тайны распространить нельзя: данные из учредительных документов и ЕГРЮЛ, сведения о численности и составе работников, о задолженности по зарплате, о нарушениях законодательства и привлечении к ответственности и ряд других. Это важно понимать, чтобы не пытаться засекретить то, что и так публично.

Отдельно отметим пересечение с персональными данными: ФИО клиентов, паспортные данные, контакты сотрудников защищаются ещё и 152-ФЗ. На практике в одном договоре сходятся оба режима — и коммерческая тайна (цены, условия), и персональные данные (подписанты, реквизиты).

Три сценария утечки коммерческой тайны через ИИ

Коммерческая тайна и искусственный интеллект конфликтуют не из-за злого умысла нейросети, а из-за того, как люди ей пользуются. Вот три типовых сценария, которые встречаются в любой компании.

Сценарий 1. «Помоги переписать» — прямая вставка документа

Самый частый случай. Менеджер берёт договор с реальным контрагентом, ценами и условиями и вставляет его целиком в публичный чат-бот с просьбой «сделать понятнее» или «найти риски». В этот момент:

  • текст уходит на серверы провайдера за пределами компании;
  • сведения становятся доступны третьему лицу — режим тайны нарушен;
  • вернуть или удалить данные обратно уже невозможно.

Опасность в том, что сотрудник искренне не считает это утечкой — он же «просто работал».

Сценарий 2. Обучение на ваших данных

Многие публичные сервисы по умолчанию используют введённые пользователями данные для дальнейшего обучения и улучшения моделей. Это значит, что фрагменты вашей финмодели или клиентской базы могут не просто храниться, а косвенно влиять на ответы, которые сервис даёт другим пользователям, включая ваших конкурентов. Даже если позже включить настройку «не использовать мои данные», то, что уже отправлено, остаётся вне вашего контроля.

Сценарий 3. Теневой ИИ (shadow AI)

Компания официально не разрешала нейросети — значит, проблемы нет? Наоборот. При отсутствии разрешённого и удобного инструмента сотрудники начинают пользоваться ИИ с личных телефонов и аккаунтов, в обход любой корпоративной защиты. Это и есть «теневой ИИ»: служба безопасности не видит ни факта использования, ни того, какие документы туда попадают. Запрет без альтернативы лишь загоняет утечки в слепую зону.

Реальные кейсы утечек сотрудников

Что коммерческая тайна и ИИ — не абстрактный риск, показали громкие истории 2023 года, когда массовое использование чат-ботов только начиналось.

  • Утечка кода и внутренних совещаний. Сотрудники крупного технологического концерна за короткий срок несколько раз загрузили в публичный чат-бот фрагменты исходного кода и расшифровку внутренней встречи, чтобы ускорить работу. Результат — корпоративный запрет на генеративный ИИ на рабочих устройствах и пересмотр политик безопасности.
  • Волна корпоративных ограничений. Вслед за первыми инцидентами ограничения на использование публичных нейросетей в рабочих процессах ввели банки, консалтинговые и телеком-компании по всему миру — именно из-за риска утечки конфиденциальных данных и коммерческой тайны.
  • Опросы сотрудников. Исследования того периода показали, что значительная доля работников вставляла в чат-боты конфиденциальную рабочую информацию, при этом большинство делало это без ведома работодателя.

Общий вывод из всех кейсов одинаков: проблема не в технологии, а в отсутствии правил и безопасного инструмента. Там, где сотрудникам дали понятный регламент и способ работать с ИИ без передачи секретов наружу, поток утечек прекратился.

Что делать компании: политика плюс инструмент

Защита данных компании от ИИ строится на двух опорах одновременно. Регламент без инструмента не работает (сотрудники саботируют неудобные запреты), а инструмент без регламента не масштабируется (никто не знает правил). Нужны оба.

Шаг 1. Введите режим коммерческой тайны

Если режим ещё не оформлен, начните с него. Без перечня секретных сведений, грифов и подписанных обязательств работников у компании нет правовой базы, чтобы вообще говорить об утечке.

Шаг 2. Примите политику использования ИИ

Это внутренний документ, который переводит абстрактный запрет в понятные правила. Хорошая политика отвечает на вопросы:

  • какие нейросети разрешены, а какие — нет;
  • какие данные категорически нельзя загружать (тайна, ПДн, исходный код);
  • как готовить документ к работе с ИИ — обязательное обезличивание перед отправкой;
  • кто отвечает за контроль и что грозит за нарушение.

Чтобы не писать документ с нуля, используйте готовый шаблон «Политика использования ИИ» — его можно адаптировать под вашу компанию за час.

Шаг 3. Дайте сотрудникам инструмент обезличивания

Главный практический шаг. Чтобы коммерческая тайна не утекала, документ нужно обезличить до того, как он попадёт в нейросеть: заменить названия контрагентов, цены, реквизиты, ФИО и контакты на нейтральные метки. Тогда ИИ работает с обезличенным текстом, а смысл задачи (проверить структуру договора, переписать абзац, найти логические ошибки) сохраняется.

Именно для этого создан Анонимизатор tirCoWork. Он встроен в продукт и входит в подписку, а главное — работает локально, на компьютере сотрудника:

  • точное распознавание чувствительных сведений в документе (контрагенты, суммы, реквизиты, персональные данные);
  • автоматическая замена их на метки вида [КОНТРАГЕНТ-1], [СУММА-2], [ФИО-1];
  • обработка идёт на вашем Mac или Windows — файлы остаются у вас, в интернет ничего не уходит;
  • после работы с ИИ метки можно вернуть обратно в исходные значения.
До обезличивания После обезличивания
ООО «Северсталь-Логистика» [КОНТРАГЕНТ-1]
Цена контракта 14 500 000 ₽ Цена контракта [СУММА-1]
Директор Петров Сергей Иванович Директор [ФИО-1]
ИНН 7707083893 [ИНН-1]

В таблице видно главное: для нейросети задача остаётся той же самой («проверь договор поставки на риски»), но в неё больше не входят сведения, составляющие коммерческую тайну.

Шаг 4. Обучите сотрудников и закрепите привычку

Технология и регламент сработают только если люди понимают логику. Короткий инструктаж на конкретных примерах («вот так — нельзя, вот так — безопасно») и встроенный в рабочий процесс инструмент превращают безопасное обращение с ИИ в привычку, а не в дополнительную нагрузку.

Практический вывод

Коммерческая тайна и искусственный интеллект совместимы — но только при правильной организации процесса. Запомните главное:

  1. Тайна защищена законом, только если введён режим по ФЗ №98 — иначе наказать за утечку нельзя.
  2. Большинство утечек — это не взлом, а сотрудники, вставляющие рабочие документы в публичные чат-боты.
  3. Запрет без альтернативы порождает теневой ИИ — данные продолжают утекать, но уже невидимо.
  4. Рабочая защита данных компании от ИИ — это связка из двух элементов: политика использования ИИ и инструмент обезличивания, который работает локально.

Начните с малого: примите политику по готовому шаблону и дайте сотрудникам Анонимизатор tirCoWork. Первые 30 дней бесплатно, карта не нужна, тарифы — от 500 ₽/мес. Так компания сохранит и удобство работы с нейросетями, и контроль над своими секретами.

Частые вопросы

Можно ли вообще использовать нейросети, если в документах есть коммерческая тайна?

Да, но не загружая сами секреты. Перед отправкой в ИИ документ нужно обезличить: убрать названия контрагентов, цены, условия сделок и персональные данные. Анонимизатор tirCoWork делает это локально, на вашем компьютере — исходный текст не покидает рабочее место.

Что грозит за утечку коммерческой тайны через ИИ?

По ФЗ №98 и Трудовому кодексу сотрудника можно привлечь к дисциплинарной и материальной ответственности вплоть до увольнения, а в отдельных случаях — к уголовной по статье 183 УК РФ. Компания при этом теряет конкурентное преимущество без шансов вернуть данные обратно.

Считается ли утечкой, если данные ввёл сотрудник в публичный чат-бот по ошибке?

Да. С момента, когда сведения стали доступны третьему лицу (а провайдер нейросети — это третье лицо), режим коммерческой тайны в отношении них считается нарушенным. Намерение значения не имеет.

Достаточно ли запретить нейросети регламентом, чтобы защитить тайну?

Запрет на бумаге не работает — сотрудники всё равно пользуются ИИ с личных устройств. Эффективнее разрешить безопасный сценарий: дать инструмент обезличивания и политику использования ИИ, которая описывает, что и как можно загружать.

Файлы при обезличивании уходят в облако?

Нет. Анонимизатор tirCoWork работает локально на вашем Mac или Windows. Документ обрабатывается на компьютере, файлы остаются у вас, в интернет ничего не отправляется.

Попробовать Анонимизатор бесплатно

Обезличивание работает локально, на вашем компьютере: файлы остаются у вас. 30 дней бесплатно, карта не нужна. Тарифы от 500 ₽/мес.

Попробовать Анонимизатор бесплатно

Читайте также