За последние два года на рынке появилось много «специалистов», которые прошли короткие курсы по вайб-кодингу и стали предлагать бизнесу услугу по внедрению ИИ-ассистентов. Нюанс в том, что они не всегда соблюдают принципы цифровой гигиены и учитывают требования российского законодательства. В статье расскажу, чем может обернуться сотрудничество с такими подрядчиками.
Риски 152-ФЗ и «зарубежный след»
Внутри среднего и малого бизнеса зачастую нет людей, которые понимают разницу между API зарубежной модели и локальным контуром. Этим пользуются недобросовестные внедренцы. Они разворачивают системы на иностранных серверах, подключают к ним чат-ботов или голосовых ассистентов — и те начинают бодро общаться с клиентами.
Самое «грязное» в этой истории происходит в момент передачи данных. Чтобы бот записал клиента на приём или сориентировал по статусу заказа, он берёт имя, телефон, иногда адрес или сведения из паспорта. Как только эта информация загружается в зарубежную нейросеть для обработки — вы попадаете под прямое нарушение 152-ФЗ «О персональных данных».
Штраф за трансграничную передачу ПД может доходить до 6 млн ₽. Это не «страшилка», а реальность, в которой живёт бизнес, не удосужившийся провести аудит своих ИИ-инструментов.
Архитектура системы как корень юридических рисков
Юридические риски связаны не с самой нейросетью, а с тем, как устроено решение. Важно, где хранятся данные, куда они передаются и как именно обрабатываются.
- Данные уходят во внешний сервис. Это самый простой, но и самый рискованный сценарий. Компания подключает чат-бота или ассистента к API, например OpenAI, и пользовательские данные — имена, телефоны, заявки — начинают обрабатываться на стороне внешнего сервиса. В такой схеме возникают риски трансграничной передачи данных и нарушения требований 152-ФЗ.
- Данные контролируются частично. База хранится внутри компании, но для генерации ответов используется облачная модель. Тогда наружу передаётся не весь массив данных, а только отдельные фрагменты. Рисков здесь меньше, но они всё равно сохраняются: многое зависит от архитектуры решения и конкретных настроек.
- Данные остаются внутри компании. Модель и база знаний развёрнуты в локальном контуре или в собственной инфраструктуре. Это единственный вариант, при котором бизнес действительно контролирует свои данные.
Задача специалиста — не просто внедрить ИИ, а выбрать такую архитектуру, при которой персональные данные хранятся внутри России.
МультиТрекинг
считает звонки, заявки и письма с рекламы
показывает, с каких объявлений приходят клиенты
помогает оптимизировать рекламу
Вместо заключения: как выбрать подрядчика по внедрению ИИ
Рынок кишит предложениями — от «чат-бота за три дня» до «цифрового ассистента под ключ». Но за красивыми обещаниями часто теряется ответ на вопрос: где будут храниться и обрабатываться ваши данные.
Это важно выяснить до запуска. Если ПД клиентов уходят во внешние сервисы или обрабатываются на зарубежной инфраструктуре, у бизнеса возникают юридические риски. Обычно о них вспоминают слишком поздно — когда уже приходят вопросы от регулятора.
Что проверить в первую очередь 👇
Сначала спросите подрядчика, где физически находятся серверы, на которых работает решение. Хороший ответ — это не общие слова про безопасность и соблюдение закона, а конкретика: страна, провайдер, тип инфраструктуры. Отдельный плюс, если подрядчик сразу объясняет, можно ли развернуть систему в локальном контуре компании.
Ориентир здесь простой: персональные данные должны храниться и обрабатываться на серверах в России или внутри локального контура.
Насторожиться стоит, если в ответ вы слышите только:
- «Всё безопасно».
- «Мы соблюдаем закон».
- «Данные хранятся на защищённых серверах».
Такие формулировки ничего не говорят о реальной архитектуре решения.
Ещё один важный вопрос — можно ли перенести систему на ваш сервер или развернуть её внутри вашей инфраструктуры. Даже если на старте используется облако, такая возможность у подрядчика должна быть. Если её нет, значит, вы зависите от его технической схемы и не до конца контролируете, как именно обрабатываются данные. Часто это признак того, что решение собрано на готовых внешних сервисах, а не спроектировано под требования бизнеса.
Что в итоге: подрядчик должен не успокаивать, а объяснять. Если он не может чётко сказать, где хранятся данные, кто имеет к ним доступ и можно ли развернуть решение в вашем контуре, работать с ним не стоит.
У Callibri есть телеграм-канал — присоединяйтесь, чтобы не пропустить свежие кейсы, материалы блога и обновления сервисов.
Нажимая «подписаться», вы соглашаетесь с правилами получения рекламных рассылок
Опубликуйте статью в блоге Callibri
Подойдут материалы про маркетинг, продажи и клиентский сервис