ИИ в кадрах: почему «свечной заводик» на 10 человек рискует так же, как Газпром (и даже больше)
Приветствую, коллеги! Когда мы читаем в уважаемых проф.журналах и в постах экспертов советы «прикрепите файл графика отпусков — нейросеть проверит ошибки», рука сама тянется к мышке. Удобно же! ИИ посчитает дни, сверит даты, напишет приказ. Но давайте посмотрим на это глазами не кадровика, а специалиста по защите данных.
Спойлер: если вы хоть раз отправляли табличку из 1С в ChatGPT / DeepSeek или GigaChat / Алиса AI, вы уже нарушили закон. Даже если вы пользовались исключительно российским ИИ, данные всё равно могли утечь.
Сегодня поговорим о том, где прячутся главные риски, которые могут стоить бизнесу миллионов рублей или как парализовать работу на месяцы.
Введение
Что такое LLM-модель (объясняю на пальцах)?
LLM (Large Language Model) — очень большая программа-предсказатель слов. Представьте ребенка, который прочитал ВСЕ книги в мире. Вы начинаете фразу «Жили у бабуси два...», и он без запинки продолжает «...веселых гуся».
Так работают ChatGPT, DeepSeek или GigaChat. Они не «думают» как человек, они просто невероятно точно угадывают следующее слово в цепочке.
Но! Чтобы угадывать, им нужен контекст — ваш запрос. И этот запрос они запоминают и используют для обучения других «угадываний».
On-premise (размещение у себя) — когда вы покупаете не доступ к сайту нейросети, а коробку с железками (сервер) или арендуете его в безопасном месте. Вы загружаете в эту коробку необученную модель, и она учится читать только ваши документы в пределах вашего офиса.
Это как разница между обсуждением паролей от сейфа в переполненном вагоне метро (публичный чат-бот) и в собственной пустой комнате (on-premise). Данные не уходят на сторону.
Что вы не должны делать ни в коем случае (и что происходит на самом деле), если или когда вы:
- Загрузка файла Word/Excel/PDF в публичный чат-бот (DeepSeek, ChatGPT и пр.).
- что происходит: файл улетает на сервер в США или Китай. Обработка запроса — это трансграничная передача по 152-ФЗ;
- риск: ч. 8 ст. 13.11 КоАП РФ — штраф до 6 000 000 руб. или приостановка деятельности до 90 суток.
- Копирование текста документа с ФИО директора и подчиненных в диалог.
- что происходит: даже если вы стерли фамилию работника, в шапке документа осталась фамилия гендира. Это утечка данных первого лица компании;
- риск: ч. 1 ст. 13.11 КоАП РФ (за неуведомление о трансграничной передаче) + ч. 8 (нарушение локализации) + репутационный ущерб.
- Анализ «сырого» списка сотрудников (без обезличивания)
- что происходит: прямое нарушение принципов обработки ПДн. Вы предоставили доступ к базе третьему лицу без согласия работников;
- риск: оборотный штраф за утечку до 500 000 000 руб. + иски сотрудников о компенсации морального вреда.
А как же российские сервисы?
Многие успокаивают себя: «Я же пользуюсь российскими сервисами, они надежнее». Давайте посмотрим правде в глаза.
Яндекс.Алиса: В 2025 году Яндекс был оштрафован за непредоставление доступа ФСБ к данным сервиса «Умный дом». Эксперты Роскачества рекомендуют не обсуждать конфиденциальную информацию рядом с умными колонками и физически отключать микрофон. Киберэксперты предупреждают: нет гарантии, что между вами и чат-ботом не стоит злоумышленник-посредник.
Гигачат: В октябре 2019 года Сбербанк сообщил признался в утечке данных клиентов из-за «умышленных действий сотрудника». Человеческий фактор никто не отменял, и даже в крупных организациях данные могут утечь.
Вывод: использование российских сервисов не освобождает от ответственности и не гарантирует 100% безопасности.
Резюме
Искусственный интеллект — мощный инструмент, но бездумное его использование сродни игре в «русскую рулетку». Загрузка файлов с ПДн в публичные нейросети — это прямое нарушение № 152-ФЗ с риском многомиллионных штрафов и приостановки деятельности.
А завтра расскажу:
- какую реальную пользу ИИ может принести кадровику БЕЗ нарушения закона;
- пошаговый сценарий безопасного анализа кадровых данных;
- как превратить ИИ в легального помощника.