Генеративный искусственный интеллект прочно вошел в бизнес-процессы российских компаний. Нейросети помогают создавать тексты, изображения, код и маркетинговые материалы. Однако до недавнего времени правовой статус таких технологий оставался неопределенным. Ситуация меняется: 18 марта Минцифры представило законопроект «Об основах госрегулирования сфер применения технологий искусственного интеллекта», который вводит четкие правила разработки, использования и ответственности за ИИ-системы. В случае принятия он вступит в силу с 1 сентября 2027 года. Разбираемся, какие изменения ждут бизнес и как подготовиться к новым требованиям.
Нарушение авторских и смежных прав: теперь ответственность распределена
Генеративные модели обучаются на больших массивах данных, включая охраняемые произведения. Однако новый законопроект впервые вводит требования к урегулированию прав на результаты интеллектуальной деятельности, созданные с помощью ИИ. Владельцы ИИ-сервисов обязаны при заключении договоров с разработчиками моделей согласовывать порядок передачи прав на сгенерированные объекты. В пользовательском соглашении должно быть прямо указано, кому принадлежат права на контент, созданный с помощью сервиса. Кроме того, условия использования должны соблюдать права авторов оригинальных произведений, на которых обучалась модель.
Таким образом, компания, использующая ИИ для создания контента, больше не сможет ссылаться на «непреднамеренность» плагиата. Если правообладатель предъявит претензии, суд будет оценивать, были ли соблюдены условия лицензирования и маркировки, а также чья вина в нарушении — разработчика, оператора или пользователя.
Ответственность за контент: больше никакой «иллюзии безответственности»
Законопроект закрепляет: за результат, полученный с помощью ИИ, отвечают все участники цепочки — разработчик модели, оператор системы, владелец сервиса и пользователь. Ответственность наступает соразмерно степени вины каждого. Разработчик обязан исключить функционал, ведущий к дискриминации, и проводить моделирование рисков. Оператор должен предоставлять руководство по безопасной эксплуатации и приостанавливать работу системы при угрозе вреда. Владелец сервиса обязан внедрять механизмы, ограничивающие создание противоправного контента, и маркировать ИИ-генерации.
Если нейросеть «придумала» компрометирующие факты или сгенерировала запрещенную информацию, ответственность будет зависеть от того, кто знал или должен был знать о возможности такого результата. Разработчик, оператор и владелец сервиса освобождаются от ответственности, если докажут, что приняли исчерпывающие меры для предотвращения вреда и соблюдали все требования закона. Для бизнеса это означает, что использовать «серые» публичные нейросети без контроля происхождения контента становится рискованно. Суды теперь будут опираться на четкое распределение ролей, предусмотренное законопроектом.
Защита персональных данных и коммерческой тайны: локализация и контроль
Законопроект не отменяет требований 152-ФЗ, но усиливает их в части использования ИИ. Вводится категория доверенных моделей, которые могут применяться в государственных информационных системах и на объектах критической информационной инфраструктуры. Для получения такого статуса модель должна обрабатывать данные исключительно на территории России, пройти проверку безопасности ФСБ и ФСТЭК России, а также подтвердить качество по отраслевым стандартам.
Если компания работает с персональными данными или чувствительной информацией, использование публичных иностранных ИИ-сервисов автоматически вступает в противоречие с требованиями к доверенным моделям и локализации данных. Как и прежде, отправка данных в OpenAI или аналогичные платформы без контроля может повлечь административную и уголовную ответственность.
Правовые последствия: кого позовут в суд теперь
Ранее судебная практика демонстрировала противоречивые подходы: например, в деле Getty Images против Stability AI британский суд не нашел достаточных оснований для привлечения разработчика к ответственности. Новый законопроект меняет логику: в России будет действовать четкая система субъектов — разработчик, оператор, владелец сервиса, пользователь — и их обязанностей.
Маркировка ИИ-контента становится обязательной. Владельцы крупных платформ с аудиторией более ста тысяч пользователей в сутки обязаны проверять наличие маркировки и удалять непромаркированный контент. При нарушении требований к маркировке, использовании запрещенных моделей или отсутствии контроля за генерацией отвечать будут конкретные лица в зависимости от их роли. Разработчики и владельцы сервисов больше не смогут уходить от ответственности, ссылаясь на действия пользователей, если не приняли мер по ограничению противоправного использования.
Для российского бизнеса это означает, что при судебном споре суд будет не искать «общего ответственного», а распределять вину между участниками цепочки. Компании-пользователи, которые не проверяют происхождение контента и не требуют от поставщиков ИИ-сервисов соблюдения российских требований, рискуют оказаться в положении виновных из-за отсутствия доказательств принятия мер.
Проблема доказательной базы: логирование и доверенная среда
Законопроект не устанавливает напрямую требования к доказательствам, но вводит обязанности, которые делают аудит неизбежным. Владельцы сервисов обязаны предоставлять пользователям информацию о функциональном назначении и ограничениях системы, приостанавливать работу при угрозе причинения вреда, а в случае крупных платформ с аудиторией от пятисот тысяч пользователей в сутки — хранить данные и содержание сообщений в соответствии с законом Яровой.
Для бизнеса это означает, что использовать публичные сервисы без возможности логирования и аудита становится невозможно с точки зрения управления рисками. В суде потребуется доказать, какой запрос был сформулирован, какая модель использовалась, какие меры принимались для предотвращения генерации противоправного или охраняемого контента.
Как минимизировать риски: безопасная среда для работы с ИИ
Новый законопроект не запрещает использование зарубежных моделей, но создает мощный стимул для перехода на суверенные, национальные или доверенные модели. Для них предусмотрены меры государственной поддержки, а для использования в критической инфраструктуре — прямое требование проходить проверки ФСБ и ФСТЭК России.
Публичные нейросети не обеспечивают ни локализации данных, ни аудита, ни соответствия требованиям к доверенным моделям. Развертывание ИИ в контуре компании или в российском доверенном облаке становится не просто вопросом безопасности, а условием соблюдения закона. Бизнесу необходимо внедрять системы полного логирования, фиксирующие запросы, даты генерации, версии моделей, результаты и действия сотрудников. Это единственный способ доказать добросовестность использования или распределить ответственность в случае претензий.
В соответствии с новыми требованиями владельцы ИИ-сервисов обязаны указывать в пользовательских соглашениях, кому принадлежат права на сгенерированный контент. Если такой информации нет, компания не может быть уверена в чистоте прав на результаты использования нейросети. Разрозненные аккаунты сотрудников в ChatGPT, Midjourney и других сервисах создают неуправляемые риски утечек и нарушений, поэтому корпоративные платформы, позволяющие работать с моделями в едином контуре, контролировать права доступа и сохранять аудиты, становятся необходимым инструментом управления рисками. Наконец, хотя точные требования к маркировке еще предстоит установить правительству, уже сейчас необходимо выстраивать процессы, позволяющие отделять ИИ-контент от созданного человеком и подтверждать его происхождение.
Что в итоге
Принятие законопроекта «Об основах госрегулирования сфер применения технологий искусственного интеллекта» меняет подход к использованию ИИ в России. От бизнеса больше не требуется гадать, кто ответит за вред, причиненный нейросетью, — законопроект четко распределяет роли и обязанности. Одновременно вводятся понятия суверенных и доверенных моделей, требования к локализации, маркировке и аудиту.
Правовые риски генеративного ИИ не исчезают, но становятся управляемыми. Компании, которые уже сегодня переходят к работе в контролируемой корпоративной среде, используют модели с понятным правовым статусом и внедряют системы логирования, смогут не только избежать претензий, но и получить преимущество за счет соответствия новому регулированию. Остальным придется их догонять — и, возможно, уже в судебном порядке.