Запрета на ИИ в государственном учреждении нет. Есть набор требований, которые сужают коридор: где хранятся данные, кто их обрабатывает, какие сведения относятся к охраняемой тайне. Внутри этого коридора языковая модель законно помогает с черновиками, поиском по регламентам и разбором обращений. За его пределами лежит зона, где любой облачный сервис недопустим.

Что разрешено

TL;DR

Прямого запрета на ИИ в госструктуре закон обходит молчанием. Ограничения идут от смежных норм: 152-ФЗ о персональных данных, требования к гостайне и служебной тайне, политика импортозамещения и реестр российского ПО. Облачные зарубежные модели подходят для обезличенных текстовых задач. Всё, что касается персданных граждан и охраняемых сведений, требует локального решения на своём контуре.

Руководитель учреждения обычно слышит две крайности. Первая: ИИ в госсекторе вообще вне закона, трогать опасно. Вторая: модель умеет всё, грузите в неё любые документы. Обе позиции далеки от реальности. Закон обходит искусственный интеллект как отдельный запрещённый инструмент стороной. Он регулирует данные и сведения, которые вы в эту модель передаёте, и канал передачи.

Отсюда практический вывод. Сначала вы классифицируете информацию по категориям: открытые сведения, персональные данные, служебная тайна, государственная тайна. Дальше под каждую категорию подбираете допустимый инструмент. Открытый регламент или черновик ответа на типовое обращение модель обрабатывает спокойно. Карточка гражданина с паспортными данными в облачный сервис уходить запрещена.

Большинство задач в учреждении лежат в безопасной зоне. Сотрудник пишет ответ заявителю по шаблону, ищет нужный пункт в объёмном регламенте, готовит справку по открытым данным. Здесь модель экономит часы и работает в рамках закона, если вы заранее убрали из текста всё, что относится к охраняемым сведениям.

  • Черновики ответов на типовые обращения граждан по утверждённым шаблонам
  • Поиск по внутренним регламентам, приказам и должностным инструкциям
  • Разбор открытых обращений в сводку повторяющихся тем для руководителя
  • Подготовка справок и аналитики по обезличенным или открытым данным

Где проходит граница

Граница проходит по двум линиям. Первая линия — персональные данные граждан под защитой 152-ФЗ. Передача ФИО, паспорта, адреса, сведений о здоровье в зарубежный облачный сервис нарушает требования о трансграничной передаче и локализации. Вторая линия — государственная и служебная тайна. Сведения этих категорий вообще исключены из любого внешнего канала, и облачная модель здесь недопустима полностью, без оговорок про обезличивание.

// Что нельзя грузить в облако

Персональные данные граждан, сведения с грифом, материалы служебного характера, данные, обрабатываемые в государственных информационных системах. Для этих категорий путь один — локальная модель на аттестованном контуре учреждения, без выхода данных наружу.

Отдельно стоит требование об импортозамещении и реестре российского ПО. Для значимых объектов и государственных информационных систем закон ограничивает применение иностранного программного обеспечения. На практике это означает выбор в пользу отечественной модели либо локального развёртывания на серверах учреждения. Конкретный перечень требований зависит от категории объекта и его места в реестре — это проверяется до закупки, вместе с вашим ответственным за информационную безопасность.

Категория сведенийОблачная зарубежная модельДопустимое решение
Открытые регламенты и шаблоныДопустимо для обезличенных текстовЧат с моделью под контролем сотрудника
Персональные данные гражданЗапрещено передаватьЛокальная модель на контуре учреждения
Служебная тайнаЗапрещеноИзолированный контур, российское ПО
Государственная тайнаЗапрещено категорическиАттестованная система без внешнего доступа

Как остаться внутри закона

Безопасное внедрение в учреждении начинается с обезличивания. Прежде чем текст уходит в модель, из него убирают всё, что позволяет опознать человека: имена меняют на роли, номера документов вырезают, адреса обобщают. После такой подготовки даже облачная модель работает в рамках закона, потому что получает обезличенный массив, выпавший из-под защиты 152-ФЗ. Это снимает большую часть рисков на старте.

  1. Классифицируйте задачи по категориям сведений: открытые, персональные, служебные, секретные
  2. Возьмите для первого пилота только открытые и обезличенные тексты с низким риском
  3. Согласуйте инструмент с ответственным за информационную безопасность учреждения
  4. Пропишите регламент: что обезличивается, что вообще остаётся вне модели
  5. Под персональные данные и служебную тайну закладывайте локальное российское решение
  6. Зафиксируйте проверку каждого ответа сотрудником перед отправкой заявителю

Локальная модель снимает вопрос с трансграничной передачей полностью: данные остаются внутри контура учреждения, обработка идёт на ваших серверах. Стоимость такого развёртывания выше облачной подписки, и оно требует мощностей, поэтому для значимых систем это оправданная статья расходов, а для мелких открытых задач избыточная. Разумный путь — комбинация: облако под обезличенную рутину, локальный контур под чувствительные категории.

Ответственность за соблюдение требований лежит на учреждении, а на разработчике модели. Поэтому регламент применения ИИ имеет смысл оформить документом: какие задачи разрешены, какие данные обезличиваются, кто проверяет результат. Такой регламент защищает и сотрудника, который пользуется инструментом, и руководителя, который отвечает за информационную безопасность перед проверяющими органами.

Риски и ответственность

Главный технический риск — модель ошибается уверенно. Она способна сослаться на несуществующий пункт регламента или придумать норму, которой нет. Это свойство языковых моделей называют галлюцинациями. В учреждении цена такой ошибки выше, чем в бизнесе: ответ заявителю со ссылкой на выдуманную норму создаёт правовые последствия. Поэтому каждый ответ, который уходит наружу, проверяет сотрудник, а модель остаётся помощником при подготовке черновика.

// Где человек остаётся главным

Юридически значимые решения, ответы заявителям, толкование норм, работа со сведениями ограниченного доступа — это зона сотрудника. Модель готовит черновик и берёт на себя поиск и рутину, итоговую ответственность держит должностное лицо. Подпись под ответом ставит человек, а инструмент.

Правовой риск концентрируется вокруг персональных данных. Утечка ФИО заявителей через сторонний сервис — это нарушение 152-ФЗ с реальными последствиями для учреждения и ответственного лица. Защита здесь строится вместо доверия к сервису на простом принципе: чувствительные данные физически минуют его — их обезличивают до передачи либо обрабатывают только на локальном контуре.

● Discovery · 1 час · бесплатно

Опишите, какие задачи и с какими данными работает ваше учреждение, и на бесплатном часовом разборе я покажу, что можно отдать модели в рамках закона, а что требует локального контура.

Прийти на Discovery →

С чего начать

Начинать стоит с одной открытой задачи, которая съедает время сотрудников и обходит персональные данные стороной. Поиск по регламентам или черновики типовых ответов подходят лучше всего: результат виден за неделю, риск минимальный, а команда привыкает работать с инструментом на безопасном материале. После того как пилот показал отдачу без нарушений, коридор задач расширяют постепенно.

Параллельно учреждение готовит инфраструктуру под чувствительные категории. Если в планах работа с персональными данными граждан, заранее закладывают локальное российское решение и согласовывают его с требованиями к информационной безопасности. Такой порядок защищает от типичной ошибки, когда сотрудники по своей инициативе грузят карточки заявителей в открытый чат, и учреждение узнаёт об этом уже после утечки.

Сложность здесь лежит в правильной классификации данных и выборе допустимого инструмента под каждую категорию, а сама модель тут вторична. Эту работу проходят один раз вместе со специалистом, после чего у учреждения остаётся понятный регламент: что разрешено, что обезличивается, что обрабатывается только локально. На разборе процессов мы вместе смотрим на ваши задачи и определяем, где ИИ окупится первым и при этом останется в правовом поле.

Частые вопросы

Запрещает ли закон использовать ИИ в государственном учреждении?
Прямого запрета на ИИ закон обходит молчанием. Ограничения идут от смежных норм: 152-ФЗ о персональных данных, требований к гостайне и служебной тайне, политики импортозамещения. Внутри этого коридора модель законно помогает с обезличенными текстами, поиском по регламентам и черновиками ответов.
Можно ли загружать персональные данные граждан в облачную модель?
Передавать ФИО, паспорта, адреса и сведения о здоровье в зарубежный облачный сервис закон запрещает: это нарушает требования 152-ФЗ о локализации и трансграничной передаче. Для задач с персональными данными подходит только локальная модель на контуре учреждения либо обезличивание текста до передачи.
Обязательно ли использовать российскую модель из реестра ПО?
Для значимых объектов и государственных информационных систем закон ограничивает применение иностранного ПО, что подталкивает к отечественной модели или локальному развёртыванию. Конкретный перечень требований зависит от категории объекта и проверяется до закупки вместе с ответственным за информационную безопасность.
Что значит обезличить данные перед отправкой в модель?
Из текста убирают всё, что позволяет опознать человека: имена меняют на роли, номера документов вырезают, адреса обобщают. После такой подготовки массив выпадает из-под защиты 152-ФЗ, и его можно обрабатывать даже облачной моделью. Это снимает большую часть правовых рисков на старте.
Кто отвечает за ошибку, если модель сослалась на несуществующую норму?
Ответственность держит учреждение и должностное лицо, которое подписало ответ. Модель ошибается уверенно и способна придумать норму, поэтому каждый ответ заявителю проверяет сотрудник перед отправкой. Регламент применения ИИ фиксирует, кто и на каком этапе контролирует результат.
С какой задачи безопаснее начать внедрение в учреждении?
Начните с открытой задачи без персональных данных: поиск по регламентам или черновики типовых ответов. Результат виден за неделю, риск минимальный, команда привыкает к инструменту на безопасном материале. После успешного пилота коридор задач расширяют, а под чувствительные категории заранее готовят локальный контур.