Заказать аудит
О практике

Правовой аудит ИИ-систем

Работа начинается с инвентаризации и технического задания, затем идут интервью, анализ документации, правовое тестирование, матрица рисков, аудиторское заключение и проверка корректирующих действий.

Позиционирование

В одном предложении

«Проводим правовой аудит ИИ-систем от реестра и данных до договоров, ответственности, отчёта и контроля исполнения».

Начинаем с фактической схемы, где видно, какая система проверяется, на каких данных работает, кто владелец сценария, кто оператор, кто поставщик решений, какие документы существуют и чего не хватает. Только после этого применяем нормативную базу и формируем матрицу рисков.

Экспертиза

Что лежит в основе работы

  • Процесс аудита. Инвентаризация ИИ-систем, карта ролей, ТЗ, сбор документов, интервью, тестирование и реестр рисков.
  • Правовая карта ИИ. 152-ФЗ, ГК РФ, отраслевые акты, ЭПР, ГОСТ 42001/24029/71539 и рекомендации регуляторов.
  • Данные и автоматизированные решения. Реестр данных, согласия, ст. 16 152-ФЗ, профилирование, обезличивание и деанонимизация.
  • ИС и договоры. Права на наборы данных, исходный код, модель, результаты генерации, программное обеспечение с открытым кодом, поставщиков облачных услуг, запрет на обучение на данных клиента, возмещение потерь и порядок выхода из договора.
  • Ответственность и отрасли. Вред от ИИ, ст. 1064/1068/1079/1095 ГК РФ, финансы, медицина, подбор персонала, юридические технологии и госсектор.
Процесс аудита

Как устроен процесс

Чтобы аудит не превратился в бесконечную проверку, в начале фиксируем конкретную систему, её архитектуру, участников, документы, цель проверки и итоговый формат результата.

Шаг 01

Инвентаризация и реестр

Определяем, какие ИИ-системы фактически используются, где применяются внешние сервисы без согласования и что входит в предмет аудита.

Шаг 02

Карта ролей

Фиксируем роли разработчика, оператора, пользователя, поставщика решений, ответственного за защиту персональных данных, специалиста по информационной безопасности и бизнес-заказчика.

Шаг 03

ТЗ и сбор документов

Согласуем цель, границы, применимые правовые области, перечень документов, интервью и ограничения проверки.

Шаг 04

Документы, интервью, тестирование

Проверяем данные, ИС, договоры, ответственность и отраслевые требования через несколько источников.

Шаг 05

Матрица рисков

Каждый риск получает норму, источник, вероятность, тяжесть, уровень, рекомендацию и критерий проверки.

Шаг 06

Заключение и контроль исполнения

Передаём итоговый отчёт и сопровождаем корректирующие действия, включая договоры, регламенты, журналы работы и согласия.

Команда

Кто работает над проектом

За юридическую часть отвечает профильная практика. Для технических экспертиз по ГОСТам, ИБ-аудита и работы с цифровыми следами привлекаем профильных специалистов под конкретную задачу.

Трофимов Станислав Сергеевич

Трофимов Станислав Сергеевич

Юрист практики · @trofimov_legal Автор книги

Специализация — инвентаризация и аудит ИИ-систем, 152-ФЗ и автоматизированные решения, интеллектуальные права, договоры с поставщиками ИИ-решений, ответственность за вред от алгоритмов и отраслевые ИИ-аудиты. Основная точка контакта.

Обложка книги «Правовой аудит ИИ-систем»

Автор книги «Правовой аудит ИИ-систем»

Практическое руководство по снижению рисков для B2B бизнеса.

Скачать бесплатно PDF →
Telegram @trofimov_legal →
Партнёрский контур

Технические эксперты и смежные специалисты

  • ИБ-подрядчики с лицензиями ФСТЭК/ФСБ — технические работы по кибербезопасности ИИ-систем
  • Технические эксперты по ГОСТам серии 42001/24029 для судебных экспертиз
  • Патентные поверенные — регистрация ПО и баз данных
  • Специалисты по цифровым следам — инциденты с автономными системами
  • Профильные юристы по предметным областям (медицина, авиация, строительство)
Конфиденциальность

Как обращаемся с материалами клиента

В ИИ-проектах материалы аудита часто содержат не только договоры, но и схемы обучения модели, описание обучающих выборок, результаты тестирования устойчивости и данные об уязвимостях. Поэтому режим работы с файлами обсуждается до любой содержательной передачи данных.

Использование языковых моделей
Запрет на загрузку клиентских материалов в публичные большие языковые модели без письменного разрешения. Только согласованные инструменты — по журналу.
Изоляция проектных данных
Отдельные рабочие папки и доступы под каждый проект. Особое внимание — к материалам по ГОСТовым тестам и результатам аудита устойчивости.
Конфликт интересов
Перед стартом проверяем потенциальные конфликты интересов. Об ограничениях честно сообщаем до подписания.
Соглашение о конфиденциальности
Подписываем до любых содержательных обсуждений. Можем работать на ваших шаблонах соглашения.
Срок хранения
Чёткий срок хранения файлов после завершения проекта. По запросу — официальное удаление с подтверждением.
Инциденты
Есть внутренний порядок реагирования. Если что-то идёт не так с нашей стороны — вы узнаёте первыми.
Гарантии доступности и взаимодействие

Что можно ожидать в проекте

Что ожидать от нас

Деловой стандарт

  • Письменное заключение по каждому вопросу со ссылками на конкретные ГОСТы и нормы
  • Сроки и результаты работы зафиксированы заранее
  • Прозрачное ценообразование без скрытых надбавок
  • Реакция в ту же рабочую смену для инцидентов по ст. 1079 ГК РФ
  • История решений и протоколов работы оформляется как рабочий документ, а не как формальная папка
Что ожидаем от вас

Что помогает быстрому результату

  • Заполненный бриф и схема системы до старта аудита
  • Точка контакта с командой разработки и службой безопасности
  • Доступ к документам, протоколам тестирования и договорам с подрядчиками
  • Готовность принимать решения, а не откладывать
  • Своевременная оплата по этапам

Понять, какие ГОСТы применимы к вашей модели

Базовое интервью помогает быстро определить применимую нормативную базу и самый высокий правовой риск. После него можно говорить о составе аудита, сроках и бюджете.

Заполнить бриф