Практические ответы о том, что считается ИИ-системой, зачем нужен реестр, как собираются документы и интервью, что входит в матрицу рисков, как работают ГОСТ 42001, 152-ФЗ, договоры с поставщиками решений и ответственность за вред.
Обычный юридический аудит проверяет договоры, корпоративные документы и соблюдение отдельных норм. Правовой аудит ИИ-системы идёт по всему жизненному циклу технологии — данные, обучение, развёртывание, роли участников, автоматизированные решения, права на результат, договоры с поставщиками решений, отраслевые ограничения и ответственность за вред.
Без реестра невозможно понять, какие сценарии реально используются в компании. Часто значимые риски находятся не в основном продукте, а в «теневом ИИ» с внешними языковыми моделями у сотрудников, автоматической оценке персонала, аналитике звонков, генерации юридических документов или пилоте с подрядчиком.
Обычно запрашиваются пять блоков документов, включая техническую документацию, договоры и лицензии, материалы по персональным данным, внутренние политики и операционная история. Если документа нет, это не просто «пробел в папке», а ограничение аудита и потенциальный риск в отчёте.
Для каждого риска фиксируются факт, нарушенная или применимая норма, источник свидетельства, вероятность, тяжесть последствий, уровень риска, рекомендация, срок, ответственный и критерий проверки. Рекомендация без срока и критерия проверки не является рабочей рекомендацией.
ГОСТ 42001 и профессиональная логика аудита требуют проверять результативность корректирующих действий. После отчёта нужно убедиться, что договоры изменены, согласия обновлены, регламенты внедрены, журналы работы ведутся, а процедура оспаривания алгоритмического решения реально работает.
Формально национальные стандарты применяются на добровольной основе. На практике они становятся фактически обязательными при участии в государственных закупках (заказчик вправе включить их в требования ТЗ), при прохождении ведомственных экспертиз и при рассмотрении споров о деликтной ответственности. Если автономная система причинила вред, а её разработчик не проводил оценку устойчивости по ГОСТ Р ИСО/МЭК 24029-2-2024, суд квалифицирует это как грубую неосторожность — что ограничивает возможность ссылаться на форс-мажор.
С 1 января 2025 года действуют четыре ключевых стандарта. ГОСТ Р 71476-2024 (терминология, аннотирование, разведочный анализ, подготовка данных — используется в договорах и при распределении ответственности за дефекты набора данных), ГОСТ Р 71539-2024 (жизненный цикл системы ИИ — обязательная ссылка при госзакупках), ГОСТ Р ИСО/МЭК 42001-2024 (система менеджмента ИИ — аналог ISO 9001, доказательство добросовестности) и ГОСТ Р ИСО/МЭК 24029-2-2024 (устойчивость нейросетей — основа судебной технической экспертизы). С 1 февраля 2026 года добавился ГОСТ Р 72484-2025 для медицинского ИИ.
Это российский аналог ISO 9001, адаптированный для ИИ-отрасли. Стандарт описывает, как выстроить систему управления алгоритмическими рисками внутри компании, включая политики, матрицы ролей, реестры рисков, процедуры инцидентов. Сертификация по ГОСТ 42001 или внутреннее внедрение его требований — ключевое доказательство добросовестной проверки при запросах надзорных органов и корпоративных заказчиков. Именно это документирует, что компания управляла рисками ИИ, а не игнорировала их.
Стандарт, действующий с 1 февраля 2026 года, вводит унифицированную терминологию и классификацию программного обеспечения как медицинского изделия. Ключевое разграничение — между системой поддержки врачебного решения (СППР) и автономным диагностическим инструментом. Первая лишь рекомендует, вторая принимает клинически значимые решения. От этого зависит класс риска и объём регистрационного досье в Росздравнадзоре. Медицинский ИИ без корректной классификации не допускается к клинической практике — даже если технически он уже работает в больнице.
«Открытые данные» не равно «данные без правовых ограничений». Нужно проверить лицензию (Creative Commons с условием SA или NC может запрещать коммерческое использование), наличие персональных данных (даже обезличенные на первый взгляд данные могут содержать ПДн при кросс-корреляции) и авторские права на исходный контент в обучающей выборке. После Приказа РКН № 140 простая псевдонимизация ФИО больше не легализует набор данных, требуются k-анонимность и дифференциальная приватность.
По ст. 1079 ГК РФ владелец источника повышенной опасности несёт ответственность без вины — достаточно самого факта вреда. Суды квалифицируют автономные ИИ-системы (роботы, беспилотники, медицинский диагностический ИИ) как такие источники. Субъектный состав зависит от договорной цепочки — отвечать может разработчик, арендатор, оператор или конечный пользователь. Отсутствие документации по ГОСТам при аварии суд трактует как грубую неосторожность, что лишает разработчика возможности ссылаться на форс-мажор.
История решений и протоколов работы — это задокументированный ход работы ИИ-системы, включая входные данные, версию модели, применённые пороги, результат и временную метку. В судебных спорах по ст. 1079 ГК РФ она служит доказательством должной осмотрительности разработчика. Без неё невозможно установить, было ли поведение системы штатным или аномальным — суд интерпретирует это против разработчика. ГОСТ Р ИСО/МЭК 42001-2024 прямо предписывает ведение такой документации.
По российскому праву автором может быть только человек. ИИ-сгенерированный контент без «существенного творческого вклада» составителя запросов не охраняется авторским правом. Доктрина СИП № С01-724/2025 признала возможность охраны, если составитель запросов доказывает конкретный творческий вклад — детализированный запрос, итеративную доработку, авторский выбор из вариантов. Чтобы защитить корпоративный ИИ-контент, нужно сохранять журналы запросов как доказательную базу и закрепить права в договоре с сотрудниками.
Законопроект № 757734-8 обязывает маркировать синтетический контент. ФАС уже расценивает незамаркированный ИИ-контент в рекламе как введение потребителей в заблуждение относительно природы материала. На практике это значит, что любое видео, изображение или аудио с явными признаками генерации должно содержать чёткое указание «сгенерировано ИИ». Платформы, размещающие такой контент без маркировки, несут солидарную ответственность с рекламодателем.