Что именно является ИИ-системой
Фиксируем назначение, технологию, стадию жизненного цикла, владельца сценария, границы аудита и применимые отраслевые режимы.
Сначала квалифицируем систему и границы проверки. Затем анализируем данные, ИС, договоры, ответственность, отраслевые требования и оформляем результат в виде отчёта, матрицы рисков и плана корректирующих действий.
Юридический риск ИИ-системы распределён по всему жизненному циклу. Поэтому проверка начинается с фактов, ролей и документов, а не с механического чек-листа стандартов.
Фиксируем назначение, технологию, стадию жизненного цикла, владельца сценария, границы аудита и применимые отраслевые режимы.
Строим карту ролей, где видны разработчик, оператор, пользователь, поставщик решений, подрядчик, владелец набора данных, ответственный за защиту персональных данных, специалист по информационной безопасности и бизнес-заказчик.
Запрашиваем техническую, юридическую, ПД-документацию, внутренние регламенты, операционную историю, журналы работы и результаты тестирования.
Сопоставляем факты с 152-ФЗ, ГК РФ, ГОСТ 42001, отраслевыми нормами, «мягким правом» и договорными обязательствами.
Определяем формат результата, включая экспресс-заключение, полный отчёт, матрицу рисков, договорный пакет, регламент или план корректирующих действий.
Входная проверка квалифицирует систему, участников, источники данных, применимые нормы и самые опасные разрывы. На выходе — короткое заключение, первичная матрица рисков и маршрут полного аудита.
Проверяем происхождение набора данных, правовые основания обработки, согласия, ст. 16 152-ФЗ, профилирование, биометрию, спецкатегории данных, обезличивание и угрозу деанонимизации. Отдельно оцениваем, есть ли у пользователя реальная процедура оспаривания алгоритмического решения.
Основной проект по шести направлениям, включая квалификацию системы, данные и ПДн, интеллектуальную собственность, договоры, ответственность за вред, отраслевые требования. Используем ГОСТ 42001 как рамку аудита и оформляем доказательную базу для клиента, инвестора, суда или регулятора.
Выстраиваем внутреннюю систему управления ИИ-рисками по ГОСТ 42001 — роли, периодический аудит, реестр систем, корректирующие действия, реагирование на инциденты, человеческий надзор и документирование решений. Это не набор «политик для папки», а рабочий контур управления рисками.
Проверяем и переписываем договоры с поставщиками ИИ, заказчиками, подрядчиками-разметчиками, облачными сервисами и разработчиками. Главная цель — прозрачность модели, соразмерная ответственность и независимость клиента, включая право на аудит, экспорт данных, контроль обновлений и понятный выход из договора.
Законопроект № 757734-8 вводит двухуровневую систему обязательств: маркировку для владельцев ИИ-сервисов и проактивное выявление дипфейков для платформ с суточной аудиторией от 100 тыс. пользователей. Отдельно — правовая защита ИИ-контента: выстраиваем доказательную базу «творческого вклада составителя запросов» по доктрине СИП № С01-724/2025.
Произошла утечка данных, поступил иск от правообладателя или инвестор нашёл уязвимости перед сделкой. Быстро разбираем ситуацию, собираем доказательную базу — журналы работы, паспорта моделей — и определяем стратегию защиты компании. При инцидентах с персональными данными уведомляем РКН в установленные сроки (24/72 часа).
Для компаний, где ИИ-сценарии появляются постоянно, — новый набор данных, новая модель, новый подрядчик, новый корпоративный заказчик. Регуляторная среда в России быстро меняется: вышли профильные ГОСТы и Приказ РКН, готовится закон о маркировке. Абонентский формат позволяет поддерживать соответствие в актуальном состоянии без авралов.
Чаще всего дело не в одном запрете, а в нескольких незакрытых вопросах.
Определяем систему, границы проверки, цели аудита, применимые блоки права, перечень документов и ограничения.
Запрашиваем техническую, юридическую и ПД-документацию; проводим интервью с разработчиками ИИ, ответственным за защиту персональных данных, специалистами по информационной безопасности и представителями бизнеса.
Сопоставляем документы, интервью, интерфейс, журналы работы, договоры и результаты тестирования, чтобы не строить вывод на одном источнике.
Для каждого риска фиксируем норму, факт, источник свидетельства, уровень, рекомендацию, срок и ответственного.
Итоговый документ содержит объём и ограничения аудита, выводы по направлениям, реестр рисков и план действий.
Контроль исполнения подтверждает, что договоры изменены, регламенты внедрены, журналы работы ведутся, процедуры работают.
Объём аудита зависит от архитектуры системы, количества применимых ГОСТов, типа данных и стадии проекта. Входная диагностика фиксированная — после неё точно известен нужный состав работ.
Экспресс-аудит, карта применимых ГОСТов, базовая проверка обезличивания и маркировки.
Полный правовой аудит, аудит набора данных, система менеджмента 42001, договорный пакет.
Полный аудит для крупной компании, документы для госзаказчика, поэтапное внедрение ГОСТ 42001.
Мониторинг правовых требований, обновление документов, сопровождение инцидентов и обучение команды.
Формально добровольные. На практике они становятся обязательными при проверке перед сделкой, в госзакупках и в суде. Если алгоритм причинил вред, несоответствие ГОСТ 24029 может трактоваться как грубая неосторожность разработчика по ст. 1079 ГК РФ.
Если набор данных был обезличен до Приказа РКН № 140 методом простой псевдонимизации — да, нужна переоценка. Новый стандарт требует доказательства математической необратимости (например, k-анонимность), которого псевдонимизация не даёт.
При отсутствии разграничения ответственности в правилах использования, риск ложится на владельца сервиса. Суды могут применять ст. 1079 ГК РФ или нормы о защите прав потребителей. Правильно составленная документация (соглашение об уровне обслуживания, пользовательское соглашение, паспорт модели) переносит эти риски.