Главбух загрузил документы в нейросеть. Кто потом будет отвечать

Автор: Евгений Сивков, налоговый консультант

Пока одни компании радостно поручают ИИ письма, договоры и таблицы, другие уже подходят к опасной черте: в нейросети летят кадровые файлы, зарплатные данные, переписка с контрагентами и внутренняя аналитика.
И вот тут плохая новость: отдельного большого закона «об ИИ» в России пока нет, но это вообще не означает, что правил нет. Они уже складываются из Национальной стратегии развития ИИ, закона о персональных данных, закона о коммерческой тайне и новых решений правительства по управлению этой сферой.

Для директора и главбуха это история не про технологии как таковые. Это история про ответственность. Потому что вопрос сейчас звучит не «можно ли использовать ИИ», а «что именно вы туда грузите, кто это контролирует и кто потом будет объясняться, если данные утекут или всплывут коммерческие условия». И да, этот вопрос уже не из мира фантастики. Это обычная управленческая рутина, просто с новым интерфейсом.

Что уже есть в России

Базовый документ — Указ Президента РФ от 10.10.2019 № 490 о Национальной стратегии развития искусственного интеллекта до 2030 года. В 2024 году стратегию обновили. А в апреле 2026 года правительство прямо заявило, что регулирование ИИ должно быть направлено на развитие технологии, а не на ее удушение. В марте 2026 года правительство создало подкомиссию по развитию и внедрению технологий ИИ. То есть курс государства понятен: ИИ будут внедрять широко, но постепенно обвешивать правилами и зонами ответственности.

И вот здесь многие компании уже делают классическую ошибку. Они думают так: раз нет одного отдельного федерального закона «об искусственном интеллекте», значит, можно спокойно тестировать любые сервисы и потом уже разбираться. Нет. Разбираться придется сразу — просто не по одному закону, а по нескольким.

Где главные риски для главбуха и директора

Первый риск — персональные данные. Закон 152-ФЗ требует, чтобы обработка персональных данных велась на законной и справедливой основе, ограничивалась заранее определенными и законными целями, а объем данных соответствовал этим целям и не был избыточным. Если перевести с языка закона на офисный русский, получается просто: нельзя бездумно закидывать в ИИ все подряд только потому, что так быстрее.

Персональные данные - любая информация, по которой можно прямо или косвенно определить человека: ФИО, телефон, паспорт, ИНН, СНИЛС, зарплата, реквизиты, email. Если такие данные загружают в ИИ-сервис, это уже не просто «удобная автоматизация», а вопрос соблюдения закона.

И это уже напрямую касается бухгалтерии и управления. Зарплатные реестры, НДФЛ, больничные, кадровые анкеты, договоры с физлицами, сканы документов, банковские реквизиты, клиентские базы — все это не «просто файлы». Это персональные данные. А если случится неправомерная или случайная передача таких данных, Роскомнадзор ждет уведомление в течение 24 часов о самом инциденте и в течение 72 часов — о результатах внутреннего расследования. Тут уже не получится сделать вид, что «мы просто тестировали удобный сервис».

Второй риск — коммерческая тайна. Закон 98-ФЗ прямо исходит из того, что права на информацию как на коммерческую тайну реально работают тогда, когда в компании установлен режим коммерческой тайны. То есть если вы сами не определили перечень защищаемых сведений, не ограничили доступ, не ввели внутренние правила и не оформили режим, потом будет сложно убедительно доказывать, что информация была конфиденциальной. Закон здесь суров и без романтики.

Коммерческая тайна - это ценная для бизнеса информация, которую компания защищает от посторонних: цены, маржа, условия договоров, клиентская база, внутренняя аналитика. Если режим коммерческой тайны не оформлен, потом будет сложно доказать, что сведения действительно были защищены.

А теперь честно. Что чаще всего грузят в ИИ руководители, финансисты и сотрудники? Коммерческие предложения, цены, маржу, условия сделок, проекты договоров, переписку по спорным вопросам, управленческую отчетность, финансовые модели. То есть именно то, что компания потом очень не хочет увидеть вне своего контура. Поэтому риск здесь не теоретический. Он уже сидит в ежедневной практике.

Третий риск — внутренняя самодеятельность. Обычно проблема начинается не с директора, а с сотрудника, который хотел «сэкономить десять минут». Он загрузил файл, получил ответ, отправил его дальше, и никто даже не задумался, что там было внутри и где это теперь хранится. Вот почему вопрос использования ИИ быстро становится вопросом внутреннего контроля, а не только ИТ.

Обработка персональных данных - Это почти любое действие с данными: сбор, хранение, передача, изменение, удаление, обезличивание. Даже если сотрудник просто вставил в нейросеть таблицу с данными работников, это уже обработка.

Внутренний контроль - это правила внутри компании: кто может пользоваться ИИ, для каких задач, какие данные запрещено передавать и кто проверяет результат. Если таких правил нет, компания очень быстро начинает играть в опасную самодеятельность.

Что происходит за границей

Если смотреть на ЕС, США и Китай, картина становится еще понятнее.

Евросоюз пошел по самому системному пути. AI Act вступил в силу 1 августа 2024 года, а полностью будет применяться с 2 августа 2026 года, хотя часть норм уже начала действовать раньше. Отдельно Еврокомиссия разъясняет, что поставщики и пользователи ИИ-систем должны обеспечивать достаточный уровень AI literacy — то есть фактически обучать сотрудников и других лиц, которые работают с ИИ от имени организации.

AI literacy - проще говоря, грамотность сотрудников в работе с ИИ. То есть понимание, какие данные нельзя загружать, где ИИ может ошибаться и почему его ответы нельзя принимать на веру без проверки. Для бизнеса это уже вопрос не моды, а внутренней безопасности.

Для бизнеса это важный сигнал. Европа уже решила, что проблема не только в разработчике нейросети, но и в компании, которая ей пользуется. И если сотрудники не понимают, что именно они делают, это уже не просто их личная ошибка, а управленческий риск компании. Логика прозрачная: используешь ИИ — учи людей, контролируй процесс и готовься подтверждать, что не работаешь вслепую.

США идут менее централизованно, но смысл похожий. NIST разработал AI Risk Management Framework как добровольную рамку для управления рисками ИИ для людей, организаций и общества. То есть даже там, где нет одного большого федерального кодекса, бизнесу уже предлагают строить документацию, оценку рисков и внутренние процедуры.

Китай, как обычно, идет быстро и жестко. Там уже действуют временные меры по управлению генеративным ИИ, а также режимы регистрации и публикации сведений о сервисах, подпадающих под требования. Это показывает общий тренд: кто запускает ИИ-сервис или использует его публично и массово, тот все чаще попадает не в зону «эксперимента», а в зону регулирования.

К чему мы идем

Если убрать маркетинговый шум, вывод простой. В мире постепенно складывается одна и та же модель: ИИ не запрещают, но от компаний требуют все больше прозрачности, внутреннего контроля, управления данными, обучения людей и понятного распределения ответственности.

По траектории России видно, что у нас, скорее всего, будет не один толстый закон «про весь ИИ сразу», а постепенное наращивание правил по данным, безопасности, отраслевому применению и внутренним процедурам. Это не прямая цитата из закона, а вполне логичный вывод из того, как государство уже строит управление этой сферой.

Для главбуха и директора это означает одно: хаотичное использование ИИ внутри компании скоро станет такой же токсичной идеей, как хранить бухгалтерскую базу «у кого-то на флешке дома». Вроде быстро. Вроде удобно. А потом начинается очень дорогой квест.

Что полезно сделать уже сейчас

Во-первых, разделить данные. Отдельно — персональные данные. Отдельно — коммерческая тайна. Отдельно — то, что вообще нельзя выносить во внешние сервисы без специальных условий.

Во-вторых, принять внутренний порядок работы с ИИ. Не ради красивой папки, а чтобы было понятно: кто пользуется, чем пользуется, какие задачи разрешены, какие данные запрещены, кто проверяет результат.

В-третьих, не ждать, пока сотрудник случайно устроит мини-утечку. Обучение по работе с ИИ сейчас выглядит не как модная опция, а как нормальная мера самосохранения бизнеса. И мировая практика идет именно в эту сторону.

В-четвертых, проверить режим коммерческой тайны не для галочки. Если у вас в компании до сих пор формально «все конфиденциально», но по факту никто не знает, что именно защищено и как, это уже проблема не ИИ, а корпоративной дисциплины.

В-пятых, заранее продумать, кто и что делает при инциденте. Потому что когда начинается паника, сроки Роскомнадзора не останавливаются и не входят в положение.

Итог

Главная ошибка бизнеса сейчас — думать, что ИИ пока живет где-то отдельно от права. Уже нет. Право догоняет. И догоняет оно не абстрактными лозунгами, а через персональные данные, коммерческую тайну, внутренний контроль и требования к ответственности.

Поэтому самый практичный вопрос для директора и главбуха сегодня не «какая нейросеть лучше», а что именно мы ей отдаем и чем потом будем это объяснять. Вот это и есть реальная повестка по ИИ для бизнеса. Все остальное — просто красивый фон.

Хотите знать больше о налогах — читайте мои книги.
Если у вас уже идет или ожидается налоговая проверка — обращайтесь.

И да, не забудьте подписаться и поставить лайк — хуже от этого точно не будет, в отличие от загрузки кадровых файлов в нейросеть.