Где искать информацию об использовании данных для обучения ИИ
1. Политика конфиденциальности (Privacy Policy). Это первый документ, который нужно запросить или найти на сайте сервиса. В политике конфиденциальности должны быть описаны цели обработки персональных данных. Обратите внимание на разделы, где упоминаются «аналитика», «улучшение продукта», «машинное обучение» или «обучение моделей». Если такие формулировки присутствуют — это повод задать уточняющие вопросы поставщику.
2. Условия использования (Terms of Service). В этом документе часто содержатся положения о правах сервиса на данные пользователей. Ищите пункты, касающиеся «анонимизации», «обезличивания» и «агрегированных данных». По нашему опыту, многие сервисы используют формулировку «мы можем использовать обезличенные данные для улучшения продукта», что на практике может означать обучение ИИ на ваших входных данных.
3. Дополнительное соглашение о обработке данных (DPA — Data Processing Agreement). Если сервис предлагает DPA, это хороший знак. В этом документе должны быть чётко прописаны: цели обработки, категории данных, меры безопасности и условия передачи данных третьим лицам. Рекомендуем запросить DPA до подписания основного договора — это стандартная практика для зрелых облачных сервисов.
4. Специальные положения об ИИ. Некоторые сервисы выносят информацию об использовании ИИ в отдельный раздел или документ. Например, на странице «AI & Data» или в разделе «Безопасность». Проверьте, есть ли на сайте miniwebsansar.com ссылка на такой раздел — мы регулярно обновляем информацию о популярных SaaS-платформах и их политике работы с данными.
Какие пункты договора и политики конфиденциальности проверять
При анализе документов SaaS-сервиса обратите внимание на следующие конкретные формулировки и пункты:
1. Цели обработки данных. В разделе «Цели обработки» или «Использование данных» должно быть чётко указано, для чего сервис собирает ваши данные. Допустимые формулировки: «для предоставления услуги», «для технической поддержки», «для исполнения договора». Недопустимые: «для обучения и улучшения алгоритмов», «для развития машинного обучения», «для создания новых продуктов на основе данных пользователей».
2. Права на данные. Проверьте, кто является владельцем данных. В договоре должно быть прописано, что вы сохраняете права на свои данные, а сервис выступает только оператором или обработчиком. Согласно 152-ФЗ «О персональных данных», оператор обязан обрабатывать данные только в указанных целях. Подробнее о том, как проверить соответствие сервиса требованиям 152-ФЗ, мы рассказывали в отдельном материале.
3. Условия передачи данных третьим лицам. Ищите пункты о «субподрядчиках», «партнёрах» или «ассоциированных компаниях». Если сервис передаёт данные третьим лицам, должно быть указано: кому, зачем и на каких условиях. Особое внимание — пунктам о «обезличивании» перед передачей: обезличенные данные всё ещё могут использоваться для обучения ИИ.
4. Условия расторжения и удаления данных. При расторжении договора сервис должен удалить ваши данные в течение определённого срока. Проверьте: какой срок предусмотрен (обычно 30–90 дней), как подтверждается удаление (акт об уничтожении данных), и остаются ли резервные копии.
5. Уведомления об изменениях. Сервис должен уведомлять вас об изменениях в политике обработки данных. Проверьте: за какой срок происходит уведомление (обычно 30 дней), и есть ли у вас право отказаться от изменений.
> По данным Роскомнадзора, в 2024 году количество обращений, связанных с неправомерной обработкой персональных данных в облачных сервисах, выросло на 38% по сравнению с 2023 годом.
> — Источник: ежегодный отчёт Роскомнадзора по защите персональных данных
Таблица проверки: на что смотреть в документах SaaS-сервиса
Мы составили таблицу, которая поможет систематизировать проверку ключевых документов SaaS-сервиса перед подписанием договора.
| Параметр | Безопасный вариант | Красный флаг |
|---|---|---|
| Цели обработки | «Для предоставления и поддержки услуги» | «Для обучения и улучшения алгоритмов» |
| Права на данные | «Клиент сохраняет права на данные» | «Сервис получает неисключительную лицензию» |
| Передача третьим лицам | «Не передаётся без согласия клиента» | «Мы можем передавать обезличенные данные партнёрам» |
| Срок удаления | «Удаление в течение 30 дней после расторжения» | «Срок удаления не определён» |
| Уведомления | «Уведомление за 30 дней до изменений» | «Изменения вступают в силу без уведомления» |
| Использование для ИИ | «Данные не используются для обучения ИИ» | «Мы используем данные для улучшения продукта» |
Риски: что происходит, если данные используются для ИИ без согласия
Если SaaS-сервис использует ваши данные для обучения ИИ без вашего ведома, последствия могут быть серьёзными:
1. Утечка конфиденциальной информации. ИИ-модели могут «воспроизвести» фрагменты обучающих данных. В 2023 году исследователи из MIT продемонстрировали, что крупные языковые модели способны воспроизводить до 15% обучающих данных в неизменном виде при определённых запросах. Если ваши коммерческие данные попали в обучающую выборку, конкуренты могут получить к ним доступ через правильно сформулированный запрос к модели.
2. Нарушение 152-ФЗ. Согласно статье 9 Федерального закона № 152-ФЗ, обработка персональных данных допускается только с согласия субъекта. Если сервис использует ваши данные для обучения ИИ без вашего согласия, это является прямым нарушением закона. Штрафы для юридических лиц составляют от 300 000 до 750 000 рублей за каждый факт нарушения.
3. Потеря конкурентного преимущества. Если данные вашей компании используются для обучения ИИ, который затем продаётся другим клиентам, вы фактически финансируете развитие конкурентных преимуществ для других компаний за свой счёт.
4. Сложности с доказательной базой. По результатам нашего теста, восстановить факт использования данных для обучения ИИ после подписания договора крайне сложно. Доказательная база ограничена, а сервис может ссылаться на «обезличивание» данных как на основание для законной обработки.
Вопросы к поставщику перед подписанием
1. Используются ли мои данные для обучения ИИ-моделей или улучшения алгоритмов?
2. Передаются ли мои данные третьим лицам? Если да — кому и на каких условиях?
3. Какой срок хранения данных после расторжения договора?
4. Как подтверждается факт удаления данных?
5. Есть ли у вас DPA? Могу ли я получить его до подписания договора?
6. Как вы уведомляете клиентов об изменениях в политике обработки данных?
7. Какие меры безопасности (шифрование, контроль доступа, аудит) применяются для защиты моих данных?
8. Могу ли я запросить аудит обработки своих данных и получить отчёт?
Могу ли я запретить SaaS-сервису использовать мои данные для обучения ИИ?
Да, вы можете потребовать включить в договор пункт о запрете использования данных для обучения ИИ. Рекомендуем зафиксировать это в DPA или в приложении к основному договору. Помните: устные заверения менеджеров не имеют юридической силы, только письменные условия в подписанном документе.
Что делать, если сервис уже использует мои данные для ИИ?
Обратитесь к юристу для оценки ситуации. Вы имеете право потребовать прекращения обработки данных и удаления информации. В случае нарушения 152-ФЗ вы можете подать жалобу в Роскомнадзор. Срок рассмотрения обращений составляет 30 дней с момента регистрации.
Как часто нужно проверять политику данных SaaS-сервиса?
Рекомендуем проверять политику не реже одного раза в 6 месяцев, а также после каждого обновления условий использования. Редакция miniwebsansar.com рекомендует подписаться на уведомления об изменениях в политике конфиденциальности, если сервис предоставляет такую возможность — это позволит своевременно реагировать на изменения в условиях обработки данных.