редакционный разбор

Политика использования ИИ: правила, которые можно исполнить

Хорошая политика ИИ не похожа на запретительную памятку. Она отвечает на четыре вопроса: какие данные можно использовать, в каких задачах, кто несёт ответственность и какой след остаётся после работы с моделью.

Щит с пунктами политики безопасного использования ИИ

Почему обычный регламент не работает

Сотрудник не читает длинный документ перед каждым промптом. Поэтому политика должна превращаться в исполняемые правила: система сама распознаёт риск, показывает понятное объяснение и предлагает безопасный вариант действия.

Формулировка «нельзя передавать конфиденциальные данные» слишком общая. Для платформы нужны признаки: тип документа, поле, роль пользователя, цель запроса, модель и допустимый результат.

Три зоны данных

разрешённыеусловныезапрещённые

Разрешённые данные можно отправлять в ИИ без дополнительного согласования: публичные материалы, обезличенные инструкции, открытые описания продукта. Условные данные требуют маскирования или проверки владельцем процесса. Запрещённые данные блокируются: пароли, токены, закрытые ключи, неанонимизированные персональные данные, коммерческие условия без права передачи.

Матрица ролей

Сотрудник

Понимает подсказку системы и выбирает безопасный сценарий вместо обхода запрета.

Владелец данных

Определяет, какие поля можно маскировать, а какие нельзя использовать даже после замены.

ИБ

Настраивает признаки секретов, правила блокировки и требования к журналу.

Юристы

Формулируют ограничения по договорам, персональным данным и внешним сервисам.

Мини-чек-лист политики

  • Опишите не только запреты, но и разрешённые сценарии: пересказ, классификация, черновик письма, анализ кода.
  • Разделите данные по уровню риска, а не по названию отдела.
  • Задайте правила для внешних и внутренних моделей отдельно.
  • Укажите, кто видит журнал и как долго он хранится.
  • Добавьте безопасные альтернативы: маскирование, локальная модель, согласование, ручной обзор.

Как SecureAI связывает документ и интерфейс

Политика становится частью пользовательского пути. Когда сотрудник вставляет текст договора, платформа не просто блокирует действие. Она показывает: «найдены стороны договора и сумма; можно отправить обезличенную версию или запросить согласование». Так регламент превращается в рабочий маршрут.

Следующий шаг — провести инвентаризацию задач и перенести правила в контур платформы. Для этого полезен практический гайд внедрения и описание слоёв SecureAI.