Чьи данные в переписке с ИИ: что говорят соглашения
Чьи данные в переписке с ИИ-ассистентом: права на текст по соглашениям у Вас, копия у провайдера, ответственность за данные клиентов на Вас по 152-ФЗ.
Чьи данные в переписке с ИИ-ассистентом? По соглашению права на текст остаются за Вами: так формулируют документы OpenAI и других крупных провайдеров. Но у владения есть второй слой, и он важнее. Сама переписка хранится на серверах провайдера, по его правилам и с его сроками: он решает, как долго живёт копия, кто её видит и что происходит после удаления. А если в чат попадают сведения о Ваших клиентах, появляется третий слой: по закону о персональных данных за их обработку отвечает не поставщик ИИ, а Вы. Поэтому миф «данные в нейросети ничьи» не выдерживает чтения документов: у каждого слоя есть хозяин, просто хозяева разные. В этой статье разбираем все три слоя по реальным пользовательским соглашениям: что принадлежит Вам на бумаге, что контролирует провайдер на практике, за что Вы отвечаете по закону и как за десять минут проверить расклад для сервиса, которым Вы пользуетесь.
Откуда взялся миф «данные ничьи»
Логика мифа звучит убедительно. Текст ушёл в нейросеть, смешался с миллиардами других текстов, и спрашивать «чей он» так же странно, как спрашивать, чья вода в реке. Раз данные растворились, значит, они ничьи, а раз ничьи, то и думать не о чем.
В документах провайдеров эта картина не подтверждается. Переписка не растворяется: она записывается в базу, у записи есть срок хранения, круг доступа и назначение. Обучение моделей тоже не растворение: в потребительских тарифах ChatGPT диалоги по умолчанию могут использоваться для улучшения моделей, и это отдельный пункт политики с отдельным выключателем. Что именно провайдеры делают с диалогами дальше, мы разобрали в обзоре темы владения данными. Здесь важно одно: раз у переписки есть база, сроки и правила доступа, у неё есть и хозяева. Вопрос лишь в том, кто каким слоем владеет.
Что написано в соглашениях: права на контент Ваши
Начнём с бумаги. Пользовательские соглашения крупных провайдеров, включая OpenAI, закрепляют права на контент за пользователем: то, что Вы вводите, и то, что модель отвечает, по документам принадлежит Вам. Для бизнес-клиентов OpenAI выделяет отдельную страницу Enterprise privacy: клиенты владеют своими данными и контролируют их, а данные ChatGPT Team, Enterprise и API-платформы по умолчанию для обучения моделей не используются.
Звучит как полная победа пользователя. Теперь прочитаем те же документы вторым взглядом. Чтобы сервис работал, Вы разрешаете провайдеру хранить и обрабатывать контент: без этого чат не смог бы ни ответить, ни показать вчерашний разговор. Провайдер сам задаёт сроки хранения, порядок модерации и условия удаления, и сам же меняет эти правила: политики обновляются, а согласие с соглашением означает согласие и с его будущими версиями. Заметьте и границу внутри одной компании: у OpenAI потребительский тариф и бизнес-тариф живут по разным правилам обучения, и проходит эта граница не по Вашему желанию, а по строчке в счёте.
Получается формула, которую стоит запомнить: права на текст у Вас, правила жизни текста у провайдера.
Три слоя владения: бумага, копия, ответственность
Слово «принадлежит» склеивает три разных вопроса. Разложим их по одному.
Слой первый, бумага. Кому принадлежат права на контент? Вам: так написано в соглашениях, и это не пустая формальность. Провайдер не претендует на Ваши тексты как на свои.
Слой второй, копия. У кого физически лежит база с перепиской? У провайдера. Он определяет, сколько хранится копия, кто из его сотрудников имеет к ней доступ и что остаётся в системах после удаления аккаунта. Владение правами не даёт контроля над копией: Вы не можете зайти на сервер провайдера и проверить, что там осталось.
Слой третий, ответственность. Если в переписке появляются сведения о третьих лицах, о Ваших клиентах, учениках, пациентах, то ответственность за их обработку закон возлагает на Вас. Об этом следующий раздел.
Миф «данные ничьи» рождается из привычки смотреть только на первый слой. Полный расклад выглядит так: бумага Ваша, копия у провайдера, ответственность на Вас.
Что говорит закон: не «чьи», а «кто отвечает»
Сразу зафиксируем жанр: здесь пересказ норм, а не юридическое заключение.
Российское право вообще не отвечает на вопрос «чьи данные» в привычном смысле собственности. 152-ФЗ регулирует не владение информацией как вещью, а порядок её обработки. Ключевая фигура закона называется оператором: это тот, кто определяет цели и состав обработки персональных данных. Внесли в переписку с ИИ имя клиента и обстоятельства его дела, и оператором этих данных остаётесь Вы, а сервис становится звеном обработки, за выбор которого отвечаете тоже Вы.
Международные рамки смотрят в ту же сторону. NIST, американский институт стандартов и технологий, в документе AI Risk Management Framework описывает приватность как риск, которым управляют на всём жизненном цикле ИИ-системы, а не одной галочкой при регистрации. Перевод на практический язык: вопрос «кому принадлежат данные» задаётся не один раз при выборе сервиса, а каждый раз, когда меняется политика провайдера, тариф или состав того, что Вы доверяете чату.
Как проверить расклад за десять минут
Соглашение сервиса читается быстрее, чем кажется, если искать в нём ответы на три вопроса.
Первый: какие права я передаю. Ищите раздел про контент или лицензию. Норма выглядит так: права остаются за Вами, провайдер получает разрешение на обработку ради работы сервиса. Насторожить должна лицензия шире этой цели, например право использовать Ваш контент в собственных продуктах без уточнения границ.
Второй: что происходит с копией. Ищите сроки хранения, судьбу данных после удаления аккаунта, участие живых рецензентов в разметке диалогов. Формулировка «удаляются, за исключением случаев, предусмотренных законом» это обычная практика. Отсутствие каких-либо сроков вообще: плохой знак.
Третий: что я могу забрать. Есть ли экспорт, в каком формате, входит ли в него память ассистента и настройки или только текст переписки.
У добросовестного сервиса ответы на все три вопроса написаны в открытых документах. Если ответа нет, это тоже ответ.
Владение, которое видно без чтения соглашений
Есть способ упростить эту юриспруденцию: выбрать схему, в которой контроль над копией совпадает с правами на бумаге. Так устроена Хермес от intakto: её память, документы и переписка лежат в базе на сервере клиента в РФ. Сервер принадлежит клиенту по договору, ключи доступа лежат в личном кабинете, и Вы в любой момент видите, что на нём хранится. Решите уйти, заберёте всё целиком, вместе с сервером: intakto копий себе не оставляет. Как это устроено изнутри, от слоёв памяти до кабинета с ключами, описано на странице продукта intakto.
Разница с привычными чатами проходит ровно по линии этой статьи. Там права на текст у Вас, а копия и правила у провайдера. Здесь оба слоя на Вашей стороне, и вопрос «кому принадлежат данные» перестаёт требовать юриста: достаточно посмотреть, где стоит сервер.
Третий слой, ответственность оператора, не исчезает и в этой схеме: состав Ваших данных и обязанности в конкретной ситуации оценивает юрист. Но отвечать за данные, которые лежат на Вашем собственном сервере, заметно проще, чем за данные, которые живут по чужим правилам.
Если соглашение говорит, что контент принадлежит мне, о чём ещё думать?
О двух вещах. Копия переписки хранится на серверах провайдера: он задаёт сроки хранения, круг доступа и правила удаления, и владение правами на текст на это не влияет. И об ответственности: если в чате есть персональные данные Ваших клиентов, по 152-ФЗ за их обработку отвечаете Вы как оператор, а не поставщик ИИ. Права на бумаге это только первый из трёх слоёв владения.
Правда ли, что данные в нейросети растворяются и становятся ничьими?
Нет. В документах провайдеров переписка описана как обычная запись в базе: у неё есть срок хранения, круг доступа и назначение, включая возможное использование для улучшения моделей в потребительских тарифах. Раз у записи есть правила и распорядители, она не ничья. Права на контент по соглашениям остаются за пользователем, контроль над копией у провайдера, ответственность за данные третьих лиц на том, кто их внёс.
Кто отвечает за данные клиентов, которые я внёс в переписку с ИИ?
По 152-ФЗ ответственность несёт оператор: тот, кто определяет цели и состав обработки персональных данных. Если Вы вносите в чат сведения о своих клиентах, оператор это Вы, даже когда работаете в одиночку. Поставщик ИИ становится звеном обработки, за выбор которого тоже отвечаете Вы. Это пересказ нормы, а не юридическое заключение: свою ситуацию стоит разобрать с юристом до начала работы.
источники (2)
- Enterprise privacy at OpenAI · OpenAI · 2025
- AI Risk Management Framework · NIST · 2023