The modern use of artificial intelligence in various spheres of society raises urgent issues of legal regulation, especially in the context of personal data protection. AI technologies are actively used in medical diagnostics, financial and educational systems, in the field of electronic business and advertising. However, the use of these technologies comes with risks associated with leakage, unauthorized access, and manipulation of personal data. The article examines the current state of legal regulation of the use of personal data in the context of artificial intelligence, as well as analyzes judicial practice. The author draws attention to the problems that arise in the application of current legislation and puts forward proposals for its improvement.

Keywords: artificial intelligence, personal data, legal regulation, data protection, legislation, digitalization, protection of citizens' rights.

Развитие технологий искусственного интеллекта (далее — ИИ) на сегодняшний день и его внедрение практически во все сферы общественной жизни создает новые требования для правового регулирования использования персональных данных. Согласно исследованию ВЦИОМ и НЦРИИ, уровень использования технологий ИИ российскими организациями составлял 43 % в 2024 году [1], а по данным Forbes, 70 % российских компаний используют генеративный ИИ в работе (2025) [2], но не конкретно для анализа персональных данных (специализированное использование ИИ для анализа персональных данных составляет значительно меньший процент), например, по данным интернет ресурсам в проведенном исследовании при поддержке ассоциаций в 2024 году «Руссофт» и BPM-профессионалов, а также компании Artezio (ГК «Ланит») только 7,9 % российских компаний сегодня применяют искусственный интеллект (ИИ) для обработки персональных данных, несмотря на значительные преимущества этой технологии [3]. В условиях такого активного развития технологий возникает необходимость формирования адекватной нормативной базы, обеспечивающей защиту конституционных прав граждан. Так, подпункт «м» ст. 71 Конституции РФ закрепляет право граждан, которое находится в ведении Российской Федерации, а именно обеспечение безопасности личности, общества и государства при применении информационных технологий, обороте цифровых данных [4].

Теперь определим, что представляют собой персональные данные. Определение персональных данных содержится в п.1 ст. 3 Федерального закона № 152-ФЗ: персональные данные — это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) [5].

Также персональные данные — это информация, относящаяся к идентифицируемому физическому лицу, включая данные о расовой и национальной принадлежности, политических и религиозных взглядах, а также данные о здоровье, финансовой состоятельности и другие сведения [6].

А искусственный интеллект в соответствии с п. 2 ст. 2 Федерального закона «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации» от 24.04.2020 № 123-ФЗ: это комплекс технологических решений, позволяющий имитировать когнитивные функции человека (включая самообучение и поиск решений без заранее заданного алгоритма) и получать при выполнении конкретных задач результаты, сопоставимые, как минимум, с результатами интеллектуальной деятельности человека [7].

Таким образом, рассмотрев два понятия, придем к выводу, что использование персональных данных искусственным интеллектом — это применение алгоритмов ИИ для обработки и анализа личных данных, включающих сбор, хранение и использование информации.

Следует подчеркнуть, что в настоящее время существуют риски использования персональных данных искусственным интеллектом, из них отметим следующие:

— Первое — это несанкционированный сбор и обработка данных. То есть алгоритмы ИИ могут собирать информацию о поведении, привычках и интересах человека, что нарушает право на неприкосновенность частной жизни.

— Самой главной угрозой, по нашему мнению, является утечка данных. Злоумышленники могут получить доступ к персональным данным, например, через поддельные ИИ-сервисы или искажение данных на этапе обучения.

— А также дискриминация . Сервисы ИИ могут строить стереотипы на основе личных характеристик, что приводит к искажённым решениям, например, при выдаче кредита или приёме на работу.

Современное законодательство, состоящее из Общего регламента защиты данных (GDPR) в Европейском Союзе [8] и Федеральный закон РФ «О персональных данных», устанавливает четкие правила обработки таких данных.

Однако с развитием ИИ возникает вопрос о том, как применять традиционные нормы для регулирования новых технологий, которые могут автоматически собирать, анализировать и обрабатывать данные, а также принимать решения, основываясь на этих данных. Влияние искусственного интеллекта на использование персональных данных требует пересмотра и возможного усовершенствования существующих нормативных актов.

В Европейском Союзе действуют строгие правила защиты данных, регулируемые GDPR. В частности, ст. 22 этого регламента устанавливает запрет на принятие решений, основанных исключительно на автоматической обработке данных, включая профилирование, если это приводит к юридическим последствиям для субъекта данных. Однако многие технологии ИИ, в том числе алгоритмы машинного обучения, используют именно такой подход к обработке данных, что вызывает вопросы о правомерности применения этих норм в условиях цифровизации.

В России правовое регулирование использования персональных данных в рамках искусственного интеллекта, как уже было выше упомянуто об этом законе, регулируется ФЗ № 152-ФЗ «О персональных данных». Этот закон устанавливает основные принципы и требования к обработке данных, однако в условиях стремительного технологического прогресса требуется принятие дополнительных норм, направленных на защиту данных в контексте искусственного интеллекта. Кроме того, базовые особенности правового режима применения ИИ отражены в Национальной стратегии развития ИИ на период до 2030 года и Концепции развития регулирования отношений в сфере технологий ИИ и робототехники до 2024 года, утвержденный Указом Президента РФ от 10.10.2019 № 490 [9]. Вместе с тем, действует Приказ Росфинмониторинга от 18.04.2023 № 84 [10], которым установлено, что согласия для обработки персональных данных, полученных в результате обезличивания персональных данных для ИИ, не требуется. Однако такой подход имеет проблему: обезличивание информации не даёт гарантию того, что данные невозможно восстановить.

Таким образом, перед законодателем стоит задача совершенствования нормативно-правового регулирования механизма создания и использования ИИ, в том числе в части определения условий применения его систем, при этом необходимо обеспечить защиту от неправомерного ограничения прав и свобод человека и гражданина. Итак, на данный момент вопросы правового регулирования ИИ и защиты персональных данных в России не регулируются отдельными нормами, что требуется совершенствовать.

Стоит отметить, что в последние годы судебная практика показывает нам активное рассмотрение дел, связанных с нарушением прав граждан на защиту персональных данных. В частности, судебные инстанции начали рассматривать дела о незаконном использовании данных, собранных с помощью технологий ИИ. Примеры судебных дел, рассматриваемых в России, касаются случаев утечки данных, использования несанкционированных алгоритмов для анализа личной информации и нарушения права граждан на информированное согласие.

В качестве примера приведем интересный случай. Постановление мирового судьи от 8 июля 2022 года по делу № 5–564/2022 [11] о привлечении к ответственности медицинской лаборатории «Гемотест». Утечка персональных данных клиентов, произошедшая 3 мая 2022 года. В состав сведений вошли ФИО, дата рождения, пол, адрес, СНИЛС, сведения, указанные в документе, удостоверяющем личность, сведения об оказанных медицинских услугах и прочее. Защита компании вину не признала, указав, что отсутствует умысел по предоставлению персональных данных клиентов злоумышленнику и распространению данных неограниченному числу лиц. Причиной утечки названа хакерская атака. Однако суд признал «Гемотест» виновным, указав, что «оператор не обеспечил конфиденциальность такой информации и допустил обработку (передачу) вверенной ему информации в случаях, не предусмотренных законодательством РФ в области персональных данных». Компания была оштрафована на 60 тыс. рублей по ч. 1 ст. 13.11 КоАП РФ. Данный пример нам показывает утечку персональных данных с использованием искусственного интеллекта.

Также рассматриваемый нами вопрос не остался незамеченным и в научной литературе. Существует широкий спектр мнений по вопросам правового регулирования использования персональных данных в контексте ИИ. Большинство ученых сходятся во мнении, что существующие нормативно-правовые акты нуждаются в доработке для того, чтобы учитывать специфику новых технологий. Предлагаются различные подходы к регулированию, включая создание специальных законов и введение новых норм в существующие законодательные акты. Например, Б. А. Окишев отмечает «о необходимости доработки нормативно-правовых актов для регулирования использования персональных данных в использовании искусственного интеллекта , автор подчеркивает, что важно найти баланс между требованиями по защите персональных данных и необходимостью их использования для обучения систем ИИ . Ограничения сбора и анализа данных могут привести к снижению скорости развития технологий ИИ» [12].

В свою очередь Ю. А. Агафонова пишет, что «необходимо предусмотреть чёткие законодательные механизмы сбора информации при масштабном внедрении ИИ, которые будут направлены на защиту права работников на частную жизнь и при этом помогут компаниям эффективно использовать свои ресурсы» [13]. С данной точкой зрения мы полностью согласны.

Также важно выделить изменения в законодательстве РФ, вступившие в силу в 2025 году, в частности:

1. Усиление административной ответственности в соответствии со ст. 13.11 КоАП РФ: с 30 мая 2025 года действуют новые штрафы за нарушения в области персональных данных — до 18 млн рублей для юридических лиц при повторных нарушениях [14].
2. Новые требования по уведомлениям: введена обязательность уведомления Роскомнадзора о начале обработки персональных данных в соответствии с Приказом Роскомнадзора от 28.02.2022 № 180 [15].
3. Развитие регулирования ИИ: Минцифры разработало проект концепции развития регулирования ИИ до 2030 года [16].
4. Подготовка уголовной ответственности: готовится законопроект об уголовной ответственности за преступления с использованием ИИ, предусмотренной ст. 63 УК РФ [17].

Делая вывод по данным нововведениям, подчеркнем, что перед Россией также остается нерешенным вопрос о совершенствовании законодательства РФ в использовании персональных данных ИИ.

Так, исследовав весь материал по регулированию использования персональных данных в технологиях ИИ, выявив недостатки и некоторые проблемы, мы представим предложения по совершенствованию законодательства.

Предлагается разработать отдельный Федеральный закон, регулирующий использование искусственного интеллекта в сфере обработки персональных данных. Этот закон должен содержать нормы, касающиеся создания и использования алгоритмов, а также принципы защиты прав субъектов данных. Однако разработка и введение нового ФЗ, процесс длительный и трудоемкий и мы предлагаем для начала внести изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» с учетом особенностей обработки данных с использованием ИИ, а также установить требования к алгоритмам машинного обучения, в том числе принципы обеспечения прозрачности их работы.

Необходимо также разработать и внедрить нормы, которые будут обеспечивать защиту данных на всех этапах использования ИИ, включая их сбор, обработку и хранение. Важным аспектом является внедрение механизмов контроля и аудита для повышения прозрачности работы ИИ-систем.

Подводя итог, отметим, что правовое регулирование использования персональных данных в системе искусственного интеллекта является одной из наиболее актуальных проблем в области цифрового права.

Существующие законодательные акты требуют усовершенствования, чтобы эффективно защищать права граждан в условиях стремительного развития технологий. Создание новых норм и законов, направленных на регулирование ИИ, а также усиление контроля за обработкой персональных данных, станет важным шагом на пути к обеспечению прав и свобод граждан в цифровую эпоху.

Литература:

1. ВЦИОМ. Новости: Искусственный интеллект покоряет бизнес: внедрение ИИ в компаниях выросло в два раза. [Электронный ресурс]. URL: https://wciom.ru/announcements-item/iskusstvennyi-intellekt-pokorjaet-biznes-vnedrenie-ii-v-kompanijakh-vyroslo-v-dva-raza (25.09.2025).
2. Генеративный искусственный интеллект используют 70 % российских компаний | Forbes.ru [Электронный ресурс]. URL: https://www.forbes.ru/tekhnologii/535047-generativnyj-iskusstvennyj-intellekt-ispol-zuut-70-rossijskih-kompanij (25.09.2025).
3. Исследование: лишь 7,9 % российских компаний используют ИИ для обработки данных CNews [Электронный ресурс]. URL: https://corp.cnews.ru/news/line/2024–06–06_issledovanie_lish_79_rossijskih (25.09.2025).
4. Конституция Российской Федерации: принята всенародным голосованием 12 декабря 1993 г. с изменениями, одобренными в ходе общероссийского голосования 1 июля 2020 г. (с учетом поправок от 30.12.2008 № 6-ФКЗ, от 30.12.2008 № 7-ФКЗ, от 05.02.2014 № 2-ФКЗ, от 21.07.2014 № 11-ФКЗ; от 14.03.2020 № 1-ФКЗ) // Российская газета. — 2020. — 4 июля.
5. О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 08.08.2024) // Собрание законодательства Российской Федерации. — 2006. — № 31(1ч.). — ст.3451.
6. Защита персональных данных [Электронный ресурс]. URL: https://vlu-tgs.obr.sakha.gov.ru/zaschita-personalnyh-dannyh (03.06.2025).
7. О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных»: Федеральный закон от 24.04.2020 № 123-ФЗ // Собрание законодательства Российской Федерации. — 2020. — № 17. — ст.2701.
8. О защите физических лиц относительно обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/ЕС: Общий Регламент по защите персональных данных [Электронный ресурс]. URL: https://rppa.pro/_media/world/gdpr.pdf (03.06.2025).
9. О развитии искусственного интеллекта в Российской Федерации: Указ Президента РФ от 10.10.2019 № 490 (ред. от 15.02.2024) (вместе с «Национальной стратегией развития искусственного интеллекта на период до 2030 года») // Собрание законодательства Российской Федерации. — 2019. — № 41. — ст.5700.
10. Об организации работы с персональными данными в Федеральной службе по финансовому мониторингу и ее территориальных органах: Приказ Росфинмониторинга от 18.04.2023 № 84 // Официальный интернет-портал правовой информации. Режим доступа: http://pravo.gov.ru
11. Постановление мирового судьи от 8 июля 2022 года по делу № 5–564/2022 [Электронный ресурс]. URL: mos-sud.ru (03.06.2025).
12. Окишев Б. А. Особенности правовой охраны персональных данных, обрабатываемых с использованием технологий искусственного интеллекта // Проблемы экономики и юридической практики. 2024. Т. 20, № 2. С. 70–75. [Электронный ресурс]. URL: https://cyberleninka.ru/article/n/osobennosti-pravovoy-ohrany-personalnyh-dannyh-obrabatyvaemyh-s-ispolzovaniem-tehnologiy-iskusstvennogo-intellekta (25.09.25)
13. Агафонова Ю. А. Искусственный интеллект VS Защита персональных данных [Электронный ресурс]. URL: https://hselegalhackers.tilda.ws/artificial_intelligence (03.06.2025).
14. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 31.07.2025) (с изм. и доп., вступ. в силу с 06.09.2025) // Собрание законодательства РФ — 07.01.2002 — № 1 (ч. 1) — ст. 1.
15. Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных: Приказ Роскомнадзора от 28.10.2022 № 180 (Зарегистрировано в Минюсте России 15.12.2022 № 71532) // Официальный интернет-портал правовой информации http://pravo.gov.ru.(25.09.25).
16. Концепция регулирования искусственного интеллекта — АКИТ [Электронный ресурс]. URL: https://akit.ru/news/mintsifry-podgotovilo-kontseptsiyu-regulirovaniya-iskusstvennogo-intellekta (дата обращения: 25.09.2025).
17. Законопроект: Система обеспечения законодательной деятельности [Электронный ресурс]. URL: https://akit.ru/news/mintsifry-podgotovilo-kontseptsiyu-regulirovaniya-iskusstvennogo-intellekta (25.09.2025).