Тендер.Щит

Блог · Тендер.Щит

Можно ли загружать тендерную документацию в ИИ-сервисы: что говорит закон

16 июля 2026 г. · Кузнецов Александр Вениаминович

Вопрос звучит просто: «Можно ли загрузить извещение, проект контракта и приложения в сервис с ИИ, чтобы быстрее понять риски?» Юридически он распадается на несколько слоёв: персональные данные, коммерческая тайна, условия договора с заказчиком, трансграничная передача и внутренняя политика компании. Ниже — рамка для руководителя, а не универсальная «зелёная кнопка».

Это не юридическая консультация. Конкретный вывод по вашему пакету должен делать юрист/DPO с учётом состава документов и договора. Цель текста — не дать успокаивающий миф «ИИ вне закона» и не посеять панику «любая загрузка запрещена».

Что обычно лежит в тендерном пакете

Даже «техническое» извещение редко бывает стерильным. Внутри могут оказаться:

ИИ-сервис в этот момент становится оператором обработки (или сопроцессором — в зависимости от модели отношений и формулировок договора). Для директора важно не название роли в презентации вендора, а факт: файлы покинули ваш контур.

152-ФЗ: не запрет на ИИ, а требования к обработке

152-ФЗ не говорит: «нейросети запрещены». Он говорит иное: персональные данные обрабатывают на законном основании, с понятными целями, с мерами защиты, с учётом прав субъекта и — в чувствительных сценариях — с особыми правилами, включая уведомления и ограничения на передачу.

Практические следствия для загрузки тендерной документации:

  1. Есть ли в пакете ПДн? Если да, «просто отправить в облако» без оценки — управленческий риск, даже если команда считает файлы «просто PDF».
  2. Какое основание обработки? Договор с оператором, поручение на обработку, согласие — не абстракции. Если вендор не может внятно описать модель, это красный флаг.
  3. Где физически и юридически обрабатываются данные? Для многих российских компаний критичен вопрос трансграничной передачи и субординации иностранному праву.
  4. Срок хранения и удаление. «Мы можем хранить для улучшения модели» без явного opt-in и понятных границ — отдельный риск.
  5. Обезличивание / минимизация. Чем меньше лишнего уходит наружу, тем проще защитить решение перед комплаенс и заказчиком.

Закон здесь работает как фильтр зрелости сервиса: кто честно отвечает на эти вопросы, тот вообще допускает предметный разговор. Кто отвечает лозунгами — обычно просит вас принять риск молча.

Договорная тайна и отношения с заказчиком

Даже если ПДн в пакете «мало», остаются обязательства по NDA, условиям закупки и внутренним регламентам. Заказчик мог прямо запретить передачу документации третьим лицам без согласия. Иногда запрет сформулирован широко: «любые материалы закупки».

Вопрос директора: имеем ли мы право привлечь внешнего помощника для анализа, и на каких условиях. Если права нет — скорость разбора не оправдывает нарушение. Если право есть — оно должно быть отражено в вашем договоре с сервисом (конфиденциальность, цели, субпроцессоры, audit trail).

Отдельно проверьте внутренний регламент: кто в компании вообще уполномочен загружать такие пакеты во внешние системы. Стихийная практика «все кидают в личные аккаунты нейросетей» — типичная дыра, которую видно только после инцидента.

Что спросить у ИИ-сервиса до первой загрузки

Короткий лист для руководителя / ИБ / юриста:

  1. Где размещена инфраструктура обработки и резервного копирования?
  2. Используются ли загруженные документы для обучения общих моделей?
  3. Есть ли режим, в котором контент клиента изолирован и не смешивается с чужими данными?
  4. Поддерживается ли удаление пакета по запросу, и что остаётся в логах?
  5. Какие субпроцессоры подключены (OCR, object storage, LLM API) и в каких юрисдикциях они работают?
  6. Есть ли обезличивание / редактирование ПДн до передачи в модель?
  7. Как оформлены поручение на обработку и ответственность сторон?

Если ответы устные и не закреплены договором — для тендера с чувствительным составом этого недостаточно.

Когда загрузка обычно выглядит разумной

Сценарий ближе к допустимому, когда одновременно верно несколько условий:

Сценарий ближе к недопустимому: личный аккаунт публичной модели, неизвестный retention, обучение на ваших файлах по умолчанию, отсутствие договора, запрет заказчика на передачу третьим лицам.

Как это связано с углом Тендер.Щит

Продуктовая позиция здесь простая: ускорять разбор документации можно и нужно, но доверие к данным — часть вердикта, а не «настройка где-то сбоку». Руководителю важно понимать не только «какие риски в контракте», но и «какой риск мы приняли, чтобы эти риски увидеть».

Поэтому в зрелой практике рядом с анализом содержания пакета идут вопросы контура: минимизация, прозрачность обработки, возможность объяснить заказчику и комплаенс, куда уходили файлы. Инструмент, который экономит часы чтения, должен экономить и тревогу по поводу утечки — иначе выигрыш по скорости съедается новым классом ответственности.

Практический вывод для директора

  1. Не задавайте вопрос «можно ли в принципе». Задавайте: можно ли этот пакет, в этот сервис, на этих условиях.
  2. Требуйте ясности по ПДн, обучению моделей, юрисдикции и удалению.
  3. Сверьте передачу с договором заказчика и внутренним регламентом.
  4. Фиксируйте решение: кто разрешил загрузку и на каком основании.

ИИ в закупках — это не магия и не запретная зона. Это обычная передача чувствительных материалов третьей стороне. Относитесь к ней так же серьёзно, как к передаче пакета внешнему юристу или аудитору — только быстрее и с более жёсткими вопросами к автоматической обработке.