Вопрос звучит просто: «Можно ли загрузить извещение, проект контракта и приложения в сервис с ИИ, чтобы быстрее понять риски?» Юридически он распадается на несколько слоёв: персональные данные, коммерческая тайна, условия договора с заказчиком, трансграничная передача и внутренняя политика компании. Ниже — рамка для руководителя, а не универсальная «зелёная кнопка».
Это не юридическая консультация. Конкретный вывод по вашему пакету должен делать юрист/DPO с учётом состава документов и договора. Цель текста — не дать успокаивающий миф «ИИ вне закона» и не посеять панику «любая загрузка запрещена».
Что обычно лежит в тендерном пакете
Даже «техническое» извещение редко бывает стерильным. Внутри могут оказаться:
- ФИО, должности, телефоны и email контактных лиц;
- данные представителей подрядчиков и субподрядчиков;
- коммерческие условия, себестоимость, уникальные технические решения;
- сведения, которые заказчик прямо или косвенно относит к конфиденциальным;
- сканы с печатями, подписями, паспортными вставками в приложениях.
ИИ-сервис в этот момент становится оператором обработки (или сопроцессором — в зависимости от модели отношений и формулировок договора). Для директора важно не название роли в презентации вендора, а факт: файлы покинули ваш контур.
152-ФЗ: не запрет на ИИ, а требования к обработке
152-ФЗ не говорит: «нейросети запрещены». Он говорит иное: персональные данные обрабатывают на законном основании, с понятными целями, с мерами защиты, с учётом прав субъекта и — в чувствительных сценариях — с особыми правилами, включая уведомления и ограничения на передачу.
Практические следствия для загрузки тендерной документации:
- Есть ли в пакете ПДн? Если да, «просто отправить в облако» без оценки — управленческий риск, даже если команда считает файлы «просто PDF».
- Какое основание обработки? Договор с оператором, поручение на обработку, согласие — не абстракции. Если вендор не может внятно описать модель, это красный флаг.
- Где физически и юридически обрабатываются данные? Для многих российских компаний критичен вопрос трансграничной передачи и субординации иностранному праву.
- Срок хранения и удаление. «Мы можем хранить для улучшения модели» без явного opt-in и понятных границ — отдельный риск.
- Обезличивание / минимизация. Чем меньше лишнего уходит наружу, тем проще защитить решение перед комплаенс и заказчиком.
Закон здесь работает как фильтр зрелости сервиса: кто честно отвечает на эти вопросы, тот вообще допускает предметный разговор. Кто отвечает лозунгами — обычно просит вас принять риск молча.
Договорная тайна и отношения с заказчиком
Даже если ПДн в пакете «мало», остаются обязательства по NDA, условиям закупки и внутренним регламентам. Заказчик мог прямо запретить передачу документации третьим лицам без согласия. Иногда запрет сформулирован широко: «любые материалы закупки».
Вопрос директора: имеем ли мы право привлечь внешнего помощника для анализа, и на каких условиях. Если права нет — скорость разбора не оправдывает нарушение. Если право есть — оно должно быть отражено в вашем договоре с сервисом (конфиденциальность, цели, субпроцессоры, audit trail).
Отдельно проверьте внутренний регламент: кто в компании вообще уполномочен загружать такие пакеты во внешние системы. Стихийная практика «все кидают в личные аккаунты нейросетей» — типичная дыра, которую видно только после инцидента.
Что спросить у ИИ-сервиса до первой загрузки
Короткий лист для руководителя / ИБ / юриста:
- Где размещена инфраструктура обработки и резервного копирования?
- Используются ли загруженные документы для обучения общих моделей?
- Есть ли режим, в котором контент клиента изолирован и не смешивается с чужими данными?
- Поддерживается ли удаление пакета по запросу, и что остаётся в логах?
- Какие субпроцессоры подключены (OCR, object storage, LLM API) и в каких юрисдикциях они работают?
- Есть ли обезличивание / редактирование ПДн до передачи в модель?
- Как оформлены поручение на обработку и ответственность сторон?
Если ответы устные и не закреплены договором — для тендера с чувствительным составом этого недостаточно.
Когда загрузка обычно выглядит разумной
Сценарий ближе к допустимому, когда одновременно верно несколько условий:
- состав пакета понятен, лишнее отсечено;
- сервис даёт прозрачный контур (юрисдикция, хранение, обучение модели);
- договор закрывает конфиденциальность и обработку ПДн;
- внутри компании есть роль, которая отвечает за решение о передаче;
- цель обработки узкая: анализ рисков участия, а не «скинуть всё подряд в чат».
Сценарий ближе к недопустимому: личный аккаунт публичной модели, неизвестный retention, обучение на ваших файлах по умолчанию, отсутствие договора, запрет заказчика на передачу третьим лицам.
Как это связано с углом Тендер.Щит
Продуктовая позиция здесь простая: ускорять разбор документации можно и нужно, но доверие к данным — часть вердикта, а не «настройка где-то сбоку». Руководителю важно понимать не только «какие риски в контракте», но и «какой риск мы приняли, чтобы эти риски увидеть».
Поэтому в зрелой практике рядом с анализом содержания пакета идут вопросы контура: минимизация, прозрачность обработки, возможность объяснить заказчику и комплаенс, куда уходили файлы. Инструмент, который экономит часы чтения, должен экономить и тревогу по поводу утечки — иначе выигрыш по скорости съедается новым классом ответственности.
Практический вывод для директора
- Не задавайте вопрос «можно ли в принципе». Задавайте: можно ли этот пакет, в этот сервис, на этих условиях.
- Требуйте ясности по ПДн, обучению моделей, юрисдикции и удалению.
- Сверьте передачу с договором заказчика и внутренним регламентом.
- Фиксируйте решение: кто разрешил загрузку и на каком основании.
ИИ в закупках — это не магия и не запретная зона. Это обычная передача чувствительных материалов третьей стороне. Относитесь к ней так же серьёзно, как к передаче пакета внешнему юристу или аудитору — только быстрее и с более жёсткими вопросами к автоматической обработке.