Нейросети в B2B-продажах: Как технологии помогают понимать клиента - Дмитрий Иванович Норка

• финансовые риски – потенциальные убытки в результате утечки коммерчески значимой информации, включая данные о ценообразовании, маржинальности, технологических особенностях продуктов или стратегических планах развития;

• операционные риски – возможные нарушения в бизнес-процессах компании в случае компрометации конфиденциальных данных, используемых для принятия управленческих решений или обеспечения операционной деятельности.

Пример негативных последствий. Инжиниринговая компания из Уральского региона использовала публичный чат-бот для анализа запросов клиентов и создания персонализированных предложений. Сотрудники регулярно копировали полные диалоги, включая технические спецификации, проектную информацию и контактные данные представителей заказчиков. После утечки данных компания не только столкнулась с претензиями клиентов, но и получила предписание от регулирующих органов, что привело к приостановке деятельности до устранения нарушений и значительному падению доверия со стороны существующих клиентов.

В российском правовом поле эта проблематика регламентируется комплексом нормативных актов, центральное место среди которых занимает Федеральный закон № 152–ФЗ «О персональных данных». Он устанавливает жесткие требования к процессам сбора, хранения, обработки и передачи персональных данных, определяя необходимость получения явного согласия субъектов на обработку их персональных данных, а также обязанность операторов обеспечивать надлежащий уровень защиты такой информации.

Для компаний, внедряющих инструменты искусственного интеллекта в процессы коммуникации с клиентами, критически важно выработать сбалансированный подход, позволяющий эффективно использовать возможности персонализации при строгом соблюдении юридических и этических норм в области защиты данных.

Категории данных и нормативные требования

Типология конфиденциальной информации

При работе с системами искусственного интеллекта, включая современные языковые модели, используемые для персонализации B2B-коммуникаций, необходимо четко классифицировать типы данных по степени их конфиденциальности и соответствующим ограничениям на использование. Данная классификация может включать следующие категории:

1. Персональные данные сотрудников и представителей клиентов:

• идентификационная информация (ФИО, даты рождения);

• контактные данные служебного характера (корпоративные имейлы, рабочие телефоны);

• профессиональные характеристики (должности, образование, опыт работы);

• личные идентификаторы (паспортные данные, ИНН, СНИЛС);

• финансовая информация (данные банковских карт, реквизиты счетов).

2. Коммерческая информация клиентских организаций:

• сведения, составляющие коммерческую тайну;

• данные о финансовом состоянии компании;

• информация о технологических особенностях производства;

• сведения о ценообразовании и применяемых скидках;

• данные о стратегических планах развития.

3. Внутренняя информация компании-продавца:

• параметры используемых моделей ценообразования;

• детали системы скидок и специальных условий;

• внутренние регламенты и стандарты работы с клиентами;

• информация о затратной структуре продуктов и услуг;

• сведения о технологических особенностях предлагаемых решений.

Пример правильной классификации данных. Компания, занимающаяся автоматизацией производственных процессов, разработала внутреннюю матрицу данных по уровням конфиденциальности:

• уровень 1 (публичная информация): отраслевая принадлежность клиента, общие сведения о применяемых технологиях;

• уровень 2 (ограниченное использование): обезличенные данные о потребностях, должностные позиции контактных лиц без указания личных данных;

• уровень 3 (конфиденциально): персональные данные, детальная информация о бизнес-процессах, объемы производства;

• уровень 4 (строго конфиденциально): финансовые данные, коммерческие тайны, уникальные технологические решения.

Для каждого уровня были разработаны четкие протоколы обработки с указанием, какие данные могут использоваться в системах ИИ и при каких условиях.

При использовании чат-ботов и иных систем искусственного интеллекта необходимо строго ограничивать передачу наиболее чувствительных категорий данных, таких как личные идентификаторы, финансовая информация и сведения, составляющие коммерческую тайну. Для остальных категорий данных должны применяться соответствующие протоколы обезличивания и защиты.

Нормативно-правовая база в области защиты данных

Российское законодательство в сфере защиты информации представляет собой комплексную систему взаимосвязанных нормативных актов, ключевыми из которых являются:

1. Федеральный закон № 152–ФЗ «О персональных данных» – устанавливает основополагающие принципы и требования к обработке персональных данных, включая:

• необходимость получения согласия субъекта на обработку его персональных данных;

• ограничение обработки только теми данными, которые необходимы для заявленных целей;

• требования к обеспечению безопасности персональных данных при их обработке;

• обязанность предоставления субъекту доступа к его персональным данным.

2. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» – определяет уровни защищенности персональных данных и соответствующие организационные и технические меры.

3. Приказы ФСТЭК России – устанавливают требования к обеспечению безопасности информации в информационных системах различного назначения, включая системы, обрабатывающие персональные данные.

4. Федеральный закон № 98–ФЗ «О коммерческой тайне» – регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, имеющей действительную или потенциальную коммерческую ценность.

5. Отраслевые стандарты и требования – в зависимости от сферы деятельности компании могут применяться дополнительные регуляторные требования (например, отраслевые стандарты для финансового или медицинского сектора).

Пример нарушения требований законодательства. Компания из сферы медицинского оборудования использовала чат-бот для создания персонализированных коммерческих предложений клиникам. В запросы к системе менеджеры включали полную информацию о медицинском учреждении, в том числе данные о пациентах и применяемых методиках лечения. Компания не получала согласия на обработку этих данных в системах ИИ и не обеспечивала их надлежащую защиту. По результатам проверки регулирующими органами компания получила штраф и предписание о приостановке использования чат-бота до устранения нарушений.

Для компаний, использующих современные системы искусственного интеллекта в процессах коммуникации с клиентами, ключевым вызовом становится обеспечение соответствия нормативным требованиям в условиях работы с новыми технологическими решениями, зачастую не имеющими четкой регуляторной классификации.

Методология безопасного использования ИИ для персонализации

Разработка корпоративной политики конфиденциальности

Для систематического регулирования процессов использования искусственного интеллекта в контексте персонализации B2B-коммуникаций рекомендуется разработка и внедрение внутренней политики конфиденциальности, которая должна включать следующие ключевые компоненты:

1. Целевой раздел – определение целей и задач использования систем искусственного интеллекта, обоснование необходимости обработки различных категорий данных для достижения бизнес-целей компании в контексте персонализации коммуникаций.

2. Классификационный раздел – детальная типология данных, используемых в процессах коммуникации с клиентами, с указанием уровня конфиденциальности каждой категории и соответствующих ограничений на их обработку.

3. Процедурный раздел – описание конкретных процедур и протоколов для:

• обезличивания персональных данных перед их передачей в системы искусственного интеллекта;

• шифрования конфиденциальной информации при ее хранении и передаче;

• организации контроля доступа к различным категориям данных;

• обеспечения возможности отзыва согласия на обработку персональных данных.

• Технический раздел – спецификация технических мер защиты, включая:

• требования к используемым системам искусственного интеллекта в контексте безопасности данных;

• параметры систем мониторинга и аудита для выявления потенциальных нарушений;

• технические протоколы реагирования на инциденты информационной безопасности.

4. Образовательный раздел – описание программ обучения и повышения осведомленности сотрудников о требованиях к работе с конфиденциальной информацией.

5. Контрольный раздел – методология регулярной проверки соответствия процессов обработки данных установленным требованиям, включая процедуры внутреннего аудита и тестирования механизмов защиты.

Пример эффективной политики. ИТ-компания из Московского региона разработала политику обработки данных при использовании чат-ботов, включающую:

• четкие инструкции для сотрудников о том, какие категории данных можно использовать в запросах