Релокация
Советы по цифровой безопасности

Можно ли доверять личные данные чату GPT и онлайн переводчикам?

Иллюстрация к разделу

Как устроен чат GPT? На каких данных он обучается?

В основе ChatGPT — архитектура Transformer: модель разбивает текст на токены (фрагменты слов) и, определив контекст, предсказывает следующий токен. Сначала идёт предобучение на гигантских массивах текстов, а затем — донастройка с помощью диалогов и обратной связи пользователей, чтобы ответы были полезнее и безопаснее.

Кроме того, в сервисах для частных пользователей (например, в личном аккаунте ChatGPT) новые диалоги могут использоваться для улучшения моделей. Это происходит в том случае, если вы не отключили эту функцию в настройках. Для бизнес-продуктов (ChatGPT Team/Enterprise и API) действует иной режим: данные по умолчанию не используются в обучении моделей.

Безопасно ли передавать конфиденциальную информацию чату?

Давайте разберемся, где хранятся данные ваших диалогов.

1) Провайдер 

Данные передаются в компанию, которая предоставляет ИИ сервис. 

Если мы приводим в пример ChatGPT, то его разработчик, компания OpenAI, зарегистрирована в США и подчиняется местным законам. Данные из чатов персонального аккаунта могут быть выданы властям и специальным службам США. При этом, на сегоднящний день крайне маловероятно, что они будут переданы российским структурам.

Данные личных чатов используются для обучения модели. То есть они могут появиться случайно в разговоре с ChatGPT любого человека (это крайне маловероятно, но возможно). В личном чате эту функцию можно отключить, или включить Temporary Chat, который хранится до 30 дней и не используется для тренировки.

Если делиться чатом по ссылке (функция share), то он может попасть в выдачу Google и любой человек, у которого окажется ссылка, сможет получить доступ к содержимому.

ИИ-модели уязвимы к Prompt Injection: злоумышленник вводит вредоносные команды, и модель может выдать чужие диалоги или внутреннюю информацию. Защищаться очень сложно; хотя OpenAI и другие инвестируют в защиту, лучше считать, что всё, что вы отправляете в ИИ-сервисы, может стать публичным.

2) Ваш эккаунт

История ваших чатов хранится в аккаунте на сайте ChatGPT или другой модели, которой вы пользуетесь. Но эккаунт можно захватить, например, через фишинг, повтор паролей, угон сессии, утёкшие API-ключи. Получив доступ к вашему аккаунту, атакующий может посмотреть историю переписки и данные, которыми вы делились в диалогах.

3) Ваше устройство

Если устройство заражено или плохо защищено, злоумышленники могут отслеживать ваши действия, в том числе всё, что вы вводите в чат, с помощью вредоносных программ, небезопасных расширений или утилит для записи экрана.

Вывод: передавать конфидециальную информацию чату небезопасно. Чем выше чувствительность данных, тем жёстче должны быть процессы: минимизация, корпоративные тарифы режим «временного чата», соглашения об обработке данных (DPA) и внутренние политики обращения с ИИ-инструментами. Так же, можно поднимать ИИ-инструменты на своём оборудовании, чтобы исключить утечки (много ИИ-инструментов и инструкций можно найти тут). 

Как отказаться от использования ваших данных для обучения ChatGPT?

У пользователей есть Data Controls — переключатели, позволяющие управлять историей и использовать (или не использовать) ваши разговоры для улучшения моделей:

  1. В веб-версии/десктопе: Профиль → SettingsData Controls → отключите «Improve the model for everyone» (после этого новые чаты не будут использоваться для обучения).
  2. На iOS/Android: меню → SettingsData ControlsChat History & Training (тот же переключатель доступен в мобильных приложениях).
  3. Временный чат (Temporary Chat) — альтернативный быстрый вариант для разовых запросов: не попадает в историю, не используется для обучения, удаляется в течение 30 дней. Запускается из выпадающего меню в окне чата.
  4. Для бизнеса (ChatGPT Team/Enterprise и API) данные по умолчанию исключены из обучения; при необходимости подписывается DPA и настраиваются сроки хранения/резиденция данных.

А онлайн переводчики? Собирают ли они личные данные?

Сбор и использование личных данных зависит от сервиса и режима использования.

  • DeepL (бесплатные сервисы): в условиях использования прямо указано, что загруженный контент может временно обрабатываться для обучения и улучшения нейросетей. То есть вводимые вами тексты потенциально могут стать частью данных для улучшения качества.
  • DeepL для бизнеса (Pro/Enterprise): позиция иная — «тексты не хранятся и не используются для обучения без вашего согласия»; заявлены расширенные меры защиты и соответствие требованиям безопасности.
  • Google Translate: Google прямо пишет, что «мы собираем информацию о том, как вы используете наши сервисы», и что эта информация может быть применена для совершенствования алгоритмов.
  • Google Cloud Translation (корпоративный API от Google): контент используется только для предоставления сервиса; публичной публикации и передачи третьим лицам не происходит. Это отдельный продукт от потребительского «Google Переводчика» на translate.google.com.
  • Microsoft Azure AI Translator: заявляет, что данные клиентов не записываются на постоянное хранение во время перевода (нет записи отправленного текста/речи в дата-центрах Microsoft).

Бесплатные «пользовательские» переводчики нередко используют данные для улучшения сервиса, а корпоративные API-продукты крупных разработчиков специально спроектированы так, чтобы не использовать ваш контент для обучения и минимизировать хранение. Если вы работаете с договорами, медицинскими документами, то выбирайте режимы и тарифы с понятными гарантиями (и оформляйте договор об обработке данных).

Как обезопасить себя?

1) Оцените чувствительность

Если это персональные данные, коммерческая тайна, сведения о здоровье/финансах — избегайте бесплатных потребительских сервисов. Используйте корпоративные планы (ChatGPT Team/Enterprise, API) или локальные решения.

2) Настройте Data Controls — Отключите «Improve the model for everyone», если не хотите делиться диалогами для обучения;
 — Для разовых конфиденциальных запросов пользуйтесь Temporary Chat.

3) Минимизируйте данные

Заменяйте ФИО, номера договоров и другие маркеры псевдонимами. Вставляйте фрагменты, необходимые для ответа, а не целые документы.

4) Следите за каналами и следами 

Не вставляйте секретные данные (ключи API, пароли) в любые чаты. Не загружайте закрытые документы в бесплатные переводчики.

5) Проверьте политику переводчика

Для DeepL — используете ли вы Free (контент может использоваться для улучшения) или Pro/Enterprise (контент не хранится/не используется без согласия).

Для Google — различайте Cloud Translation API (строгие условия обработки) и Google Translate (данные будут использованы для обучения).

Для Microsoft — убедитесь, что работаете через Azure Translator, где нет постоянного логирования переводимого текста.

6) Формализуйте правила 

Для компании — пропишите политику использования ИИ: какие сервисы разрешены, кто может отправлять и какие данные, какие предъявляются требования к анонимизации, запрет на загрузку персональных данных в недоверенные ИИ-инструменты, порядок экспорта/удаления.

7) Не забывайте про «человеческий фактор» 

Нейросети уверенно «галлюцинируют». В критичных задачах (юридическая экспертиза, медицина, финансы) всегда опирайтесь на второе мнение человека и проверяйте первоисточники.

8) Используйте функцию памяти осознанно 

Если включена «память» (Memory), она может запоминать ваши предпочтения; в Data Controls её можно отключить и очистить накопленную информацию.

9) Удаляйте информацию 

Чаты можно удалять или вести их в «временном» режиме. Для личных чатов действует стандартный цикл удаления; в режиме Temporary Chat — автоудаление в 30 дней. 

Релокация
Советы по цифровой безопасности

Российский софт и SIM-карты: что нужно знать, чтобы минимизировать риски

Иллюстрация к разделу

Российские законы о данных

В России законы дают государству большие полномочия контролировать цифровые коммуникации. Так, закон «Об информации» требует, чтобы определённые сервисы, входящие в реестр ОРИ – организаторов распространения информации, хранили сведения о передаче сообщений, саму переписку и ключи для расшифровки, и выдавали это правоохранительным органам по первому требованию.

Операторы связи обязаны устанавливать оборудование СОРМ и предоставлять правоохранителям все данные о звонках, SMS, подключениях и прочих услугах связи.

По этим правилам у властей на руках почти любая информация о пользователе. Например, в 2023 году российские силовики направили к «Яндексу» десятки тысяч запросов именно по сервисам такси и доставки: почти 20 000 запросов в первой половине года и ещё 22 918 во второй половине. 

Безопасность российского софта

Технически российский софт принципиально не отличается от зарубежного. Вопрос лишь в простоте доступа государственных органов к таким данным и том, как именно они их используют — от проведения расследований и предотвращения преступлений до мониторинга активности пользователей и возможного давления на оппозиционно настроенных граждан.

SIM-карты российских операторов

Технически SIM-карта – обычная карта абонента. Но по законам российские операторы обязаны хранить и передавать правоохранителям данные о местоположении абонента, всех звонках и SMS. Даже за границей, если вы заходите в сеть через роуминг российского оператора, ваш звонок и данные в роуминге фиксируются в его системе. Поэтому любая активность – звонки, SMS, интернет-сессии – известна оператору и при необходимости по запросу передаётся спецслужбам. Так что для людей, которые избегают слежку, российские SIM-карты представляют серьёзный риск – даже если их используют вне страны.

Каковы основные угрозы для частных пользователей при использовании российского софта?

  • Передача данных в спецслужбы. Любая компания в России должна по закону выдавать ваши данные правоохранителям. Даже простой заказ такси или пиццы даёт доступ к информации о ваших передвижениях и адресах доставки. 

  • Дата-брокеры и реклама. Многие приложения собирают больше информации, чем нужно для работы. Сведения о вашем телефоне, местоположении, предпочтениях могут передаваться маркетинговым агентствам и дата-брокерам - фирмам, которые агрегируют личные данные пользователей из разных источников и продают их рекламодателям или организациям. 

В России развита связка информационных компаний с государством: зарубежные и российские компании (например, Яндекс, VK) продают доступ к целевой рекламе. Такие практики помогают спецслужбам дополнять профиль человека. 

  • Системы аналитики и слежки. Существуют автоматизированные системы для мониторинга интернета и соцсетей. Например, российский проект «Демон Лапласа» позволяет круглосуточно собирать и анализировать посты из Facebook, «ВКонтакте», Telegram, СМИ и блогов, чтобы выявлять экстремизм и прогнозировать протестные акции. 

  • Уязвимости и утечки. Даже если сервис собирает минимум данных, его система может дать сбой. Даже если один сервис собирает минимальное количество информации и в нем происходит утечка, например, электронных адресов, ущерб всё равно может быть значительным. Это связано с тем, что утекшие данные могут быть обогащены информацией из других источников. 

Какие категории российского софта наиболее подвержены рискам?

  • Мобильные приложения. Чаще всего именно они запрашивают доступ к камере, микрофону, контактам, геолокации и другим личным данным. Многие приложения собирают информацию о вас «на всякий случай» и передают её рекламодателям. Активистам стоит тщательно проверять, какие разрешения получает приложение. 
  • Мессенджеры. Кроме Российский мессенджеров и сервисов (MAX, VK, ОК, TamTam и т.д.), к которым есть прямой доступ спецслужб, есть другие сервисы, которые могут быть привязаны в российской сим-карте (Telegram, WhatsApp, Signal и тд). Несмотря на шифрование, в этих мессенджерах концентрируется много личной информации: переписки, фото, видео, контакты. Даже если зашифрованный канал надёжен, злоумышленники могут зайти в аккаунт, обойдя 2FA через SMS или «клонирование» SIM-карты. Как мы писали выше, спецслужбы России имеют доступ к SMS-сообщениям на территории России и за её пределами. 
  • Браузеры. Веб-браузер хранит историю посещений, куки и может «запоминать» логины и пароли. Если вы пользуетесь Яндекс браузером, то нужно помнить, что Яндекс входит в реестр ОРИ (организаторов распространения информации) и по закону все данные о пользователях могут быть переданы спецслужбам. 

 

В целом, стоит помнить: удобство и безопасность часто противопоставлены. Живя или работая в России, полностью отказаться от отечественных сервисов и SIM-карт невозможно. Но можно свести риск к минимуму: использовать VPN, шифрование, разделять устройства и тщательно контролировать, какие данные вы раскрываете и кому. Так вы существенно повысите собственную цифровую безопасность и сохраните свободу действий в сложных условиях.

Бот Секьюрно в Телеграм
поможет вам
Иллюстрация к занятию

Поздравляем!

Вы успешно прошли программу тренировки, но на этом всё не заканчивается. Выберите себе дополнительные занятия в разделе Все тренировки