ИИ в медицине: помощник или скрытый канал угроз

ИИ уже стал рутинным инструментом врача — от анализа КТ до автоматического протоколирования приемов. Но 86% стран называют правовую неопределенность главным барьером. Риск не в самом алгоритме, а в том, куда и как утекают медицинские данные. Законодательство РФ с 2025 года ввело штрафы до 20 млн рублей и уголовную ответственность за такие утечки. Выход — только закрытый контур на российской сертифицированной инфраструктуре.

Цифровая реальность: ИИ помогает, но не заменяет

Сегодня 64% стран мира используют искусственный интеллект в диагностике, 50% — чат-ботов и цифровых ассистентов для работы с пациентами. Врачи применяют ИИ прежде всего как инструмент помощи: алгоритмы анализируют КТ и МРТ, выявляют подозрительные участки, автоматически протоколируют жалобы и назначения. Это снижает рутинную нагрузку и дает врачу больше времени на пациента.

Использование защищенных профессиональных сервисов — это уже не вопрос технического удобства или прихоти IT-отдела. Это такой же элемент профессиональной медицинской этики и ответственности перед пациентом, как стерильность инструмента.

Однако регулирование за стремительным развитием ИИ не успевает. 86% стран называют правовую неопределенность главным барьером для внедрения. И в этой «серой зоне» рождается главная угроза.

Теневое использование ИИ — скрытый канал утечки

Отсутствие легальных инструментов ведет к тому, что сотрудники клиник загружают снимки, выписки и даже паспортные данные в публичные зарубежные ИИ-сервисы — например, ChatGPT, западные нейросети для анализа изображений. Без гарантий шифрования, без контроля соответствия 152-ФЗ и 323-ФЗ.

Так формируется «теневая» практика, которую регуляторы будут оценивать как прямое нарушение, — предупреждает эксперт. — Основной риск — не сам ИИ, а где и как обрабатываются данные. Даже частичная обработка за рубежом нарушает требования локализации и врачебной тайны.

Что говорит закон: штрафы, уголовная ответственность и новые ГОСТы

Российское законодательство с 2025 года сделало жесткий шаг вперед. С 30 мая 2025 года вступили в силу изменения в КоАП и УК РФ (законы 420-ФЗ и 421-ФЗ от 30.11.2024).

Штрафы за незаконную передачу персональных данных:

• для должностных лиц — от 200 тыс. до 1,5 млн рублей.
• для организаций — от 3 до 20 млн рублей.

С декабря 2024 года введена уголовная ответственность за:

• неправомерное использование, передачу или хранение данных, полученных незаконным путем;
• создание ресурсов для сбора и распространения таких данных;
• нарушения с биометрией, данными несовершеннолетних и другими специальными категориями.

При выявлении утечки компания обязана уведомить Роскомнадзор за 24 часа, а в течение 72 часов провести внутреннее расследование. Нарушение сроков — штраф до 3 млн рублей.

69% опрошенных больше не будут пользоваться услугами компании, допустившей утечку их персональных данных. Еще 18% перейдут к конкурентам. Только 3% останутся. Репутационные и финансовые потери неизбежны. Нет права на ошибку.

Новые правила игры: ГОСТ, закрытый контур и закон о генетике

Государство не запрещает ИИ, а вводит четкие правила контроля:

1. Утвержден ГОСТ для систем искусственного интеллекта в здравоохранении. Он классифицирует ИИ-системы от диагностики до реабилитации и даже изменения анатомических структур, выводя отрасль из экспериментальной «серой зоны» в правовое поле.
2. Подписан закон (вступает в силу 1 сентября 2026 года) о запрете на передачу иностранным структурам и гражданам данных, полученных при популяционных генетических и иммунологических исследованиях.
3. Требования локализации и сертификации:
   • все ИИ-решения с медицинскими данными должны работать на российской инфраструктуре (серверы в РФ);
   • использовать средства криптозащиты с ГОСТ-шифрованием, сертифицированные ФСТЭК/ФСБ;
   • ПО должно быть включено в Единый реестр российского ПО.

Перед использованием любого ИИ проверьте: если данные обрабатываются хоть частично за рубежом — это нарушение закона. Никогда не вводите в публичные ИИ паспорт, диагноз или контактные данные пациента. Даже при «обезличивании» сохраняется риск восстановления личности из паттернов.

Как выбрать безопасного партнера: 7 критериев

Для клиник и врачей, которые дорожат репутацией, рекомендуется проверять технологического партнера, как минимум, по следующим пунктам:

1. Хранение ПДн на территории РФ (152-ФЗ)
2. Авторизация через ЕСИА
3. ПО в Едином реестре российского ПО
4. Совместимость с ЕГИСЗ (статус «иная информационная система»)
5. Оператор ПДн зарегистрирован в Роскомнадзоре
6. Аттестат соответствия ФСТЭК/ФСБ
7. Шифрование ПДн по ГОСТ (СКЗИ, TLS)

ИИ в медицине — не риск, а мощный инструмент, если использовать его в закрытом российском контуре с сертифицированной защитой данных. Новые законы, ГОСТ и растущие штрафы четко обозначили «красные линии». Вопрос теперь не в том, «внедрять или нет», а в том — «как внедрять, чтобы не потерять пациентов, репутацию и миллионы рублей на штрафах».