Невидимый участник: как ИИ-боты для расшифровки встреч работают с персональными данными и что с этим делать

Всё о том, где возникает передача ПДн, почему голос — это биометрия, что изменилось в российском праве с 2025 года и как выстроить надёжную защиту

Почему это важно прямо сейчас

Онлайн-встречи стали основным форматом деловой коммуникации: планёрки, переговоры с клиентами, HR-интервью, советы директоров — всё это давно переехало в Zoom, Google Meet, Телемост и им подобные платформы. Параллельно с ростом числа встреч вырос и рынок ИИ-инструментов для их автоматической расшифровки и конспектирования.

По данным аналитической компании Metrigy, к 2025–2026 году 40% организаций уже официально внедрили ИИ-ассистентов для встреч, ещё 42% планируют сделать это в течение ближайшего года [13]. Опрос компании Fellow показал, что 75% специалистов используют ИИ-нотейкер в рабочих встречах [13]. Otter.ai — один из лидеров рынка — заявляет о более чем 1 миллиарде обработанных встреч [11].

За этим удобством скрывается серьёзная правовая и техническая проблема: ИИ-бот — это не нейтральный наблюдатель. Это программный агент, который захватывает аудио, распознаёт голоса, извлекает имена и содержание, а затем отправляет всё это на внешние серверы. В российском правовом поле, где с 2025 года действует принципиально новая система штрафов, цена ошибки при работе с такими инструментами выросла кратно.

Эта статья адресована широкой аудитории: сотрудникам, которые хотят понять риски; руководителям, которые принимают решения о внедрении; ИТ-специалистам, которые настраивают инфраструктуру; юристам и DPO, которые отвечают за комплаенс. Мы разберём, где именно возникает передача персональных данных, что об этом говорит российское законодательство, и как выстроить защиту, не отказываясь от удобства.

Что такое ИИ-боты для расшифровки и насколько они распространены

ИИ-ассистент для встреч — это программный сервис, который автоматически подключается к видеоконференции (или записывает аудио локально), преобразует речь в текст, формирует краткое резюме, выделяет задачи и договорённости. Некоторые инструменты идут дальше: анализируют тональность участников, отслеживают уровень вовлечённости, интегрируются с CRM, таск-трекерами и почтой.

Как работают: три модели обработки данных

Принципиально важно понимать, по какой архитектурной схеме работает конкретный инструмент, потому что именно это определяет, куда уходят данные.

Первая модель — облачный бот. Это самый распространённый вариант. Сервис (Otter.ai, Fireflies.ai, MeetGeek, tl;dv и другие) подключается к встрече как отдельный виртуальный участник, захватывает аудиопоток и передаёт его на собственные облачные серверы для обработки. Транскрипт и резюме хранятся в облаке вендора. Именно здесь сосредоточен максимум правовых рисков при работе в российском правовом поле.

Вторая модель — встроенный ИИ платформы. Microsoft Teams Copilot, Zoom AI Companion, Google Meet с функцией резюмирования — здесь транскрипция выполняется инфраструктурой самой платформы. Данные не уходят к третьему вендору, но всё равно обрабатываются на зарубежных серверах, что создаёт отдельный блок рисков локализации.

Третья модель — локальная обработка. Инструменты вроде Meetily (с открытым исходным кодом) или корпоративные on-premise-решения обрабатывают аудио непосредственно на устройстве пользователя или на серверах внутри периметра компании. Это наиболее безопасная с точки зрения ПДн модель, но она требует вычислительных ресурсов и сложнее в настройке.

Кто есть на рынке — глобальные и российские игроки

Среди иностранных инструментов наиболее известны Otter.ai (США, серверы AWS, поддержка английского), Fireflies.ai (поддержка русского языка, серверы в США), tl;dv (бесплатный тариф с полным функционалом, поддержка русского), MeetGeek, Sembly. Их общее свойство — хранение данных за рубежом [31].

Среди российских решений, декларирующих хранение данных на серверах в РФ и соответствие требованиям 152-ФЗ, на 2026 год выделяются сервисы, интегрированные с российскими платформами видеоконференций — Яндекс.Телемост, Контур.Толк, Сбер Джаз [22, 27]. Российские разработки, как правило, лучше работают с кириллицей и деловой терминологией, принимают отечественные платёжные инструменты, но стоят несколько дороже иностранных аналогов.

Где именно возникает передача ПДн: шесть точек утечки

Чтобы понять риски, нужно проследить весь путь данных от момента, когда участник произносит первое слово, до момента удаления транскрипта (если оно вообще происходит).

1. Захват аудио и передача на облачный сервер

Самый очевидный момент: бот записывает аудиопоток встречи и передаёт его на серверы вендора для транскрибации. В этот момент происходит как минимум две операции, регулируемые ФЗ-152: сбор персональных данных (голоса, имена из речи) и, если сервер расположен за пределами России, трансграничная передача персональных данных.

Ключевой вопрос с точки зрения локализации: где физически расположен сервер, на который первично попадает аудиозапись? С 1 июля 2025 года новая редакция ч. 5 ст. 18 ФЗ-152 прямо закрепляет, что первичный сбор, запись и систематизация персональных данных граждан РФ должны происходить в базе данных, физически расположенной на территории России [6]. Если аудио сразу уходит на серверы Amazon Web Services в США — это нарушение, даже если компания потом скопирует данные в российское хранилище [55].

2. Голос как биометрические персональные данные

Это, пожалуй, самый юридически тонкий аспект темы. По российскому законодательству биометрическими персональными данными являются сведения, которые характеризуют физиологические особенности человека и на основании которых можно установить его личность, если оператор использует их именно для такой идентификации (ч. 1 ст. 11 ФЗ-152) [1].

Российские юристы и суды разграничивают два сценария [45]. В первом случае компания записывает голос для установления личности говорящего — тогда это биометрия, требующая письменного согласия. Во втором компания записывает разговор для контроля качества, конспектирования или разрешения споров, не используя голос для идентификации, — биометрией это признаётся реже, но риск исключать не следует.

Практический вывод: даже при «консервативной трактовке», которую рекомендует большинство юристов, голосовые записи следует рассматривать как потенциально биометрические данные и брать письменное согласие у участников встречи [4]. Особенно это критично в отношении сотрудников, где такое согласие рекомендуется включать в документы при трудоустройстве.

За пределами России ситуация аналогична: в штате Иллинойс закон о биометрической информации (BIPA) прямо требует согласия на сбор «голосовых отпечатков». В 2025 году именно это стало основой иска против Fireflies.ai: компанию обвиняют в сборе биометрических голосовых данных участников встреч, не создававших аккаунт и не давших согласия [16].

3. Содержание разговора: имена, должности, финансы, здоровье

Транскрипт встречи — это настоящий «слепок» разговора, и он содержит в себе все категории персональных данных, которые только можно представить: ФИО участников, должности, телефоны и адреса электронной почты, которые озвучиваются вслух; финансовые показатели и условия сделок; сведения о здоровье (если встреча касается HR или медицинских вопросов); персональные данные клиентов и партнёров, упоминаемые в ходе обсуждений; стратегические коммерческие сведения.

Все эти данные попадают в облако вендора и хранятся там до тех пор, пока пользователь их не удалит — или пока вендор не решит иначе [19]. Некоторые сервисы синхронизируют транскрипты с внешними системами: Slack, Salesforce, Notion, корпоративная почта. После синхронизации корпоративные политики удаления, как правило, уже не работают — копии остаются в интегрированных системах [13].

4. Использование данных для обучения моделей

Исследование Стэнфордского университета (октябрь 2025 года) установило, что все шесть ведущих американских AI-компаний по умолчанию используют переписку и взаимодействия пользователей для обучения своих языковых моделей [15]. Часть из них позволяет отказаться от этого — но только в явном порядке, а не «по умолчанию».

Для корпоративных клиентов ситуация лучше: большинство вендоров при заключении enterprise-контракта включают пункт о запрете использования данных для обучения [63]. Но если сотрудник зарегистрировался самостоятельно по бесплатному тарифу — корпоративных гарантий нет.

Эта угроза особенно серьёзна потому, что если данные уже попали в обучающий датасет, их практически невозможно «извлечь обратно» [14]. Голос, речевые паттерны, манера формулировок, специфическая терминология компании — всё это становится постоянным активом, которым владеет уже не ваша организация.

5. Передача данных третьим лицам и синхронизация с внешними системами

Когда ИИ-ассистент для встреч использует внешнюю языковую модель (OpenAI, Anthropic, Google), транскрипт встречи фактически покидает периметр вендора-нотейкера и отправляется к провайдеру LLM для генерации резюме [69]. В лучшем случае это регулируется контрактом «без обучения» (no-training clause) и данные удаляются через 30 дней. В худшем — ни пользователь, ни IT-служба не подозревают, что разговор о бюджете следующего квартала уже лежит на серверах OpenAI.

Популярные интеграции нотейкеров (с Slack, HubSpot, Salesforce, Notion, Jira) создают дополнительные «отростки» хранения. Когда уволившийся сотрудник уходит из компании, его личный аккаунт нотейкера — и все транскрипты — уходят вместе с ним. При этом синхронизированные копии в рабочих системах остаются [13].

6. Теневое ИИ: неконтролируемые личные аккаунты сотрудников

Это самая распространённая и наиболее опасная точка утечки в российских компаниях сегодня. Сотрудник регистрируется в Fireflies.ai или ином зарубежном сервисе по личной почте, приглашает бота на внутренние встречи — и у IT-службы нет никаких инструментов контроля: нет SSO, нет политик удержания данных, нет возможности отозвать доступ при увольнении [13].

Такие «теневые ИИ» (shadow AI) сегодня признаются одним из основных векторов неконтролируемой утечки корпоративных данных. Организации, которые не ввели явный запрет или разрешительный реестр ИИ-инструментов, фактически утрачивают контроль над тем, что происходит на их же встречах.

Правовой контекст в России: что изменилось с 2024–2025 года

Биометрия и голос в ФЗ-152

Статья 11 ФЗ-152 («Биометрические персональные данные») в действующей редакции от 24.06.2025 устанавливает: сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта, обрабатываются только при наличии письменного согласия [1].

Ключевое условие — «используются для установления личности». Именно это условие превращает спорный вопрос (является ли конкретная запись биометрией?) в вопрос цели обработки: если система распознаёт, кто именно говорит на встрече (диаризация), и привязывает текст к конкретному человеку — это ближе к биометрии [4].

Локализация и трансграничная передача: новые требования с 2025 года

Два события 2025 года принципиально изменили правила работы с иностранными ИИ-сервисами.

С 30 мая 2025 года вступили в силу поправки в КоАП РФ (ФЗ № 420-ФЗ от 30.11.2024), многократно увеличившие штрафы за нарушения в сфере ПДн [3].

С 1 июля 2025 года заработала обновлённая редакция ч. 5 ст. 18 ФЗ-152, прямо закрепившая запрет первичного сбора ПДн граждан России с использованием иностранных баз данных [6]. Теперь первичная запись персональных данных должна происходить на сервере, физически расположенном в РФ. Это требование распространяется и на ИИ-нотейкеры: если бот немедленно отправляет аудиозапись на серверы AWS в США — это нарушение, даже если данные потом дублируются в российское хранилище [55].

Трансграничная передача не запрещена полностью, но требует предварительного уведомления Роскомнадзора, который вправе запретить или ограничить её (ст. 12 ФЗ-152). Передача без уведомления сама по себе образует состав правонарушения со штрафом до 6 млн рублей [9].

Разъяснения Роскомнадзора от 24.03.2025 и Минцифры от 12.05.2025 уточняют: новая норма не устанавливает автоматического запрета на трансграничную передачу уже собранных данных, однако первичная точка сбора должна находиться в России [7].

Штрафы и уголовная ответственность: суммы, которые изменили игру

ФЗ № 420-ФЗ от 30.11.2024 установил дифференцированную систему штрафов, привязанную к масштабу утечки [3]:

1. Утечка данных от 1 000 до 10 000 человек — штраф для организации 3–5 млн рублей.
2. Утечка данных от 10 000 до 100 000 человек — штраф 5–10 млн рублей.
3. Утечка данных более 100 000 человек — штраф 10–15 млн рублей.
4. Утечка биометрических персональных данных — штраф 15–20 млн рублей.
5. Повторная утечка — оборотный штраф 1–3% от годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей.
6. Нарушение обязанности уведомить об утечке — 1–3 млн рублей. Уведомить нужно в течение 24 часов с момента обнаружения инцидента, а по итогам внутреннего расследования — в течение 72 часов [37].

Для понимания масштаба: до 30 мая 2025 года максимальный штраф за утечку составлял 700 000 рублей — рост более чем в 20 раз по некоторым составам [38].

Новая статья 272.1 УК РФ

ФЗ № 421-ФЗ от 30.11.2024 ввёл в Уголовный кодекс статью 272.1, предусматривающую уголовную ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные. Статья вступила в силу 9 декабря 2024 года. В исключительных случаях (организованная группа, тяжкие последствия) возможно лишение свободы до 10 лет [8].

За первые десять месяцев 2025 года по этой статье было возбуждено 923 уголовных дела. При этом правоприменение расширилось далеко за пределы операторов «пробивных ботов»: в марте 2025 года сотрудника салона связи привлекли к ответственности за передачу через мессенджер нескольких десятков записей с персональными данными [8].

Риски и ошибки: что происходит, когда всё идёт не так

Международный опыт: иски и запреты 2025 года

Мировой опыт 2025 года показывает, что последствия несоблюдения приватности при использовании ИИ-нотейкеров бывают весьма серьёзными.

В августе 2025 года Джастин Брюэр подал коллективный иск против Otter.ai в федеральный суд Калифорнии. Иск утверждает, что функция OtterPilot автоматически подключается к встречам без согласия всех участников, данные используются для обучения моделей без явного разрешения, а ответственность за получение согласия перекладывается на пользователей вместо того, чтобы нести её самостоятельно [16, 65]. По состоянию на начало 2026 года дело находится в стадии рассмотрения.

В том же 2025 году Fireflies.ai столкнулась с иском по законодательству штата Иллинойс о биометрии (BIPA). Истцы утверждали, что сервис собирал голосовые слепки участников встреч, в том числе людей, никогда не регистрировавшихся в системе и не дававших согласия [16].

В августе 2025 года университет Чэпмен (Chapman University) запретил использование Read AI, сославшись на риски безопасности и приватности, включая автоматическое подключение к встречам и отслеживание пользователей на нескольких платформах [65]. В феврале 2025 года Гарвардский университет ввёл ограничения на использование ИИ-ассистентов для встреч в делах университета, напрямую указав на проблему обучения моделей и согласия [64].

По данным аналитиков, 40% организаций сталкивались с инцидентами, связанными с ИИ и приватностью, при этом 97% не имели достаточных мер контроля [16].

Типичные ошибки российских компаний

Самая распространённая ошибка — использование иностранного сервиса без проверки того, где физически хранятся данные. Компании подключают Otter.ai или Fireflies.ai, не осознавая, что все транскрипты уходят на серверы в США, что с 1 июля 2025 года является нарушением требований локализации [55].

Вторая ошибка — игнорирование требования уведомить участников встречи. Российские практики в области транскрибации прямо указывают: перед началом записи необходимо предупредить участников и получить согласие на обработку персональных данных [30]. На практике о боте объявляют в лучшем случае один раз при первом появлении, а при повторном использовании — уже нет.

Третья ошибка — смешение личных и корпоративных аккаунтов. Когда сотрудник использует личный аккаунт нотейкера для рабочих встреч, компания теряет контроль над данными. При увольнении сотрудника транскрипты корпоративных переговоров остаются в его личном аккаунте на зарубежном облаке [13].

Четвёртая ошибка — отсутствие договора поручения с вендором. Передавая персональные данные третьим лицам для обработки, оператор ПДн обязан заключить договор поручения (ст. 6 ФЗ-152), в котором прописаны требования к защите данных. Большинство компаний принимают публичную оферту сервиса, не анализируя, соответствует ли она требованиям российского законодательства [4].

Как ограничить доступ и снизить риски: практический чек-лист

До внедрения

1. Проведите оценку вендора: выясните, где физически находятся серверы, хранятся ли данные в России, используются ли они для обучения моделей, каковы сроки хранения и условия удаления.
2. Заключите договор поручения на обработку ПДн с вендором; для иностранных сервисов — оформите трансграничную передачу с уведомлением Роскомнадзора (ст. 12 ФЗ-152).
3. Проверьте наличие сертификаций: SOC 2 Type II, ISO 27001, а для работы с медицинскими данными — HIPAA; для европейских клиентов — GDPR [10].
4. Составьте внутреннюю политику использования ИИ-нотейкеров: перечень одобренных инструментов, запрет на использование неодобренных личных аккаунтов, порядок уведомления участников.
5. Определите категории встреч, на которых ИИ-расшифровка вообще не допускается: переговоры с юридической командой, встречи, затрагивающие коммерческую тайну, HR-разборы с чувствительной информацией [19].

При использовании

1. Уведомляйте участников до начала записи: автоматическое информирование в начале встречи, текстовое сообщение в чате конференции. Для сотрудников — оформите письменное согласие в трудовом договоре или отдельным документом [30].
2. Для клиентских встреч получайте явное согласие в форме, соответствующей требованиям ФЗ-152 (с 1 сентября 2025 года форма согласия стала строже: требуется исчерпывающий перечень данных и целей обработки) [6].
3. Предоставьте участникам возможность отказаться от записи и иметь дело с «неозаписанной» версией встречи.
4. Настройте инструмент так, чтобы он не подключался автоматически ко всем встречам, — только к тем, где это явно требуется.

Технические меры

1. Ограничьте доступ к транскриптам по ролям: только те, кому они нужны, должны иметь возможность их просматривать.
2. Настройте политики хранения данных: для большинства встреч транскрипт нужен 30–90 дней, не дольше.
3. Рассмотрите локальные решения (on-premise) для наиболее чувствительных категорий встреч.
4. Регулярно проводите аудит: какие аккаунты нотейкеров подключены к корпоративным календарям, нет ли «теневых» инсталляций.

Организационные меры

1. Включите ИИ-нотейкеры в реестр информационных систем персональных данных (ИСПДн) вашей организации — они обрабатывают ПДн и обязаны быть учтены.
2. При увольнении сотрудника немедленно отзывайте доступ к корпоративному аккаунту нотейкера; проверяйте, нет ли личных аккаунтов, синхронизированных с рабочими данными.
3. Обучайте сотрудников: объясняйте, что запись встречи — это не нейтральный инструмент продуктивности, а операция с персональными данными, имеющая правовые последствия [14].

Как контролировать, куда утекают ПДн из ваших систем — и при чём здесь «Пятый фактор»

Использование ИИ-нотейкеров — это лишь одна из точек, в которой корпоративные персональные данные начинают «жить» в системах, неподконтрольных компании. Но откуда компания узнает, что в каком-то из подключённых SaaS-сервисов или в базе данных корпоративной АТС появились поля с голосовыми записями? Или что новый сотрудник «по привычке» выгружает транскрипты во внешнее облако?

Именно здесь проявляется системная проблема: без единой актуальной карты персональных данных компания реагирует постфактум — когда инцидент уже произошёл или пришла проверка Роскомнадзора.

Платформа «Пятый фактор» (5factor.ru) решает эту задачу в корне иначе. Это on-premise-решение, которое автоматически обнаруживает, инвентаризирует и контролирует персональные данные во всех корпоративных системах: базах данных, хранилищах, почте, AD/LDAP, CRM, 1С, API. Принципиальная особенность — платформа работает с метаданными, структурой и агрегатами, не передавая и не храня «сырые» значения ПДн. Это значит, что само решение не создаёт нового источника риска.

В контексте ИИ-нотейкеров это означает: компания видит, появились ли в корпоративных системах новые поля для хранения транскриптов, голосовых файлов или синхронизированных резюме встреч — и понимает, кто является владельцем этих данных и какие изменения произошли. Новые интеграции перестают быть «слепыми зонами». Время реакции на риски сокращается с недель (ручной аудит) до часов (автоматическое обнаружение изменений).

Именно такой непрерывный контроль становится обязательным условием соответствия требованиям ФЗ-152 в эпоху, когда ИТ-ландшафт меняется постоянно и каждый новый ИИ-инструмент — это потенциальная новая точка появления персональных данных.

Тренды и будущее: что будет дальше

Рынок ИИ-ассистентов для встреч продолжает расти, и несколько тенденций прослеживаются достаточно отчётливо.

Первая тенденция — встроенные ИИ побеждают сторонние боты. Крупные платформы (Microsoft, Google, Zoom) активно интегрируют функции расшифровки и резюмирования непосредственно в свои продукты. Это снижает риск передачи данных третьим вендорам, но не решает проблему хранения на зарубежных серверах [4].

Вторая тенденция — рост российских решений с локальным хранением. Ограничения на трансграничную передачу данных и рост штрафов создают устойчивый спрос на отечественные инструменты, работающие в рамках требований 152-ФЗ [22, 27]. Крупные российские ИТ-вендоры и экосистемы (Яндекс, Сбер) уже предлагают встроенные инструменты расшифровки внутри своих платформ.

Третья тенденция — ужесточение регулирования. Практика применения ст. 272.1 УК РФ расширяется. По данным на начало 2026 года, правоохранительные органы стали привлекать к уголовной ответственности не только операторов «пробивных ботов», но и рядовых сотрудников, допустивших ошибки при обращении с персональными данными [8]. Это означает, что игнорирование правил работы с ПДн становится личным риском для конкретных людей, а не только корпоративным.

Четвёртая тенденция — локальная обработка как стандарт для чувствительных данных. Инструменты на базе открытого исходного кода с обработкой на устройстве (как Meetily) сейчас нишевы, но интерес к ним растёт по мере того, как корпоративные юридические службы начинают осознавать риски облачных решений [16, 65]. Для медицинских организаций, юридических фирм и государственных структур локальная обработка, скорее всего, станет обязательным требованием.

Пятая тенденция — регуляторные инициативы по прозрачности. В ЕС AI Act добавляет требования к прозрачности и управлению рисками для ИИ-систем, обрабатывающих данные на рабочем месте. В России аналогичного специализированного регулирования пока нет, но общий вектор ужесточения требований к ПДн сохраняется — данные в открытых источниках не указывают на планы ослабить действующие нормы.

Заключение: что делать дальше

ИИ-боты для расшифровки встреч — не игрушка и не нейтральный инструмент продуктивности. Это полноценная система обработки персональных данных, затрагивающая одновременно несколько категорий: голос (потенциально биометрия), содержание разговоров (имена, финансовая информация, данные о здоровье), а также данные участников, которые никогда не давали никакого согласия.

Российское законодательство 2024–2025 годов существенно повысило ставки: штрафы выросли на порядок, появилась уголовная ответственность, требования к локализации стали жёстче. Игнорировать это в 2026 году — значит осознанно принимать на себя регуляторный риск.

Что сделать прямо сейчас:

1. Провести инвентаризацию всех ИИ-нотейкеров, которые используются в компании — включая личные аккаунты сотрудников.
2. Проверить, где хранятся данные у каждого из используемых вендоров; для иностранных сервисов — оценить соответствие требованиям локализации.
3. Принять внутреннюю политику использования ИИ-ассистентов для встреч с явным перечнем одобренных инструментов.
4. Обеспечить уведомление участников о записи и, там где это требуется, получить надлежащее согласие.
5. Выстроить процесс непрерывного мониторинга: где и какие ПДн появляются в корпоративных системах, включая данные из интегрированных ИИ-сервисов.

Источники

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 24.06.2025) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] Ст. 11 ФЗ-152 «Биометрические персональные данные» (КонсультантПлюс) — https://www.consultant.ru/document/cons_doc_LAW_61801/7336c78762a98b5f4f698b8c3800dca1111acc16/

[3] КонсультантПлюс: новые штрафы с 30 мая 2025 года (ФЗ-420) — https://www.consultant.ru/legalnews/28492/

[4] Voicee.ru — Транскрибация и ФЗ-152: чем опасны иностранные сервисы — https://voicee.ru/resources/blog/transkribaciya-fz-152-riski-inostrannyh-servisov

[5] Speech2text.ru — Стенограмма встречи: AI для Zoom, Google Meet и Телемоста — https://speech2text.ru/blog/ai-transkribaciya-vstrech

[6] Klerk.ru — Персональные данные с 1 сентября 2025 года: согласие, соцсети и чат-боты — https://www.klerk.ru/user/2037110/659750/

[7] Comply.ru — Локализация и трансграничная передача ПДн с 1 июля 2025 — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[8] CNews — В России ужесточили применение статьи 272.1 УК против ботов для пробива — https://www.cnews.ru/news/top/2026-01-13_v_rossii_rasshireno_primenenie

[9] WCR Consulting — Локализация баз данных ПДн: новые требования 2025–2026 — https://wcr-consulting.com/blog/2026/03/13/lokalizaciya-baz-dannyh-personalnyh-dannyh/

[10] Fellow.ai — AI Meeting Assistant Security and Privacy: A Guide for 2025 — https://fellow.ai/blog/ai-meeting-assistant-security-and-privacy/

[11] AnyBodyCanPrompt — The Next Big Privacy Scandal? AI secretly recording your Zoom calls — https://www.anybodycanprompt.com/p/the-next-big-privacy-scandal-ai-secretly

[12] Dev.to — Are AI Meeting Assistants Safe? Privacy Risks with Cloud Transcription (2026) — https://dev.to/sujiths/are-ai-meeting-assistants-safe-privacy-risks-with-cloud-transcription-4a23

[13] FutureWorkforceSystems — The Bot in the Room — https://www.futureworkforcesystems.com/post/thebotintheroom

[14] Babst Calland — Eavesdropping by Algorithm: Legal Risks of AI Meeting Assistants — https://www.babstcalland.com/news-article/eavesdropping-by-algorithm-legal-risks-of-ai-meeting-assistants/

[15] Stanford HAI — Be Careful What You Tell Your AI Chatbot — https://hai.stanford.edu/news/be-careful-what-you-tell-your-ai-chatbot

[16] Meetily.ai — Are AI Meeting Assistants Safe? Privacy Risks Exposed (2026 Guide) — https://meetily.ai/blog/ai-meeting-assistants-safe-privacy-risks

[17] Habr/Beget — Чат-боты на базе LLM и приватность: что происходит с нашими данными — https://habr.com/ru/companies/beget/articles/980306/

[18] VC.ru — Лучшие ИИ-ассистенты для записи встреч и саммари: обзор 2026 — https://vc.ru/ai/2797578-luchshie-ii-assistenty-dlya-zapisi-vstrech-i-sammari-obzor

[19] Smith Anderson — The Silent Guest in Your Meetings: Legal Risks of AI «Note-Takers» — https://www.smithlaw.com/newsroom/publications/the-silent-guest-in-your-meetings-legal-risks-of-ai-note-takers

[20] Bloomberg Law — AI Transcription in Virtual Meetings Brings Risks to Businesses — https://news.bloomberglaw.com/us-law-week/ai-transcription-in-virtual-meetings-brings-risks-to-businesses

[21] CISOCLUB — Хранение персональных данных за границей: что разрешено, что запрещено (2025) — https://cisoclub.ru/hranenie-personalnyh-dannyh-za-granicej-chto-razresheno-chto-zapreshheno-i-kak-sobljusti-lokalizaciju-v-2025-godu/

[22] Imot.io — Запись звонков и 152-ФЗ: как не получить штраф — https://imot.io/tpost/152fz-recording

[23] Confidantly.ai — How AI Meeting Tools Handle Your Data: Privacy, Retention, and Security Explained — https://www.confidantly.ai/blog/how-ai-meeting-tools-handle-your-data

[24] ReedSmith — The legality of AI-powered recording and transcription (2025) — https://www.reedsmith.com/our-insights/blogs/employment-law-watch/102ls2n/the-legality-of-ai-powered-recording-and-transcription/

[25] Kaiten.ru — Лучшие ИИ для записи встреч и виртуальные ассистенты: рейтинг 2026 — https://kaiten.ru/blog/nejroseti-dlya-zapisi-vstrech/

[26] Habr/MoySklad — Роскомнадзор ужесточил штрафы за персданные (2026) — https://habr.com/ru/companies/moysklad/articles/994568/

[27] Systems.education — Обзор AI-агентов для расшифровки встреч — https://systems.education/meeting-ai

[28] American Bar Association — AI and You: Confidentiality Risks of Using Transcription and Note-Taking Software — https://www.americanbar.org/groups/gpsolo/resources/ereport/2025-september/ai-you-confidentiality-risks-meeting-transcription-note-taking-software/

[29] Fordham University Privacy Blog — AI Notetakers in Meetings: Balancing Efficiency with Privacy and Risk — https://privacy.blog.fordham.edu/ai-notetakers-in-meetings-balancing-efficiency-with-privacy-and-risk/

[30] B-152.ru — Хранение персональных данных за границей (2025) — https://b-152.ru/hranenie-personalnyh-dannyh-za-granicej