Одна из корпораций в США начала собирать движения мыши, нажатия клавиш и скриншоты экранов сотрудников. Цель — обучать ИИ‑агентов для рутинной работы. Есть ли в России такие технологии и где грань между допустимым контролем и вторжением в личную жизнь
Фото: Wasan Tita / Shutterstock
Этот материал входит в раздел «РБК Образование», где мы рассказываем, как развивать навыки, принимать взвешенные решения и двигаться по карьере осознанно.
Школа управления РБК — образовательный проект медиахолдинга, ориентированный на развитие руководителей. Встречаемся каждый четверг в 19:00 на онлайн-событиях, где вместе решаем сложные управленческие задачи.
С темами и спикерами можно познакомиться здесь.
Meta Platforms (деятельность корпорации Meta признана в России экстремистской и запрещена) начала устанавливать на компьютеры своих сотрудников в США новое программное обеспечение для отслеживания — Model Capability Initiative (MCI). Оно фиксирует движения мыши, клики, нажатия клавиш и периодически делает снимки экранов. Собранные данные компания планирует использовать для обучения моделей искусственного интеллекта, которые в будущем смогут автономно выполнять рабочие задачи. Это часть масштабной инициативы по созданию ИИ-агентов, говорится во внутренних служебных записках Meta, с которыми ознакомилось агентство Reuters.
Цель, согласно документам, — улучшить модели ИИ в тех областях, где им трудно воспроизводить поведение человека за компьютером, например при выборе пунктов из выпадающих меню и использовании клавиатурных сочетаний. «Именно здесь все сотрудники Meta могут помочь нашим моделям стать лучше, просто выполняя свою ежедневную работу», — поясняется в одной из записок. Технический директор компании Эндрю Босворт подтвердил усиление внутреннего сбора данных, а ее представитель Энди Стоун заверил, что данные не будут использоваться для оценки эффективности сотрудников.
Тем временем Meta планирует сократить 10% персонала по всему миру, начиная с 20 мая. Внутри компании сотрудников уже призывают использовать ИИ-агентов для программирования, даже если это временно замедляет работу.
Зачем ИИ «подглядывать» за курсором и кликами человека
Как поясняет заведующий лабораторией доверенного искусственного интеллекта РТУ МИРЭА Юрий Силаев, Meta нужны такие данные, потому что для обучения ИИ-агентов, работающих через обычный пользовательский интерфейс, одной текстовой информации недостаточно. «Модели надо показывать не только то, что человек хотел сделать, но и как именно он это делает в живом интерфейсе: куда ведет курсор, когда кликает, как выбирает пункт в меню, использует горячие клавиши», — говорит он. Корпорация хочет улучшить именно те зоны, где модели пока слабо воспроизводят человеческую работу, например выбор из выпадающих меню и использование клавиатурных сокращений.
По мнению эксперта, для обучения ценны не сами движения мыши, а связка «текущий контекст на экране пользователя, действие пользователя, полученный результат». Такой подход полезен только при жесткой фильтрации данных. Метод хорошо подходит для рутинных задач: навигации по корпоративным системам, заполнения форм, работы с меню, кнопками, вкладками. «Но как только задача требует скрытого контекста, понимания бизнес-смысла, выбора между несколькими допустимыми стратегиями или осторожного обращения с чувствительными данными, сырые логи действий человека не дают гарантии качественного поведения агента», — объясняет Силаев.
Эксперт видит в этом как минимум три риска. Первый — качество данных: «в логах очень много шума, случайных движений, индивидуальных привычек». Модель выучит «человеческие артефакты». Второй — безопасность: скриншоты и нажатия клавиш могут захватывать чувствительную информацию. Третий — организационный: постоянное наблюдение меняет поведение сотрудников, компания получает данные работы «под запись». «В итоге даже сильные современные агенты пока заметно уступают людям на реалистичных задачах, а в отдельных корпоративных сценариях у них остаются выраженные проблемы с безопасностью», — считает эксперт.
Сбор движений мыши, кликов и нажатий клавиш позволяет создать высокодетализированную модель взаимодействия с интерфейсом, поясняет заместитель директора института интеллектуальных кибернетических систем НИЯУ МИФИ Валентин Климов. Это критически важно для разработки автономных ИИ-агентов, подчеркивает эксперт. Реальные действия пользователей точнее любых синтетических сценариев.
Правовые риски
У юристов подобные методы мониторинга вызывают опасения, отмечает Reuters: запись нажатий клавиш подвергает офисных сотрудников уровню слежки в реальном времени, который раньше был характерен для курьеров и работников гиг-экономики (привлечение на разовые работы, проекты). В США на федеральном уровне ограничений на слежку за работниками нет.
Но, как указывает профессор Йоркского университета Валерио Де Стефано, европейское право, скорее всего, запретило бы такой контроль: в Италии это прямо запрещено, в Германии регистрация нажатий клавиш допускается только в исключительных случаях, а сама практика может считаться нарушением Общего регламента ЕС по защите данных (GDPR). По его мнению, осведомленность о слежке смещает баланс власти на рабочем месте в пользу работодателя.
Управляющий партнер адвокатского бюро «Куприянов, Кириллова и партнеры» Артемий Куприянов объясняет принципиальную разницу в правовом климате России и США. По его словам, в Соединенных Штатах до сих пор нет единого федерального закона, регулирующего обработку персональных данных, в том числе с использованием искусственного интеллекта — основной пласт регулирования сосредоточен на уровне отдельных штатов. «Такая дыра в американском правовом регулировании очевидно развязывает руки работодателям и позволяет в том числе собирать данные с устройств пользователей», — отмечает он.
В России же, отмечает эксперт, ситуация сложнее, и ключевая причина — закон «О персональных данных». По общему правилу обработка персональных данных требует согласия субъекта, и это правило действует и в трудовых отношениях. Закон допускает обработку без согласия, но только в двух случаях, напоминает юрист: когда это необходимо для исполнения договора, стороной которого является человек, а также в статистических или исследовательских целях при условии, что данные обезличены.
«Использование ИИ для обезличенного сбора данных о клавишах, нажимаемых сотрудниками, с целью обучения ИИ может быть признано законной исследовательской целью, если такой сбор данных не раскрывает конкретных работников, чьи данные обрабатываются. В то же время снимки экранов рабочих устройств, очевидно, не подойдут под исследовательскую цель, предусмотренную законом, так как подобный способ обработки данных позволяет раскрыть личность работника», — отмечает Куприянов.
Пока на практике российские компании далеки от таких сценариев. По данным исследований «Работа.ру» и «СберПодбора», в российских компаниях мониторинг сотрудников широко распространен, но цели иные, рассказывает замгендиректора сервиса «Работа.ру» Александр Ветерков. «Пока нет данных о том, что российские компании в массовом порядке используют собранные данные для обучения ИИ. В России текущий фокус — на информационной безопасности, защите от утечек и контроле эффективности», — поясняет он.
Управляющий партнер адвокатского бюро «А-Про» Олег Попов подтверждает, что практика использования систем учета рабочего времени (СУРВ) и DLP-систем (предотвращения утечек) в российских корпорациях и банках распространена повсеместно, особенно на удаленке. Чем к большему массиву «чувствительной» информации работник имеет доступ, тем пристальнее внимание со стороны работодателя, добавляет партнер трудовой практики адвокатского бюро КИАП Юлия Паушкина.
Вступайте в сообщество Школы управления РБК в Telegram или «Максе», чтобы общаться с руководителями из разных сфер, выстраивать нетворкинг и получать советы экспертов.
Директор компании «ИТ Резерв» Павел Мясоедов напоминает, что практика слежения в России началась в эпоху ковида. «Компании для оптимизации расходов начали обязывать сотрудников устанавливать ПО, которое будет за ними следить, — поясняет он. — Основная причина — некоторые работники периодически имитировали работу». «Существуют два формата работы: BYOD («принеси свое устройство») и COBO («только рабочее устройство»). Установка ПО осуществляется на COBO-принципе. В этом случае работник мало что может возразить», — описывает он.
Партнер-основатель K&K Partners Яна Кириллова добавляет, что зачастую при дистанционном формате сотрудник сам устанавливает программу на свой ПК или ноутбук, которая автоматически направляет работодателю отчет со скриншотами — в среднем каждые 20–25 минут. Чаще такой способ контроля использовали онлайн-школы и компании, продающие дистанционные курсы. Обычно это обязательство негласное, но иногда прописывается в дополнительном соглашении. Для самозанятых это может быть условием договора, говорит она.
Чем кейс Meta отличается от российской практики
По словам Попова, юридическое оформление и целеполагание в России кардинально отличаются от инициативы Meta. Здесь работает локальный нормативный акт: сотрудник под личную подпись знакомится с Политикой использования ИТ-ресурсов или Положением о мониторинге. В документе строго перечислены цели мониторинга — защита коммерческой тайны, предотвращение утечек, контроль соблюдения режима рабочего времени. Отдельно оформляются уведомление о политике обработки данных и согласие на обработку персональных данных.
Эксперт указывает на два принципиальных отличия кейса Meta, которые сделали бы его незаконным в российской юрисдикции. Первое — нецелевое использование данных. Статья 86 Трудового кодекса РФ разрешает обрабатывать персональные данные работника исключительно для контроля количества и качества выполняемой работы и для обеспечения безопасности. В случае с Meta данные собираются для создания датасета и обучения нейросети, то есть «для извлечения коммерческой выгоды в будущем продукте». Для такой цели требуется отдельное добровольное согласие, которое не может быть навязано под угрозой увольнения.
Второе — признаки сбора биометрии. Клавиатурный почерк и паттерны движения мыши являются уникальными поведенческими характеристиками человека. С 1 июня 2025 года действуют ужесточенные требования к сбору биометрических персональных данных (федеральный закон № 572-ФЗ). Если работодатель собирает такие образцы без размещения в Единой биометрической системе или без отдельного согласия, это грубое нарушение с риском оборотного штрафа, считает Попов. «Сбор биометрического клавиатурного почерка в массовых трудовых отношениях в России не практикуется именно в силу высоких регуляторных рисков», — резюмирует юрист.
Заместитель председателя московской коллегии адвокатов «Альфа», преподаватель Финансового университета Кирилл Данилов дополняет: в России пока не принят закон, регулирующий использование ИИ, а сбор данных для контроля дисциплины и для обучения нейросетей — это разные юридические цели. Динамика нажатий и паттерны движений мыши могут быть признаны биометрическими данными, также считает он. Чтобы использовать их для машинного обучения, компании пришлось бы получать от каждого сотрудника отдельное письменное согласие, которое тот вправе отозвать в любой момент. На практике российские компании, по словам Данилова, используют DLP-системы, тайм-трекеры и видеонаблюдение, оформляя это локальными актами и политиками обработки данных. «Отсутствие такого оформления не всегда автоматически делает сбор данных незаконным, но существенно повышает риск претензий со стороны работника и контролирующих органов», — предупреждает эксперт.
В целом, по мнению Мясоедова, вся история о сборе поведенческих паттернов «очень двояка с моральной точки зрения». «Но существует альтернативный взгляд: время, за которое платит работодатель, принадлежит работодателю. Результаты труда, полученные в это время, тоже принадлежат ему. Поэтому он волен монетизировать их дополнительным образом», — рассуждает эксперт.
Когда работодатель вправе следить, а когда нарушает закон
Как подчеркивает Данилов, граница проходит там, где контроль перестает быть необходимым для трудовых целей и начинает затрагивать частную жизнь сотрудника. Даже на рабочем компьютере работодатель не получает неограниченного доступа к личной информации. «Если программа делает случайный снимок экрана в момент, когда сотрудник зашел в личный онлайн-банк или открыл личный мессенджер, работодатель фактически вторгается в его частную жизнь», — отмечает эксперт. При этом Данилов напоминает: в рабочее время и на рабочем компьютере работник не должен заниматься личными делами. «Чтобы защитить себя в суде, российские работодатели обычно официально, под роспись, запрещают сотрудникам использовать рабочую технику в личных целях. Это снижает ожидание приватности работника, но не освобождает работодателя от обязанностей по Конституции, ТК РФ и закону № 152-ФЗ (о персональных данных)», — указывает он.
Попов проводит две ключевые границы. Первая — пространственно-временная: работодатель вправе знать, запускает ли сотрудник CRM-систему или рабочую почту в рабочее время. «Но если ПО начинает фиксировать движения мыши во время входа в личный интернет-банк в обеденный перерыв или содержание личной переписки в мессенджере — это прямое нарушение тайны переписки и неприкосновенности частной жизни, гарантированных статьями 23 и 24 Конституции», — указывает Попов.
Вторая — содержательная граница: работодатель вправе получить отчет, что сотрудник нажал кнопку «Сохранить» в договоре. «Но собирать данные, как именно дрожит рука на мышке или с какой скоростью человек думает над текстом, — это сбор избыточных и психофизиологических данных. В России сбор таких данных ради обучения ИИ, который впоследствии должен заменить сотрудника, может быть расценен не просто как вмешательство, а как злоупотребление правом со стороны работодателя (ст. 3 ТК РФ) и нарушение принципа добросовестности», — категоричен адвокат.
Паушкина подтверждает: работодатель вправе контролировать, чем сотрудник занимается в рабочее время и как использует оборудование. Все больше компаний вносят в трудовые договоры или локальные акты обязанности не использовать рабочие компьютеры в личных целях, не посещать развлекательные сайты, не устанавливать стороннее ПО. Как правило, этим обязанностям «соответствует право работодателя контролировать их соблюдение». Однако, предупреждает Паушкина, важно, чтобы работник был ознакомлен с такими правилами заранее. Скрытый мониторинг, о котором он не был предупрежден, может рассматриваться как вмешательство в личную жизнь, считает она.
Ветерков предполагает, что внедрение систем тотального мониторинга без прозрачного информирования способно привести к кризису доверия между работодателем и сотрудниками. «Хотя использование DLP-систем в России в целом законно при условии уведомления сотрудников, работники часто воспринимают такую слежку как проявление недоверия», — резюмирует он.