Контракты с OpenAI, Anthropic и Google: на что обратить внимание перед подписанием
Ключевые риски в соглашениях с AI-провайдерами — от обучения на ваших данных до применимого права и SLA
📋 Содержание
📄 Контракты
🔒 Данные
⚖️ SLA & Право
🤖 AI-провайдеры
1. Почему важно читать условия AI-провайдеров
2. Free vs Enterprise: ключевые отличия по данным
Большинство компаний подключают ChatGPT, Claude или Gemini так же, как подписываются на любой SaaS: нажимают «I Agree» и начинают работать. Разница в том, что AI-провайдерам вы передаёте не просто запросы — вы передаёте данные своего бизнеса и своих клиентов. А это значит, что условия договора имеют прямые правовые последствия.
Вопрос «обучается ли провайдер на наших данных» — только первый в списке. За ним следуют вопросы о конфиденциальности, юрисдикции, ответственности за сбои и обязательствах перед регуляторами. Риски в AI-контрактах и структура AI-права становятся базовой частью compliance любой компании, серьёзно интегрирующей AI.
🗄️
Данные используются для обучения
На бесплатных тарифах провайдеры могут использовать ваши запросы для улучшения модели — по умолчанию и без явного уведомления
⚖️
GDPR-нарушение без DPA
Передача персональных данных клиентов AI-провайдеру без заключённого DPA — это нарушение GDPR с возможным штрафом до 4% оборота
📋
Споры по California law
Стандартные ToS крупных AI-провайдеров предусматривают юрисдикцию Калифорнии. Судиться с OpenAI из Дубая или Варшавы — совершенно другой разговор
2. Free vs Enterprise: ключевые отличия по данным
2
Что меняется при переходе на Enterprise
Переход с бесплатного или API-тарифа на Enterprise-соглашение меняет несколько ключевых условий. Для бизнеса, работающего с клиентскими данными или в регулируемых отраслях, разрыв между этими двумя форматами принципиальный. Про построение AI Governance политики важно думать параллельно с выбором тарифа.
⚠️ Free / Standard API
Стандартные условия
- Данные могут использоваться для обучения (opt-out требует явного действия)
- DPA не предоставляется или ограничен
- Нет SLA с финансовой гарантией доступности
- Нет гарантий data residency в конкретной юрисдикции
- Минимальные права на аудит и контроль данных
✅ Enterprise Agreement
Расширенные гарантии
- Явный no-training clause: данные не используются для обучения
- Полноценный DPA (Data Processing Agreement) для GDPR
- SLA с uptime-гарантиями и финансовой компенсацией
- Опция выбора data residency (EU, US и т.д.)
- Аудит-права и расширенная поддержка compliance
💡 Практический вывод: если вы обрабатываете через AI-провайдера данные клиентов, сотрудников
или любую конфиденциальную бизнес-информацию — Enterprise-соглашение не опция, а необходимость.
Использование стандартного API без проверки no-training статуса создаёт риски,
которые сложно устранить задним числом.
3. No-training clause — как убедиться, что данные не используются для обучения
4. Конфиденциальность данных клиентов — что передаётся провайдеру
3
No-training: что говорят провайдеры
No-training clause — условие, по которому провайдер обязуется не использовать ваши входящие данные (промпты, документы, файлы) для обучения или дообучения моделей. Звучит просто, но детали принципиально разные у каждого провайдера и для каждого продукта одной компании.
🟢 OpenAI
API: no-training по умолчанию- API (GPT-4o и т.д.): не обучается на данных по умолчанию
- ChatGPT Free/Plus: обучение включено, если не отключено вручную в настройках
- ChatGPT Enterprise / Team: явный no-training clause
- Важно: ChatGPT ≠ OpenAI API — разные продукты, разные ToS
🟣 Anthropic (Claude)
API: no-training зафиксировано- Claude API: не обучается на пользовательских данных
- Claude.ai (web): зависит от тарифа — проверить Privacy Settings
- Enterprise соглашения включают усиленный no-training
- Политика менее publicized, чем у OpenAI — требует чтения DPA
🔵 Google (Gemini)
Продукт-зависимо- Gemini API (Vertex AI): no-training по умолчанию
- Gemini в Google Workspace: зависит от workspace-настроек администратора
- Google Cloud Enterprise: стандартный DPA с no-training
- Бесплатный Gemini.google.com: проверить Data Activity Controls
Как проверить no-training статус за 3 шага:
1
Определите, какой именно продукт вы используете
ChatGPT ≠ OpenAI API ≠ ChatGPT Enterprise. Gemini.google.com ≠ Vertex AI. У каждого продукта отдельный ToS. Найдите актуальную версию ToS для вашего конкретного тарифа.
2
Проверьте раздел «Data usage» или «Privacy policy»
Ищите формулировки «we will not use your inputs to train» или «your data is not used to improve models». Отсутствие явного no-training — это не гарантия защиты.
3
При Enterprise — зафиксируйте в договоре отдельным пунктом
Ссылки на текущую политику недостаточно: провайдер может её изменить. В Enterprise-соглашении no-training clause должен быть явным договорным обязательством с конкретным формулировкой.
4. Конфиденциальность данных клиентов — что передаётся провайдеру
4
Что передаётся и как защитить
Вопрос не только в том, обучают ли провайдеры на ваших данных. Даже без обучения данные попадают на серверы провайдера, обрабатываются, хранятся определённое время. Для GDPR и многих других режимов защиты данных это уже требует правового основания — Terms of Use и DPA должны это отражать.
⚠️ Передаётся провайдеру
- Текст промптов и документов, загруженных в чат
- Содержание файлов, переданных для анализа
- Метаданные запросов (время, частота, тип использования)
- Персональные данные, если они присутствуют в тексте запроса
- IP-адрес и технические параметры сессии
✅ Обычно не собирается провайдером
- Данные в ваших системах, не переданные в запросе
- Корпоративная структура и финансовые данные (если не в промпте)
- Данные на локальных серверах и в изолированных средах
- Сведения, переданные через зашифрованный RAG без отправки провайдеру
⚠️
GDPR-требование: если вы передаёте в AI-провайдер персональные данные жителей ЕС
(имена клиентов, email, адреса), и при этом нет заключённого DPA — вы нарушаете GDPR.
Это не зависит от того, используются ли данные для обучения.
Для бизнеса в ОАЭ с EU-клиентами это добавляет трансграничный аспект —
подробнее в разделе об AI-бизнесе в ОАЭ.
5. SLA и ответственность — что провайдер гарантирует и что нет
6. Применимое право — юрисдикция споров
5
SLA и ограничение ответственности
AI-провайдеры предоставляют сервисы с жёсткими ограничениями ответственности. Если ваш продукт критически зависит от доступности OpenAI API, важно понимать: что именно гарантируется, как компенсируется простой и каков потолок финансовой ответственности провайдера.
⏱ SLA uptime (Enterprise)
99.9%
Типичный уровень для Enterprise API. Около 8 часов downtime в год в пересчёте. Стандартный API — без гарантий.
💰 Потолок ответственности
3–12 мес.
Большинство провайдеров ограничивают максимальную компенсацию суммой fees за 3–12 месяцев. Косвенные убытки исключены.
🔄 Компенсация за downtime
10–25%
Service credits в процентах от месячного счёта за период недоступности. Не денежная компенсация, а кредиты на будущее использование.
🚫
Косвенные убытки исключены полностью
Стандартный язык ToS: «in no event shall [provider] be liable for indirect, incidental, special, consequential damages». Если простой API привёл к потере клиентов или контракта — провайдер за это не отвечает.
⚠️
Ответственность за качество вывода модели — отсутствует
Провайдеры не гарантируют точность, актуальность или полноту ответов модели. «As is» — стандартная формулировка. Если AI-галлюцинация причинила ущерб клиенту — это ваша проблема.
📋
Что реально получить в Enterprise SLA
Uptime-гарантия с credits, приоритетная техподдержка с SLA на ответ (1–4 часа), dedicated CSM. Но не — гарантию качества модели или компенсацию бизнес-потерь.
6. Применимое право — юрисдикция споров
6
Где рассматривается спор
Этот пункт регулярно игнорируют при подключении AI-сервисов — и это ошибка. Юрисдикция определяет, по какому праву рассматривается спор и где физически нужно подавать иск. Для компании из Дубая, Варшавы или Сингапура разница огромная.
🟢 OpenAI
California, USA- Споры рассматриваются в штате Калифорния
- Применимое право: законодательство штата Калифорния
- Enterprise: возможна арбитражная оговорка
- Для EU-клиентов: дополнительно EU Data Processing Agreement
🟣 Anthropic
California, USA- Аналогично OpenAI: Калифорния
- Binding arbitration clause в стандартном ToS
- Class action waiver включён
- Enterprise DPA доступен для EU-рынка
🔵 Google (Gemini)
California / Ireland (EU)- Для EU-пользователей: Google Ireland Limited как контрагент
- EU-клиенты получают EU-юрисдикцию и EU DPA автоматически
- Google Cloud Enterprise: отдельное соглашение с выбором юрисдикции
- Наиболее гибкая позиция среди трёх провайдеров по GDPR
💡 Практический вывод: при споре с OpenAI или Anthropic компания из ОАЭ, КНР или ЕС
будет судиться в Калифорнии по американскому праву. В Enterprise-соглашении всегда
оговаривайте jurisdiction clause — хотя бы международный арбитраж (ICC, LCIA) как альтернативу.
💡
Для компаний, ведущих AI-бизнес в ОАЭ, добавляется локальный слой: PDPL/DIFC Data Protection и требования TRA.
AI-провайдерский контракт необходимо анализировать в связке с локальными обязательствами.
7. Сравнительная таблица: OpenAI / Anthropic / Google
Краткая сводка ключевых условий по трём провайдерам. Актуально на начало 2026 года — ToS регулярно обновляются, поэтому всегда проверяйте текущую версию на сайте провайдера перед подписанием Enterprise-соглашения.
| Параметр | OpenAI | Anthropic (Claude) | Google (Gemini) |
|---|---|---|---|
| Обучение на данных API (по умолчанию) | ✓ Нет — API не обучается по умолчанию | ✓ Нет — закреплено в ToS API | ✓ Нет — Vertex AI / Gemini API не обучается |
| Обучение на данных веб-интерфейса | ⚠ Условно — ChatGPT Free/Plus: opt-out нужен вручную | ⚠ Условно — Claude.ai: проверить Privacy Settings | ⚠ Условно — Gemini.google.com: зависит от аккаунта и настроек |
| Enterprise-соглашение доступно | ✓ Да — ChatGPT Enterprise / Team | ✓ Да — Claude Enterprise | ✓ Да — Google Cloud / Workspace Enterprise |
| DPA (GDPR) доступен | ⚠ Enterprise — только в Enterprise-пакете | ⚠ Enterprise — на запрос через Enterprise | ✓ Да — Google Cloud DPA доступен стандартно |
| SLA с uptime-гарантией | ⚠ Enterprise — 99.9% в Enterprise-плане | ⚠ Enterprise — условия в Enterprise-договоре | ✓ Да — Google Cloud SLA 99.9%+ с credits |
| Применимое право | California, USA | California, USA | EU: Irish law; США: California |
| Data residency опция | ⚠ Ограниченно — не все регионы | — Нет публичной опции data residency | ✓ Да — широкий выбор регионов включая EU |
| Потолок ответственности | Fees за 12 месяцев | Fees за 6–12 месяцев | Fees за 12 месяцев (стандарт GCP) |
✓ Зелёный — условие выполнено по умолчанию или доступно
⚠ Жёлтый — условно: требует Enterprise или настройки
— Серый — недоступно или не применимо
🔒
Данные и обучение
API-тарифы крупных провайдеров не обучаются на ваших данных по умолчанию. Веб-интерфейсы требуют явного opt-out или Enterprise-договора.
📄
DPA и GDPR
Передача персональных данных без заключённого DPA нарушает GDPR независимо от no-training статуса. Google предоставляет DPA наиболее стандартно.
⚖️
SLA и юрисдикция
SLA-гарантии — только Enterprise. Юрисдикция OpenAI и Anthropic — Калифорния. Google даёт EU-опцию. В Enterprise-договоре согласуйте арбитраж отдельно.
Проверим ваши контракты с AI-провайдерами
Анализ ToS и Enterprise-соглашений OpenAI, Anthropic, Google — по вашей юрисдикции,
типу данных и регуляторным требованиям. Разработка DPA, no-training clause
и Terms of Use для AI-продуктов.
🔍Аудит текущих контрактов — no-training статус, DPA, SLA, применимое право: что есть и чего не хватает
📋Переговоры по Enterprise-соглашению — no-training clause, data residency, jurisdiction, liability cap
🛡️Разработка DPA — Data Processing Agreement под GDPR, PDPL и другие применимые режимы защиты данных
⚙️Terms of Use для AI-продуктов — с AI-дисклеймером, ограничением ответственности и compliance под AI Act
⚠️
Важно: условия ToS AI-провайдеров меняются регулярно — иногда без явного уведомления. Если вы подключили сервис год назад и не перечитывали ToS, актуальные условия могут отличаться от тех, на которые вы соглашались.
💡
Если вы строите собственный AI-продукт на базе этих провайдеров — параллельно потребуется настроить распределение ответственности в AI-контрактах с вашими собственными клиентами.