Приватность AI 2026: что реально уходит в облако и где локальный AI помогает

Приватность AI нельзя сводить к фразе «данные не уходят». В облачных ChatGPT, Claude, Gemini, Yandex AI Studio и DeepSeek риск возникает из-за передачи промптов, файлов, метаданных, логов, human review, retention и юридического доступа к серверной инфраструктуре. В локальном Ollama/Open WebUI риск ниже по другому классу угроз: модель может работать на вашем железе, но приватность всё равно зависит от настроек WebUI, RAG-хранилища, внешних инструментов, бэкапов и сетевой изоляции.

Этот материал для владельцев бизнеса, юристов, разработчиков, врачей, финансовых команд и редакций, которым нужно понять не «какой AI самый приватный», а какую схему можно безопасно использовать с клиентскими документами, кодом, договорами, коммерческими условиями и персональными данными.

Главное

• Consumer-версии облачных AI не стоит считать приватным сейфом: у них есть настройки отказа от обучения, но запрос всё равно обрабатывается на сервере провайдера.
• API, Business, Team, Enterprise и Cloud-версии обычно дают лучшее управление данными, чем бесплатный чат, но это всё ещё доверие внешнему провайдеру и его контрактам.
• Локальный Ollama снижает главный риск: промпт и файлы могут обрабатываться на вашем устройстве без отправки провайдеру модели.
• Локальный Open WebUI не равен автоматической секретности: документы могут сохраняться в SQLite/PostgreSQL, ChromaDB/PGVector, файловом storage, логах, бэкапах и синхронизации.
• Для sensitive work нужен threat model: какие данные защищаем, от кого, где они сохраняются, какие внешние вызовы разрешены и кто имеет доступ к админке.

Что проверено в мае 2026

Я сверил публичные политики и документацию OpenAI, Anthropic, Google Gemini, Yandex AI Studio, Ollama и Open WebUI, а также посмотрел практические обсуждения в Reddit LocalLLaMA, r/privacy, r/ClaudeAI и GitHub issues Open WebUI. Форумы использованы только как сигнал реальных проблем внедрения: забытые внешние embedding API, временные файлы, RAG-хранилища, плагины, cloud storage и логи. Точные факты ниже опираются на официальные документы, а не на комментарии пользователей. В нашей практике с локальными AI-серверами почти все privacy-вопросы упираются не в модель, а в storage, бэкапы, внешние tools и права администратора.

Карта рисков: облако, API и локальный стек

Что делают облачные AI-сервисы с вашими данными

OpenAI ChatGPT

В ChatGPT есть настройка Settings -> Data Controls -> Improve the model for everyone. Если её выключить, новые разговоры остаются в истории, но не используются для обучения ChatGPT. Temporary Chat не попадает в историю и не используется для обучения, но OpenAI указывает, что такие чаты удаляются из систем после 30 дней и могут просматриваться только для мониторинга abuse.

Важная граница: отказ от обучения не делает consumer-чат локальным или end-to-end encrypted. Запрос всё равно проходит через инфраструктуру OpenAI. Для бизнес-продуктов и API OpenAI отдельно указывает, что inputs/outputs по умолчанию не используются для обучения, если организация явно не opt-in. Для части API-клиентов существуют Modified Abuse Monitoring и Zero Data Retention, но это не настройка «для всех по умолчанию», а режим с eligibility и дополнительными требованиями.

Anthropic Claude

У Anthropic consumer-продукты Claude Free, Pro, Max и Claude Code под этими аккаунтами имеют отдельную настройку model improvement. Если пользователь разрешает использовать чаты или coding sessions для улучшения Claude, Anthropic может хранить de-identified данные в training pipelines до 5 лет. Если настройка выключена, новые чаты и coding sessions не используются для будущего обучения; уже попавшие в training runs или обученные модели нельзя «откатить» задним числом.

Для Team, Enterprise, API, third-party platforms и Claude Gov Anthropic указывает другой режим: prompts/code не используются для обучения generative models по commercial terms, если клиент сам не выбрал sharing.

Google Gemini

В Gemini Apps Activity Google описывает два важных режима. Когда активность включена, Google использует activity для предоставления, развития и улучшения сервисов, включая training generative AI models, а часть данных может проходить human review. Данные, просмотренные service providers, отсоединяются от аккаунта и сохраняются до 3 лет. Если Gemini Apps Activity выключена, будущие chats не используются для обучения AI models, кроме добровольного feedback, но будущие чаты всё равно сохраняются 72 часа для ответа, обработки feedback и защиты сервиса.

Отдельно Google предупреждает, что другие настройки аккаунта, например Web & App Activity или Location History, могут продолжать сохранять данные в других сервисах. Для privacy-аудита это важно: недостаточно выключить один переключатель внутри Gemini, если рабочий процесс тянет Google Drive, Gmail, NotebookLM, YouTube, Android voice и connected apps.

Yandex AI Studio / YandexGPT API

Для Yandex Cloud AI Studio есть отдельная настройка логирования API-запросов. В документации Yandex Cloud указано: по умолчанию модели сохраняют данные запросов; если в запросах есть персональные, конфиденциальные или чувствительные данные, нужно отключать логирование заголовком x-data-logging-enabled: false или параметром SDK enable_server_data_logging=False. Запросы с отключённым логированием не сохраняются на серверах Yandex Cloud.

Это хороший пример практической разницы между «модель доступна через API» и «контур готов для sensitive data». Если команда не проверила заголовки, SDK и reverse proxy, она может думать, что работает приватно, хотя фактически оставляет server-side logs.

DeepSeek Cloud

DeepSeek лучше рассматривать отдельно от локально запущенных open-weight моделей. При работе через облачный сайт или API данные обрабатываются провайдером сервиса, а не «локальной моделью DeepSeek». Для privacy-sensitive сценариев это разные архитектуры: deepseek-r1 через Ollama на вашей машине и чат на сайте DeepSeek имеют разные поверхности риска.

Почему «локально» не значит «без рисков»

Локальный инференс решает одну большую проблему: промпт можно обработать без отправки в OpenAI, Anthropic, Google, Yandex или DeepSeek. Но данные всё равно где-то живут:

• история чатов в Open WebUI;
• загруженные PDF/DOCX/таблицы;
• chunks и embeddings в ChromaDB, PGVector, Qdrant или другой vector DB;
• системные и Docker-логи;
• бэкапы диска, Syncthing, Time Machine, rsync, NAS, S3/GCS/Azure;
• кэш OCR, speech-to-text, text-to-speech и web search;
• external tools, MCP servers, browser plugins и webhook-интеграции.

В GitHub issue Open WebUI #15105 пользователь описывал, что файлы из Temporary Chat оставались в backend storage после выхода из временного режима. Issue закрыт, но как сигнал внедрения он полезен: «temporary» в UI нужно проверять на уровне базы, файлового хранилища и retention job. В другой части документации Open WebUI прямо указано, что storage provider может быть local, S3, GCS или Azure, а default ChromaDB использует локальный persistent storage на SQLite. Значит, приватность локального стека зависит от того, куда смонтирован volume и кто имеет доступ к этому volume.

Threat model для приватного AI

Перед внедрением локального AI ответьте не «уходит ли промпт в облако», а на 10 конкретных вопросов.

Практический чек-лист настройки Ollama/Open WebUI

1. Зафиксировать локальный режим Ollama

Ollama в FAQ пишет, что при локальном запуске не видит ваши prompts или data. При этом в новых версиях есть cloud-hosted models и web search. Если нужен строго локальный контур, cloud features нужно отключить:

cat ~/.ollama/server.json

{
  "disable_ollama_cloud": true
}

Или переменной окружения:

OLLAMA_NO_CLOUD=1 ollama serve

Проверка во время инференса:

ss -tnp | grep ollama

Ожидание для локального режима: нет соединений с внешними API во время ответа модели. При первом скачивании модели внешний трафик нормален; это отдельная операция, не обработка ваших документов.

2. Не открывать Ollama наружу без reverse proxy и auth

Ollama по умолчанию слушает 127.0.0.1:11434. Если выставить OLLAMA_HOST=0.0.0.0, сервер станет доступен в сети. Это удобно для домашнего сервера, но опасно без firewall, reverse proxy, TLS и авторизации на уровне WebUI.

3. Проверить Open WebUI storage

В Open WebUI нужно отдельно проверить:

• DATA_DIR и Docker volume: где физически лежит база и uploads;
• STORAGE_PROVIDER: пустое значение означает local, но s3, gcs, azure уводят файлы в облачное хранилище;
• STORAGE_LOCAL_CACHE: при cloud storage локальная копия может сохраняться;
• VECTOR_DB: ChromaDB/SQLite, PGVector, Qdrant или другой backend;
• ENABLE_OTEL: OpenTelemetry по умолчанию выключен, но при включении traces/logs могут уходить в OTLP endpoint;
• AUDIO_STT_ENGINE и AUDIO_TTS_ENGINE: OpenAI, Azure, Deepgram, Mistral, ElevenLabs и другие engines меняют privacy model.

4. Разделить «чат» и «базу знаний»

RAG кажется безопасным, потому что модель локальная. На практике самый ценный актив — не модель, а база документов. Если загрузить договоры, письма и исходники в одну knowledge base, потом любой пользователь с широким доступом может случайно получить чужой фрагмент через retrieval.

Минимальная политика:

• отдельные collections под отделы или клиентов;
• запрет общего «all documents» для sensitive data;
• ручная проверка chunking/OCR перед массовой загрузкой;
• удаление исходных файлов после индексации только если это реально нужно и протестировано;
• backup/restore тест не реже 1 раза в квартал;
• журнал доступа к knowledge base.

5. Осторожно с plugins, tools и MCP

Форумы LocalLLaMA и GitHub discussions хорошо показывают типовую ошибку: команда ставит «локальный AI», а затем подключает web search, внешние tools, OpenAI-compatible endpoints, hosted embeddings или cloud sync. После этого вопрос уже не «локальная ли модель», а какие именно данные уходят каждому инструменту.

Правило для production: любой plugin/tool получает такой же security review, как интеграция с CRM или платежной системой. Нужно знать endpoint, auth, logs, retention, scope доступа и что именно отправляется в tool call.

Когда локальный AI действительно нужен

Локальный AI оправдан, когда ошибка передачи данных стоит дороже, чем железо и администрирование:

• юристы обрабатывают privileged materials и договоры клиентов;
• разработчики анализируют закрытый код, credentials, архитектуру и incident reports;
• медицина и healthtech работают с PHI/ПДн;
• бухгалтерия и финансы обрабатывают зарплаты, банковские выписки, управленческие отчёты;
• журналисты защищают источники и неопубликованные материалы;
• компания обязана держать данные в конкретной юрисдикции или внутри периметра;
• команда хочет offline-режим без зависимости от санкций, блокировок, тарифов и лимитов API.

Облако остаётся нормальным выбором для нечувствительных задач, быстрых прототипов, сложных reasoning-задач и сценариев, где у вас есть Enterprise/API-контракт с нужными data controls. Это не вопрос веры в «облако плохое, локальное хорошее», а вопрос соответствия угрозе.

Сравнение вариантов внедрения

AI Home Server — это готовый мини-сервер с локальным AI-стеком: Ollama, Open WebUI, выбранные модели, Telegram-бот и настройки под ваш сценарий. В privacy-sensitive конфигурации я отключаю внешние AI endpoints, фиксирую storage, разделяю RAG-хранилища и документирую, какие данные где сохраняются. Это не обещание «абсолютной приватности», а понятная архитектура с меньшей поверхностью риска.

Что проверять перед заказом или самостоятельной установкой

• Какие модели нужны: Qwen, Llama, Gemma, DeepSeek-R1, Mistral или специализированная coder-модель.
• Нужен ли web search. Если да, какие запросы можно отправлять наружу.
• Нужен ли RAG по документам. Если да, кто видит каждую коллекцию.
• Нужна ли история чатов или лучше auto-delete.
• Нужны ли голос, OCR, Telegram, браузерные расширения, n8n, MCP tools.
• Где будут backups и шифруются ли они.
• Можно ли физически украсть устройство и что тогда откроется.
• Кто обновляет модели, Docker images и security patches.
• Как проверить, что после обновления не включились внешние endpoints.

FAQ

Локальный AI гарантирует, что данные никогда не утекут? Нет. Он снижает риск передачи провайдеру модели, но не защищает от malware, слабых паролей, открытого порта, неверных прав в Open WebUI, утечки backup-диска или внешнего plugin.

Можно ли просто выключить обучение в ChatGPT и считать это приватным? Для многих бытовых задач — да, этого достаточно. Для клиентских документов, кода, коммерческой тайны и персональных данных — нет: запрос всё равно обрабатывается на сервере OpenAI, а не внутри вашего периметра.

Чем API лучше обычного чата? У API и business-планов обычно строже условия по training by default и больше controls. Но API не отменяет вопрос retention, abuse monitoring, логов, юрисдикции, доступа сотрудников и договорных обязательств.

RAG хранит исходные документы или только embeddings? Зависит от инструмента и настроек. Open WebUI может хранить uploads, metadata, chunks и vector DB. Даже embeddings и chunks могут раскрывать содержание документа, поэтому RAG-хранилище нужно защищать как базу данных с конфиденциальной информацией.

Нужно ли отключать интернет на AI Home Server? Для строгого режима — да, хотя бы egress allowlist. Для обычной работы можно оставить обновления и скачивание моделей, но запретить внешние AI endpoints, web search и cloud storage без явного согласования.

Как быстро понять, что локальный контур сломан? Проверить сетевые соединения во время инференса, список env-переменных Open WebUI, наличие API keys, storage provider, vector DB path, Docker volumes и логи reverse proxy. Если есть OPENAI_API_KEY, ANTHROPIC_API_KEY, GOOGLE_API_KEY, STORAGE_PROVIDER=s3/gcs/azure или внешний embedding endpoint, это уже гибридный, а не полностью локальный контур.

Источники и что из них взято

• OpenAI Data Controls FAQ: настройки Improve the model for everyone, Temporary Chat, 30-day deletion window и training opt-out. https://help.openai.com/en/articles/7730893-data-controls-faq
• OpenAI model improvement policy: consumer opt-out, Temporary Chat, business/API default no-training, Zero Data Retention и Modified Abuse Monitoring. https://openai.com/policies/how-your-data-is-used-to-improve-model-performance/ https://developers.openai.com/api/docs/guides/your-data
• Anthropic Privacy Center и Claude Code data usage: consumer retention до 5 лет при включенном model improvement, commercial/API no-training по умолчанию. https://privacy.claude.com/en/articles/10023548-how-long-do-you-store-my-data https://code.claude.com/docs/en/data-usage
• Google Gemini Apps Privacy Hub: Gemini Apps Activity, human review, 72 часа при выключенной activity, retention reviewed data до 3 лет. https://support.google.com/gemini/answer/13594961
• Yandex Cloud AI Studio: отключение server-side logging через x-data-logging-enabled: false / enable_server_data_logging=False. https://yandex.cloud/ru/docs/foundation-models/operations/disable-logging
• Ollama FAQ: локальный запуск, cloud features, OLLAMA_NO_CLOUD, bind address и модель хранения. https://github.com/ollama/ollama/blob/main/docs/faq.mdx
• Open WebUI env configuration: persistent config, model access control, ChromaDB/SQLite, storage provider S3/GCS/Azure, OpenTelemetry, STT/TTS engines. https://docs.openwebui.com/reference/env-configuration/
• Open WebUI GitHub issue #15105: практический пример риска temporary files/backend storage. Использовано как community signal, не как единственный источник фактов. https://github.com/open-webui/open-webui/issues/15105
• Reddit LocalLLaMA / privacy discussions: практические сигналы по RAG, external tools, cloud sync, company data и local-vs-cloud tradeoffs. Использовано как сигнал рисков внедрения, а не как источник точных условий провайдеров. https://www.reddit.com/r/LocalLLaMA/comments/1n3vq5e/company_data_while_using_llms/ https://www.reddit.com/r/LocalLLaMA/comments/1ro71ou/the_silent_openai_fallback_why_llamaindex_might_be_leaking_your_100_local_rag_data/

Хотите локальный AI-контур для документов, кода или внутренней базы знаний без лишних внешних вызовов? Напишите в Telegram: @onoutnoxon. Я подберу конфигурацию, зафиксирую threat model и дам понятный чек-лист того, что где хранится.

Александр Руин, основатель habab.ru. Ресерч и ручная редактура: 2026-05-05. Материал подготовлен с использованием AI для структурирования черновика; фактические утверждения сверены с источниками выше.