Сам по себе ChatGPT закон нарушить способен, нарушает его конкретная практика: когда сотрудник вставляет в чат телефоны, паспорта и медкарты клиентов, данные уходят на зарубежные серверы без согласия и без правовых оснований. Риск возникает на стороне бизнеса, а на стороне сервиса. Разберём, где проходит граница по 152-ФЗ и как пользоваться языковой моделью спокойно.

Где возникает риск

TL;DR

ChatGPT как инструмент нейтрален. Нарушение по 152-ФЗ создаёт практика: сотрудник отправляет персональные данные клиентов в зарубежный сервис без согласия субъекта и без выполнения требований к трансграничной передаче. Обезличенные запросы и работа с типовыми текстами риска почти лишены. Чувствительные данные либо обезличивают, либо обрабатывают в локальном контуре.

В работе с компаниями я постоянно вижу одну картину. Менеджер копирует в чат таблицу с именами, телефонами и адресами клиентов и просит модель составить рассылку. Бухгалтер вставляет выписку с реквизитами и суммами. Юрист загружает договор с паспортными данными сторон. Каждый из этих шагов — передача персональных данных третьему лицу за рубеж, и именно тут 152-ФЗ начинает работать против бизнеса.

Закон защищает данные конкретного человека: фамилию вместе с телефоном, паспорт, медицинскую и финансовую информацию. Когда такие данные уходят в зарубежный облачный сервис, это считается трансграничной передачей. Она требует и согласия субъекта, и соблюдения формальных требований регулятора. Без этих оснований передача оказывается нарушением, а ответственность ложится на оператора данных, то есть на вашу компанию.

При этом огромная доля рабочих задач персональных данных вообще касается. Сочинить структуру коммерческого предложения, переписать текст письма, разобрать обезличенную статистику продаж, собрать черновик регламента — всё это проходит без единого имени клиента. Риск концентрируется в узком наборе действий, и именно их берут под контроль в первую очередь.

  • Высокий риск: фамилия с телефоном, паспортные данные, медицинские и финансовые сведения клиентов
  • Средний риск: договоры и документы со сторонами, переписка с упоминанием конкретных людей
  • Низкий риск: обезличенная статистика, типовые тексты, шаблоны без привязки к человеку
  • Почти без риска: общие вопросы, структура документа, переписывание готового текста

Что говорит 152-ФЗ

Закон строит вашу ответственность вокруг роли оператора персональных данных. Если ваша компания собирает данные клиентов, она отвечает за каждый их перенос, включая отправку в чат с нейросетью. Ключевых требований здесь два: правовое основание на обработку и отдельные условия для трансграничной передачи. Зарубежное расположение серверов ChatGPT делает второе требование обязательным почти всегда.

  1. Определите, выступает ли ваша компания оператором персональных данных по своим процессам
  2. Разберите, какие именно данные сотрудники реально отправляют в чат с моделью
  3. Проверьте правовое основание на обработку: согласие субъекта или иное основание закона
  4. Оцените трансграничную передачу: сервер сервиса за рубежом подпадает под отдельные требования
  5. Закройте чувствительные сценарии: обезличивание данных либо локальный контур обработки
  6. Закрепите правила в регламенте и обучите команду, что именно отправлять в чат запрещено
// Что важно помнить

Эта статья объясняет логику риска, а заменяет юридическую консультацию по вашему конкретному процессу. Формулировки 152-ФЗ и требования регулятора уточняйте по актуальной редакции закона и при необходимости с профильным юристом. Здесь мы даём ориентир для управленческого решения, а готовое заключение.

Как работать безопасно

Безопасная работа строится на одном принципе: чувствительные данные в зарубежный чат вообще попадают. Для этого процесс перестраивают так, чтобы модель получала задачу без привязки к конкретному человеку. Обезличивание закрывает большинство сценариев дёшево: вы заменяете имя на «клиент», телефон на метку, и модель спокойно готовит текст, а данные клиента остаются у вас.

СценарийБезопасный путьКогда нужен локальный контур
Рассылка по базе клиентовОбезличенный шаблон, имена подставляет ваша системаКогда модель должна видеть реальную базу целиком
Разбор договоровУдаление паспортных данных перед отправкойКогда документы массовые и чистить вручную дорого
Поддержка клиентовОтветы из обезличенного регламентаКогда бот работает с реальными данными заявок
Финансовые и медданныеЛокальная модель в контуре компанииПочти всегда — это особо чувствительная категория

Когда обезличить данные технически тяжело или их особо чувствительная категория, выбирают локальный контур. Языковую модель разворачивают на сервере компании или в доверенной российской инфраструктуре, и данные за периметр организации вообще выходят. Это дороже обычной подписки, зато снимает вопрос трансграничной передачи полностью — а это как раз тема, которую мы разбираем на разборе процессов.

Стоимость локального решения держится заметно выше обычной подписки и зависит от мощности модели и объёма задач, точную смету считают под конкретный процесс. Для большинства компаний разумный путь — комбинация: типовые обезличенные задачи уходят в обычный чат, а работа с реальными персональными данными остаётся в локальном контуре. Так бизнес получает скорость нейросети без риска по 152-ФЗ.

● Discovery · 1 час · бесплатно

Покажите, какие данные ваши сотрудники реально отправляют в нейросеть, и я разложу, где возникает риск по 152-ФЗ и чем его закрыть. Разберём это на бесплатном часовом созвоне.

Прийти на Discovery →

Чем грозит нарушение

Ответственность за утечку и неправомерную передачу персональных данных лежит на операторе, то есть на компании, а на сотруднике, который вставил данные в чат. Регулятор рассматривает такую отправку как обработку без должных оснований, и санкции тут административные, а в тяжёлых случаях идут дальше. Сумма штрафа зависит от состава и масштаба, и эти величины ужесточаются год от года.

// Где человек остаётся главным

Решение, какие данные допустимо отправлять в нейросеть, держит руководитель и юрист компании, а сама модель. Регламент, согласия субъектов и выбор контура обработки — это зона человека. Нейросеть ускоряет работу с обезличенными задачами, а ответственность за персональные данные остаётся на операторе.

Помимо штрафа компания рискует репутацией и доверием клиентов. Утечка контактов или медицинских сведений бьёт по бренду сильнее разовой санкции, а вернуть доверие потом дорого и долго. Поэтому правило отправлять чувствительные данные в зарубежный чат защищает сразу с двух сторон: и от регулятора, и от куда более болезненного репутационного удара.

  • Оператор данных — ваша компания, ответственность лежит на ней, а на сотруднике
  • Передача персональных данных за рубеж без оснований трактуется как нарушение
  • Размер санкций зависит от состава и масштаба и ужесточается год от года
  • Репутационный ущерб от утечки часто тяжелее самого штрафа

Что делать бизнесу

Практический вывод простой: нейросетью пользоваться можно и нужно, риск создают конкретные данные в запросе, а сам инструмент. Компания сначала разбирает, что сотрудники реально отправляют в чат, закрывает чувствительные сценарии обезличиванием или локальным контуром и закрепляет правила в регламенте. После этого команда работает с моделью спокойно и в рамках закона.

Заодно команда привыкает отделять безопасные задачи от рискованных сама. Поначалу границу вы прорисовываете вместе со мной и юристом, дальше сотрудники сами видят, где данные клиента и их обезличивать. Этот навык остаётся с компанией надолго: меняются сервисы и редакции закона, а культура аккуратной работы с данными уже встроена в процессы.

Сложность здесь в честной оценке реальных сценариев и в выборе между обезличиванием и локальным контуром под каждый процесс. Частый провал — компания либо запрещает нейросети целиком и теряет скорость, либо пускает всё на самотёк и копит риск утечки. На разборе процессов мы вместе смотрим на ваши данные и выбираем путь, который держит и скорость, и закон.

Частые вопросы

Нарушает ли сам ChatGPT закон о персональных данных?
Сам сервис нейтрален, нарушение создаёт практика использования. Риск по 152-ФЗ возникает, когда сотрудник отправляет персональные данные клиентов в зарубежный чат без согласия субъекта и без выполнения требований к трансграничной передаче. Ответственность лежит на компании как операторе данных, а на сервисе.
Можно ли вообще пользоваться ChatGPT в российской компании?
Можно, и большинство рабочих задач риска лишены: структура документа, переписывание текста, разбор обезличенной статистики. Граница проходит по чувствительным данным конкретного человека. Их обезличивают перед отправкой либо обрабатывают в локальном контуре, и тогда работа с моделью идёт в рамках закона.
Что считается передачей персональных данных за рубеж?
Отправка данных клиента в облачный сервис с серверами за пределами России считается трансграничной передачей. ChatGPT хранит и обрабатывает запросы за рубежом, поэтому фамилия с телефоном, паспорт или медицинские сведения в чате подпадают под отдельные требования 152-ФЗ к такой передаче.
Как пользоваться нейросетью без нарушения 152-ФЗ?
Главный приём — обезличивание: имя меняют на метку, телефон убирают, и модель работает с задачей без привязки к человеку. Для особо чувствительных данных разворачивают локальную модель в контуре компании, чтобы данные за периметр вообще выходили. Правила закрепляют в регламенте и обучают команду.
Кто отвечает за утечку — сотрудник или компания?
Ответственность несёт оператор персональных данных, то есть компания, а конкретный сотрудник. Регулятор рассматривает неправомерную передачу как обработку без оснований. Санкции административные, а размер зависит от состава и масштаба и ужесточается год от года, поэтому правила работы с данными вводят заранее.
Поможет ли локальная модель решить вопрос с законом?
Локальная модель на сервере компании снимает вопрос трансграничной передачи: данные за периметр организации вообще выходят. Это дороже обычной подписки и подходит для особо чувствительных категорий вроде финансовых и медицинских сведений. Разумный путь — комбинация локального контура и обезличенных задач в обычном чате.