Серверы OpenAI за рубежом и 152-ФЗ

OpenAI держит вычисления на серверах за пределами России, а закон 152-ФЗ требует, чтобы первичный сбор персональных данных граждан шёл через базы на территории страны. Отсюда конфликт, который пугает руководителей: можно ли вообще пользоваться ChatGPT в работе. Ответ зависит от того, какие именно данные вы отправляете и как настроен процесс. Под капотом ChatGPT — обычная языковая модель, и вопрос сводится к тому, что попадает в запрос.

Суть конфликта

TL;DR

Серверы OpenAI находятся за рубежом. Закон 152-ФЗ требует хранить и обрабатывать персональные данные россиян в базах на территории России (правило локализации). Прямая отправка ФИО, телефонов и паспортов клиентов в ChatGPT нарушает это требование. Безопасный путь — обезличивать данные перед запросом либо использовать российские модели для задач с персональными данными. Для текстов без личных данных ограничений почти нет.

Руководитель слышит две вещи одновременно. Первая: ChatGPT экономит часы работы команды. Вторая: данные россиян нельзя хранить за границей. Дальше включается осторожность, и компания либо запрещает нейросети совсем, либо закрывает глаза и шлёт в чат всё подряд. Оба варианта вредят — первый тормозит, второй создаёт реальный юридический риск.

Разберём механику. Статья 18 закона 152-ФЗ вводит правило локализации: при сборе персональных данных граждан России оператор обязан использовать базы, размещённые на территории страны. OpenAI обрабатывает запросы на зарубежных серверах и под российскую юрисдикцию подпадает. Поэтому когда вы вставляете в ChatGPT таблицу с ФИО и телефонами клиентов, данные физически уходят за рубеж и проходят обработку там. Это и есть точка нарушения.

Ключевой момент: закон ограничивает работу с персональными данными, а пользование инструментом как таковым. Половина задач бизнеса с нейросетью вообще обходится без личных данных — описания товаров, посты, черновики договоров без конкретных лиц, анализ обезличенных цифр. Здесь правило локализации просто нечего применять, потому что персональных данных в запросе нет.

Локализация по статье 18: первичные базы с персданными россиян — на территории России
Серверы OpenAI расположены за рубежом и под действие закона подпадают
Риск возникает в момент, когда личные данные клиента уходят в запрос
Тексты и расчёты без персональных данных под ограничение локализации попадают

Что разрешено

Граница проходит по типу данных, а по названию сервиса. Если в запросе нет сведений, по которым можно опознать конкретного человека, отправлять его в ChatGPT безопасно. Как только в текст попадают ФИО, телефон, адрес, номер договора или паспортные данные клиента — вы выходите в зону, где работает 152-ФЗ и нужна осторожность.

Что отправляете	Статус	Комментарий
Описание товара, пост, статья	Безопасно	Персональных данных нет, ограничений по локализации нет
Черновик договора без сторон	Безопасно	Шаблон без конкретных лиц данными считать нельзя
Обезличенная таблица продаж	Безопасно	Цифры без привязки к личностям клиентов
Список клиентов с ФИО и телефонами	Риск	Прямое нарушение локализации, так делать нельзя
Резюме кандидата, скан паспорта	Риск	Персональные данные, требуется отдельный контур

Самый практичный приём — обезличивание перед запросом. Вы убираете из текста всё, что указывает на конкретного человека, и заменяете нейтральными метками. Вместо «Иванов Пётр Сергеевич, +7 999 123-45-67, договор 451» в запрос уходит «Клиент А, телефон скрыт, договор номер один». Модель решает задачу по структуре текста, а личные данные остаются у вас. Это законно и закрывает большинство ситуаций, где нейросеть полезна.

// Простое правило для команды

Перед отправкой запроса спросите себя: можно ли по этому тексту опознать конкретного клиента или сотрудника. Если да — обезличьте или переключитесь на российскую модель. Если нет — отправляйте спокойно. Это правило проще любого регламента и его реально соблюдать каждый день.

Российские решения

Когда задача требует именно персональных данных и обезличивание невозможно, выход — модели, которые работают на серверах внутри страны. GigaChat от Сбера и YandexGPT обрабатывают запросы на российской инфраструктуре, и правило локализации для них выполняется по умолчанию. По качеству на русских текстах они для большинства деловых задач сопоставимы, а вопрос с зарубежными серверами снимается полностью.

Ещё более закрытый вариант — локальная модель на вашем собственном сервере. Тогда данные вообще покидают периметр компании. Это дороже в запуске и обслуживании, поэтому имеет смысл там, где данные особо чувствительны: медицина, финансы, юридическая тайна. Для типового малого бизнеса это избыточно, а для банка или клиники — рабочий сценарий.

На практике компании комбинируют подходы. Тексты и маркетинг гоняют через сильную зарубежную модель, потому что там нет персональных данных. Задачи с клиентскими списками и документами отдают российской модели или локальному решению. Такое разделение даёт и качество, и соблюдение закона одновременно — выбирать одно из двух здесь незачем.

GigaChat и YandexGPT: серверы в России, локализация выполняется по умолчанию
Локальная модель на своём сервере: данные остаются внутри периметра компании
Комбинированная схема: тексты — зарубежной модели, персданные — российской
Выбор зависит от чувствительности данных и бюджета на инфраструктуру

Как настроить процесс

Запрет нейросетей сверху ничего общего с безопасностью имеет: сотрудники продолжат пользоваться ChatGPT с личных телефонов, только уже бесконтрольно. Рабочий путь — выстроить понятный процесс, где у команды есть разрешённые инструменты и ясное правило, что куда отправлять. Тогда люди работают быстро и при этом внутри закона.

Составьте перечень данных, которые в вашей компании считаются персональными
Разделите задачи на две группы: с персональными данными и без них
Для задач без персданных разрешите команде сильную зарубежную модель
Для задач с персданными подключите российскую модель или обезличивание
Опишите правило одной страницей и проведите короткий инструктаж команды
Назначьте ответственного, который раз в месяц проверяет, как процесс работает

Отдельно стоит закрепить согласие клиентов на обработку данных и политику конфиденциальности — это базовое требование 152-ФЗ, которое действует независимо от нейросетей. Если у вас уже корректно собраны согласия и обезличены запросы к зарубежной модели, юридический риск падает до минимума. Тонкие случаи — медицина, банки, работа с детьми — лучше разобрать с юристом отдельно, потому что там действуют дополнительные нормы. Полезно держать одного ответственного, который раз в месяц просматривает реальные запросы команды и ловит ситуации, где личные данные просочились в текст по невнимательности. Такая регулярная проверка дешевле любого штрафа и держит процесс в порядке без лишней бюрократии.

● Discovery · 1 час · бесплатно

Расскажите, какие данные ходят в ваших процессах и где команда хочет применять нейросети, и я покажу безопасную схему под 152-ФЗ. Разобрать это можно на бесплатном часовом созвоне.

Прийти на Discovery →

Главный вывод

Серверы OpenAI за рубежом и требование 152-ФЗ хранить персональные данные россиян в России — это реальный конфликт, но касается он только запросов с личными данными. Тексты, расчёты и шаблоны без привязки к конкретным людям отправлять в ChatGPT можно без оглядки на локализацию. Это снимает большую часть страха, из-за которого компании запрещают нейросети целиком, и возвращает руководителю трезвый взгляд: инструмент работает, риск управляем, граница проходит по типу данных.

Безопасная работа держится на трёх вещах: обезличивание данных перед запросом, российские модели для задач с персданными и понятное правило для команды. Когда эти три элемента на месте, бизнес получает скорость нейросетей и остаётся в рамках закона. Запрет сверху проигрывает выстроенному процессу по обоим параметрам сразу.

// Что сделать на этой неделе

Возьмите пять последних запросов, которые ваша команда отправляла в ChatGPT, и проверьте каждый на наличие персональных данных клиентов. Этого хватит, чтобы понять, есть ли у вас проблема и насколько она серьёзна. Дальше — либо обезличивание, либо переключение части задач на российскую модель.

Частые вопросы

Можно ли вообще пользоваться ChatGPT в российской компании?

Да, для задач без персональных данных ограничений почти нет: описания товаров, посты, шаблоны договоров без конкретных лиц, обезличенные расчёты. Запрет действует на отправку личных данных россиян на зарубежные серверы, а сам инструмент закон разрешает.

Что именно нарушает 152-ФЗ при работе с OpenAI?

Нарушение возникает, когда персональные данные граждан России уходят в запрос к ChatGPT и обрабатываются на зарубежных серверах. Статья 18 требует, чтобы первичные базы с такими данными находились на территории России. ФИО, телефоны, адреса и документы клиентов под это требование подпадают.

Как обезличить данные перед отправкой в нейросеть?

Уберите из текста всё, по чему можно опознать конкретного человека, и замените нейтральными метками: «Клиент А», «телефон скрыт», «договор номер один». Модель решает задачу по структуре текста, а личные данные остаются у вас. Так большинство полезных запросов становятся законными.

Какие российские модели подходят для работы с персональными данными?

GigaChat от Сбера и YandexGPT обрабатывают запросы на серверах внутри страны, поэтому правило локализации для них выполняется по умолчанию. Для особо чувствительных данных в медицине или финансах разворачивают локальную модель на собственном сервере, чтобы данные вообще оставались внутри периметра компании.

Грозит ли компании штраф за использование ChatGPT?

Штраф грозит за нарушение правил обработки персональных данных, а сам факт использования нейросети штрафом ненаказуем. Если вы отправляете в ChatGPT только обезличенные тексты, а данные клиентов обрабатываете через российские решения, риск штрафа по этой линии минимален. Тонкие отрасли стоит отдельно проверить с юристом.

Стоит ли просто запретить нейросети в компании?

Запрет сверху редко работает: сотрудники продолжат пользоваться ChatGPT с личных устройств, только бесконтрольно. Рабочий путь — разрешённый набор инструментов и понятное правило, что куда отправлять. Тогда команда работает быстро и остаётся внутри закона одновременно.