Когда сотрудник отправляет в ChatGPT текст с фамилиями, телефонами или паспортными данными клиентов, эти данные уходят на серверы за рубежом. Это трансграничная передача персональных данных, и она попадает под жёсткие требования 152-ФЗ. Нарушение грозит штрафами и предписаниями Роскомнадзора. Ниже разберём, что именно нарушает закон, какие данные особенно опасны и как выстроить работу с языковой моделью законно.

Суть проблемы

TL;DR

ChatGPT работает на серверах за рубежом, поэтому любой ввод персональных данных в чат — это трансграничная передача под контролем 152-ФЗ. Закон требует уведомить Роскомнадзор и получить согласие субъектов до передачи, что для рутинной работы с чатом нереально. Безопасный путь — обезличивать данные перед отправкой либо использовать модель на серверах в России. Чувствительные категории данных через зарубежный чат гонять запрещено.

Юридически проблема выглядит так. Серверы ChatGPT расположены за пределами России. Как только в запрос попадают персональные данные — данные, по которым можно определить конкретного человека, — происходит их передача за границу. Закон 152-ФЗ относит это к трансграничной передаче и предъявляет к ней отдельные требования, которые в обычной рабочей переписке с чатом выполнить почти невозможно.

На практике сотрудники делают это незаметно для себя. Менеджер просит модель составить ответ клиенту и вставляет письмо целиком — с именем, телефоном и номером договора. Юрист загружает проект с реквизитами сторон. Каждый такой запрос формально является трансграничной передачей персональных данных третьему лицу в другой стране.

Требования закона

Закон 152-ФЗ разрешает трансграничную передачу, но обставляет её условиями. Передавать данные в страны с надлежащей защитой проще, в остальные — сложнее, и потребуется отдельное письменное согласие субъекта именно на трансграничную передачу. До начала передачи оператор обязан уведомить Роскомнадзор. Для разовых запросов в чат это требование выполнить нереально.

  • Уведомление Роскомнадзора о намерении передавать данные за границу до начала передачи
  • Отдельное письменное согласие субъекта именно на трансграничную передачу его данных
  • Оценка уровня защиты данных в стране получателя по правилам регулятора
  • Запрет передачи отдельных категорий данных в страны без надлежащей защиты
// Почему это ловушка для бизнеса

Получить согласие каждого клиента на передачу его данных именно в ChatGPT и уведомить регулятора под каждый сценарий — задача неподъёмная для рутины. Поэтому ввод реальных персональных данных в зарубежный чат на практике остаётся нарушением, даже когда сотрудник делает это из лучших побуждений и ради скорости.

Опасные данные

Степень риска зависит от категории данных. Обезличенный текст без привязки к человеку проблемы создаёт. Данные, по которым человека можно опознать, уже требуют осторожности. Специальные категории — здоровье, судимости и подобное — гонять через зарубежный чат запрещено почти при любых условиях. Чем чувствительнее данные, тем строже закон и тем выше штраф за нарушение.

Категория данныхМожно ли в зарубежный чатЧто делать
Обезличенный текст без имёнДопустимоРаботайте свободно, следите за случайными деталями
Имена, телефоны, реквизитыРискованноОбезличивайте перед отправкой или замените метками
Паспортные и финансовые данныеЗапрещено по фактуИсключите ввод в зарубежный сервис
Здоровье, судимость, биометрияПод запретомТолько локальная модель на серверах в России

Самая частая ошибка — загрузка документов целиком. Договор, медицинская выписка или резюме кандидата содержат сразу несколько категорий данных, и отправка такого файла в зарубежный чат нарушает закон даже при добрых намерениях. Прежде чем что-то отправить, мысленно спросите себя: можно ли по этому тексту узнать конкретного человека? Если да — текст требует обработки до отправки.

Как работать законно

Законных путей два, и они закрывают почти все рабочие задачи. Первый — обезличивать данные перед отправкой в чат: убирать имена, телефоны и реквизиты, заменяя их метками вроде «Клиент» и «Сумма». Модель прекрасно работает со структурой текста без реальных данных, а вы возвращаете подлинные значения уже в готовый результат на своей стороне.

  1. Опишите команде, какие данные считаются персональными и под запретом для ввода в зарубежный чат
  2. Введите простое правило: перед отправкой текст обезличивается, имена и реквизиты заменяются метками
  3. Для задач с реальными чувствительными данными подключите языковую модель на серверах в России
  4. Закрепите единый промпт-шаблон с обезличиванием, чтобы команда работала одинаково
  5. Раз в месяц проверяйте, что сотрудники соблюдают правило, и правьте его по живым ситуациям

Второй путь — модель, размещённая на серверах в России или на вашем собственном сервере. Тогда данные за границу вообще выходят, и вопрос трансграничной передачи снимается. Этот вариант обязателен там, где обезличить данные невозможно: в медицине, в банках, в работе с биометрией. Он дороже в настройке, зато закрывает требования закона целиком.

// Простое правило для команды

Перед отправкой в зарубежный чат спросите: можно ли по этому тексту определить конкретного человека? Если да — обезличьте текст или используйте российскую модель. Это одно правило снимает большую часть рисков и легко приживается в команде, потому что понятно без юридического образования.

Что в итоге

Трансграничная передача через ChatGPT — это реальный юридический риск, а пугалка. Закон относит ввод персональных данных в зарубежный чат к трансграничной передаче со всеми требованиями: уведомление регулятора, согласие субъектов, оценка защиты в стране получателя. Для рутины эти условия невыполнимы, поэтому реальный путь — обезличивание данных или модель на российских серверах.

При этом отказываться от ИИ из-за закона смысла нет. Грамотно выстроенный процесс позволяет пользоваться сильными моделями и оставаться в правовом поле: команда работает с обезличенными данными, а чувствительные задачи уходят на локальную модель. Так бизнес получает скорость ИИ без штрафов и предписаний Роскомнадзора.

● Discovery · 1 час · бесплатно

Расскажите, какие данные ваша команда отправляет в нейросети и для каких задач, и я помогу выстроить работу с ИИ в рамках закона. Записаться на бесплатный часовой разбор можно через раздел с программами.

Прийти на Discovery →

Частые вопросы

Является ли ввод данных в ChatGPT трансграничной передачей?
Да. Серверы ChatGPT расположены за рубежом, поэтому любой ввод персональных данных в чат — это передача данных за границу. Закон 152-ФЗ относит такое к трансграничной передаче и предъявляет к ней отдельные требования: уведомление регулятора и согласие субъектов до начала передачи.
Какие данные нельзя отправлять в ChatGPT?
Под запретом паспортные и финансовые данные, а также специальные категории: здоровье, судимость, биометрия. Имена, телефоны и реквизиты рискованны и требуют обезличивания. Свободно работать можно только с обезличенным текстом, по которому конкретного человека определить невозможно.
Какой штраф грозит за нарушение?
Нарушение требований по трансграничной передаче и обработке персональных данных грозит штрафами и предписаниями Роскомнадзора, причём суммы по 152-ФЗ заметно выросли. Точные цифры зависят от состава нарушения и статуса оператора, сверяйте их с актуальной редакцией закона и КоАП.
Как пользоваться ChatGPT законно?
Обезличивайте данные перед отправкой: убирайте имена, телефоны и реквизиты, заменяя их метками. Модель работает со структурой текста, а реальные значения вы возвращаете уже в результат на своей стороне. Для задач с чувствительными данными используйте модель на серверах в России.
Поможет ли модель на российских серверах?
Да, это самый чистый путь. Когда модель размещена на серверах в России или на вашем сервере, данные за границу вообще выходят, и вопрос трансграничной передачи снимается. Этот вариант обязателен для медицины, банков и работы с биометрией, где обезличить данные невозможно.
Можно ли загружать документы целиком в ChatGPT?
Загрузка документов целиком — частая и опасная ошибка. Договор, медицинская выписка или резюме содержат сразу несколько категорий персональных данных, и отправка такого файла в зарубежный чат нарушает закон. Сначала обезличьте документ либо используйте российскую модель.