ИИ и ФЗ-152: что нужно знать B2B-компании, прежде чем подписать договор
TL;DR
ФЗ-152 не запрещает использовать ИИ — но требует обрабатывать персональные данные граждан РФ на серверах в РФ. Это исключает OpenAI напрямую, ограничивает Anthropic, разрешает YandexGPT и GigaChat. On-prem развёртывание снимает ещё больше вопросов.
Что говорит закон
Федеральный закон № 152-ФЗ «О персональных данных» (с поправками 2015 г., ч. 5 ст. 18) обязывает:
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Ключевое: первичные данные должны сначала попасть в БД на территории РФ. Дальнейшая обработка (включая трансграничную передачу) — отдельно регулируется.
Что это значит для ИИ-агента
Запрещено
- Передавать ПДн гражданина РФ напрямую в OpenAI API (серверы в США)
- Хранить переписку с клиентом на серверах за рубежом
- Использовать SaaS-инструменты ИИ без российской инфраструктуры
Разрешено
- Использовать YandexGPT 5, GigaChat — серверы в РФ
- Развёртывание Open-source моделей on-prem (Llama, Qwen, Mistral) на вашей инфраструктуре
- Обращаться к Claude/GPT через российский прокси при согласии субъекта и обезличивании
Требует внимания
- Серверы Cloudflare для cookie/analytics — если собираются ПДн, нужна российская альтернатива
- Хранение бэкапов — должны быть в РФ
- Subprocessors (подрядчики) — должны быть прописаны в договоре, у каждого должно быть согласие
Три практичных режима обработки
В нашей практике мы используем три режима для разных требований:
1. Strict RF — только YandexGPT/GigaChat, инфраструктура в РФ. Подходит для 95% сценариев, ФЗ-152 «по умолчанию».
2. On-prem — Docker-контейнеры в вашем периметре. Данные не покидают вашу сеть. Подходит для банков, КИИ 1-2 категории.
3. Extended by consent — внешние модели через российский прокси, только по письменному согласию клиента, данные обезличиваются. Подходит для специфических задач, где российских LLM недостаточно.
Что проверять в договоре с подрядчиком
Чек-лист:
- Указан режим обработки данных (страны хранения, используемые LLM)
- Есть DPA (Data Processing Agreement) с приложением о субподрядчиках
- Прописан срок удаления данных после расторжения договора
- Есть процедура запроса субъекта (как клиент может получить/удалить свои данные)
- Указаны меры защиты (шифрование at rest и in transit)
- Прописан аудит (право проверки соблюдения требований)
- Есть пункт о внеплановых проверках Роскомнадзора
- Регион хранения — РФ, явно
Согласие пользователя — что в нём должно быть
Минимум по ФЗ-152:
- Цель обработки
- Способы обработки
- Срок действия согласия и порядок его отзыва
- Перечень обрабатываемых данных
- Перечень субподрядчиков и третьих лиц
Для веб-формы это означает: чекбокс «Согласен с обработкой ПДн» со ссылкой на политику, где это всё расписано. Без галочки — форма не отправляется. На нашем сайте это реализовано как обязательный чекбокс во всех формах.
Уведомление Роскомнадзора
С 2022 года для большинства обработок ПДн нужно подать уведомление в реестр операторов РКН. Это бесплатно, но обязательно. Шаблон уведомления — стандартный артефакт, который мы помогаем заполнить нашим клиентам.
Когда нужен консультант / юрист
Самостоятельно справиться с ФЗ-152 можно, если:
- Один процесс с типовыми ПДн (email + имя)
- Российская инфраструктура
- Стандартное согласие
Нужен профильный юрист, если:
- ПДн категории 1 (специальные — здоровье, биометрия, политические взгляды)
- КИИ-объекты (критическая инфраструктура)
- Трансграничная передача данных
- Дочерние компании в иностранной юрисдикции
Что мы делаем у себя
- Все данные клиентов хранятся в Yandex Cloud (регион Москва)
- Шифрование at rest (AES-256) и in transit (TLS 1.3)
- Detailed audit-trail каждого действия агента
- DPA подписывается до Discovery
- 3 режима обработки явно прописываются в договоре
- Помогаем подготовить уведомление Роскомнадзора
Подробности — на странице Безопасность. Запросить DPA-шаблон можно через Telegram или email.
Хотите узнать, сколько сэкономите?
Рассчитайте ROI внедрения ИИ для вашего бизнеса за 2 минуты.
Нужна помощь с внедрением?
Бесплатная 30-минутная консультация — разберём ваш кейс.