Главная/Блог/AI и 152-ФЗ — что важно знать про обработку данных в 2026
Руководства11 мин15 июля 2026 г.Команда Lumen AI

AI и 152-ФЗ — что важно знать про обработку данных в 2026

Полный гид по соблюдению 152-ФЗ при использовании AI: трансграничная передача данных, согласия пользователей, ответственность бизнеса. Конкретные рекомендации.

Поделиться: Telegram VK WhatsApp

Использование AI в России — это не только технический вопрос, но и юридический. 152-ФЗ «О персональных данных» с поправками 2023-2025 годов накладывает серьёзные ограничения на работу с персональными данными граждан РФ, и AI создаёт новые риски, которых не было раньше.

В этой статье — что нужно знать любому бизнесу, использующему AI: где границы, как избежать штрафов, какие практики работают.


Главное в 5 пунктах

  1. 152-ФЗ применяется ко всем, кто обрабатывает ПД граждан РФ — независимо от того, где расположена компания
  2. AI-сервисы (ChatGPT, Claude и др.) — это трансграничная передача данных, требующая согласия субъекта
  3. Штрафы выросли в 2023-2025: до 500,000 ₽ за нарушение, до 18 млн ₽ при утечке
  4. Обезличивание данных перед загрузкой в AI — ключевая практика
  5. Российские AI-сервисы (например, Lumen AI с серверами в РФ) — снижают риски, но не полностью

Что такое персональные данные

Согласно 152-ФЗ, ПД — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

К ПД относится

  • ФИО
  • Дата рождения
  • Адрес
  • Номер телефона
  • Email (если содержит имя)
  • ИНН, паспортные данные, СНИЛС
  • Биометрия (фото лица, отпечатки)
  • Геолокация
  • IP-адрес (с 2017 года — в большинстве случаев)
  • История покупок, привязанная к человеку
  • Медицинские данные
  • Cookies, идентифицирующие пользователя

НЕ является ПД

  • Данные юридических лиц
  • Анонимизированные данные (нельзя восстановить личность)
  • Псевдонимизированные с надёжным разделением

Три уровня сложности с AI

Уровень 1. Свои собственные данные

Минимальный риск. Вы загружаете в AI свои документы, свой код, свой контент.

Можно: свободно использовать любые AI-сервисы, при условии что данные не содержат ПД третьих лиц.

Уровень 2. Корпоративные данные

Средний риск. Загружаете финансы компании, внутренние документы, базу клиентов.

Нужно:

  • Оценить — есть ли ПД третьих лиц
  • Если есть — обезличить или получить согласия
  • Использовать сервисы с защитой данных
  • Подписать NDA с провайдером (если возможно)

Уровень 3. Чужие персональные данные

Высокий риск. Загружаете данные клиентов, сотрудников, оппонентов.

Без согласия — нельзя. С согласием — нужно:

  • Зафиксировать факт согласия
  • Уведомить субъекта о трансграничной передаче (если AI зарубежный)
  • Регламентировать использование
  • Указать срок хранения
  • Обеспечить право на удаление

Трансграничная передача данных

Это главный risk при использовании AI в 2026 году.

Что считается трансграничной передачей

Любая отправка ПД на серверы в иностранных юрисдикциях. Это включает:

  • ChatGPT (OpenAI, США)
  • Claude (Anthropic, США)
  • Gemini (Google, США / Ирландия)
  • Большинство западных AI-сервисов

Что требуется по закону

  1. Уведомление Роскомнадзора — за 30 дней до начала трансграничной передачи (ст. 12 152-ФЗ)
  2. Согласие субъекта ПД — отдельное и информированное
  3. Гарантии адекватной защиты в стране-получателе (что проблематично с США после санкций)

Что произойдёт без соблюдения

  • Штрафы по ст. 13.11 КоАП РФ:
    • До 500,000 ₽ для юрлиц за нарушение
    • До 18 млн ₽ в случае утечки данных
  • Возможна блокировка сервиса в России (как было с LinkedIn)
  • Репутационный урон

Российские AI-сервисы — преимущество в compliance

Чтобы избежать сложностей с трансграничной передачей, есть российские AI-агрегаторы, которые хранят данные на серверах в РФ:

Lumen AI

  • Серверы в РФ
  • Соответствие 152-ФЗ при работе с прокси
  • Промпты не сохраняются для обучения моделей вендоров
  • Оплата в рублях

Но важно: даже у Lumen AI сами модели (Claude, GPT) расположены за границей. Хранение результатов в РФ — да, но в момент обработки запрос идёт за границу.

Yandex GPT, GigaChat (Сбер)

  • Полностью российские модели
  • Серверы в РФ
  • Обучены на русскоязычных данных
  • Минимальные риски с 152-ФЗ
  • Минус: качество ниже топовых западных моделей (Claude, GPT-5.5)

Стратегия

  • Чувствительные ПД — обрабатывайте через Yandex GPT / GigaChat
  • Корпоративные не-ПД задачи — через Lumen AI с топ-моделями
  • Свои данные без ПД — через любые сервисы

Практика обезличивания данных

Это главный технический способ снизить риски с 152-ФЗ при работе с AI.

Что значит обезличить

Удалить или заменить прямые идентификаторы так, чтобы по результату нельзя было определить субъекта.

Что заменять

Тип данныхЗамена
ФИО"Иванов И.И." → "Сотрудник 1" / "X"
Email"ivanov@company.ru" → "user1@example.com"
Телефон"+7-999-123-4567" → "+7-XXX-XXX-XXXX"
Адрес"Москва, ул. Тверская, 5" → "Город A, ул. B, дом N"
Дата рождения"01.01.1990" → "1990 год" (только год если возраст важен)
ИНН/СНИЛСУдалить или хешировать

Инструменты для автоматизации

  • Python скрипты с regex для типовой замены
  • Pandas / DataPrep для табличных данных
  • Spacy NER для распознавания имён в тексте
  • Платные сервисы (например, Sumsub, Onfido) — для больших объёмов

Чек-лист обезличивания

  • Удалены ФИО или заменены на placeholder
  • Удалены прямые контакты (email, телефон)
  • Удалены документы (паспорт, ИНН, СНИЛС)
  • Адреса обобщены до уровня района / города
  • Даты рождения обобщены до года или возрастной группы
  • Уникальные идентификаторы (employee_id, customer_id) хешированы
  • Проверено, что комбинация оставшихся данных не позволяет восстановить личность

Согласия пользователей

Если вы не можете обезличить данные, нужно согласие.

Структура согласия (минимум)

  1. Цели обработки — конкретно
  2. Категории ПД — что именно обрабатывается
  3. Способы обработки — включая использование AI
  4. Срок обработки и хранения
  5. Передача третьим лицам — список (включая AI-вендоров с указанием стран)
  6. Право на отзыв согласия
  7. Подпись или эквивалент (например, click "Согласен" с записью IP+timestamp)

Шаблон фразы для AI-обработки

«Я даю согласие на использование моих персональных данных для целей [ЦЕЛЬ], включая передачу и обработку через AI-сервисы (ChatGPT, Claude, Gemini), серверы которых расположены в США и других иностранных юрисдикциях. Я понимаю, что в рамках обработки данные могут анализироваться, классифицироваться и использоваться для генерации ответов. Согласие действует [СРОК] и может быть отозвано путём [МЕХАНИЗМ].»

Юристам — финальная проверка перед использованием.


Конкретные сценарии и риски

Сценарий 1. HR использует AI для скрининга резюме

Риск: высокий. Резюме = ПД кандидатов.

Что делать:

  1. Обезличить резюме перед загрузкой (заменить ФИО, контакты)
  2. Или получить согласие в форме отклика на вакансию
  3. Использовать российский AI-сервис где возможно

Сценарий 2. Юрист анализирует договор клиента

Риск: высокий. Договор содержит ПД сторон.

Что делать:

  1. Обезличить (заменить реквизиты на «Сторона 1», «Сторона 2»)
  2. Или получить согласие клиента в договоре оказания юр. услуг
  3. NDA с AI-провайдером

Сценарий 3. Маркетолог анализирует CRM-данные клиентов

Риск: очень высокий. База клиентов = много ПД.

Что делать:

  1. Обязательно обезличить перед загрузкой
  2. Анализировать только агрегированные данные
  3. Использовать локальные AI-модели где возможно

Сценарий 4. Разработчик пишет код с AI

Риск: низкий, если в коде нет ПД пользователей.

Что делать:

  • Не загружайте production-данные в AI
  • Используйте dummy data для тестов
  • Будьте осторожны с конфигурацией (могут быть credentials)

Сценарий 5. Студент пишет курсовую с AI

Риск: минимальный (свои данные).

Что делать:

  • Используйте любой AI
  • Указывайте использование AI если требуется правилами вуза

Что точно нельзя делать

  1. Загружать паспортные данные клиентов в AI без явного согласия
  2. Анализировать медицинские карты пациентов в публичных AI без согласия и обезличивания
  3. Использовать данные несовершеннолетних без согласия родителей
  4. Передавать в AI данные клиентов для маркетинговых целей без отдельного согласия
  5. Игнорировать запросы на удаление ПД (обязательно по 152-ФЗ)
  6. Обрабатывать биометрию в AI без специального согласия

Чек-лист compliance для бизнеса

Минимум

  • Назначен ответственный за обработку ПД
  • Утверждена политика обработки ПД
  • Регламент использования AI-инструментов
  • Обучение сотрудников основам 152-ФЗ
  • Шаблоны согласий для разных сценариев

Базовый уровень

  • Аудит данных, передаваемых в AI
  • Процесс обезличивания перед загрузкой
  • Договоры с AI-провайдерами (где возможно)
  • Уведомление Роскомнадзора о трансграничной передаче (если есть)
  • Защита учётных данных к AI-сервисам

Продвинутый уровень

  • Внутренний DPO (Data Protection Officer)
  • Регулярный аудит compliance
  • DPIA (Data Protection Impact Assessment) для AI-проектов
  • Использование российских / гибридных AI-решений
  • Планы реагирования на инциденты

Изменения в законодательстве 2025-2026

Новые штрафы

В 2024-2025 принят пакет поправок:

  • Утечки данных: до 18 млн ₽ для юрлиц (раньше — 6 млн)
  • Неуведомление о трансграничной передаче: до 1 млн ₽
  • Повторные нарушения: до 30 млн ₽

Уведомление Роскомнадзора

С 2025 года уведомление обязательно до начала трансграничной передачи (раньше — после). Срок ответа РКН — до 30 дней.

Маркировка AI-контента

Готовится закон об обязательной маркировке AI-сгенерированного контента в СМИ и рекламе. Ожидаемый срок — 2026-2027.


Российский опыт: реальные кейсы

Кейс 1. Банк оштрафован за утечку

В 2024 один из крупных банков был оштрафован на 15 млн ₽ за утечку 12,000 записей клиентов. AI не был причиной, но прецедент важен — за каждой утечкой следует серьёзное расследование.

Кейс 2. Маркетинговое агентство получило предупреждение РКН

Агентство загружало email-базы клиентов в ChatGPT для генерации персонализированных рассылок без согласий. РКН инициировал проверку, агентство получило предписание прекратить и оштрафовано на 250,000 ₽.

Кейс 3. Юр-компания внедрила правильный compliance

Компания внедрила процесс обезличивания всех документов перед загрузкой в AI + получила согласия от клиентов на использование AI в составе услуги. Проверка РКН в 2025 — без замечаний.


Что готовит будущее

Скорее всего

  • Усиление штрафов ещё больше
  • Локализация AI — больше требований к российским серверам
  • Сертификация AI-сервисов — РКН будет вести реестр одобренных
  • Маркировка AI-контента во всех каналах
  • Защита детей — отдельные строгие правила для AI с участием несовершеннолетних

Что делать заранее

  1. Не ждите проверок — внедряйте compliance сейчас
  2. Используйте российские сервисы где возможно
  3. Документируйте всё — процессы, согласия, обезличивания
  4. Обучайте команду — большинство нарушений происходит из-за неосведомлённости

Связанные материалы


Итог

152-ФЗ + AI = серьёзная тема для любого российского бизнеса в 2026 году. Не игнорируйте её.

Главное:

  1. Обезличивайте данные перед AI
  2. Получайте согласия где обезличивание невозможно
  3. Используйте российские сервисы для чувствительных данных
  4. Документируйте все процессы
  5. Обучайте команду — это инвестиция в спокойствие

Безопасное решение: Lumen AI — серверы в РФ, шифрование данных, оплата в рублях. Подходит для большинства корпоративных задач, кроме высокочувствительных ПД (для них — Yandex GPT / GigaChat).

Поделиться: Telegram VK WhatsApp

Попробуйте Lumen AI бесплатно

20 сообщений в день — Gemini, Llama, DeepSeek без карты

Начать бесплатно