Назад к блогу
Регуляторика

152-ФЗ и нейросети: как внедрить ИИ и не нарушить закон

Юридические аспекты обработки персональных данных с помощью алгоритмов искусственного интеллекта. Практика обезличивания и защиты.

5 августа 2025 8 мин чтения

Введение

Искусственный интеллект перестал быть технологией из фантастических фильмов и превратился в рабочий инструмент для бизнеса. Нейросети помогают оптимизировать процессы, анализировать большие массивы данных, создавать контент и персонализировать клиентский опыт. Однако за возможностями скрываются серьёзные юридические риски.

Основная проблема: для обучения и работы нейросети нужны данные. И очень часто эти данные — персональные данные (ПДн) реальных людей: клиентов, сотрудников, пользователей. В России обработка ПДн регулируется Федеральным законом № 152-ФЗ «О персональных данных», и незнание его требований не освобождает от ответственности.

В этой статье мы разберём, как подружить нейросети с требованиями российского законодательства и использовать мощь ИИ, не нарушая закон.

Как 152-ФЗ применяется к системам искусственного интеллекта

Федеральный закон № 152-ФЗ не содержит прямых упоминаний искусственного интеллекта или нейросетей. Однако его действие полностью распространяется на любые операции с данными, которые позволяют прямо или косвенно идентифицировать конкретного человека. Если нейросеть обучается на таких данных, работает с ними или генерирует их — она попадает в сферу действия закона.

Какие данные считаются персональными

Закон трактует понятие персональных данных очень широко. Даже если отдельные фрагменты не позволяют идентифицировать человека, их совокупность, обрабатываемая нейросетью, может быть признана ПДн.

Категория Примеры
Идентификационные данные ФИО, паспорт, СНИЛС, ИНН
Контактные данные Номер телефона, e-mail, адрес
Биометрические данные Фотографии, записи голоса, отпечатки пальцев
Техническая информация IP-адрес, cookie-файлы, геолокация
Поведенческие данные История покупок, поисковые запросы, данные о перемещениях

Когда нейросеть становится оператором обработки ПДн

Оператором персональных данных является не сама нейросеть, а юридическое лицо, которое организует обработку ПДн и определяет цели обработки. Таким образом, оператором всегда выступает компания, которая использует ИИ — а не разработчик нейросети.

«Ответственной за защиту данных и соблюдение всех норм перед Роскомнадзором всегда остаётся сама компания вне зависимости от того, какой ИИ она использует. Разработчик ИИ будет нести только договорную ответственность перед компанией.»

— Юлия Барышева, ведущий юрист Enforce Law Company

Основные юридические риски использования нейросетей

Юридические риски нейросетей: три главных нарушения 152-ФЗ и их последствия

Обучение моделей на персональных данных

до 18 000 000 ₽
за повторное нарушение (ч. 2.1 ст. 13.11 КоАП РФ)

Использование клиентских баз, переписок или других данных, содержащих ПДн, для обучения нейросетей без соответствующего юридического основания — прямое нарушение закона. Для такой обработки необходимо получить отдельное, явное согласие, в котором прямо упоминается цель «обучение ИИ-моделей».

Использование зарубежных облачных сервисов

до 6 000 000 ₽
за первичное нарушение (ч. 8 ст. 13.11 КоАП РФ)

Многие популярные ИИ-сервисы (ChatGPT, Gemini и другие) размещают серверы за пределами России. Загружая в них данные российских граждан, вы осуществляете трансграничную передачу данных. Согласно 152-ФЗ, она возможна только в страны, обеспечивающие адекватную защиту прав субъектов.

Передача данных третьим лицам

до 500 000 ₽
за каждый факт нарушения (ч. 1 ст. 13.11 КоАП РФ)

Некоторые ИИ-платформы могут передавать полученные данные своим партнёрам или подрядчикам. Если в этих данных содержатся ПДн ваших клиентов, такая передача будет законной только при наличии отдельного согласия.

Практика обезличивания данных

Один из самых эффективных способов снизить юридические риски — использовать для обучения и работы ИИ не «сырые», а обезличенные данные. С 1 сентября 2025 года вступают в силу новые правила: обработка полностью обезличенных данных выводится из-под действия 152-ФЗ.

Обезличивание — это обработка персональных данных, в результате которой становится невозможным определить их принадлежность конкретному человеку без использования дополнительной информации. Важно: простое удаление ФИО из таблицы не является достаточным.

Процесс обезличивания персональных данных перед использованием в ИИ-системах

Разрешённые методы обезличивания (приказ Роскомнадзора, с 01.09.2025)

Псевдонимизация

Замена части сведений идентификаторами. Таблица соответствий хранится отдельно под строгой защитой.

Иванов И.И. → user_4721

Обобщение

Замена точных значений на более общие категории.

Возраст 37 лет → «35–45 лет»

Декомпозиция

Разделение набора данных на части, которые хранятся отдельно.

ФИО и история покупок — в разных БД

Перемешивание

Перестановка строк или столбцов для разрушения исходных связей.

Шаффлинг записей в датасете

Что НЕ является обезличиванием

Шифрование без удаления ключа

Зашифрованные данные остаются ПДн, пока ключ доступен оператору

Простое удаление ФИО из таблицы

По оставшимся полям человека можно вычислить

Хранение исходных и обезличенных данных вместе

Таблица соответствий должна храниться отдельно и под защитой

Передача таблиц соответствий третьим лицам

Псевдонимизация теряет смысл, если ключ доступен другим

Требования регуляторов: легальная схема обработки ПДн

Позиция Роскомнадзора строится на действующих нормах 152-ФЗ: любая обработка ПДн, в том числе с помощью ИИ, требует наличия законного основания. Ключевое требование — локализация: первичная база данных с ПДн граждан РФ должна находиться на территории России.

Легальная схема обработки ПДн в системе ИИ: жизненный цикл данных от сбора до уничтожения

5 этапов легального жизненного цикла данных в соответствии с 152-ФЗ

Важно: Если компания хранит данные россиян за пределами страны, штраф для компании составит от 1 до 6 млн рублей. При повторных нарушениях штрафы возрастают. Роскомнадзор также вправе заблокировать сайт, что остановит работу онлайн-бизнеса.

Практические рекомендации компаниям

1

Проведите аудит данных

Определите, какие данные вы собираете и обрабатываете. Классифицируйте их: являются ли они персональными, специальными или биометрическими. Это фундамент, без которого невозможно выстроить правомерный процесс.

2

Разработайте юридическую основу

Для каждой цели обработки ПДн определите законное основание. В большинстве случаев для обучения ИИ это будет согласие. Составьте корректную форму согласия, где будет прямо указана цель — «обучение моделей искусственного интеллекта». Общие формулировки не подойдут.

3

Внедрите процессы обезличивания

По возможности используйте для обучения ИИ обезличенные данные. Разработайте и задокументируйте методику обезличивания в соответствии с новыми требованиями, вступающими в силу с 1 сентября 2025 года.

4

Проверьте своих контрагентов

Если вы используете сторонний ИИ-сервис, внимательно изучите его политику конфиденциальности и пользовательское соглашение. Убедитесь, что сервис соответствует требованиям 152-ФЗ, особенно в части локализации и трансграничной передачи данных.

5

Обновите внутренние документы

Внесите изменения в Политику обработки персональных данных, отразив в ней использование ИИ. Разработайте внутренний регламент использования нейросетей: перечень инструментов, круг задач, правила работы с ПДн.

6

Обучите сотрудников

Объясните команде правила работы с персональными данными при использовании нейросетей. Повышение осведомлённости — ключ к снижению человеческого фактора.

Чек-лист: перед запуском ИИ-проекта

Перед тем как нажать кнопку «Обучить модель» или подключить новый ИИ-сервис, пройдитесь по этому списку:

1.Мы точно знаем, какие данные попадут в нейросеть?

2.У нас есть отдельное, явное и недвусмысленное согласие пользователей на обучение ИИ на их данных?

3.Мы можем использовать обезличенные данные? Наш метод обезличивания надёжен и соответствует закону?

4.Первичная база данных с ПДн находится в России?

5.Если мы используем зарубежный сервис — уведомили ли мы Роскомнадзор и соблюдены ли все условия трансграничной передачи?

6.Наша Политика обработки ПДн и другие локальные акты актуализированы с учётом использования ИИ?

7.В компании назначен ответственный за обработку ПДн, и он в курсе нового проекта?

8.Разработан внутренний регламент использования нейросетей?

Заключение

Внедрение искусственного интеллекта открывает перед бизнесом огромные возможности. Но, как и любой мощный инструмент, он требует ответственного подхода. Соблюдение требований 152-ФЗ — это не бюрократическая формальность, а основа для построения доверительных отношений с клиентами.

Ключевой вывод: ответственность за соблюдение закона о персональных данных при использовании ИИ всегда лежит на компании-операторе, а не на разработчике нейросети. Именно поэтому юридическую экспертизу необходимо включать в процесс внедрения ИИ с самого начала — наравне с технической и бизнес-оценкой.

Решения AZONE AI разворачиваются на серверах заказчика на территории РФ. Данные не покидают периметр. Мы помогаем выстроить архитектуру, соответствующую 152-ФЗ, с первого дня проекта.

Решения AZONE-AI по теме

Безопасность

ContentGuard

Мониторинг контента в сетях с соблюдением 152-ФЗ. Обработка данных только в периметре организации, сертификация ФСТЭК.

Подробнее о продукте Документооборот

AzoneDoc

Семантический поиск по корпоративному архиву. On-premise LLM — данные не покидают инфраструктуру заказчика.

Подробнее о продукте

Похожие статьи

Регулирование

Реестр доверенных ИИ-моделей в России: что уже известно

12 мин Безопасность

Почему облачный ИИ не подходит для КИИ и объектов с гостайной

8 мин Регулирование

ИИ в информационной безопасности: 7 практических сценариев

12 мин

Начните с пилотного проекта

За 4–8 недель мы развернём решение на вашей инфраструктуре.

Обсудить пилот