Знакомая картина: выгрузили заказы за месяц, скопировали таблицу целиком и вставили в чат нейросети - «посчитай, из каких городов больше всего возвратов». В таблице ФИО покупателя, телефон, адрес доставки. Через десять секунд готов ответ, вы довольны, работа сделана.
А юридически вы только что передали персональные данные своих покупателей иностранной компании за границу. Без основания, без уведомления регулятора и без единого документа.
Я не юрист и не пугаю вас статьями. Я селлер, который сам каждый день работает с ИИ-помощниками - как устроен такой помощник, я разбирал в статье «Claude Code простыми словами». Мне надо было понять, где проходит красная линия, когда в дело идут персональные данные покупателей. Разобрался - и обнаружил, что реальный риск лежит совсем не там, где им пугают в интернете. Ниже - что я выяснил, со ссылками на нормы, а не на пересказы.
Разборы, кейсы и готовые сборки AI-помощников для селлеров веду в Telegram-канале «Вайб Селлер Клуб». Другие материалы - в разделе Статьи.
Что такое персональные данные и почему ваша выгрузка заказов - это они?
Закон определяет персональные данные предельно широко. Это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу» - пункт 1 статьи 3 закона № 152-ФЗ. Никакого списка «вот это ПДн, а это нет» там нет: критерий один - можно ли по этим сведениям понять, о каком человеке речь.
Выгрузка заказов с маркетплейса проходит этот тест мгновенно. Там есть имя, номер телефона, адрес, куда везти. Спорить не о чем.
Второй момент важнее и его почти все пропускают. Тот же закон называет «оператором» любого, кто организует или осуществляет обработку данных. Не только банк и не только большую компанию. Скачали выгрузку себе на компьютер - вы оператор. И на вас легли обязанности оператора, даже если вы про них не знали и никаких бумаг не подписывали.
Почему отправка в нейросеть - это передача данных, а не просто работа в программе?
Здесь ломается интуиция. В голове это выглядит как работа в калькуляторе: открыл, посчитал, закрыл. Но калькулятор не отправляет ваши цифры на чужой сервер.
Нейросеть - отправляет. Ваш промпт уходит на серверы компании OpenAI или Anthropic, там обрабатывается, там же обычно сохраняется история переписки. Закон описывает такое действие прямо: «предоставление» - это действия, направленные на раскрытие данных определённому лицу. А если это лицо иностранное, включается отдельное понятие - трансграничная передача. Закон определяет её как передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.
То есть с точки зрения закона вы не программой воспользовались. Вы отдали данные своих покупателей иностранной компании.
Оговорюсь сразу, чтобы вы себя проверили: речь о схемах, где вы видите данные получателя - работа со своего склада, доставка своими силами, собственный магазин. Если вы возите только на склад площадки и она сама доставляет, персональные данные покупателя вам обычно вообще не показывают - тогда этой проблемы у вас нет.
США нет в перечне Роскомнадзора - и это меняет всё
Роскомнадзор своим приказом утвердил перечень государств, обеспечивающих адекватную защиту персональных данных. Туда попали десятки стран: Германия, Франция, Казахстан, Беларусь, Китай, Япония, Израиль, Канада, Индия, Бразилия.
Я специально проверил полный текст перечня. Соединённых Штатов там нет - ни в одном из двух разделов.
OpenAI, Anthropic, Google - американские юрлица. Значит любая отправка данных туда - это передача в страну вне перечня, а для неё закон требует по статье 12:
- уведомить Роскомнадзор до начала передачи, причём отдельным уведомлением, а не тем, которое подаётся об обработке;
- до этого получить от самого получателя сведения: какие у него меры защиты данных, как регулируется эта сфера в его стране, контакты ответственных;
- дождаться рассмотрения - на это у регулятора десять рабочих дней, и до их истечения передавать нельзя.
Перечитайте второй пункт. Вы, индивидуальный предприниматель из Екатеринбурга, должны получить от корпорации OpenAI официальную справку о мерах защиты данных и правовом регулировании в США. На практике это означает, что законного пути отправить данные покупателей в ChatGPT у обычного селлера просто нет.
Главная ловушка: почему ИП здесь отвечает как юридическое лицо
Вот это открытие меня отрезвило сильнее всего остального.
В КоАП есть статья 13.11 - вся ответственность за нарушения с данными. Штрафы там идут тремя колонками: для граждан, для должностных лиц и для юридических лиц. Предприниматель по привычке смотрит в среднюю колонку и выдыхает.
Зря. К статье есть примечание, и звучит оно так: за правонарушения, предусмотренные частями 1.1 и с 8 по 18, индивидуальные предприниматели несут ответственность как юридические лица.
А теперь смотрим, что попало в этот диапазон:
| Что нарушено | Часть | Сколько платит ИП |
|---|---|---|
| Не уведомил Роскомнадзор об обработке данных | ч. 10 | 100-300 тыс. руб. |
| Неправомерная передача данных от 1 тыс. до 10 тыс. человек | ч. 12 | 3-5 млн руб. |
| То же, от 10 тыс. до 100 тыс. человек | ч. 13 | 5-10 млн руб. |
| Не сообщил об утечке в течение 24 часов | ч. 11 | 1-3 млн руб. |
| Повторно | ч. 15 | 1-3% годовой выручки, но не менее 20 млн |
Обратите внимание на пороги: миллионные части включаются не от одного покупателя, а от тысячи человек в переданном массиве. Это ключевая развилка, и звучит она так:
- В вашей выгрузке меньше тысячи заказов. Тогда самое вероятное - часть 1 (обработка без основания): ИП отвечает как должностное лицо, 50-100 тысяч. Плюс часть 10, если вы вообще не подавали уведомление в Роскомнадзор, - тут уже как юрлицо, 100-300 тысяч.
- В вашей выгрузке тысяча заказов и больше. А это обычная месячная выгрузка у любого работающего магазина. Тогда в игру входит часть 12 - неправомерная передача данных от тысячи до десяти тысяч человек. И вот это уже 3-5 миллионов, и ИП платит как организация.
То есть цена вопроса определяется не тем, насколько вы виноваты, а тем, сколько строк вы скопировали в чат.
И отдельно: скидка 50% за быструю оплату к этой статье не применяется. Заплатите полностью.
Сколько стоит цепочка ошибок целиком
Разложим по шагам, что происходит, когда селлер вставляет выгрузку в нейросеть:
- Нет правового основания. Покупатель дал вам данные, чтобы вы привезли ему товар. Он не соглашался, чтобы вы показывали их американской компании. Отправка в ИИ для аналитики или генерации описаний не является необходимой для исполнения договора поставки - значит, это основание не работает, и нужно отдельное согласие.
- Не уведомили о трансграничной передаче. Требование статьи 12 не выполнено.
- В уведомлении об обработке указана неправда. Если вы вообще его подавали, то почти наверняка написали «трансграничной передачи нет». Теперь эти сведения недостоверны - и это готовый повод для проверки.
- Если данные всплывут - у вас 24 часа на уведомление регулятора об инциденте и 72 часа на итоги внутреннего расследования. Просрочили - отдельный штраф.
Отдельного состава «нарушил правила трансграничной передачи» в кодексе, кстати, нет - я проверял. Скорее всего, такое будут квалифицировать по части 1 или части 2 статьи 13.11 (обработка без основания или без согласия), а при большом массиве данных - по части 12. Устоявшейся практики именно по нейросетям пока не сложилось, и честнее сказать это прямо, чем делать вид, что всё разложено по полочкам.
Про восемь лет тюрьмы: миф, который пора закрыть
Статья 272.1 Уголовного кодекса действительно существует, и там действительно есть часть про трансграничную передачу с наказанием до восьми лет. Её обожают цитировать в пугающих постах.
Но откройте саму диспозицию. Наказание установлено за «незаконные использование и передачу... компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа... либо иным незаконным путем».
Ключ здесь - как данные получены. Уголовная статья написана про тех, кто слил базу, купил её у инсайдера, взломал систему. Про торговцев краденым.
Вы получили ФИО и адрес покупателя законно - он сам оформил у вас заказ. Признака «неправомерного доступа» нет, а значит при законно полученных данных состав этой статьи не образуется.
Это принципиально важно понимать, чтобы отличать реальный риск от запугивания. Ваш реальный риск - административный, и он измеряется в сотнях тысяч и миллионах. А уголовная статья написана про тех, кто данные украл, а не про тех, кто неосторожно обошёлся со своими.
«Я просто уберу фамилии» - почему это не спасает
Первая идея, которая приходит в голову: вырезать колонку с именем, а остальное отправить. Логично же?
Закон определяет обезличивание как действия, после которых становится «невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту». Телефон определяет человека однозначно. Адрес доставки - почти однозначно. Вы удалили имя, но оставили два прямых идентификатора.
Есть и второй слой, о котором почти не говорят. В нашем законе даже по-настоящему обезличенные сведения не выпадают из-под регулирования: с сентября 2025 года действует отдельная статья, которая называется «Особенности обработки персональных данных, полученных в результате обезличивания». Обратите внимание на формулировку - они всё ещё персональные данные.
Поэтому будьте осторожны с советами в блогах вроде «обезличил - и свободен». Единственное, что работает надёжно: не отправлять идентификаторы вообще. Нейросети для анализа продаж не нужны ни имя, ни телефон, ни адрес квартиры. Ей нужны город, сумма, категория, дата. Вот это и отправляйте.
Новый закон об ИИ: для селлера не меняется ничего
Раз уж закон свежий и о нём много шума - закроем вопрос сразу.
Закон о поддержке развития технологий искусственного интеллекта Госдума приняла во втором и третьем чтениях 8 июля 2026 года. Важная точность: на момент написания статьи он ещё не подписан Президентом, а дата вступления - 1 сентября 2026 года - пока указана в тексте самого законопроекта. Что там внутри: определения искусственного интеллекта и больших моделей, понятия суверенных и национальных моделей, меры господдержки.
Обязанность дать техническую возможность маркировать ИИ-контент касается только площадок с суточной аудиторией свыше 500 тысяч пользователей. Вас это не касается.
Главное: этот закон не про персональные данные. Все ваши риски как жили в законе 152-ФЗ и в КоАП, так там и остались. Ничего нового 1 сентября для селлера не включится.
А кого-то уже наказали за ChatGPT? Честный ответ
Не буду делать вид, что знаю больше, чем знаю.
Я искал судебные решения и постановления регулятора против российского бизнеса конкретно за передачу данных в ChatGPT или Claude. Не нашёл. Ни номера дела, ни суммы.
В сети гуляют утверждения, что регулятор «уже проводил проверки компаний за использование иностранных ИИ» и «выпустил методические рекомендации по ИИ». Я пошёл проверять на официальном сайте - таких рекомендаций там нет. Это оказался рекламный контент сервисов, которые продают «безопасный корпоративный ИИ». Не верьте ему, но и не расслабляйтесь.
Что подтверждено: смежная статья про передачу данных через иностранные мессенджеры уже применялась - банк переслал данные клиентки через WhatsApp и получил 200 тысяч рублей штрафа. К вам эта норма не относится: запрет там адресован узкому кругу - госкомпаниям, финансовым организациям и владельцам самих маркетплейсов, то есть площадке, а не продавцу на ней. Но тренд она показывает: за канал передачи уже наказывают.
Вывод трезвый. Массовой охоты на селлеров с нейросетями сегодня нет. Но состав правонарушения у вас уже собран, санкции с мая 2025 года выросли в разы, а по ключевым частям ИП считают как организацию. Это ружьё на стене.
Что делать: локальная модель
Самое чистое решение - модель, которая крутится на вашем железе. Ollama, LM Studio и подобные программы ставятся на обычный компьютер и работают без интернета.
Почему это снимает проблему: закон говорит о передаче данных «иностранному юридическому лицу». Если данные не покидают ваш компьютер, получателя нет. Нет получателя - нет передачи. Статья 12 просто не включается, и никого уведомлять не нужно.
Именно так у меня устроен инструмент «Вслух» - озвучка работает локально, ничего не улетает наружу. Тот же принцип годится и для анализа заказов.
Важная оговорка, чтобы не обманывать вас: локальная модель снимает трансграничную передачу, но не отменяет остальных обязанностей оператора. Уведомление об обработке, политика работы с данными, меры защиты - это всё остаётся. Просто самый дорогой риск уходит.
Российские нейросети: снимают не всё
Второй законный путь - отечественные модели. Они российские юрлица, серверы стоят в России. Трансграничной передачи нет, вопрос с хранением данных в стране тоже закрывается.
Но полностью проблема не исчезает. Вы всё равно передаёте данные другому лицу, а закон разрешает поручить обработку другому только на основании договора и, как правило, с согласия человека. И ответственность перед покупателем при этом всё равно несёт оператор, то есть вы.
То есть «взял российскую нейросеть - и свободен» не работает. Нужен договор поручения на обработку и правовое основание. Для крупной компании это нормальная бумажная работа, для ИП с двумя сотрудниками - головная боль.
Поэтому мой практический совет проще: не отправляйте идентификаторы никуда. Ни за границу, ни в российское облако.
Практический минимум: что сделать на этой неделе
Сам подход, при котором обычный человек собирает себе рабочие инструменты через диалог с ИИ, называется вайб-кодинг - и он никак не противоречит закону. Противоречит закону только беспечность с чужими данными. Поэтому:
- Вычищайте выгрузку перед отправкой. Удаляйте столбцы с ФИО, телефоном, адресом, email. Оставляйте город, сумму, дату, категорию, артикул. В таком файле не остаётся прямых идентификаторов, и риск падает почти до нуля. Оговорюсь честно: закон считает данные персональными и тогда, когда человека можно определить косвенно - если у вас три заказа в маленьком посёлке, «город плюс дата плюс сумма» тоже может указать на конкретного покупателя. Но для обычной аналитики по сотням заказов это правило закрывает подавляющую часть риска.
- Разделите задачи. Аналитика продаж, юнит-экономика, тексты карточек - тут данные покупателей не нужны в принципе. Работа с конкретным клиентом (ответ на обращение, разбор возврата) - только локально или руками.
- Проверьте своё уведомление в Роскомнадзор. Если вы его не подавали - это отдельный штраф, для ИП считается как для юрлица. Если подавали - посмотрите, что вы написали в графе про трансграничную передачу.
И не храните ключи от кабинета рядом с кодом - это отдельная большая тема, я разбирал её в статье про утечку данных при работе с ИИ. А где ИИ-помощник экономит вам деньги при работе с кабинетом, а где наоборот разоряет, я показывал в разборе вайб-кодинга и API маркетплейса. Утечка ключа и утечка базы покупателей бьют по-разному, но заканчиваются одинаково: отвечает оператор, то есть вы.
Итог
Отправлять персональные данные покупателей в ChatGPT нельзя - не потому, что «страшно», а потому, что закон считает это передачей данных иностранному лицу без основания и без уведомления. Уголовка вам при этом не грозит, а вот административные штрафы для ИП считаются как для организации и доходят до миллионов.
При этом сам ИИ у вас никто не отнимает. Запомните простое правило: персональные данные - это прежде всего имя, телефон, адрес и почта, и именно они не должны покидать ваш компьютер. Город, сумма, дата, категория, артикул прямыми идентификаторами не являются - с ними нейросеть работает спокойно.
Отправляйте в чат обезличенную выгрузку - и вы снимаете почти весь риск. А для тех редких задач, где настоящие персональные данные всё-таки нужны, ставьте модель локально: тогда они просто никуда не уходят.
Источники
- Федеральный закон № 152-ФЗ «О персональных данных», статья 12 (трансграничная передача)
- КоАП РФ, статья 13.11 и примечание к ней (ИП отвечают как юрлица)
- Приказ Роскомнадзора от 05.08.2022 № 128, перечень стран с адекватной защитой
- Уголовный кодекс РФ, статья 272.1 (действует с 11.12.2024)
- Уведомление об инцидентах с персональными данными, форма Роскомнадзора
- Законопроект № 1271570-8 о развитии технологий искусственного интеллекта
- Обзор изменений КоАП после закона № 420-ФЗ (в силе с 30.05.2025)
