Можно ли использовать ChatGPT для бизнеса в России

Ключевые тезисы

•ChatGPT в России не запрещён — сам сервис использовать легально; риск создаёт не инструмент, а данные в промпте
•Линия проходит по 152-ФЗ: публичный контент отправлять можно, персональные данные в зарубежный API — нельзя
•«Персональные данные» трактуются широко: должность + компания + город идентифицируют человека даже без ФИО
•Запрещать ChatGPT целиком неэффективно — правильнее развести задачи по маршрутам: публичное в любой инструмент, ПД только в РФ-периметр
•Для production-обработки ПД универсальный путь — self-hosted или managed-сервис в юрисдикции РФ (YandexGPT, Yandex Cloud)

«Можно ли использовать ChatGPT для бизнеса в России» — самый частый вопрос, который нам задают команды. Короткий ответ: сам по себе ChatGPT в России не запрещён, и пользоваться им законно. Но это не тот вопрос, который защитит вас от штрафа. Реальная линия проходит не по «разрешён или запрещён сервис», а по тому, какие данные вы в него отправляете и где они обрабатываются. Отправили публичный пресс-релиз — почти всегда можно. Загрузили базу клиентов или транскрипт звонка — это трансграничная передача персональных данных и нарушение 152-ФЗ. Эта статья — про то, как отличить одно от другого, не доводя до серой зоны.

Запрета на ChatGPT в России нет

Начнём с того, что снимает половину тревоги: использование ChatGPT и других зарубежных AI-сервисов в России не запрещено законом. Нет нормативного акта, который объявлял бы сам инструмент вне закона для бизнеса. Компании ежедневно используют его для редактирования текстов, брейншторма, перевода и десятков других задач — легально.

Путаница возникает потому, что два разных вопроса сливаются в один. Первый — «легален ли сервис». Второй — «легально ли то, что я в него отправляю». Ответ на первый — да. Ответ на второй — зависит. И именно второй вопрос приводит к штрафам, а не первый.

Риск создаёт не открытие ChatGPT, а нажатие Enter с чужими персональными данными в промпте. Сервис может быть полностью легален, а конкретное действие — нарушением 152-ФЗ.

Почему всё упирается в 152-ФЗ

Федеральный закон №152 «О персональных данных» требует, чтобы обработка персональных данных россиян происходила с использованием баз данных на территории РФ, а трансграничная передача подчинялась отдельным правилам (ст. 12). Когда вы отправляете текст в OpenAI API, данные физически уходят на серверы за пределами России. Если в этом тексте есть персональные данные — вы совершили трансграничную передачу.

Ключевая ошибка — считать персональными данными только ФИО и телефон. Закон трактует их шире: персональные данные — это любая информация, прямо или косвенно идентифицирующая человека. «Глава пресс-службы компании X» без имени всё равно указывает на конкретного человека. Цитата эксперта с его должностью и компанией — обработка персональных данных. Транскрипт, где упомянут «Иван из бухгалтерии», — тоже.

Поэтому правильный вопрос звучит не «можно ли мне ChatGPT», а «может ли этот конкретный промпт идентифицировать живого человека». Если нет — почти всегда можно. Если да — нужен другой маршрут.

Быстрая таблица: когда можно, когда нельзя

Что вы отправляете в ChatGPT	Вердикт
Готовый, уже опубликованный пресс-релиз	Можно
Редактирование текста без имён непубличных лиц	Можно
Брейншторм, структура статьи, перевод обезличенного текста	Можно
Цитата спикера с его именем и должностью	Нельзя без согласия
База контактов журналистов или клиентов (CSV)	Нельзя
Транскрипт звонка с клиентом	Нельзя
Резюме кандидатов, данные сотрудников	Нельзя

Закономерность простая: чем ближе данные к идентификации конкретного человека, тем быстрее «можно» превращается в «нельзя». Публичное — отправляйте. Внутреннее с участием людей — не отправляйте в зарубежный API.

Это обзорная таблица. Разбор по типам данных и инфраструктуре, включая managed-сервисы в РФ и self-hosted, мы вынесли в отдельное практическое руководство — 152-ФЗ и AI: что можно и что нельзя выгружать.

Что делать вместо запрета на инструмент

Запрещать сотрудникам ChatGPT целиком — плохое решение: вы теряете продуктивность и всё равно не контролируете теневое использование. Рабочий подход — разделить маршруты по чувствительности данных.

Для публичных и обезличенных задач — оставляйте привычные инструменты, они легальны. Для всего, что касается персональных данных клиентов, сотрудников и спикеров, нужен маршрут, где данные не покидают российский периметр. Здесь два варианта.

Первый — managed-сервисы в юрисдикции РФ, например YandexGPT и GenAI-сервисы Yandex Cloud. Обработка остаётся внутри страны, что закрывает часть кейсов при наличии согласия субъекта и договора поручения с обработчиком.

Второй — self-hosted: open-weights модели на вашей собственной инфраструктуре. Это единственный универсальный путь для production-обработки персональных данных: оператором обработки остаётесь вы, данные физически не выходят за периметр, серых зон с трансграничной передачей не возникает. Концептуальный разбор архитектуры — на странице Суверенный AI для российских предприятий.

Практический пример маршрутизации: подготовка тендерной и проектной документации почти всегда содержит персональные данные участников и коммерческие детали. Мы закрываем этот сценарий на суверенной инфраструктуре в продукте Tender Docs — данные остаются в РФ-периметре, а команда работает с привычным AI-интерфейсом.

Вывод

«Можно ли использовать ChatGPT для бизнеса в России» — да, сервис легален. Но это не та гарантия, которая защищает компанию. Защищает архитектура данных: публичное — в любой инструмент, персональные данные — только туда, где обработка остаётся в России. Постройте это разделение один раз — и вопрос легальности перестаёт быть источником риска.

Если хотите разобрать, какие из ваших сценариев попадают в серую зону и как развести их по маршрутам без потери скорости работы команды, запишитесь на демо — покажем на ваших реальных задачах.

Вопросы и ответы

Запрещён ли ChatGPT в России?

Нет. Использование ChatGPT и других зарубежных AI-сервисов в России не запрещено законом — нет нормативного акта, объявляющего сам инструмент вне закона для бизнеса. Незаконной может быть не работа с сервисом, а отправка в него персональных данных третьих лиц без законных оснований, что подпадает под 152-ФЗ.

Можно ли загружать в ChatGPT клиентскую базу или транскрипты звонков?

Нет. База контактов, CSV с клиентами, транскрипты звонков и резюме кандидатов содержат персональные данные. Отправка их в зарубежный API — трансграничная передача персональных данных (ст. 12 152-ФЗ) и нарушение. Такие данные обрабатывают только на инфраструктуре в РФ — managed-сервис в юрисдикции России или self-hosted.

Можно ли редактировать пресс-релизы через ChatGPT?

Как правило да. Готовый, уже опубликованный пресс-релиз — публичная информация, его можно прогонять через ChatGPT. Осторожность нужна с внутренними черновиками, где упомянуты непубличные лица (например, сотрудник, цитируемый в комментарии): такие тексты в зарубежный сервис отправлять не следует.

Что использовать вместо ChatGPT для данных с персональной информацией?

Два рабочих маршрута. Managed-сервисы в юрисдикции РФ (YandexGPT, GenAI-сервисы Yandex Cloud) — обработка остаётся внутри страны и закрывает часть кейсов при наличии согласия субъекта и договора поручения. Self-hosted open-weights модели на собственной инфраструктуре — единственный универсальный путь для production-обработки персональных данных, поскольку данные не покидают ваш периметр.

Достаточно ли убрать имена, чтобы отправлять данные в ChatGPT?

Почти никогда. Замена «Иван Петров» на «Клиент №1» при сохранении должности, компании и города — это псевдонимизация, а не обезличивание по 152-ФЗ. Обезличивание требует, чтобы реидентификация была невозможна без непропорциональных усилий, что без сертифицированной процедуры не достигается. Поэтому «убрал ФИО — значит безопасно» — ошибочное допущение.