аналитика 14 февраля 2029 года По состоянию на 14 февраля 2029 года

Эксперименты в email-маркетинге

A/B-тест в email-рассылке — это обработка персональных данных. Если субъект не давал согласия на использование его адреса в экспериментах, оператор нарушает ст. 5 и ст. 9 ФЗ-152.

С 30.05.2025 штраф за обработку ПДн в целях, не предусмотренных законом, составляет 150 000 — 300 000 ₽ по ч. 1 ст. 13.11 КоАП; повторное нарушение — 300 000 — 500 000 ₽. Если эксперименты ведутся через иностранный SaaS без уведомления РКН о трансграничной передаче — добавляется штраф 1 000 000 — 6 000 000 ₽ по ч. 8 ст. 13.11 (нарушение локализации).

Если вы CTO и ваша команда проводит эксперименты в email-маркетинге — проверьте правовое основание, уровень защищённости ИСПДн и архитектуру хранения данных до следующего A/B-теста.

Эксперименты в email-маркетинге — A/B-тесты тем, сегментация, персонализация, машинное обучение на истории рассылок — стали стандартом для SaaS-продуктов. Технически они несложны. Юридически каждый из них представляет собой отдельное действие по обработке персональных данных с собственным правовым основанием, уровнем защищённости и требованием к документации. В 2025 году РКН зафиксировал более 250 публичных утечек из баз email-рассылок, а ст. 13.11 КоАП расширилась до 18 частей. Для CTO это означает: архитектурные решения по email-экспериментам теперь напрямую определяют размер административной и уголовной ответственности.

Почему эксперименты в email-маркетинге регулируются ФЗ-152?

Email-адрес — персональные данные по ст. 3 ФЗ-152: он позволяет идентифицировать физическое лицо. Любое действие с ним — сбор, хранение, использование, передача — является обработкой ПДн и требует правового основания по ст. 6 ФЗ-152.

Эксперимент в рассылке добавляет к базовой обработке новую цель: тестирование гипотезы. Если исходное согласие субъекта охватывало только «получение информационных рассылок», использование его адреса для A/B-теста тематической строки формально выходит за рамки этой цели. Принцип несовместимости целей закреплён в ст. 5 ФЗ-152: объединять базы с несовместимыми целями запрещено.

«Ст. 5 ФЗ-152 — обработка ПДн должна ограничиваться достижением конкретных, заранее определённых и законных целей. Обработка ПДн, несовместимая с целями сбора, не допускается.»

На практике это означает следующее: если в согласии на рассылку не указано, что адрес может использоваться для сплит-тестирования, профилирования, передачи в ML-модель или в ESP-платформу третьего лица — каждое из этих действий требует отдельного правового обоснования. Чаще всего — отдельного согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие теперь оформляется отдельным документом и не может быть встроено в условия пользовательского соглашения или оферты.

Отдельная история — сегментация по поведенческим признакам: открытие письма, время чтения, клики. Эти данные в связке с email-адресом образуют профиль субъекта. РКН последовательно квалифицирует профилирование как отдельный вид обработки, требующий явного согласия на автоматизированную обработку по ст. 16 ФЗ-152.

Какой уровень защищённости (УЗ) нужен для email-экспериментов?

Уровень защищённости информационной системы персональных данных (ИСПДн) определяется по ПП РФ №1119 от 01.11.2012. Он зависит от трёх параметров: категории ПДн, типа угроз и числа субъектов в базе.

Для типовой email-базы маркетинга параметры выглядят так:

Категория — общие ПДн (имя, email, история покупок, поведение на сайте). Это не спецкатегория по ст. 10 ФЗ-152, не биометрия по ст. 11.
Тип угроз — как правило, угрозы 3-го типа (актуальны недекларированные возможности в прикладном ПО, но не в системном).
Число субъектов — порог 100 000: базы большинства SaaS-продуктов его превышают.

При угрозах 3-го типа, общих ПДн и числе субъектов более 100 000 применяется УЗ-3. Это означает обязательное выполнение базового набора мер по Приказу ФСТЭК №21 от 18.02.2013: идентификация и аутентификация (ИАФ), управление правами доступа (УПД), защита носителей информации (ЗНИ), регистрация событий (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), анализ защищённости (АНЗ), обеспечение целостности (ОЦЛ), защита среды виртуализации (ЗСВ), защита технических средств (ЗТС), защита ИС и её компонентов (ЗИС), управление конфигурацией (УКФ).

«ПП РФ №1119 — оператор самостоятельно определяет уровень защищённости ИСПДн исходя из категории ПДн, типа угроз и числа субъектов. УЗ-3 применяется при обработке общих ПДн более 100 000 субъектов при угрозах 3-го типа.»

Если в email-базе хранятся данные о предпочтениях, связанных со здоровьем (например, пользователь медицинского SaaS), категория может подняться до специальной по ст. 10 ФЗ-152 — и тогда уровень защищённости повысится до УЗ-2 или УЗ-1. Для CTO это критичный момент: один тип данных в базе меняет архитектурные требования ко всей системе.

Не уверены, какой УЗ применим к вашей email-базе?

Уровень защищённости определяет весь технический стек: СЗИ, логирование, сегрегация сред. Если вы CTO и используете ESP-платформу или ML-пайплайн на email-данных — ошибка в определении УЗ означает нарушение Приказа ФСТЭК №21 и риск предписания при проверке РКН. До следующего A/B-теста имеет смысл верифицировать классификацию системы.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Можно ли использовать иностранные ESP и облака для экспериментов?

Email Service Provider (Mailchimp, Brevo, SendGrid, Klaviyo) — это обработчик ПДн по поручению оператора согласно п. 3 ст. 6 ФЗ-152. Поручение обработки допустимо, но оператор несёт ответственность за действия обработчика перед субъектами ПДн.

Если ESP-платформа хранит или обрабатывает ПДн граждан РФ на серверах за рубежом — это нарушение ч. 5 ст. 18 ФЗ-152 (локализация). С 01.07.2025 (ФЗ-233 от 08.08.2024) требование локализации ужесточено: первичный сбор, систематизация и хранение ПДн граждан РФ должны осуществляться в базах, расположенных на территории России. Передача за рубеж после первичной записи в российской базе допустима при соблюдении ст. 12 ФЗ-152 и уведомлении РКН о трансграничной передаче.

«Ч. 5 ст. 18 ФЗ-152 — при сборе ПДн оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ с использованием баз данных на территории РФ.»

Штраф за нарушение локализации по ч. 8 ст. 13.11 КоАП (с 30.05.2025) — 1 000 000 — 6 000 000 ₽. Повторное нарушение — 6 000 000 — 18 000 000 ₽ по ч. 9. При оборотном штрафе за повторную утечку через зарубежный ESP — до 500 000 000 ₽ по ч. 15 ст. 13.11.

Практический вывод для CTO: если эксперименты в email-маркетинге ведутся через иностранный SaaS — необходима архитектура с первичным хранением в российском облаке и передачей обезличенных или агрегированных данных на зарубежную платформу. Либо — переход на российский ESP с хранением в РФ и заключением договора поручения обработки по п. 3 ст. 6 ФЗ-152.

Как использовать email-данные для ML без нарушения ФЗ-152?

Машинное обучение на email-данных — типичная задача: предиктивная сегментация, персонализация времени отправки, прогноз оттока. Каждая из них требует обработки ПДн субъектов. Если модель обучается на реальных данных без обезличивания — оператор обрабатывает ПДн в новой цели (разработка ML-модели), не предусмотренной исходным согласием.

Решение — обезличивание по методам, утверждённым РКН. Приказ РКН (действующая редакция с 01.09.2025) предусматривает 5 методов: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение и агрегация. После корректного обезличивания данные выходят из-под режима ПДн и могут использоваться для обучения моделей без правовых ограничений.

Важный нюанс: обезличивание должно быть необратимым для конкретного оператора. Псевдонимизация (замена email на хэш при сохранении таблицы соответствий) — не обезличивание по позиции РКН. Если оператор может восстановить связь хэша с субъектом — данные остаются персональными.

«Ст. 13.1 ФЗ-152 (в редакции ФЗ-233 от 08.08.2024) — регулирует порядок обработки обезличенных ПДн. Методы обезличивания утверждены отдельным подзаконным актом РКН (с 01.09.2025).»

Для A/B-тестов другая логика: эксперимент проводится на живых субъектах в режиме реального времени, обезличивание здесь неприменимо. Требуется расширенное согласие, охватывающее цель «тестирование гипотез и улучшение сервиса», либо правовое основание по п. 5 ст. 6 ФЗ-152 — если тест является частью исполнения договора с пользователем. Второй вариант применим узко: только когда пользователь явно запросил улучшение функциональности и тест прямо связан с этим запросом.

Если CTO строит ML-пайплайн на email-данных без верифицированного обезличивания — это риск штрафа по ч. 1 ст. 13.11 КоАП и уголовной ответственности по ст. 272.1 УК РФ (введена с 11.12.2024). Оценить архитектуру можно до запуска модели в продакшн.

Заказать аудит 152-ФЗ

Типовые сценарии нарушений при email-экспериментах и их последствия

Сценарий 1. A/B-тест без расширенного согласия. Компания проводит сплит-тест на 200 000 подписчиков: половине отправляется тема A, половине — тема B. Согласие охватывает «информационные рассылки», но не «тестирование гипотез». РКН при проверке квалифицирует это как обработку в целях, не предусмотренных законом (нарушение ст. 5 ФЗ-152). Протокол по ч. 1 ст. 13.11 КоАП: штраф 150 000 — 300 000 ₽. При повторном нарушении — 300 000 — 500 000 ₽ по ч. 1.1. Стратегия защиты: дополнить согласие явным указанием цели «тестирование и оптимизация коммуникаций» до начала следующего теста.

Сценарий 2. Передача email-базы в иностранный ESP без уведомления РКН. SaaS-компания подключает Klaviyo для email-экспериментов. ПДн 150 000 подписчиков-граждан РФ хранятся на серверах в США без первичной записи в российской базе. РКН выявляет нарушение ч. 5 ст. 18 ФЗ-152 при мониторинге или внеплановой проверке. Штраф по ч. 8 ст. 13.11: 1 000 000 — 6 000 000 ₽. Если ранее уже было нарушение локализации — ч. 9: 6 000 000 — 18 000 000 ₽. Стратегия: перевести первичное хранение в российское облако, настроить API-интеграцию с Klaviyo как обработчиком по договору поручения.

Сценарий 3. ML-модель на необезличенных email-данных с утечкой через подрядчика. Датасайентист обучает модель персонализации на реальных email-адресах и поведенческих профилях. Данные передаются в облачную ML-платформу подрядчика без договора поручения и без обезличивания. Происходит утечка 80 000 записей. Оператор несёт ответственность за действия подрядчика (принцип ВС РФ по делам об утечках через субподрядчиков). Штраф по ч. 13 ст. 13.11 (10 000 — 100 000 субъектов): 5 000 000 — 10 000 000 ₽. Неуведомление РКН в 24 часа добавляет ч. 11: 1 000 000 — 3 000 000 ₽. Если утечка повторная — оборотный штраф по ч. 15: до 500 000 000 ₽. Стратегия: обезличить данные до передачи подрядчику, заключить договор поручения обработки, настроить мониторинг аномалий в ML-пайплайне.

Как это работает на практике

Кейс 1. IT-компания из Центрального ФО (осень 2025) перевела email-экспериментальный стек на российское облако после уведомления РКН о намерении взаимодействовать с иностранным ESP. Юристы подготовили расширенное согласие, охватывающее A/B-тестирование и профилирование. При плановой проверке РКН нарушений не выявлено — компания избежала штрафа по ч. 8 ст. 13.11, который мог составить от 1 000 000 ₽.

Кейс 2. По делу об утечке ПДн через платформу маркетинговой автоматизации (Приволжский ФО, начало 2026) технический директор компании получил уведомление об инциденте от ESP-провайдера. Поскольку договор поручения обработки был заключён заблаговременно и содержал обязательство ESP уведомлять оператора в течение 12 часов, компания успела направить первичное уведомление в РКН за 22 часа. Штраф по ч. 11 ст. 13.11 за нарушение срока уведомления не применялся. По ч. 12 (утечка до 10 000 субъектов) штраф составил несколько миллионов рублей — суд применил смягчающие обстоятельства с учётом оперативности реагирования.

Что подготовить перед запуском email-экспериментов

Расширенное согласие на обработку ПДн, охватывающее цели A/B-тестирования, профилирования и передачи в ESP по договору поручения (ст. 9 ФЗ-152 в редакции с 01.09.2025).
Договор поручения обработки с ESP-платформой (п. 3 ст. 6 ФЗ-152) с обязательством хранения данных в РФ или API-интеграцией из российской базы.
Актуальный акт классификации ИСПДн с определением УЗ (ПП РФ №1119) и набором мер защиты по Приказу ФСТЭК №21.
Регламент обезличивания данных перед передачей в ML-пайплайн с описанием применяемого метода из перечня РКН.
Регламент реагирования на утечку с таймлайном: обнаружение — 0 ч, уведомление РКН — 24 ч, отчёт — 72 ч (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187).

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — классификация ИСПДн, проверка согласий и поручений обработки.
DPIA (оценка воздействия) — оценка рисков при ML-обработке и профилировании email-данных.
Комплект ОРД под ключ — согласия, договоры поручения, регламент реагирования на утечку.

Частые вопросы

1. Какой УЗ выбрать для SaaS с email-базой?

Для SaaS, обрабатывающего общие ПДн (email, имя, поведение) более 100 000 субъектов при угрозах 3-го типа, применяется УЗ-3 по ПП РФ №1119. Если в базе есть данные, связанные со здоровьем или иные спецкатегории по ст. 10 ФЗ-152, — УЗ повышается до УЗ-2 или УЗ-1. Уровень определяется актом классификации ИСПДн, который оператор составляет самостоятельно и хранит в пакете ОРД. Набор технических мер защиты по каждому УЗ — в Приказе ФСТЭК №21.

2. Можно ли использовать иностранные облака и ESP для email-экспериментов?

После ужесточения локализации с 01.07.2025 (ФЗ-233) первичная запись и хранение ПДн граждан РФ должны осуществляться в базах на территории РФ. Использование иностранного ESP допустимо как поручение обработки по п. 3 ст. 6 ФЗ-152 при условии: (1) первичное хранение — в российской базе, (2) заключён договор поручения, (3) при передаче за рубеж — уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. Нарушение локализации — штраф 1 000 000 — 6 000 000 ₽ по ч. 8 ст. 13.11 КоАП.

3. Что такое обезличивание для ML и чем оно отличается от хэширования?

Обезличивание — необратимое преобразование ПДн, после которого оператор не может восстановить связь данных с конкретным субъектом. РКН утвердил 5 методов (с 01.09.2025): введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение. Хэширование email-адреса при сохранении таблицы соответствий — псевдонимизация, а не обезличивание: оператор может восстановить субъекта. Такие данные остаются ПДн и требуют правового основания для обработки в ML-модели.

4. Кто является оператором в мультиарендной SaaS-платформе?

В мультиарендной SaaS оператором ПДн конечных пользователей, как правило, является клиент платформы (арендатор), а не SaaS-вендор. Вендор выступает обработчиком по поручению по п. 3 ст. 6 ФЗ-152. Это разграничение должно быть явно закреплено в договоре: состав обрабатываемых ПДн, цели, меры защиты, обязательство уведомить оператора об инциденте. Если вендор самостоятельно определяет цели и способы обработки — он становится сооператором или самостоятельным оператором со всеми вытекающими обязательствами по ст. 22 ФЗ-152.

5. Какие средства защиты информации обязательны при УЗ-3?

При УЗ-3 по Приказу ФСТЭК №21 оператор обязан реализовать базовый набор мер из 15 групп: идентификация и аутентификация (ИАФ), управление доступом (УПД), защита носителей (ЗНИ), регистрация событий безопасности (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), анализ защищённости (АНЗ), обеспечение целостности (ОЦЛ), обеспечение доступности (ОДТ), защита виртуализации (ЗСВ), защита технических средств (ЗТС), защита ИС (ЗИС), управление конфигурацией (УКФ), защита программной среды (ОПС). СЗИ не обязаны иметь сертификат ФСТЭК при УЗ-3 — достаточно соответствия требованиям по функциональности. При УЗ-1 и УЗ-2 сертификация обязательна.

Итог

Эксперименты в email-маркетинге — законная и эффективная практика, если архитектура соответствует ФЗ-152. Три ключевых требования: правовое основание для каждой цели обработки (расширенное согласие или договор), локализация первичного хранения данных в РФ, обезличивание перед передачей в ML-пайплайн. Нарушение любого из них с 30.05.2025 влечёт штрафы от 150 000 ₽ до 500 000 000 ₽ в зависимости от повторности и масштаба.

Юристы DATUM сопровождают IT-компании и SaaS-продукты в вопросах классификации ИСПДн, разработки договоров поручения обработки и подготовки к проверкам РКН.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и информационной безопасности. Специализация — уровни защищённости УЗ-1..4 (ПП РФ №1119), Приказ ФСТЭК №21, обезличивание ПДн для ML, логирование и A/B-тесты, защита SaaS-инфраструктуры, реагирование на утечки за 24/72 часа, ст. 272.1 УК.