Инференс на ПДн: согласие
Для CTO вопрос согласия при инференсе возникает в трёх точках: когда продукт получает входные данные в реальном времени, когда батч-задача обрабатывает накопленные записи и когда ML-сервис встроен в мультиарендную SaaS-платформу. В каждом случае правовой режим различается. С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей, и неверная квалификация основания обработки напрямую влияет на часть применяемой нормы — и на размер штрафа.
Почему инференс — отдельный вид обработки и требует самостоятельного согласия?
Статья 3 ФЗ-152 определяет обработку персональных данных широко: к ней относятся сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Применение ML-модели к входным ПДн охватывается понятием «использование» — действие совершается с данными конкретного субъекта. Это не техническая операция вне правового поля.
Принципиальный вопрос — цель. Обучение модели и применение (инференс) — разные цели обработки. Согласие, полученное под обучение, не покрывает инференс на данных того же субъекта, если цели в тексте согласия прямо не указаны обе. Ст. 9 ФЗ-152 в редакции с 01.09.2025 требует, чтобы в согласии были перечислены конкретные действия с ПДн и конкретные цели. Формулировка «обработка в целях улучшения сервиса» судами квалифицируется как недостаточно определённая.
Дополнительная сложность — автоматизированные решения. Если инференс порождает юридически значимые последствия для субъекта (отказ в кредите, блокировка аккаунта, изменение тарифа) или аналогичным образом существенно его затрагивает, вступает ст. 16 ФЗ-152: субъект вправе потребовать пересмотра решения с участием человека. Оператор обязан уведомить его о наличии автоматизированного принятия решений при получении согласия.
Инференс запущен, а согласия под ML-обработку нет?
Если CTO обнаружил, что продуктовый ML-сервис работает на ПДн без согласия в нужной формулировке — это основание по ч. 2 ст. 13.11 КоАП (штраф 300 000 — 700 000 ₽ для юрлица). До первого запроса РКН у вас есть время привести документацию в порядок. DATUM проведёт аудит правовых оснований обработки в ML-пайплайне и укажет, какие согласия переделать.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие правовые основания применимы к инференсу помимо согласия?
Согласие — не единственное основание. Ст. 6 ФЗ-152 содержит одиннадцать оснований обработки. Для IT-продуктов практически значимы несколько.
Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Если ML-инференс встроен в ядро сервиса, без которого услуга технически невозможна, обработка оправдана договорным основанием. Пример: система распознавания голоса в звонках колл-центра, где именно распознавание и является предметом договора. Важен критерий необходимости: суды оценивают, можно ли оказать услугу без данного вида обработки. Если можно — договорного основания недостаточно.
Законные интересы оператора (п. 7 ч. 1 ст. 6 ФЗ-152). Применяется к антифроду, выявлению аномалий, системам безопасности. Условие: интерес оператора должен быть соразмерен и не нарушать права субъекта. На практике регулятор рассматривает это основание как дополнительное, а не замещающее согласие при профилировании.
Специальные категории (ст. 10 ФЗ-152). Если на вход модели попадают данные о здоровье, биометрия, политические взгляды — договорное основание и законный интерес не работают. Обработка допустима только при наличии явного письменного согласия или в строго перечисленных исключениях п. 2 ст. 10. Для медицинского ML это правило нарушается чаще всего.
Как обезличивание для ML влияет на требование согласия?
Распространённая позиция IT-команд: «мы обезличили данные перед инференсом — согласие не нужно». Это верно только при соблюдении условий ст. 13.1 ФЗ-152 и методов обезличивания, утверждённых приказом РКН (5 методов, действует с 01.09.2025): введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение.
Ключевой риск — обратимость. Если оператор сохраняет таблицу соответствия оригинальных идентификаторов и псевдонимов, данные не считаются обезличенными по смыслу ФЗ-152. РКН рассматривает псевдонимизацию как обработку ПДн с дополнительной мерой защиты, а не как выход из-под действия закона. Для ML-задач это означает: согласие требуется на этапе сбора исходных данных; обезличивание влияет на уровень защищённости ИСПДн, но не отменяет правовое основание.
Когда обезличивание действительно освобождает от согласия — только сценарий создания открытых датасетов для обучения без сохранения связи с субъектом. Инференс на обезличенных данных в реальном времени технически предполагает, что система «видит» данные субъекта в необезличенном виде хотя бы на входе, а значит обработка ПДн всё равно происходит.
CTO строит ML-пайплайн и не уверен, какие данные считаются обезличенными по приказу РКН — DATUM проверит архитектуру и укажет точки риска. Ответим за 2 часа.
Заказать аудит 152-ФЗКак уровни защищённости УЗ-1..4 привязаны к инференс-системе?
ПП РФ №1119 от 01.11.2012 определяет четыре уровня защищённости ИСПДн на основе трёх параметров: категория ПДн, тип угроз (1–3) и число субъектов. Инференс-сервис является ИСПДн, если обрабатывает ПДн в автоматизированном режиме — а он обрабатывает по умолчанию.
Типовые привязки для ML-систем:
- Общие ПДн, угрозы 3-го типа, менее 100 000 субъектов — УЗ-4. Минимальный набор мер по Приказу ФСТЭК №21: идентификация и аутентификация (ИАФ), управление доступом (УПД), защита машинных носителей (ЗНИ), регистрация событий безопасности (РСБ), антивирусная защита (АВЗ).
- Общие ПДн, угрозы 2-го типа или более 100 000 субъектов — УЗ-3. Добавляются требования по обнаружению вторжений (СОВ) и анализу уязвимостей (АНЗ).
- Специальные категории (медицинские данные, биометрия) — УЗ-2 или УЗ-1 в зависимости от типа угроз. Обязательна сертифицированная ФСТЭК СЗИ.
Критичная ошибка SaaS-платформ — оценивать ИСПДн под одного арендатора, а не по совокупности. Если мультиарендная система хранит ПДн 50 арендаторов по 3 000 субъектов каждый, итоговая база может превышать 100 000 субъектов — порог перехода на УЗ-3. Поручение обработки ПДн (ст. 6 п. 3 ФЗ-152) между арендатором-оператором и платформой-обработчиком не снимает с платформы требований по уровню защищённости: платформа обязана соответствовать УЗ, заявленному оператором-арендатором.
Какие сценарии создают наибольший риск для CTO?
Три типовые ситуации, в которых IT-команда получает протокол по ст. 13.11 КоАП.
Сценарий 1. Инференс-сервис запущен на production-данных без обновлённого согласия. Компания переехала с ручной логики на ML-модель. Согласие в пользовательском соглашении — формулировка «улучшение сервиса» — не называет ML-обработку и автоматизированные решения. РКН при проверке рассматривает любой ML-инференс как самостоятельную цель. Итог: протокол по ч. 2 ст. 13.11 (300 000 — 700 000 ₽ для юрлица). Стратегия: до запуска инференса обновить текст согласия, добавить раздел об автоматизированных решениях и ML-обработке, собрать повторные согласия при существенном изменении целей.
Сценарий 2. SaaS-платформа с ML-модулем, облако за рубежом. Платформа хранит ПДн в дата-центре в Финляндии. Обработка — инференс рекомендательной модели. Нарушается ч. 5 ст. 18 ФЗ-152 (локализация): запись, систематизация, хранение ПДн граждан РФ должны вестись в базах на территории РФ. С 01.07.2025 ФЗ-233 ужесточил применение нормы. Штраф по ч. 8 ст. 13.11 — от 1 000 000 до 6 000 000 ₽. При повторном нарушении — ч. 9, 6 000 000 — 18 000 000 ₽. Стратегия: мигрировать базу первичного хранения в облако в РФ; зарубежный инференс-кластер допустим при условии, что первичные ПДн записываются в российскую базу, а за рубеж передаётся только обезличенный вектор признаков.
Сценарий 3. Утечка данных через ML-API без уведомления РКН за 24 часа. Инференс-эндпоинт вернул данные стороннему запросу из-за ошибки авторизации. CISO зафиксировал инцидент через 30 часов. Срок первичного уведомления РКН по ч. 3.1 ст. 21 ФЗ-152 — 24 часа — истёк. Штраф по ч. 11 ст. 13.11 — 1 000 000 — 3 000 000 ₽ только за факт нарушения срока, независимо от масштаба утечки. Стратегия: настроить автоматический алертинг на аномальный трафик ML-API; процедура уведомления РКН должна быть частью runbook инцидента — с шаблоном уведомления и ответственным на дежурстве.
Что подготовить CTO перед запуском инференса на ПДн
- Актуализированное согласие субъекта с явным указанием ML-обработки, автоматизированных решений и конкретных целей (ст. 9 ФЗ-152 в ред. ФЗ-156)
- Модель угроз и акт определения уровня защищённости ИСПДн (ПП РФ №1119) с учётом совокупного числа субъектов в мультиарендной среде
- Договор-поручение с платформой-обработчиком или облачным провайдером (ст. 6 п. 3 ФЗ-152) с указанием требуемого УЗ и мер защиты по Приказу ФСТЭК №21
- Подтверждение локализации первичного хранения ПДн в РФ (ч. 5 ст. 18 ФЗ-152): документ от провайдера с адресом дата-центра
- Runbook реагирования на инцидент: алертинг на ML-API, шаблон 24-часового уведомления РКН, ответственный дежурный
Как это применяется на практике
Кейс 1. IT-компания (Центральный ФО, осень 2025) разработала рекомендательный движок для ретейл-клиента. Инференс работал на production-базе покупателей; согласие в пользовательском соглашении не упоминало ML-профилирование. При внеплановой проверке РКН получил уведомление от субъекта. CTO компании совместно с юристами DATUM в течение двух недель переработал тексты согласий, добавил раздел об автоматизированных решениях и направил в РКН обновлённое уведомление по ст. 22 ФЗ-152. Проверка завершилась предписанием об устранении без штрафа — благодаря тому, что нарушение было устранено до составления протокола. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Кейс 2 (из реестра). В деле о крупной утечке (арбитражный суд Москвы, дело № А40-263126/2025) оператор допустил компрометацию 26 миллионов записей. Поскольку утечка произошла до 01.06.2025, суд применил нормы старой редакции ст. 13.11 КоАП и назначил минимальный штраф 150 000 ₽. Для инцидентов после 30.05.2025 тот же масштаб влечёт ч. 14 ст. 13.11 — штраф 10 000 000 — 15 000 000 ₽. Дата инцидента стала ключевым процессуальным аргументом.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка правовых оснований ML-обработки, УЗ, согласий и ОРД
- DPIA (оценка воздействия) — оценка рисков инференс-систем с автоматизированными решениями
- Комплект ОРД под ключ — согласия с ML-блоком, модель угроз, поручение обработки
Частые вопросы
1. Какой УЗ выбрать для SaaS с инференсом?
Уровень защищённости определяется по ПП РФ №1119 исходя из категории ПДн, типа актуальных угроз и числа субъектов. Для мультиарендной SaaS считается совокупное число субъектов всех арендаторов, а не каждого по отдельности. Общие ПДн, угрозы 3-го типа, до 100 000 субъектов — УЗ-4. При превышении 100 000 субъектов или угрозах 2-го типа — УЗ-3. Специальные категории (медицина, биометрия) — УЗ-2 или УЗ-1. Набор обязательных мер по каждому УЗ — Приказ ФСТЭК №21.
2. Можно ли использовать иностранные облака для инференса?
Иностранное облако допустимо только для вычислений, если первичная запись и хранение ПДн граждан РФ осуществляются в базе данных, физически расположенной на территории РФ (ч. 5 ст. 18 ФЗ-152). Передача обезличенных векторов признаков в зарубежный инференс-кластер — допустима при условии соблюдения методов обезличивания по приказу РКН. Хранение исходных ПДн за рубежом — нарушение, штраф по ч. 8 ст. 13.11 КоАП от 1 000 000 до 6 000 000 ₽.
3. Что такое обезличивание для ML?
Обезличивание — это приведение ПДн в форму, при которой невозможно без дополнительной информации определить принадлежность данных конкретному субъекту (ст. 13.1 ФЗ-152). Для ML-задач актуальны методы, утверждённые приказом РКН: введение идентификаторов (псевдонимизация), декомпозиция, обобщение и агрегация. Псевдонимизация с сохранением таблицы соответствия не считается обезличиванием по смыслу ФЗ-152 — РКН рассматривает её как дополнительную меру защиты, но не как выход из-под действия закона.
4. Кто оператор в мультиарендной SaaS?
В мультиарендной SaaS оператором ПДн конечных субъектов является арендатор (клиент платформы), который определяет цели и состав обработки. Платформа выступает обработчиком по поручению — ст. 6 п. 3 ФЗ-152. Между арендатором и платформой должен быть заключён договор-поручение с перечнем действий, требуемым УЗ и мерами защиты. Платформа несёт ответственность за техническую безопасность, арендатор — за законность обработки, включая наличие согласий.
5. Какие СЗИ обязательны при инференсе на ПДн?
Конкретный состав средств защиты информации (СЗИ) определяется базовым набором мер по актуальному УЗ согласно Приказу ФСТЭК №21. На практике для УЗ-3 и выше обязательны сертифицированные ФСТЭК средства: антивирусная защита (АВЗ), обнаружение вторжений (СОВ), управление доступом (УПД), регистрация событий безопасности (РСБ). При УЗ-1 и УЗ-2 требуется применение только сертифицированных СЗИ. Использование несертифицированных инструментов при высоком УЗ — самостоятельное нарушение, выявляемое при проверке ФСТЭК.
Итог
Инференс на ПДн требует самостоятельного правового основания — отдельного от обучения модели и отдельного от общей обработки в рамках сервиса. С 01.09.2025 согласие оформляется отдельным документом с явным перечислением ML-действий и целей; совмещение с офертой или пользовательским соглашением недопустимо. Уровень защищённости ИСПДн определяется по совокупности субъектов и категории данных — мультиарендная SaaS суммирует субъектов всех арендаторов.
DATUM сопровождает IT-команды в части 152-ФЗ с 2014 года: аудит правовых оснований ML-пайплайна, модели угроз и УЗ, комплект ОРД с ML-блоком, DPIA для систем автоматизированных решений.