Три контура под 152-ФЗ - выбирайте по данным, а не по моде
Зарубежная модель и 152-ФЗ - это не «или-или»
«Fable 5 / Opus 4.8 / GPT сильнее, но они в чужом облаке - значит, нам нельзя» - частый вывод, и он неверен по двум причинам. Первая: 152-ФЗ регулирует не процесс и не модель, а персональные данные - те, что идентифицируют человека.
Большая часть текста, который вы отправляете в LLM, ПДн не содержит. Вторая: между «всё в зарубежном облаке как есть»
и «всё на своём железе» есть промежуточный контур - шлюз приватности, который обезличивает данные до отправки и восстанавливает их в ответе. GPU под собственный инференс - самый дорогой и самый поздний шаг, а не первый. Начните с того, что дешевле и быстрее: шлюз приватности перед зарубежной моделью или РФ-облако. Покупайте железо, только если контур этого реально требует - и это решение считается в калькуляторе под вашу конфигурацию, а не «на глаз».
Scope-first: что вообще подпадает под 152-ФЗ
152-ФЗ защищает персональные данные - информацию, которая прямо или косвенно идентифицирует физлицо: ФИО, телефон, email, паспорт, ИНН, СНИЛС, номер карты, номер счёта, IP в связке с другими атрибутами. Это и есть граница регулирования. Обезличенные, агрегированные, синтетические и чисто корпоративные данные (артикулы, тексты регламентов, обезличенная статистика) под 152-
ФЗ не подпадают. Поэтому правильный первый вопрос - не «можно ли нам зарубежную модель»
, а «какие именно поля в этом процессе суть ПДн»
Чаще всего их немного: имя клиента и контакт в тикете, номер полиса, идентификатор пациента. Если эти поля убрать или заменить плейсхолдерами до отправки - в модель уходит текст, который ПДн уже не является, и трансграничная история выглядит иначе. Шлюз приватности автоматизирует ровно этот шаг.
Найти ПДнФИО, телефон, email, ИНН, СНИЛС, карта, IP
Classify
Классифицироватьтип сущности и порог уверенности
Pseudonymize
ЗаменитьИМЯ_1, ТЕЛЕФОН_2 (или BLOCK)
LLM API
ОбработатьFable 5 / Opus 4.8 / GPT видят только обезличенный текст
Re-hydrate
Вернуть значениятаблица соответствия в РФ-контуре
Обратимая псевдонимизация: реальные ФИО, телефоны, email, ИНН, СНИЛС, паспорта, карты, счета и IP заменяются на плейсхолдеры до облака, таблица соответствия остаётся внутри контура заказчика, а прокси подставляет оригиналы обратно в ответ. Референс-реализация на открытых инструментах: AI-gateway (LiteLLM) c Presidio в режиме pre-call — действия MASK или BLOCK по типу сущности, порог уверенности против ложных срабатываний и output_parse_pii для восстановления значений. Детекция — Microsoft Presidio (MIT) плюс spaCy (MIT) с кастомным NER под русские форматы ПДн. Важная оговорка: документация Presidio прямо предупреждает, что инструмент не гарантирует нахождение всех чувствительных данных, поэтому recall детектора нужно измерять на данных заказчика, а не принимать на веру. Псевдонимизация обратима — значит по закону такие данные остаются ПДн: «обезличили» не должно превратиться в ложную защиту.
Три контура под 152-ФЗ - выбирайте по данным, а не по моде
Под одну и ту же задачу есть три взаимоисключающих контура, и разумная последовательность - от дешёвого и быстрого к дорогому. (A)
Зарубежная frontier через шлюз приватности - максимум reasoning, минимум капзатрат, быстрый старт; остаётся трансграничная передача в обезличенном виде. (B) On-prem open-weight (DeepSeek V4, Qwen3, Gemma 4) на своём железе - данные не покидают периметр вообще, но появляется CAPEX на GPU и зависимость от потока open-weight-релизов. (C) РФ-облако (GigaChat, YandexGPT) - обработка в дата-центрах РФ по 152-ФЗ без своего железа и без VPN, ценой потолка по силе модели относительно мировых лидеров.
Ниже - pro et contra по каждому контуру.
Это то, что покупатель скриншотит для ИБ и юриста.
Контур A. Зарубежная frontier через шлюз приватности
Когда брать
нужен максимум reasoning (Fable 5, Opus 4.8, GPT) при минимальном CAPEX и быстром старте
ПДн в процессе локальны и хорошо детектируемы (ФИО, телефон, email, номера)
таблица соответствия остаётся в РФ-контуре - доказуемо перед ИБ и юристом
Когда не брать
остаётся трансграничная передача даже обезличенного текста - нужна предварительная нотификация Роскомнадзора по ст. 12
Все цифры — примерная оценка порядка величины, а не оферта.
Инференс считаем по цене Opus 4.8 как ориентиру передовой модели, на едином объёме токенов для всех контуров. Цены — из сравнения LLM 2026: прайсы на 27.06.2026, GigaChat 3.5 Ultra учтён как open-weight релиз от 06.07.2026, курс 80 ₽/$.
Внедрение считаем только по процессам: 300 000 ₽ за процесс при 60% автоматизируемого. Если доля ниже или выше, стоимость процесса меняется пропорционально. Разового запуска в калькуляторе нет.
Процессы с высокой вариативностью и жёсткой юр. ответственностью автоматизируются частично — это нормально.
Две модели ценообразования
Две коммерческие модели: фикспрайс за заработавший процесс или outstaff-контракт на выделенную ai-native команду. Контур запуска инференса (облако, on-prem РФ под 152-ФЗ, ваш периметр) выбираете отдельно. Подробнее — о ценообразовании.
Цена ошибки в 2025-2026: почему scope считают заранее
Считать контур «на глаз» дорого не только по инфраструктуре, но и по регуляторному риску.
Пакет поправок 2025 года перевёл нарушения в области ПДн в плоскость оборотных штрафов и уголовной ответственности, причём трансграничная передача - отдельный отягчающий фактор.
Закон № 420-ФЗ от 30.11.2024 (вступил в силу 30.05.2025) ввёл в ст. 13.11 КоАП оборотные штрафы: за повторную утечку - 1-3% годовой выручки, минимум 20 млн ₽, максимум 500 млн ₽. В том же пакете: неуведомление
Роскомнадзора об инциденте - 100-300 тыс
₽; нарушение сроков уведомления об утечке - 1-3 млн ₽; крупная утечка (свыше 100 тыс. субъектов или биометрия) - до 15-20 млн ₽.
Закон № 421-ФЗ от 30.11.2024 (в силе с 11.12.2024) ввёл ст. 272.1 УК: за незаконные сбор, хранение и передачу ПДн - до 10 лет лишения свободы при отягчающих обстоятельствах, и трансграничная передача названа отягчающим фактором прямо.
Отдельно - режим трансграничной передачи: по ст
12 152-ФЗ оператор обязан до начала передачи подать уведомление в Роскомнадзор. С 01.07.2025 действует и ограничение на первичный сбор: ПДн граждан РФ должны сначала попадать в российскую базу данных, и только затем возможна трансграничная передача (точный номер закона уточняется - формулируем правило и дату, а не реквизиты).
Вывод практический: какие поля process суть ПДн и каким контуром они обрабатываются - это нужно зафиксировать до пилота, а не после первого инцидента.
Поведение модели тоже настраивается - но это мягкий контроль, не граница
Удобная аналогия из мира агентов: как системный промпт и навыки (skills) задают модели стиль и роль ещё до пользовательского ввода, так же поведением можно ограничить и работу с ПДн - например, инструкцией никогда не выводить персональные данные.
Privacy-поведение уже упаковывают в устанавливаемые навыки: открытая база `mukul975/Privacy-Data-Protection-Skills` (Apache-2.0) собирает 282+ процедур комплаенса по GDPR, CCPA, EU AI Act, HIPAA, LGPD, PIPL и DPDP - но это библиотека комплаенс-процедур для агентов, а не движок редактирования ПДн.
Системный промпт или навык - это мягкий контроль поведения: он снижает вероятность ошибки, но не гарантирует её отсутствие. Жёсткую, проверяемую границу даёт именно шлюз: detect → mask до облака.
Поэтому навык - это политика, а шлюз - это enforcement.
Полагаться на одну инструкцию вместо обезличивания под 152-ФЗ нельзя.
Как развернуть по порядку - от дешёвого к дорогому
01
Определить ПДн
Пройти процесс по полям и отметить, что именно идентифицирует человека. Остальное под 152-ФЗ не подпадает.
02
Поставить шлюз
Detect → pseudonymize → re-hydrate перед зарубежной моделью; таблица соответствия - в РФ-контуре.
03
Измерить recall
Прогнать детектор на реальных данных заказчика: пропуск ПДн = инцидент, а не статистика.
04
Посчитать контур
В калькуляторе сравнить шлюз, РФ-облако и on-prem под ваш объём и payback - не «на глаз».
05
GPU - только если нужно
Своё железо берётся последним: когда жёсткий режим ПДн или объём инференса это оправдывают.
Чек-лист приёмки PII-пайплайна
Каждый запрос проходит detect перед отправкой; пропуск ПДн считается инцидентом, а recall детектора измерен на данных заказчика.
Таблица соответствия живёт только в РФ-контуре, шифруется и имеет TTL.
Реальные ПДн не попадают в системный промпт, few-shot, логи, кэш и историю агента.
Правовое основание и нотификация по ст. 12 152-ФЗ зафиксированы до промышленного запуска.
В LLM уходит только минимальный набор данных, необходимый для задачи.
Сервис KT.Team
LLM Gateway: зарубежные модели под 152-ФЗ
Security gate / API-proxy перед Fable 5, Opus 4.8 и GPT: пайплайн detect → pseudonymize → re-hydrate (см. схему выше), таблица соответствия не покидает РФ-контур - условие, при котором юрист и ИБ заказчика подписывают использование передовой модели.
Можно ли вообще законно отправлять данные в Fable 5, Opus 4.8 или GPT под 152-ФЗ?
Да, если в модель уходит не ПДн. Шлюз приватности обезличивает поля, идентифицирующие человека, до отправки и восстанавливает их в ответе; трансграничная передача при этом требует предварительной нотификации Роскомнадзора по ст. 12. Канонический механизм - на схеме выше.
Нужно ли сразу покупать GPU и разворачивать всё у себя?
Нет. Своё железо - самый дорогой и самый поздний шаг. Начните со шлюза приватности или РФ-облака; GPU берите, только если жёсткий режим ПДн или стабильно высокий объём инференса это оправдывают, и считайте это в калькуляторе.
Все ли наши данные - персональные?
Нет. 152-ФЗ - про данные, идентифицирующие человека. Обезличенные, агрегированные, синтетические и чисто корпоративные данные под него не подпадают. Первый шаг - определить, какие поля в процессе суть ПДн.
Чем шлюз надёжнее, чем «попросить модель не выдавать ПДн»?
Инструкция или навык - мягкий контроль поведения и не гарантирует результат. Шлюз даёт проверяемую границу: ПДн маскируются до облака, и recall детектора измеряется на ваших данных.
Мы используем файлы cookie, чтобы сайт работал корректно и был удобнее. Оставаясь на сайте, вы соглашаетесь с обработкой данных согласно Политике обработки персональных данных.