Безопасность данных и ИИ-агенты: 152-ФЗ, риски и что учесть бизнесу
ИИ-агент обрабатывает заявки, переписки и карточки клиентов, а значит работает с персональными данными. Для бизнеса это сразу два вопроса: не нарушает ли это 152-ФЗ (закон о персональных данных) и не утечёт ли клиентская база через сторонний сервис. Безопасность ИИ-агентов держится на простом принципе: в модель уходит минимум данных, а ответственность оператора остаётся на компании. В этом гайде разберём, что требует закон, какие данные нельзя отдавать модели, как проверить вендора и как настроить ИИ-агента так, чтобы лишние данные не покидали вашу CRM.
Почему ИИ-агент это вопрос безопасности данных, а не только удобства
Безопасность ИИ-агента для бизнеса означает контроль над тем, какие данные клиентов попадают в модель, где они обрабатываются и кто за них отвечает. ИИ-агент анализирует входящие заявки, переписки и карточки клиентов в CRM, а это персональные данные: имена, телефоны, адреса электронной почты. Как только такие данные уходят в модель, у вас появляется два риска.
Первый риск юридический: можно нарушить требования к обработке персональных данных. Второй риск практический: клиентская база может утечь через сторонний сервис, если данные хранятся не там, где вы думаете, или используются для обучения чужой модели.
Здесь важно понять главное. Сервис, который предоставляет модель, не отвечает за ваших клиентов вместо вас. Если данные собирает и использует ваша компания, оператором персональных данных остаётесь вы. Подключение ИИ-агента эту ответственность не передаёт. Чтобы понять, как именно агент работает с данными внутри связки, помогает базовое представление о том, что такое ИИ-агент и как он работает.
Эту цепочку ответственности удобно представить как поток данных от клиента к модели, где зона контроля компании никуда не исчезает на пути к вендору.

Что требует 152-ФЗ от бизнеса, который использует ИИ
152-ФЗ не запрещает использовать ИИ-агента для обработки данных клиентов. Он задаёт правила, которые компания обязана соблюдать независимо от того, обрабатывает данные человек или модель. Вот основные требования, которые важно держать в голове перед запуском.
Во-первых, компания, которая определяет, зачем и как обрабатываются данные, считается оператором персональных данных. Сервис, который технически выполняет обработку по вашему поручению, выступает обработчиком. Ответственность за законность обработки лежит на операторе, то есть на вас.
Во-вторых, обработка персональных данных должна опираться на законное основание. Чаще всего это согласие клиента. Если в модель попадают персональные данные, использование ИИ стоит отразить в политике обработки и в формулировке согласия. Финальную оценку юридической формулировки лучше оставить за юристом компании.
В-третьих, персональные данные граждан России должны храниться в базах, расположенных на территории РФ. Это требование локализации, и оно действует в усиленной редакции с 1 июля 2025 года (статья 18 152-ФЗ на КонсультантПлюс). Если модель работает на зарубежных серверах и туда уходят персональные данные клиентов, возникает зона риска.
В-четвёртых, трансграничная передача данных регулируется отдельно. До начала передачи персональных данных за границу оператор уведомляет Роскомнадзор: указывает страну-получателя, цели и категории данных. Роскомнадзор рассматривает уведомление в течение 10 рабочих дней и может ограничить передачу. За неуведомление предусмотрен штраф от 100 до 300 тысяч рублей для юридических лиц и ИП.
И наконец, за нарушение требований предусмотрена ответственность вплоть до оборотных штрафов за утечки персональных данных. При повторной утечке штраф составляет от 1 до 3 процентов годовой выручки, в диапазоне от 20 до 500 миллионов рублей (актуальные нормы КоАП на КонсультантПлюс). Нормы периодически меняются, поэтому конкретную сумму под свой случай стоит сверять по первоисточнику.
Здесь стоит честно оговориться: статья даёт ориентиры, а итоговое решение по соответствию закону принимает юрист компании. Где хранятся данные и как это влияет на выбор модели, подробно разобрано в материале сравнение ГигаЧат, YandexGPT и DeepSeek для ИИ-агента.
Какие данные нельзя отдавать ИИ-агенту, а какие можно
Главный принцип безопасности проще, чем кажется: в модель передавайте только те поля, которые нужны для конкретной задачи. Это принцип минимизации. Если агент классифицирует заявку или решает, кому её передать, ему почти никогда не нужны имя, телефон и адрес электронной почты клиента.
Что почти всегда лишнее для модели: ФИО, телефон, емейл, паспортные и платёжные данные. Эти поля можно оставить в CRM и не отправлять в агента вовсе.
Что безопасно передавать: сумма заказа, источник заявки, тема обращения, статус сделки, регион без точного адреса. Это обезличенные данные, по которым нельзя однозначно идентифицировать человека, но которых модели достаточно для решения.
| Лучше не передавать в модель | Чем заменить |
|---|---|
| ФИО клиента | Обезличенный идентификатор или роль («новый клиент», «постоянный») |
| Телефон, емейл | Канал обращения без самого контакта |
| Паспортные и платёжные данные | Не передавать, оставить в CRM |
| Точный адрес | Регион или город, если нужен для логики |
| Полный текст переписки с контактами | Суть обращения без персональных полей |
Чем меньше чувствительных данных уходит в модель, тем ниже риск утечки и нарушения закона. Это работает на любом сценарии, например на работе с заявками. Как агент закрывает такие задачи в продажах, показано в разборе ИИ-агент для отдела продаж и работа с лидами.
Главные риски при работе с ИИ-агентом
Самый частый риск это не сам ИИ, а избыточные данные, которые компания отправляет в модель без необходимости. Но есть и другие моменты, которые стоит держать на контроле.
Утечка через сторонний сервис. Если данные хранятся за рубежом или передаются по незащищённому каналу, контролировать их сложнее.
Обучение модели на ваших данных. Часть провайдеров может использовать запросы для дообучения. Это значит, что фрагменты ваших клиентских данных могут осесть в чужой модели.
Хранение истории и память агента. Если агент помнит прошлые взаимодействия, эта история где-то хранится, а значит требует защиты так же, как и сама CRM.
Ошибочные автономные действия. Агент действует сам по заданным правилам. Без чётких ограничений он может выполнить действие с реальными данными клиента, которое вы не планировали.
Отсутствие согласия и непрозрачная политика. Если клиент не давал согласия на обработку данных с использованием ИИ, а его данные ушли в модель, это уже нарушение процедуры.

Большую часть этих рисков снимает дисциплина на этапе настройки: какие поля передавать агенту, вы решаете при сборке связки, например в Альбато это делается прямо на шаге передачи данных. Подробный разбор того, что чаще всего ломается, собран в материале про 10 ошибок при внедрении ИИ-агента.
Как проверить вендора ИИ-агента: чек-лист
Прежде чем подключать ИИ-агента, выясните, где хранятся данные, можно ли отключить обучение на них и есть ли договор обработки. Это базовый чек-лист, который стоит пройти по каждому сервису.
- Где физически хранятся данные. На серверах в РФ или за рубежом. Для персональных данных россиян это ключевой вопрос локализации.
- Можно ли отключить обучение модели на ваших данных. У ответственных провайдеров такая настройка есть.
- Есть ли договор и политика обработки персональных данных. Без документа, который фиксирует роли и обязанности, обработка непрозрачна.
- Шифрование и контроль доступа. Как данные передаются и кто внутри сервиса имеет к ним доступ.
- Можно ли отключить память и историю. Если агент не должен помнить запросы между запусками, эта опция обязательна.
- Российский провайдер модели как способ снять вопрос локализации. Если выбрать провайдера, который хранит данные в РФ, часть юридических вопросов закрывается сразу.
По последнему пункту полезно знать позицию самого вендора. Вот как на вопрос про безопасность отвечает CEO Альбато.
Мы российская компания, на рынке с 2018 года. Входим в реестр аккредитованных IT-компаний, проект Сколково, все серверы на территории Российской Федерации, соответствуем 152-ФЗ о персональных данных. Когда я рассказываю про платформу, я сразу стараюсь снять вопросы по безопасности.
Как настроить ИИ-агента безопасно: подход на примере Альбато
В Альбато ИИ-агент работает как шаг внутри связки, поэтому вы сами решаете, какие поля уходят в модель, а какие остаются в CRM и не покидают её. Это и есть практическое воплощение принципа минимизации: персональные данные остаются в amoCRM или Битрикс24, а в агента уходит только то, что нужно для решения.
Вот короткий путь, как собрать такую связку без программирования.
1. Триггер. Создаёте новую связку и добавляете условие запуска: новая заявка в CRM, сообщение в мессенджере, заявка из лид-формы VK Рекламы.
2. Выбираете поля для агента. На шаге передачи данных отдаёте в агента только обезличенные поля: тему обращения, сумму, источник. Персональные поля оставляете в карточке CRM.
3. Добавляете шаг ИИ-агент и выбираете модель. Доступны встроенная Альбато AI (без отдельного подключения), а также OpenAI, DeepSeek и Google Gemini по вашему ключу. Под требования к локализации выбираете провайдера с хранением данных в РФ.

4. Пишете инструкцию. Своими словами описываете задачу и ограничения. Например: классифицируй обращение по теме и не запрашивай контактные данные клиента. Лимит каждого поля инструкции 1 000 символов.

5. Подключаете инструменты. Выбираете действия из примерно 5 000 доступных, среди которых агент сам выберет нужное по ситуации.
6. Настраиваете память. По умолчанию память выключена, и агент не помнит запросы между запусками. Для большинства сценариев обработки заявок это и есть безопасная настройка по умолчанию. Если память нужна, её объём задаётся от 1 до 100 взаимодействий.
Важная деталь про модель: что лежит в основе встроенной Альбато AI, не раскрывается, это проприетарная модель платформы. Для вас как для бизнеса важно другое: вы выбираете провайдера под свои требования к данным и сами контролируете, что в него уходит.
Тарификация прозрачна: каждый запуск агента стоит 3 транзакции независимо от числа инструментов. Если используется Альбато AI, дополнительно списывается 1 транзакция за каждые 2 000 токенов. Если подключена внешняя модель, за токены доплаты нет.
В Альбато вы и создаёте ИИ-агента, и подключаете его к сервисам из каталога 1 000+ коннекторов, всё в одной подписке. Практический порядок настройки удобно держать рядом: чек-лист настройки ИИ-агента из 10 шагов. Подробная инструкция по настройке агента есть в справке help.albato.ru.
Собрать такую связку и самим решить, какие данные уходят в модель, можно за один вечер.
ИИ-агент против простого промпта: почему автономность повышает требования к безопасности
Разница между разовым промптом и ИИ-агентом прямо влияет на безопасность. Промпт это один запрос, который человек запускает вручную и сам видит результат. ИИ-агент запускается сам по условию запуска и работает с потоком реальных данных без участия человека на каждом шаге.
Из-за этого меняется и подход к защите. У промпта человек контролирует каждый ввод. У агента контроль закладывается заранее: в набор полей на входе и в ограничения промпта.
| Параметр | Разовый промпт | ИИ-агент |
|---|---|---|
| Кто запускает | Человек вручную | Условие запуска автоматически |
| Данные на входе | Человек видит и контролирует каждый | Поток данных по связке |
| Действия с CRM | Нет, только ответ | Сам выполняет по правилам |
| Где закладывается безопасность | В ручной проверке запроса | В ограничениях и наборе полей |
Получается, что безопасность агента это не проверка каждого запроса, а заранее заданные рамки. Это видно в сравнении параметров выше: чем меньше человек участвует в каждом запуске, тем важнее настройки на входе.
Чем автономнее агент, тем строже должны быть ограничения. Их вы задаёте через промпт, и от формулировок зависит, что агент сделает с данными, а что не тронет. Как писать такие ограничения, разобрано в материале про то, как писать промпт и ограничения для ИИ-агента. А чем агент принципиально отличается от обычного диалогового сценария, объясняет статья про то, чем ИИ-агент отличается от чат-бота.
Коротко: безопасность ИИ-агента в 6 правилах
Безопасность ИИ-агента это не одна настройка, а несколько правил, которые работают вместе. Если держать их в голове на этапе настройки, большая часть рисков закрывается ещё до запуска.
- Помните, что оператор данных это вы, а не сервис модели.
- Минимизируйте данные на входе: только нужные поля.
- Обезличивайте всё, что можно обезличить.
- Проверяйте, где физически хранятся данные.
- Берите согласие и обновите политику обработки.
- Ограничивайте автономные действия агента через промпт.
В Альбато все шесть правил укладываются в обычную настройку связки: вы выбираете поля, провайдера модели и ограничения, а персональные данные остаются в вашей CRM. Попробовать собрать безопасную связку можно бесплатно.
Частые вопросы
Законно ли использовать ИИ-агента для обработки данных клиентов в России?
Да, при соблюдении 152-ФЗ. Бизнес остаётся оператором персональных данных, поэтому нужно законное основание для обработки (чаще всего согласие клиента) и защита данных. ИИ-агент не освобождает компанию от обязанностей оператора. Финальную оценку соответствия закону стоит доверить юристу.
Какие данные нельзя передавать в нейросеть?
Без необходимости не стоит передавать ФИО, телефон, емейл, паспортные и платёжные данные. Для большинства задач модели достаточно обезличенных полей: суммы заказа, источника заявки, темы обращения, статуса сделки. Чем меньше чувствительных данных уходит в модель, тем ниже риск утечки.
Где хранятся данные, которые получает ИИ-агент?
Это зависит от провайдера модели и настроек памяти агента. У части зарубежных моделей серверы расположены за рубежом, что создаёт вопрос трансграничной передачи. У российских провайдеров данные хранятся в РФ. В Альбато память агента по умолчанию отключена, поэтому без явной настройки агент не запоминает запросы между запусками.
Нужно ли согласие клиента на обработку данных ИИ?
Если в модель попадают персональные данные клиента, обработка должна опираться на законное основание, чаще всего на согласие. Использование ИИ при обработке данных лучше прямо отразить в политике обработки персональных данных и в формулировке согласия.
Как проверить, безопасен ли сервис ИИ-агента?
Пройдите короткий чек-лист: где физически хранятся данные, можно ли отключить обучение модели на ваших данных, есть ли договор и политика обработки, как реализованы шифрование и контроль доступа, можно ли отключить память. Российский провайдер с хранением данных в РФ снимает часть вопросов локализации сразу.
Можно ли обойтись без передачи персональных данных в модель?
Часто да. Для классификации обращения, выбора маршрута или принятия решения модели обычно достаточно обезличенных данных. Персональные поля остаются в CRM, а в агента уходит только то, что нужно для логики. В Альбато это решается на этапе настройки связки: вы сами выбираете, какие поля передать агенту.
