Что такое PII (Personally Identifiable Information)
Подробнее
152-ФЗ (2006) выделяет: 1) Простые ПД (ФИО, email, телефон); 2) Специальные категории (раса, политика, здоровье, биометрия); 3) Биометрические ПД (фото, голос для идентификации). Обработка спецкатегорий — только с письменного согласия.
Для ИИ-систем: 1) Согласие на обработку — обязательно; 2) Локализация — серверы с ПД россиян должны быть в РФ (Яндекс, VK, ГПТ Россия — да); 3) Право на удаление — пользователь может потребовать стереть данные; 4) Логирование доступа — кто и когда обращался.
Риски при работе с LLM: 1) Утечка PII через промпты в логи; 2) Запоминание моделью на этапе обучения; 3) Передача через API в другие юрисдикции. Решения: 1) Anonymization (замена ФИО на токены); 2) Pseudonymization; 3) On-premise модели для критичных данных; 4) Локальные провайдеры (gptrf.ru — серверы в YC).
GDPR (ЕС) и CCPA (Калифорния) — аналоги для других юрисдикций. Штрафы за нарушения — до €20 млн или 4% мирового оборота — что больше (GDPR), либо 20K₽-18 млн₽ по 152-ФЗ (в зависимости от тяжести).
Примеры
- ФИО + дата рождения = PII
- Email + IP-адрес = PII
- Голосовая запись для идентификации = биометрические PII
- Анонимизированный 'Иван И.' — не PII
Частые вопросы
Можно ли отправлять PII в ChatGPT?
Не рекомендуется. OpenAI хранит запросы для обучения (отказ — отдельная настройка). Для PII используйте on-premise или локальные провайдеры (gptrf.ru — серверы в РФ, 152-ФЗ).
Как анонимизировать PII перед отправкой в ИИ?
Через регулярные выражения и NER-модели: ФИО → '[ИМЯ]', телефон → '[PHONE]', email → '[EMAIL]'. Библиотеки: spaCy, Presidio (MS), Natasha (RU).
Что грозит за нарушение 152-ФЗ?
Для бизнеса: 60К-300К₽ за каждый случай (типовое). При систематических нарушениях — до 18 млн₽ + блокировка Роскомнадзором.
Хранит ли gptrf.ru мои данные?
Запросы хранятся для биллинга и анти-фрода. Серверы в YC (Россия). Личные данные — только в нужном объёме, без избыточности. См. Политику конфиденциальности на сайте.