Модуль l.5 · Урок 1
Кросс-юрисдикционная приватность: GDPR, CCPA и 152-ФЗ
Содержание
- Чему вы научитесь
- Зачем нужен единый агент по приватности
- Data Protection-агент: что умеет KP Legal Orchestrator
- Ключевые различия трёх юрисдикций
- Как добавить 152-ФЗ к агенту
- Схема: как агент обрабатывает запрос на проверку политики
- Промпт: проверка политики на пробелы
- EU AI Act: что меняется для компаний в 2026 году
- Где автоматизация не работает
- Российские инструменты для работы с персональными данными
Чему вы научитесь
- Объяснять ключевые различия GDPR, CCPA и 152-ФЗ по основаниям обработки данных, правам субъектов и режиму трансграничной передачи
- Настраивать Data Protection-агент из проекта KP Legal Orchestrator для работы с несколькими юрисдикциями одновременно
- Составлять промпты для анализа политики обработки персональных данных на пробелы и коллизии
- Распознавать ситуации, в которых ответ агента, обученного на GDPR, нельзя принимать за вывод по 152-ФЗ
- Понимать, что меняет EU AI Act для компаний, применяющих AI в высокорисковых областях, и каков текущий статус его требований
- Определять точки, в которых проверка кросс-юрисдикционного комплаенса требует участия живого специалиста
Зачем нужен единый агент по приватности
Компании, работающие одновременно на нескольких рынках, вынуждены отслеживать требования сразу нескольких режимов приватности. Политика обработки данных, которая корректна по GDPR, может нарушать требования 152-ФЗ о локализации. Условия трансграничной передачи, приемлемые для CCPA, могут не соответствовать уведомительному порядку по ст. 12 152-ФЗ.
Ручная синхронизация трёх и более режимов трудоёмка: одни и те же разделы политики нужно читать несколько раз под разными углами. Именно здесь AI-агент добавляет ценность — не заменяя юридический анализ, а ускоряя первичную проверку и помогая не пропустить очевидные пробелы.
Data Protection-агент: что умеет KP Legal Orchestrator
Проект KP Legal Orchestrator содержит специализированный Data Protection-агент, изначально рассчитанный на три юрисдикции: корейский PIPA, европейский GDPR и калифорнийский CCPA/CPRA. Агент умеет проверять политики обработки данных на соответствие каждому из режимов, оценивать правомерность трансграничной передачи и выявлять несоответствия между декларируемой целью обработки и фактическими операциями.
В русскоязычной версии к агенту добавляется контур для 152-ФЗ. Это означает расширение системного промпта, добавление шага проверки на требования локализации и уведомительный порядок РКН. Агент при этом не становится источником окончательных выводов по российскому праву — он помогает обнаруживать потенциальные пробелы и задавать правильные вопросы.
Ключевые задачи, которые агент выполняет в этой конфигурации:
- анализ текста политики на наличие обязательных элементов по каждой из подключённых юрисдикций;
- сравнение оснований обработки (consent, legitimate interest по GDPR против согласия и законных оснований по 152-ФЗ);
- проверка раздела о трансграничной передаче на соответствие режиму уведомления РКН;
- формирование чек-листа пробелов с указанием, по какому режиму возник вопрос.
Ключевые различия трёх юрисдикций
Сравнительная таблица ниже — только ориентир. Детали каждого режима меняются, конкретные пороги и сроки требуют проверки по первоисточнику в КонсультантПлюс или Гарант.
| Параметр | GDPR (ЕС) | CCPA/CPRA (Калифорния) | 152-ФЗ (РФ) |
|---|---|---|---|
| Основное правовое основание обработки | Шесть оснований, включая согласие и законный интерес | Раскрытие + право opt-out на продажу/передачу данных | Согласие субъекта либо прямо предусмотренные законом основания (152-ФЗ) |
| Права субъектов данных | Доступ, исправление, удаление, переносимость, возражение | Право знать, удалить, исправить, opt-out из «продажи», ограничить использование | Доступ, исправление, удаление, блокирование, обжалование (152-ФЗ, гл. 3) |
| Трансграничная передача | Стандартные договорные условия (SCC), адекватность юрисдикции, BCR | Без специального режима трансграничной передачи — применяется общий CCPA | Уведомление РКН до начала передачи; перечень стран с адекватной защитой; ответственность оператора (152-ФЗ, ст. 12) |
| Локализация данных | Нет требования хранить в ЕС | Нет требования хранить в Калифорнии | Первичный сбор, запись, хранение — в российских базах (152-ФЗ, ст. 18.1) |
| Уведомление регулятора | Уведомление DPA о нарушении в течение 72 часов | Нарушение — уведомление субъектов; AG получает жалобы | Уведомление РКН о начале обработки (ст. 22), о трансграничной передаче (ст. 12), об утечке |
| Специальные категории | Прямо запрещены без отдельного основания | Sensitive personal information (SPI) с усиленными правами | Специальные категории: запрет без отдельного основания (152-ФЗ, ст. 10) |
Всегда уточняйте конкретные пороги, сроки и форматы в КонсультантПлюс или Гарант — они меняются.
Как добавить 152-ФЗ к агенту
Расширьте системный промпт. Добавьте описание ключевых требований 152-ФЗ: широкое определение персональных данных, основания обработки, требование локализации, уведомительный порядок. Укажите агенту ссылаться на общие нормы закона, а не на конкретные штрафы — числа устаревают.
Добавьте шаг проверки локализации. Агент должен явно проверять, описан ли в политике порядок первичного сбора данных в российском контуре, прежде чем данные могут быть переданы за рубеж.
Добавьте шаг проверки уведомлений РКН. Отдельно — уведомление о начале обработки по ст. 22 152-ФЗ, отдельно — уведомление о намерении осуществлять трансграничную передачу по ст. 12 152-ФЗ. Агент проверяет, упомянуты ли эти обязанности в политике.
Укажите агенту маркировать источник вывода. Каждый пункт заключения должен быть помечен: к какой юрисдикции он относится. Вывод по GDPR — не вывод по 152-ФЗ, и наоборот.
Установите обязательное правило финального контроля. Вывод агента по 152-ФЗ — только материал для проверки специалистом. Агент формирует список вопросов, юрист принимает решение.
Схема: как агент обрабатывает запрос на проверку политики
flowchart TD
A[Загрузка текста политики] --> B[Определение активных юрисдикций]
B --> C1[Проверка по GDPR]
B --> C2[Проверка по CCPA/CPRA]
B --> C3[Проверка по 152-ФЗ]
C1 --> D1[Пробелы GDPR]
C2 --> D2[Пробелы CCPA]
C3 --> D3[Пробелы 152-ФЗ]
D1 --> E[Сводный чек-лист пробелов с маркировкой юрисдикции]
D2 --> E
D3 --> E
E --> F{Есть критичные пробелы?}
F -->|Да| G[Флаг: обязательная проверка юриста]
F -->|Нет| H[Черновик рекомендаций для юриста]
G --> I[Юрист принимает решение]
H --> IПромпт: проверка политики на пробелы
Используйте этот шаблон на обезличенном или синтетическом тексте политики. Никогда не загружайте в публичный сервис реальные персональные данные и документы с коммерческой тайной.
Ты — ассистент по проверке политик обработки персональных данных.
Проверь текст политики ниже на соответствие требованиям трёх режимов:
GDPR (ЕС), CCPA/CPRA (Калифорния) и 152-ФЗ (РФ).
Для каждого режима отдельно укажи:
1. Какие обязательные элементы присутствуют.
2. Каких обязательных элементов нет или они сформулированы недостаточно.
3. Есть ли противоречия между разделами.
Для 152-ФЗ дополнительно проверь:
- Описан ли порядок первичного сбора и хранения данных в российских базах.
- Упомянуты ли уведомления РКН о начале обработки и о трансграничной передаче.
- Предусмотрено ли согласие как отдельный документ, если применимо.
Требования к ответу:
- Каждый пункт маркируй: [GDPR], [CCPA] или [152-ФЗ].
- Не давай окончательных правовых выводов, не цитируй конкретные штрафы.
- В конце укажи, какие пункты требуют обязательной проверки юриста.
Текст политики для анализа:
[ВСТАВЬТЕ ТЕКСТ ПОЛИТИКИ ЗДЕСЬ]EU AI Act: что меняется для компаний в 2026 году
EU AI Act в части высокорисковых систем имеет прямое отношение к правовым и кадровым AI-инструментам. Применение AI в правосудии и связанных областях классифицировано Регламентом как высокорисковое (Lexiel, Ops Intel). Полное применение требований к высокорисковым системам запланировано на август 2026 года (требует проверки по актуальному тексту Регламента).
Штрафы по EU AI Act достигают 7% мирового оборота компании или 35 млн евро — в зависимости от того, что больше (Lexiel, требует проверки — точные пороги уточняйте по официальному тексту Регламента). Для компаний, работающих на европейском рынке, это означает обязательный аудит AI-инструментов, применяемых в юридической функции.
Для российских компаний, не работающих на рынке ЕС, EU AI Act непосредственно не применяется. Однако его логика высокорисковой классификации полезна как методологический ориентир при оценке собственных AI-инструментов.
Где автоматизация не работает
AI-агент помогает в задачах, которые хорошо формализуются: проверка наличия обязательных элементов, сравнение структуры политики с чек-листом, маркировка потенциальных пробелов. Есть задачи, в которых агент даёт только материал для размышления, а не ответ.
Не передавайте агенту без обязательной юридической проверки следующее:
- оценку достаточности правового основания для конкретной операции обработки в условиях российской регуляторной практики;
- вывод о допустимости передачи данных конкретному иностранному получателю по 152-ФЗ;
- решение о том, требует ли конкретный случай трансграничной передачи уведомления РКН;
- оценку специальных категорий персональных данных — они требуют отдельного основания и особого внимания.
Российские инструменты для работы с персональными данными
Для задач, связанных с российским правом в сфере приватности, удобнее использовать инструменты, обученные на российской правовой базе. Сервис Искра специализируется на трудовом праве, но полезен и в смежных вопросах. «Нейроюрист» покрывает более широкий спектр правовых вопросов.
При работе с любым российским или зарубежным сервисом применяется одно правило: не загружайте реальные персональные данные субъектов и документы с коммерческой или адвокатской тайной в публичные системы. Для отладки промптов используйте обезличенные или синтетические тексты. Для практики с моделями подходит arckep.ru — все ведущие модели без VPN, рублями, 100 руб. стартового баланса.