Live Direct Marketing
ГлавнаяБлогБазы и данные

Легальный ресёрч ЛПР перед холодным письмом: что можно, а что нельзя

7 июля 2026 · 9 мин чтения · Гайд: Базы и данные

Персонализированное холодное письмо требует данных о человеке: должность, зона ответственности, недавние проекты компании, публичные высказывания. Часть этих данных лежит в открытом доступе и собирается легально, часть — собирается методами, которые превращают вас из отправителя делового письма в нарушителя закона о персональных данных. Разберём, где проходит граница и как строить ресёрч ЛПР так, чтобы не подставлять компанию.

Коротко
  • Публично размещённые самим человеком данные (должность в соцсети, комментарий на конференции) — легальный источник для персонализации
  • Агрегация данных из разных источников в подробное досье о частной жизни человека — уже другая категория риска, даже если каждый источник сам по себе открыт
  • Рабочий email и должность — не персональные данные в узком смысле, если используются строго в деловом контексте предложения B2B-услуги
  • Сбор через скрапинг закрытых профилей, обход капчи и парсинг соцсетей в промышленных масштабах нарушает условия использования площадок и создаёт юридический риск отдельно от вопроса персданных
  • Источник данных стоит документировать при сборе базы — это единственный способ доказать легальность происхождения контакта при проверке

Зачем вообще нужен ресёрч перед письмом

Холодное письмо без персонализации — это, по сути, спам-рассылка по угаданному адресу: получатель не видит разницы между вашим письмом и десятком других, что упало в тот же день. Персонализация решает конкретную задачу — показать получателю, что письмо адресовано именно ему, а не любому человеку с похожей должностью в любой компании похожего размера.

Для этого нужны минимум три вещи: точная должность и зона ответственности человека, контекст компании (что она делает, какие у неё вызовы прямо сейчас) и, желательно, персональный штрих — недавнее выступление, публикация, смена роли. Все эти данные приходится откуда-то брать, и вопрос легальности встаёт раньше, чем вопрос эффективности.

Команды, которые экономят на ресёрче и полагаются только на автоматическую генерацию текста без проверки исходных фактов, часто получают обратный эффект: письмо выглядит персонализированным по форме, но содержит устаревшую должность или неверный контекст компании, потому что данные не сверялись с актуальным источником. Ошибка в фактах на этапе ресёрча разрушает доверие сильнее, чем полное отсутствие персонализации, — получатель видит не невнимательность, а небрежность, обращённую лично к нему.

Что легально собирать без вопросов

Первая категория — данные, которые человек сам разместил публично в профессиональном контексте с явным намерением быть найденным. Профиль в деловой соцсети с указанием должности и компании, выступление на конференции, комментарий в отраслевом медиа, участие в публичном вебинаре как спикер. Это данные, добровольно раскрытые для профессиональных контактов — использование их для делового предложения соответствует ожиданиям человека, который их опубликовал.

Вторая категория — корпоративные данные компании: сайт, пресс-релизы, вакансии, годовые отчёты, реестр юрлиц. Здесь риска почти нет: это данные о юридическом лице, а не о физическом, и они изначально публикуются для внешней аудитории.

Третья категория — рабочий email и телефон, указанные на сайте компании или в открытых бизнес-справочниках как контакт для деловых обращений. Использование такого контакта строго по назначению — для обращения по вопросам, относящимся к работе человека, — соответствует цели, с которой контакт публиковался.

Где начинается серая зона

Проблема начинается не с отдельного источника, а с агрегации. Один открытый факт — не риск. Но если вы соединяете десяток открытых фактов в подробное досье о человеке — где живёт, с кем общается, что публикует в личном аккаунте, куда ездил в отпуск — это уже профилирование, выходящее далеко за рамки цели «написать деловое письмо», и такое досье может подпадать под регулирование персональных данных независимо от того, что каждый кусочек в отдельности был публичным.

Вторая серая зона — смешение личного и рабочего профиля. Данные из личного аккаунта в соцсети, где человек не позиционирует себя профессионально, а просто существует как частное лицо, — это уже не тот контекст, в котором уместно деловое обращение. Использование таких данных для персонализации холодного письма выходит за пределы ожиданий человека и юридически более уязвимо.

Третья зона — методы сбора. Массовый скрапинг закрытых или полузакрытых профилей, обход технических ограничений площадки (капча, лимиты запросов), покупка баз у посредников без прозрачного происхождения данных — здесь риск возникает не только из закона о персональных данных, но и из нарушения условий использования самой площадки, откуда данные вытащены.

Пример

Легально: увидели в профиле человека на деловой площадке, что он отвечает за закупки, и написали письмо про экономию на логистике. Серая зона: нашли в личном аккаунте фото с семейного отдыха и упомянули город отпуска в письме как «личный» штрих — это не относится к деловому контексту и выглядит навязчиво, а не персонализированно.

Практика: как строить ресёрч без риска

Рабочее правило — использовать в персонализации только то, что относится к профессиональной роли человека и было опубликовано им самим или его компанией с явным расчётом на профессиональную аудиторию. Всё, что требует захода в личный контекст, лучше отбросить, даже если это технически несложно найти.

Второе правило — документировать источник контакта при сборе базы: откуда взят email, когда, из какого публичного источника. Это не бюрократия ради бюрократии, а единственный способ доказать при проверке или жалобе получателя, что данные получены легально и использованы по назначению.

Третье правило — не автоматизировать сбор данных методами, которые сама площадка-источник запрещает в условиях использования. Даже если итоговое использование данных легально с точки зрения закона о персональных данных, нарушение условий площадки — отдельный риск, который может привести к блокировке аккаунтов и юридическим претензиям от самой площадки.

Четвёртое правило — регулярная сверка и обновление собранных данных. Должность меняется, человек переходит в другую компанию, зона ответственности расширяется или сужается — база, собранная полгода назад и не обновлённая, начинает работать не в плюс, а в минус: письмо с устаревшей должностью выглядит как результат небрежного ресёрча, а не персонализации, и подрывает доверие ещё до того, как получатель дочитал первый абзац.

Инструменты и рабочий процесс ресёрча

На практике ресёрч ЛПР редко строится вокруг одного источника — это комбинация нескольких проверенных каналов, каждый из которых закрывает свою часть картины. Деловая соцсеть даёт актуальную должность и профессиональный контекст, сайт компании — общую картину бизнеса и недавние новости, отраслевые медиа — публичные высказывания и участие в мероприятиях. Соединение этих источников в единый профиль контакта — уже задача инструмента или CRM, а не ручной работы аналитика по каждому контакту.

Разумный рабочий процесс выглядит так: сначала фиксируется профиль компании и её соответствие ICP, затем — конкретный человек и его должность из легального источника, и только на последнем шаге — персональный штрих для письма, если он находится без усилий и относится к профессиональному контексту. Если персональный штрих требует нетривиального поиска по нескольким источникам, разумнее отказаться от него и построить письмо на контексте компании и отрасли — это безопаснее и почти не теряет в эффективности.

Полезная практика для команд, которые работают с большими объёмами контактов, — заранее прописать в регламенте, какие источники разрешены для сбора данных, а какие запрещены категорически, независимо от технической возможности их использовать. Это снимает нагрузку с каждого отдельного сотрудника, который иначе принимает решение о границах легальности на своё усмотрение в каждом конкретном случае.

Право: на что опираться в России

В российской практике сбор и использование данных о физических лицах регулируется ФЗ-152 «О персональных данных». Ключевой принцип, который стоит держать в голове при построении ресёрча, — данные должны собираться и использоваться для заявленной, законной и заранее определённой цели, и обработка должна быть соразмерна этой цели.

Отдельно стоит помнить про ФЗ-38 «О рекламе» в части того, что само письмо не должно превращаться в рекламную рассылку неограниченному кругу лиц без согласия — адресное деловое предложение конкретному человеку по рабочему поводу и массовая рекламная рассылка регулируются по-разному, и граница между ними — в персонализации и адресности, а не только в оформлении письма.

Практический вывод: чем точнее ваш ресёрч ограничен профессиональным контекстом человека и чем прозрачнее происхождение каждого контакта в базе, тем меньше юридического риска и тем выше качество персонализации — эти два требования на практике совпадают, а не противоречат друг другу.

Вопросы и ответы

Можно ли использовать данные из личного профиля в соцсети для холодного письма

Только если профиль явно позиционирует человека профессионально и данные относятся к его рабочей роли. Личный контекст — фото, увлечения, семья — не стоит использовать для делового обращения: это выходит за рамки ожиданий человека и повышает юридический риск без пользы для конверсии.

Является ли рабочий email персональными данными

Формально да, но использование рабочего email, опубликованного компанией как контакт для деловых обращений, строго по этому назначению — низкий риск. Проблема возникает, если email получен не из открытого источника, а куплен у посредника без прозрачного происхождения.

Чем опасна агрегация данных из разных открытых источников

Каждый отдельный факт может быть легально открытым, но соединение десятка фактов в подробное досье о человеке — это уже профилирование, выходящее за пределы цели делового обращения. Такая агрегация может подпадать под более строгое регулирование персональных данных, чем использование одного источника.

Можно ли автоматизировать сбор данных о ЛПР через скрапинг

Массовый скрапинг закрытых или полузакрытых профилей обычно нарушает условия использования самой площадки, откуда данные вытащены, — это риск отдельно от закона о персональных данных. Такой метод может привести к блокировке аккаунтов и юридическим претензиям от площадки-источника.

Нужно ли документировать источник каждого контакта в базе

Да, это разумная практика: фиксировать, откуда и когда взят email или другой контакт. Это единственный способ доказать при проверке или жалобе получателя, что данные собраны легально и используются по заявленному назначению.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу