Легальный ресёрч ЛПР перед холодным письмом: что можно, а что нельзя
Персонализированное холодное письмо требует данных о человеке: должность, зона ответственности, недавние проекты компании, публичные высказывания. Часть этих данных лежит в открытом доступе и собирается легально, часть — собирается методами, которые превращают вас из отправителя делового письма в нарушителя закона о персональных данных. Разберём, где проходит граница и как строить ресёрч ЛПР так, чтобы не подставлять компанию.
- Публично размещённые самим человеком данные (должность в соцсети, комментарий на конференции) — легальный источник для персонализации
- Агрегация данных из разных источников в подробное досье о частной жизни человека — уже другая категория риска, даже если каждый источник сам по себе открыт
- Рабочий email и должность — не персональные данные в узком смысле, если используются строго в деловом контексте предложения B2B-услуги
- Сбор через скрапинг закрытых профилей, обход капчи и парсинг соцсетей в промышленных масштабах нарушает условия использования площадок и создаёт юридический риск отдельно от вопроса персданных
- Источник данных стоит документировать при сборе базы — это единственный способ доказать легальность происхождения контакта при проверке
Зачем вообще нужен ресёрч перед письмом
Холодное письмо без персонализации — это, по сути, спам-рассылка по угаданному адресу: получатель не видит разницы между вашим письмом и десятком других, что упало в тот же день. Персонализация решает конкретную задачу — показать получателю, что письмо адресовано именно ему, а не любому человеку с похожей должностью в любой компании похожего размера.
Для этого нужны минимум три вещи: точная должность и зона ответственности человека, контекст компании (что она делает, какие у неё вызовы прямо сейчас) и, желательно, персональный штрих — недавнее выступление, публикация, смена роли. Все эти данные приходится откуда-то брать, и вопрос легальности встаёт раньше, чем вопрос эффективности.
Команды, которые экономят на ресёрче и полагаются только на автоматическую генерацию текста без проверки исходных фактов, часто получают обратный эффект: письмо выглядит персонализированным по форме, но содержит устаревшую должность или неверный контекст компании, потому что данные не сверялись с актуальным источником. Ошибка в фактах на этапе ресёрча разрушает доверие сильнее, чем полное отсутствие персонализации, — получатель видит не невнимательность, а небрежность, обращённую лично к нему.
Что легально собирать без вопросов
Первая категория — данные, которые человек сам разместил публично в профессиональном контексте с явным намерением быть найденным. Профиль в деловой соцсети с указанием должности и компании, выступление на конференции, комментарий в отраслевом медиа, участие в публичном вебинаре как спикер. Это данные, добровольно раскрытые для профессиональных контактов — использование их для делового предложения соответствует ожиданиям человека, который их опубликовал.
Вторая категория — корпоративные данные компании: сайт, пресс-релизы, вакансии, годовые отчёты, реестр юрлиц. Здесь риска почти нет: это данные о юридическом лице, а не о физическом, и они изначально публикуются для внешней аудитории.
Третья категория — рабочий email и телефон, указанные на сайте компании или в открытых бизнес-справочниках как контакт для деловых обращений. Использование такого контакта строго по назначению — для обращения по вопросам, относящимся к работе человека, — соответствует цели, с которой контакт публиковался.
- Должность и зона ответственности из профиля в деловой соцсети
- Публичные выступления, статьи, комментарии в отраслевых медиа
- Данные о компании: сайт, пресс-релизы, вакансии, реестр юрлиц
- Рабочий email/телефон, опубликованный компанией как контакт для деловых обращений
- Факт участия в открытых конференциях и вебинарах в профессиональной роли
Где начинается серая зона
Проблема начинается не с отдельного источника, а с агрегации. Один открытый факт — не риск. Но если вы соединяете десяток открытых фактов в подробное досье о человеке — где живёт, с кем общается, что публикует в личном аккаунте, куда ездил в отпуск — это уже профилирование, выходящее далеко за рамки цели «написать деловое письмо», и такое досье может подпадать под регулирование персональных данных независимо от того, что каждый кусочек в отдельности был публичным.
Вторая серая зона — смешение личного и рабочего профиля. Данные из личного аккаунта в соцсети, где человек не позиционирует себя профессионально, а просто существует как частное лицо, — это уже не тот контекст, в котором уместно деловое обращение. Использование таких данных для персонализации холодного письма выходит за пределы ожиданий человека и юридически более уязвимо.
Третья зона — методы сбора. Массовый скрапинг закрытых или полузакрытых профилей, обход технических ограничений площадки (капча, лимиты запросов), покупка баз у посредников без прозрачного происхождения данных — здесь риск возникает не только из закона о персональных данных, но и из нарушения условий использования самой площадки, откуда данные вытащены.
Легально: увидели в профиле человека на деловой площадке, что он отвечает за закупки, и написали письмо про экономию на логистике. Серая зона: нашли в личном аккаунте фото с семейного отдыха и упомянули город отпуска в письме как «личный» штрих — это не относится к деловому контексту и выглядит навязчиво, а не персонализированно.
Практика: как строить ресёрч без риска
Рабочее правило — использовать в персонализации только то, что относится к профессиональной роли человека и было опубликовано им самим или его компанией с явным расчётом на профессиональную аудиторию. Всё, что требует захода в личный контекст, лучше отбросить, даже если это технически несложно найти.
Второе правило — документировать источник контакта при сборе базы: откуда взят email, когда, из какого публичного источника. Это не бюрократия ради бюрократии, а единственный способ доказать при проверке или жалобе получателя, что данные получены легально и использованы по назначению.
Третье правило — не автоматизировать сбор данных методами, которые сама площадка-источник запрещает в условиях использования. Даже если итоговое использование данных легально с точки зрения закона о персональных данных, нарушение условий площадки — отдельный риск, который может привести к блокировке аккаунтов и юридическим претензиям от самой площадки.
Четвёртое правило — регулярная сверка и обновление собранных данных. Должность меняется, человек переходит в другую компанию, зона ответственности расширяется или сужается — база, собранная полгода назад и не обновлённая, начинает работать не в плюс, а в минус: письмо с устаревшей должностью выглядит как результат небрежного ресёрча, а не персонализации, и подрывает доверие ещё до того, как получатель дочитал первый абзац.
Инструменты и рабочий процесс ресёрча
На практике ресёрч ЛПР редко строится вокруг одного источника — это комбинация нескольких проверенных каналов, каждый из которых закрывает свою часть картины. Деловая соцсеть даёт актуальную должность и профессиональный контекст, сайт компании — общую картину бизнеса и недавние новости, отраслевые медиа — публичные высказывания и участие в мероприятиях. Соединение этих источников в единый профиль контакта — уже задача инструмента или CRM, а не ручной работы аналитика по каждому контакту.
Разумный рабочий процесс выглядит так: сначала фиксируется профиль компании и её соответствие ICP, затем — конкретный человек и его должность из легального источника, и только на последнем шаге — персональный штрих для письма, если он находится без усилий и относится к профессиональному контексту. Если персональный штрих требует нетривиального поиска по нескольким источникам, разумнее отказаться от него и построить письмо на контексте компании и отрасли — это безопаснее и почти не теряет в эффективности.
Полезная практика для команд, которые работают с большими объёмами контактов, — заранее прописать в регламенте, какие источники разрешены для сбора данных, а какие запрещены категорически, независимо от технической возможности их использовать. Это снимает нагрузку с каждого отдельного сотрудника, который иначе принимает решение о границах легальности на своё усмотрение в каждом конкретном случае.
- Профиль компании и соответствие ICP — первый шаг ресёрча
- Должность и зона ответственности человека из легального источника — второй шаг
- Персональный штрих для письма — только если находится без усилий и относится к профессиональному контексту
- Регламент разрешённых и запрещённых источников — фиксируется письменно для всей команды
Право: на что опираться в России
В российской практике сбор и использование данных о физических лицах регулируется ФЗ-152 «О персональных данных». Ключевой принцип, который стоит держать в голове при построении ресёрча, — данные должны собираться и использоваться для заявленной, законной и заранее определённой цели, и обработка должна быть соразмерна этой цели.
Отдельно стоит помнить про ФЗ-38 «О рекламе» в части того, что само письмо не должно превращаться в рекламную рассылку неограниченному кругу лиц без согласия — адресное деловое предложение конкретному человеку по рабочему поводу и массовая рекламная рассылка регулируются по-разному, и граница между ними — в персонализации и адресности, а не только в оформлении письма.
Практический вывод: чем точнее ваш ресёрч ограничен профессиональным контекстом человека и чем прозрачнее происхождение каждого контакта в базе, тем меньше юридического риска и тем выше качество персонализации — эти два требования на практике совпадают, а не противоречат друг другу.
Вопросы и ответы
Можно ли использовать данные из личного профиля в соцсети для холодного письма
Только если профиль явно позиционирует человека профессионально и данные относятся к его рабочей роли. Личный контекст — фото, увлечения, семья — не стоит использовать для делового обращения: это выходит за рамки ожиданий человека и повышает юридический риск без пользы для конверсии.
Является ли рабочий email персональными данными
Формально да, но использование рабочего email, опубликованного компанией как контакт для деловых обращений, строго по этому назначению — низкий риск. Проблема возникает, если email получен не из открытого источника, а куплен у посредника без прозрачного происхождения.
Чем опасна агрегация данных из разных открытых источников
Каждый отдельный факт может быть легально открытым, но соединение десятка фактов в подробное досье о человеке — это уже профилирование, выходящее за пределы цели делового обращения. Такая агрегация может подпадать под более строгое регулирование персональных данных, чем использование одного источника.
Можно ли автоматизировать сбор данных о ЛПР через скрапинг
Массовый скрапинг закрытых или полузакрытых профилей обычно нарушает условия использования самой площадки, откуда данные вытащены, — это риск отдельно от закона о персональных данных. Такой метод может привести к блокировке аккаунтов и юридическим претензиям от площадки-источника.
Нужно ли документировать источник каждого контакта в базе
Да, это разумная практика: фиксировать, откуда и когда взят email или другой контакт. Это единственный способ доказать при проверке или жалобе получателя, что данные собраны легально и используются по заявленному назначению.
Хотите применить это в своём аутриче?
Расскажем, как это работает на вашем сегменте и продукте — до старта работ.
Обсудить задачу