Короткий ответ: в большинстве случаев - нет. Длинный ответ сложнее, потому что законодательство разных стран расставляет акценты по-разному, а между «однозначно незаконно» и «полностью легально» существует широкая полоса, в которой работает половина B2B-рынка.
Разберёмся без пересказа очевидного. Я не юрист, и это не юридическая консультация - но я достаточно насмотрелся на то, как компании обжигаются на купленных и спарсенных базах, чтобы говорить предметно.
Что говорят законы
GDPR (Европейский Союз)
GDPR требует законного основания для обработки персональных данных. Email-адрес - это персональные данные. Для маркетинговых рассылок стандартное основание - согласие (consent), причём явное, информированное и документируемое. Парсинг с сайтов, форумов, LinkedIn - это сбор данных без согласия субъекта. Точка.
Есть альтернативное основание - legitimate interest (законный интерес). На него часто ссылаются в B2B-контексте: мол, человек публично указал рабочий email, значит, ожидает деловых контактов. Формально GDPR это допускает, но с оговорками. Нужно провести balancing test - взвесить ваш интерес против прав субъекта данных. Нужно обеспечить простой opt-out. И нужно быть готовым доказать, что вы этот тест действительно проводили, а не просто написали в политике конфиденциальности красивую фразу.
На практике регуляторы относятся к legitimate interest в email-маркетинге скептически. Особенно если рассылка массовая и нетаргетированная.
ФЗ-152 (Россия)
Российский закон «О персональных данных» построен на принципе согласия. Обработка персональных данных допускается с согласия субъекта, за исключением прямо предусмотренных законом случаев. Рекламная рассылка к исключениям не относится.
Федеральный закон «О рекламе» (ФЗ-38, ст. 18) ещё жёстче: рассылка рекламы по электронной почте допускается только при наличии предварительного согласия адресата. Причём бремя доказательства лежит на рекламодателе. Если не можете показать, где и когда человек дал согласие, - вы нарушаете закон.
Парсинговая база по определению не содержит таких согласий.
CAN-SPAM (США)
Американский подход - исключение из общего тренда. CAN-SPAM не требует предварительного согласия на коммерческие email. Можно отправить письмо незнакомому человеку, если соблюдены формальные требования: честная тема, физический адрес отправителя, работающий механизм отписки, обработка opt-out в течение 10 дней.
Звучит либерально, но есть нюанс. CAN-SPAM - федеральный минимум. Штаты могут устанавливать свои правила. А главное - то, что закон разрешает отправку, не означает, что почтовые провайдеры обязаны её доставить. Gmail, Outlook и Yahoo будут отправлять вас в спам независимо от того, что написано в законе, если ваши метрики плохие.
Реальные штрафы - это не абстракция
Несколько примеров, чтобы масштаб был понятен:
- CNIL (Франция), 2020 - компания Nestor получила штраф €20 000 за сбор email-адресов с LinkedIn без согласия и последующую рассылку. Небольшая сумма, но для стартапа ощутимая, а репутационный ущерб - отдельная статья.
- ICO (Великобритания), 2022 - компания Tuckers Solicitors оштрафована на £98 000 за недостаточную защиту персональных данных. Не за парсинг напрямую, но прецедент показывает серьёзность подхода к email как к персональным данным.
- Роскомнадзор (Россия) - штрафы за нарушение ФЗ-152 выросли в 2023–2024 годах. Для юрлиц - до 300 000 ₽ за первичное нарушение, до 500 000 ₽ за повторное. В 2025 году обсуждаются оборотные штрафы.
- FTC (США), 2024 - Experian оштрафован за нарушения, связанные с обработкой данных потребителей. CAN-SPAM - мягкий закон, но FTC всё равно находит рычаги.
Штрафы растут каждый год. Тенденция однозначная: регуляторы по всему миру ужесточают контроль за обработкой персональных данных, и email-маркетинг - один из самых заметных кейсов.
Серая зона B2B
Здесь начинается территория, где большинство споров. Рабочий email вида ivan@company.ru - это персональные данные или нет? Формально - да, если позволяет идентифицировать конкретного человека. А он почти всегда позволяет.
Тем не менее в B2B-сегменте сложилась практика, которую можно назвать терпимой нелегальностью. Компании парсят контакты с отраслевых конференций, из открытых реестров, с корпоративных сайтов. Пишут «холодные» письма. И в большинстве случаев ничего не происходит - потому что получатели либо не жалуются, либо просто отписываются.
Но «ничего не происходит» - это не правовой аргумент. Это статистика, которая работает до первой жалобы. Один недовольный получатель, одно обращение в Роскомнадзор или DPA - и вам придётся доказывать законность вашей базы. А доказывать будет нечем.
Практический совет: если работаете с B2B-парсингом, хотя бы минимизируйте риски. Пишите только по релевантным контактам. Обеспечьте мгновенный opt-out. Не отправляйте повторно тем, кто не ответил. И никогда не покупайте готовые базы «миллион адресов за $50» - это гарантированный путь в спам-листы и, возможно, в суд.
Когда парсинг допустим
Есть сценарии, в которых сбор email-адресов из открытых источников не создаёт правовых рисков - или создаёт минимальные:
- Адреса опубликованы для целей деловой коммуникации (страница «Контакты» компании), и вы пишете именно по делу, а не с массовой рекламой.
- Вы собираете данные для исследования или журналистики - это отдельное законное основание в большинстве юрисдикций.
- Вы работаете в юрисдикции с opt-out моделью (США) и соблюдаете все требования CAN-SPAM.
Во всех остальных случаях - а это 90% типичного использования парсинговых баз - вы находитесь в зоне риска.
Роль валидации
Скажу прямо: валидация email-адресов не делает незаконную базу законной. Если у вас нет согласия - проверка синтаксиса и существования ящика этого не исправит.
Но валидация решает другую задачу - техническую. Парсинговые базы обычно содержат 20–40% мёртвых адресов. Отправка на несуществующие ящики генерирует hard bounce, что убивает репутацию домена отправителя. После этого даже письма вашим лояльным подписчикам начинают попадать в спам.
Если вы осознанно принимаете правовые риски работы с парсинговой базой (а это ваше решение), то валидация - обязательный технический шаг. Она не снимает юридическую ответственность, но предотвращает техническую катастрофу: блокировку домена, попадание в чёрные списки, потерю доставляемости.
В uChecker можно проверить базу до отправки - убрать невалидные адреса, спам-ловушки, временные ящики. Это не индульгенция, а гигиена.
Итог
Парсинговая база email - это инструмент с высоким правовым риском. В ЕС и России массовая рассылка по такой базе незаконна без оговорок. В США - формально допустима, но практически саморазрушительна без тщательной подготовки.
B2B-холодные письма - серая зона, которая существует благодаря низкому enforcement, а не благодаря закону. Пока регулятор не постучал - кажется, что всё в порядке. Но тренд на ужесточение очевиден, и строить бизнес-процессы на допущении «нас не поймают» - сомнительная стратегия.
Собирайте базу легально. Если уже работаете с парсингом - валидируйте, сегментируйте, обеспечивайте opt-out и будьте готовы к тому, что правила станут жёстче.