Можно ли использовать Google Fonts в России в 2026 году

10 мин
google fonts152-фзлокализацияперсональные данныетрансграничная передача
Можно ли использовать Google Fonts в России по 152-ФЗ, обложка статьи sitelaw

Google Fonts стоят почти на каждом втором сайте: одна строчка в коде подключает шрифт с серверов Google, и дизайн выглядит опрятно. Периодически всплывает пугающий тезис: «Google Fonts нарушают 152-ФЗ, за них штрафуют, срочно снимайте». Разберём по существу: подгрузка шрифта с чужого сервера передаёт IP-адрес посетителя, а не имя и телефон из ваших форм, и это принципиально разные вещи с точки зрения закона о персональных данных. Ниже честный ответ на вопрос, можно ли использовать Google Fonts в России: где здесь реальный риск, где его нет и что даёт локальная установка шрифтов.

Откуда взялся спор про Google Fonts

Тревога вокруг шрифтов приехала к нам из Европы. В 2022 году суд в Германии присудил компенсацию пользователю, чей IP-адрес улетел в Google при загрузке страницы со шрифтом. По европейскому регламенту GDPR IP-адрес это персональные данные, а его передача в США без согласия была признана нарушением. Новость разлетелась, и её напрямую переложили на российскую почву: раз в Европе оштрафовали, значит и у нас нельзя.

Проблема в том, что российский 152-ФЗ устроен иначе, чем GDPR, и прямого переноса тут не получается. У нас ключевую роль играет не столько сам факт ухода IP за границу, сколько то, какие именно данные уходят и образуют ли они состав по закону. Поэтому европейский кейс это повод разобраться, а не готовый приговор для российского сайта.

Важно с самого начала зафиксировать факт: Google Fonts не запрещены в России никаким прямым законом. Нет нормы «использование Google Fonts влечёт штраф», нет реестра запрещённых шрифтов, нет отдельного состава в КоАП про веб-шрифты. Это ставит шрифты в тот же ряд, что и Google Analytics или карты: сервис иностранный, но сам по себе он под запрет не попадает. Вопрос не в запрете, а в том, что технически происходит при загрузке страницы.

Что на самом деле передаётся при подключении шрифта

Когда браузер посетителя встречает на странице ссылку на шрифт с домена Google, он отправляет запрос на сервер Google, чтобы скачать файл шрифта. Вместе с этим запросом уходит стандартный набор технической информации, который сопровождает вообще любое обращение к любому серверу в интернете: IP-адрес устройства и User-Agent (строка о браузере и операционной системе).

Чего в этом запросе нет, так это данных, которые посетитель ввёл в формы на вашем сайте. Имя из формы заявки, телефон из окна обратного звонка, email из подписки, адрес доставки из корзины, всё это остаётся на вашей стороне и в запрос за шрифтом не попадает. Браузер просит файл шрифта, а не пересылает содержимое ваших форм.

Здесь и проходит юридическая граница. Закон о персональных данных работает с персональными данными: с информацией, относящейся к определённому или определяемому человеку, будь то ФИО, телефон, email или адрес. Передача одного лишь IP-адреса ради того, чтобы отдать файл шрифта, это поток технических данных, а не персональных данных в том смысле, который двигает нормы о локализации и трансграничной передаче.

Норма: локализация и трансграничная передача, и что их запускает

Две нормы 152-ФЗ, вокруг которых крутится весь разговор про иностранные сервисы, это локализация и трансграничная передача.

Локализация. Часть 5 статьи 18 требует, чтобы сбор, запись, систематизация и хранение персональных данных граждан России велись с использованием баз данных, находящихся на территории России. Норму ввёл 242-ФЗ, она действует с 1 сентября 2015 года. Смысл: первичная база с ФИО, телефонами и прочими данными ваших клиентов должна физически находиться на серверах в России.

Трансграничная передача. Статья 12 регулирует передачу персональных данных оператором за границу и требует соблюдения условий и уведомительного режима Роскомнадзора. И здесь важен пункт 11 статьи 3: трансграничная передача это передача именно персональных данных на территорию иностранного государства, а не любых технических данных, которые браузер отправляет при загрузке страницы.

Обе нормы запускаются одним и тем же условием: за рубеж уходят или за рубежом хранятся именно персональные данные в содержании запроса: ФИО, телефон, email, идентификатор, привязанный к человеку. Если наружу уходит только IP-адрес ради отдачи файла шрифта, состав локализации по части 5 статьи 18 и состав трансграничной передачи по статье 12 сам по себе не образуется. Дело не в том, где стоит сервер Google, а в том, что именно на него уходит.

Поэтому точнее сказать так: подключение Google Fonts несёт технический риск, близкий к нулю, а не автоматическое нарушение закона. Риск появляется не от самого шрифта, а от того, если через тот же или соседний сторонний сервис на страницу подмешивается что-то ещё, например рекламный пиксель или аналитика, которые уже передают идентификаторы, привязанные к человеку.

Google Fonts и Google Sheets: одна инфраструктура, разная квалификация

Чтобы увидеть границу наглядно, полезно поставить рядом два случая с одной и той же «зарубежной инфраструктурой Google».

Случай первый. Сайт подключает шрифт с Google Fonts. Наружу, в адрес Google, уходит IP-адрес посетителя ради загрузки файла шрифта. Персональные данные из форм при этом никуда не передаются. Состав локализации по общему правилу не возникает, потому что персональные данные в этом потоке отсутствуют.

Случай второй. Тот же владелец ведёт базу клиентов в Google Таблицах: складывает туда ФИО, телефоны и email заказчиков. Теперь на серверы Google, за пределы России, уходят и там хранятся именно персональные данные граждан. Это прямое пересечение с запретом части 5 статьи 18: первичная запись и хранение базы идут за рубежом. Здесь состав локализации реальный.

Инфраструктура в обоих случаях одна, компания одна, а правовая оценка противоположная. Различает их содержание потока: технические данные ради файла шрифта против клиентской базы с телефонами и email. Это и есть ключ ко всей теме иностранных сервисов на сайте. Подробнее про хранение и потоки данных за границу мы разбираем в материале про трансграничную передачу персональных данных.

Про штраф: где он есть, а где его нет

Раз про Google Fonts часто пишут «за это штрафуют», назовём конкретные цифры и покажем, к чему они на самом деле относятся.

За нарушение локализации отвечает часть 8 статьи 13.11 КоАП. Для юридических лиц вилка составляет от 1 до 6 млн рублей, для должностных лиц от 100 до 200 тыс., для граждан от 30 до 50 тыс. рублей. Это серьёзные суммы, и именно их обычно приводят, чтобы напугать владельца сайта историей про шрифты.

Но применяется этот состав к реальной передаче и хранению персональных данных за рубежом, а не к загрузке файла шрифта. То есть под часть 8 статьи 13.11 попадает как раз второй случай выше, база клиентов в зарубежном облаке, а не подключение Google Fonts. За саму подгрузку шрифта, при которой уходит только IP-адрес, этот штраф не наступает, потому что нет состава: нет передачи персональных данных.

Это вилка по КоАП, а не юридическое заключение по вашему сайту. Конкретную сумму и сам факт нарушения определяет орган с учётом всех обстоятельств. Мы приводим диапазон, чтобы показать масштаб, а не чтобы утверждать, будто за шрифт кого-то оштрафуют на миллионы. За шрифт как таковой, повторим, отдельной санкции в законе нет.

Как проверить свой сайт

Отдельно проверить строку с Google Fonts несложно, но по-настоящему полезно посмотреть на все внешние сервисы сайта разом, потому что именно среди них прячется реальный риск.

Порядок ручной самопроверки:

  1. Откройте главную и пару внутренних страниц, нажмите правую кнопку и «Просмотр кода страницы», найдите в исходнике обращения к внешним доменам: строки со шрифтами, аналитикой, картами, виджетами, пикселями.
  2. Для каждого стороннего домена задайте один вопрос: что через него уходит, только технические данные для отображения или ещё и идентификаторы, привязанные к посетителю.
  3. Отдельно найдите все формы на сайте и посмотрите, куда уходят введённые данные и не пересылаются ли они попутно в зарубежные сервисы аналитики или рекламы.
  4. Проверьте, где физически лежит ваша основная база клиентов и заявок: российский хостинг и CRM или зарубежное облако и таблицы.

Пройти этот путь по всему сайту руками, страница за страницей, долго и легко что-то пропустить. Увидеть все внешние подключения и понять, какие из них несут только техданные, а какие уводят персональные данные, удобнее автоматически. На странице проверки локализации персональных данных по 242-ФЗ сканер обходит сайт, собирает список сторонних сервисов и показывает, где рядом уходят именно персональные данные, а не безобидный IP для шрифта. Индивидуальную юридическую оценку это не заменит, но покажет, с какого сервиса начинать разбираться.

Как убрать даже теоретический вопрос: self-hosting шрифтов

Если хочется закрыть тему шрифтов раз и навсегда, не полагаясь на рассуждения про техданные, есть простой гигиенический приём: перенести шрифты на свой сервер. Это называется self-hosting, локальная отдача шрифтов.

Смысл в том, что файлы шрифта в формате woff2 вы скачиваете один раз и кладёте рядом с сайтом, на тот же сервер, где лежит всё остальное. После этого браузер посетителя берёт шрифт с вашего домена, а не обращается к Google. IP-адрес никуда за границу не уходит просто потому, что запроса к внешнему серверу больше нет.

Порядок действий:

  1. Скачайте нужные начертания шрифта в формате woff2 из открытого источника или через сервис-конвертер.
  2. Положите файлы в папку со стилями вашего сайта.
  3. Пропишите шрифт через правило @font-face в CSS с локальным путём к файлу.
  4. Уберите из кода старую строку подключения к внешнему домену Google.

Есть и побочный плюс: локальные шрифты обычно грузятся быстрее, ведь браузер не ходит на сторонний сервер и не тратит время на лишнее соединение. Self-hosting снимает даже теоретический вопрос про передачу IP и заодно немного ускоряет сайт. Это описательная рекомендация по гигиене, а не требование закона: закон не обязывает переносить шрифты, он работает с персональными данными.

Частые вопросы

Google Fonts запрещены в России? Нет. Прямого запрета на Google Fonts в законе нет, отдельного штрафа за подключение шрифта тоже. Подгрузка шрифта передаёт IP-адрес ради загрузки файла, а не персональные данные из ваших форм, поэтому сама по себе она не образует состава по 152-ФЗ.

Тогда почему все советуют переносить шрифты на свой сервер? Это гигиена, а не обязанность. Локальные шрифты убирают даже теоретический вопрос про уход IP за границу и попутно ускоряют загрузку. Делать это стоит ради спокойствия и скорости, а не потому что иначе штраф.

Чем шрифты отличаются от базы клиентов в Google Таблицах? Тем, что передаётся. При загрузке шрифта уходит только технический IP-адрес, персональных данных в потоке нет. При ведении базы клиентов в Google Таблицах за границу уходят и там хранятся ФИО, телефоны и email, именно персональные данные, и это уже прямое пересечение с требованием локализации.

А если у меня стоит и шрифт, и аналитика, и рекламный пиксель? Тогда смотреть надо не на шрифт, а на аналитику и пиксель: именно они могут передавать идентификаторы, привязанные к посетителю. Про счётчики и их правовой режим мы отдельно разбираем в материале можно ли использовать Google Analytics в России.

Коротко

Google Fonts не запрещены в России и отдельного штрафа за них в законе нет. Подключение шрифта передаёт на серверы Google технический IP-адрес ради загрузки файла, а не персональные данные из ваших форм, поэтому состав локализации по части 5 статьи 18 и трансграничной передачи по статье 12 сам по себе не образуется: закон смотрит на состав уходящих данных. Реальный риск локализации живёт не в шрифтах, а там, где за границу уходят именно персональные данные, например база клиентов в Google Таблицах, и там вилка по части 8 статьи 13.11 КоАП для юрлиц составляет от 1 до 6 млн рублей. Чтобы снять даже теоретический вопрос по шрифтам, перенесите их на свой сервер: это и спокойнее, и быстрее. А чтобы увидеть, какие внешние сервисы на сайте действительно уводят персональные данные, проще прогнать сайт проверкой, чем обходить каждую страницу руками.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 5 статьи 18, при сборе персональных данных граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории РФ (кроме случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6).
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 12, трансграничная передача персональных данных оператором за рубеж допускается с соблюдением условий и уведомительного режима Роскомнадзора.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, пункт 11 статьи 3, трансграничная передача это передача персональных данных на территорию иностранного государства, то есть поток именно персональных данных, а не любых технических данных.
  • КоАП РФ, часть 8 статьи 13.11, невыполнение оператором обязанности по локализации баз данных персональных данных граждан РФ на территории РФ; влечёт административный штраф, для юридических лиц от 1 до 6 млн рублей (применимо только при реальной передаче персональных данных, не технических данных).

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также