Персональные данные в условиях цифровой экономики превратились в один из наиболее ценных и одновременно наиболее уязвимых нематериальных активов. Масштабные утечки сведений о миллионах граждан, регулярно фиксируемые в последние годы, создают питательную среду для социальной инженерии, дистанционного мошенничества и иных посягательств на права личности. Конституционную основу охраны персональных данных образуют статьи 23 и 24 Конституции Российской Федерации, гарантирующие неприкосновенность частной жизни, личную и семейную тайну и недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия [1]. Базовым регуляторным актом в рассматриваемой сфере выступает Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», возлагающий на операторов широкий круг обязанностей по обеспечению безопасности обработки [2]. Вместе с тем к середине 2020-х годов стало очевидно, что сложившаяся система юридической ответственности не выполняла превентивной функции: административные штрафы были несопоставимы ни с ущербом, причиняемым субъектам данных, ни с затратами, которых требует надлежащая защита информации. Ответом законодателя стали федеральные законы от 30.11.2024 № 420-ФЗ и № 421-ФЗ, радикально ужесточившие административную ответственность и установившие специальную уголовную ответственность за незаконный оборот персональных данных.
Ужесточению санкций предшествовало формирование инфраструктуры учёта инцидентов. Федеральным законом от 14.07.2022 № 266-ФЗ на операторов возложена обязанность уведомлять уполномоченный орган о компрометации персональных данных: в течение двадцати четырёх часов с момента выявления инцидента – о самом факте утечки, а в течение семидесяти двух часов – о результатах внутреннего расследования, его причинах и виновных лицах [3]. Тем самым была создана информационная база, без которой применение строгих санкций оставалось бы затруднительным: именно зафиксированные регулятором инциденты образуют доказательственную основу для последующего привлечения оператора к ответственности. Однако санкции статьи 13.11 Кодекса Российской Федерации об административных правонарушениях в прежней редакции оставались, по существу, символическими: даже за массовую утечку максимальный штраф для юридического лица исчислялся сотнями тысяч рублей, что позволяло недобросовестным операторам экономить на информационной безопасности, принимая риск ответственности как приемлемые издержки.
Федеральный закон № 420-ФЗ, вступивший в силу 30 мая 2025 года, кардинально изменил конструкцию статьи 13.11 КоАП РФ [4; 5]. Впервые размер санкции поставлен в зависимость от масштаба инцидента: за утечку персональных данных от одной до десяти тысяч субъектов юридическому лицу грозит штраф от трёх до пяти миллионов рублей, при затронутости от десяти до ста тысяч субъектов – от пяти до десяти миллионов рублей, при большем масштабе – от десяти до пятнадцати миллионов рублей; повышенная ответственность установлена за компрометацию специальных категорий персональных данных и биометрии. Центральной новеллой стал оборотный штраф за повторную утечку – от одного до трёх процентов совокупного размера выручки за предшествующий календарный год, но не менее двадцати пяти и не более пятисот миллионов рублей [6]. Самостоятельные составы образуют теперь неуведомление уполномоченного органа об инциденте и о намерении осуществлять обработку персональных данных. Одновременно законодатель предусмотрел стимулирующий механизм: для операторов, которые на протяжении предшествующих лет добросовестно инвестировали в информационную безопасность и соблюдали установленные требования к защите информации, размер оборотного штрафа исчисляется в кратно меньших пределах – от пятнадцати до пятидесяти миллионов рублей. Подобная дифференциация превращает вложения в кибербезопасность из добровольных расходов в юридически значимое обстоятельство, влияющее на объём ответственности.
Не менее значимым элементом реформы стало введение Федеральным законом № 421-ФЗ статьи 272.1 Уголовного кодекса Российской Федерации, криминализовавшей незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученной незаконным путём, а равно создание и обеспечение функционирования информационных ресурсов, предназначенных для её незаконного хранения и распространения [7; 8]. Последний состав прямо направлен против теневых сервисов так называемого пробива и агрегаторов похищенных баз данных, деятельность которых прежде с трудом охватывалась составами статей 137 и 272 УК РФ. Квалифицирующими признаками выступают, в частности, деяния в отношении специальных категорий персональных данных и биометрии, данных несовершеннолетних, совершение преступления из корыстной заинтересованности, группой лиц, трансграничное перемещение носителей с такими данными, а также наступление тяжких последствий; максимальное наказание достигает десяти лет лишения свободы. Субъект преступления общий, то есть ответственности подлежит не только оператор, но и любое лицо, вовлечённое в незаконный оборот данных; при этом из-под действия статьи выведена обработка персональных данных для личных и семейных нужд. В. Ф. Щепельков, анализируя новый состав, обращает внимание на оценочный характер ряда его признаков и прогнозирует трудности доказывания осведомлённости лица о незаконности происхождения данных [9, с. 35-42].
Введение параллельных административного и уголовного механизмов закономерно породило проблему их разграничения. Д. С. Корешников, исследуя конкуренцию статьи 272.1 УК РФ и статьи 13.11 КоАП РФ, предлагает проводить границу по совокупности критериев: источнику данных (уголовная ответственность связана с информацией, полученной заведомо незаконным путём), характеру деяния (оборот данных против нарушения порядка их обработки) и субъекту (оператор, нарушивший свои обязанности, отвечает административно, тогда как третьи лица, вовлечённые в оборот похищенных данных, – в уголовном порядке) [10, с. 49-54]. Изложенный подход заслуживает поддержки, однако до формирования устойчивой судебной практики и разъяснений Пленума Верховного Суда Российской Федерации риск квалификационных ошибок остаётся высоким: одно и то же фактическое поведение – например, передача базы данных контрагенту без должного правового основания – может быть истолковано и как административное правонарушение оператора, и как элемент незаконного оборота.
Применение новых норм сопряжено и с иными проблемами. Дискуссионным остаётся исчисление оборотного штрафа: закон оперирует совокупным размером выручки от реализации всех товаров, работ и услуг, что в структурах холдингового типа провоцирует вопрос о допустимости учёта выручки лишь того юридического лица, которое формально признано оператором, и открывает возможности для искусственной фрагментации бизнеса. Требует осмысления и соотношение одновременного привлечения к ответственности юридического лица и его должностных лиц с принципом недопустимости повторного наказания за одно деяние. Применительно к статье 272.1 УК РФ в литературе высказываются опасения относительно избыточной криминализации: под признаки состава при широком толковании может подпадать деятельность исследователей информационной безопасности, журналистов и специалистов по анализу открытых данных, что диктует необходимость ограничительного толкования признака незаконности получения информации. Наконец, эффективность оборотных штрафов будет зависеть от последовательности правоприменения: практика первых месяцев действия новелл, обобщаемая в справочных правовых системах, свидетельствует об осторожном подходе судов и регулятора, ориентированных прежде всего на крупные и резонансные инциденты.
Оценивая проведённую реформу в сравнительно-правовом ключе, нельзя не заметить её концептуальную близость к европейской модели регулирования. Общий регламент Европейского союза о защите персональных данных (GDPR) с 2018 года предусматривает административные штрафы, достигающие двадцати миллионов евро либо четырёх процентов совокупного мирового оборота компании за предшествующий финансовый год, и практика его применения демонстрирует готовность надзорных органов налагать чувствительные взыскания на крупнейшие технологические корпорации. Российский законодатель воспринял сам принцип исчисления санкции от оборота, однако придал ему более осторожную конфигурацию: оборотный штраф применяется лишь при повторной утечке, ограничен абсолютным максимумом в пятьсот миллионов рублей и сопровождается стимулирующими изъятиями для добросовестных операторов. Подобная умеренность объяснима стремлением не подорвать экономическую устойчивость операторов на этапе адаптации к новым требованиям; вместе с тем в перспективе не исключено дальнейшее сближение отечественного регулирования с европейскими стандартами, включая расширение оснований применения оборотных санкций и усиление акцента на подотчётности операторов, обязанных не просто соблюдать установленные требования, но и быть в состоянии доказать их соблюдение.
Практическим следствием реформы становится формирование в организациях полноценных систем комплаенса в сфере обработки персональных данных. Минимизация правовых рисков предполагает проведение инвентаризации и аудита всех процессов обработки, сокращение состава собираемых сведений до действительно необходимого, внедрение обезличивания и псевдонимизации, разграничение доступа работников к информационным системам, применение технических средств предотвращения утечек, а также разработку внутренних регламентов реагирования на инциденты, обеспечивающих соблюдение двадцатичетырёхчасового срока уведомления регулятора. Существенное значение приобретает документирование затрат на информационную безопасность: именно подтверждённые инвестиции в защиту информации позволяют оператору претендовать на льготное исчисление оборотного штрафа. Отдельного внимания заслуживает выстраивание отношений с контрагентами, которым поручается обработка данных: неблагоприятные последствия инцидента, произошедшего на стороне обработчика, по общему правилу ложатся на оператора, что диктует необходимость тщательной договорной регламентации требований к защите информации, порядка взаимного информирования об инцидентах и распределения возникающих убытков.
Реформа публично-правовой ответственности не отменяет значения частноправовых средств защиты. Субъекты персональных данных, пострадавшие от утечки, вправе требовать компенсации морального вреда, и судебная практика по таким делам устойчиво расширяется, хотя присуждаемые суммы остаются скромными и едва ли способны самостоятельно стимулировать операторов к надлежащей защите информации. В этих условиях именно сочетание чувствительных публичных санкций, частных исков и репутационных издержек формирует комплексный механизм сдерживания. Дополнительным направлением развития следует признать страхование киберрисков, распространение которого способно смягчить финансовые последствия инцидентов для добросовестных операторов, а также внедрение внутрикорпоративного комплаенса в сфере обработки данных, значение которого после 30 мая 2025 года возросло многократно.
Подводя итог, следует констатировать, что новеллы 2024–2025 годов знаменуют принципиальный сдвиг парадигмы: от компенсаторной модели, при которой ответственность за утечки была пренебрежимо мала, законодатель перешёл к превентивной модели, в которой размер санкции сопоставим с оборотом бизнеса, а участие в незаконном обороте данных влечёт уголовное преследование. Такой подход соответствует мировым тенденциям ужесточения ответственности в сфере защиты данных и способен переломить многолетнюю практику остаточного финансирования информационной безопасности. Вместе с тем успех реформы будет определяться качеством правоприменения: необходимы разъяснения высшей судебной инстанции по вопросам разграничения административной и уголовной ответственности, выработка критериев исчисления оборотных штрафов в группах компаний и ограничительное толкование уголовно-правовых запретов, исключающее привлечение к ответственности за социально полезную деятельность с данными.

