Главная
АИ #28 (314)
Статьи журнала АИ #28 (314)
Ужесточение ответственности за нарушения законодательства о персональных данных:...

Ужесточение ответственности за нарушения законодательства о персональных данных: новеллы 2024-2025 годов

Цитирование

Белаш Б. А. Ужесточение ответственности за нарушения законодательства о персональных данных: новеллы 2024-2025 годов // Актуальные исследования. 2026. №28 (314). URL: https://apni.ru/article/15725-uzhestochenie-otvetstvennosti-za-narusheniya-zakonodatelstva-o-personalnyh-dannyh-novelly-2024-2025-godov

Аннотация статьи

Целью настоящей статьи является анализ проведённой в 2024-2025 годах реформы юридической ответственности за нарушения законодательства о персональных данных. На основе формально-юридического и сравнительного методов исследуются новые составы административных правонарушений, включая оборотные штрафы за повторные утечки, а также введённая статьёй 272.1 Уголовного кодекса Российской Федерации уголовная ответственность за незаконный оборот персональных данных. Выявляются проблемы разграничения административной и уголовной ответственности и практические сложности применения новых норм. Делается вывод о переходе законодателя от компенсаторной к превентивной модели охраны персональных данных.

Текст статьи

Персональные данные в условиях цифровой экономики превратились в один из наиболее ценных и одновременно наиболее уязвимых нематериальных активов. Масштабные утечки сведений о миллионах граждан, регулярно фиксируемые в последние годы, создают питательную среду для социальной инженерии, дистанционного мошенничества и иных посягательств на права личности. Конституционную основу охраны персональных данных образуют статьи 23 и 24 Конституции Российской Федерации, гарантирующие неприкосновенность частной жизни, личную и семейную тайну и недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия [1]. Базовым регуляторным актом в рассматриваемой сфере выступает Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», возлагающий на операторов широкий круг обязанностей по обеспечению безопасности обработки [2]. Вместе с тем к середине 2020-х годов стало очевидно, что сложившаяся система юридической ответственности не выполняла превентивной функции: административные штрафы были несопоставимы ни с ущербом, причиняемым субъектам данных, ни с затратами, которых требует надлежащая защита информации. Ответом законодателя стали федеральные законы от 30.11.2024 № 420-ФЗ и № 421-ФЗ, радикально ужесточившие административную ответственность и установившие специальную уголовную ответственность за незаконный оборот персональных данных.

Ужесточению санкций предшествовало формирование инфраструктуры учёта инцидентов. Федеральным законом от 14.07.2022 № 266-ФЗ на операторов возложена обязанность уведомлять уполномоченный орган о компрометации персональных данных: в течение двадцати четырёх часов с момента выявления инцидента – о самом факте утечки, а в течение семидесяти двух часов – о результатах внутреннего расследования, его причинах и виновных лицах [3]. Тем самым была создана информационная база, без которой применение строгих санкций оставалось бы затруднительным: именно зафиксированные регулятором инциденты образуют доказательственную основу для последующего привлечения оператора к ответственности. Однако санкции статьи 13.11 Кодекса Российской Федерации об административных правонарушениях в прежней редакции оставались, по существу, символическими: даже за массовую утечку максимальный штраф для юридического лица исчислялся сотнями тысяч рублей, что позволяло недобросовестным операторам экономить на информационной безопасности, принимая риск ответственности как приемлемые издержки.

Федеральный закон № 420-ФЗ, вступивший в силу 30 мая 2025 года, кардинально изменил конструкцию статьи 13.11 КоАП РФ [4; 5]. Впервые размер санкции поставлен в зависимость от масштаба инцидента: за утечку персональных данных от одной до десяти тысяч субъектов юридическому лицу грозит штраф от трёх до пяти миллионов рублей, при затронутости от десяти до ста тысяч субъектов – от пяти до десяти миллионов рублей, при большем масштабе – от десяти до пятнадцати миллионов рублей; повышенная ответственность установлена за компрометацию специальных категорий персональных данных и биометрии. Центральной новеллой стал оборотный штраф за повторную утечку – от одного до трёх процентов совокупного размера выручки за предшествующий календарный год, но не менее двадцати пяти и не более пятисот миллионов рублей [6]. Самостоятельные составы образуют теперь неуведомление уполномоченного органа об инциденте и о намерении осуществлять обработку персональных данных. Одновременно законодатель предусмотрел стимулирующий механизм: для операторов, которые на протяжении предшествующих лет добросовестно инвестировали в информационную безопасность и соблюдали установленные требования к защите информации, размер оборотного штрафа исчисляется в кратно меньших пределах – от пятнадцати до пятидесяти миллионов рублей. Подобная дифференциация превращает вложения в кибербезопасность из добровольных расходов в юридически значимое обстоятельство, влияющее на объём ответственности.

Не менее значимым элементом реформы стало введение Федеральным законом № 421-ФЗ статьи 272.1 Уголовного кодекса Российской Федерации, криминализовавшей незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученной незаконным путём, а равно создание и обеспечение функционирования информационных ресурсов, предназначенных для её незаконного хранения и распространения [7; 8]. Последний состав прямо направлен против теневых сервисов так называемого пробива и агрегаторов похищенных баз данных, деятельность которых прежде с трудом охватывалась составами статей 137 и 272 УК РФ. Квалифицирующими признаками выступают, в частности, деяния в отношении специальных категорий персональных данных и биометрии, данных несовершеннолетних, совершение преступления из корыстной заинтересованности, группой лиц, трансграничное перемещение носителей с такими данными, а также наступление тяжких последствий; максимальное наказание достигает десяти лет лишения свободы. Субъект преступления общий, то есть ответственности подлежит не только оператор, но и любое лицо, вовлечённое в незаконный оборот данных; при этом из-под действия статьи выведена обработка персональных данных для личных и семейных нужд. В. Ф. Щепельков, анализируя новый состав, обращает внимание на оценочный характер ряда его признаков и прогнозирует трудности доказывания осведомлённости лица о незаконности происхождения данных [9, с. 35-42].

Введение параллельных административного и уголовного механизмов закономерно породило проблему их разграничения. Д. С. Корешников, исследуя конкуренцию статьи 272.1 УК РФ и статьи 13.11 КоАП РФ, предлагает проводить границу по совокупности критериев: источнику данных (уголовная ответственность связана с информацией, полученной заведомо незаконным путём), характеру деяния (оборот данных против нарушения порядка их обработки) и субъекту (оператор, нарушивший свои обязанности, отвечает административно, тогда как третьи лица, вовлечённые в оборот похищенных данных, – в уголовном порядке) [10, с. 49-54]. Изложенный подход заслуживает поддержки, однако до формирования устойчивой судебной практики и разъяснений Пленума Верховного Суда Российской Федерации риск квалификационных ошибок остаётся высоким: одно и то же фактическое поведение – например, передача базы данных контрагенту без должного правового основания – может быть истолковано и как административное правонарушение оператора, и как элемент незаконного оборота.

Применение новых норм сопряжено и с иными проблемами. Дискуссионным остаётся исчисление оборотного штрафа: закон оперирует совокупным размером выручки от реализации всех товаров, работ и услуг, что в структурах холдингового типа провоцирует вопрос о допустимости учёта выручки лишь того юридического лица, которое формально признано оператором, и открывает возможности для искусственной фрагментации бизнеса. Требует осмысления и соотношение одновременного привлечения к ответственности юридического лица и его должностных лиц с принципом недопустимости повторного наказания за одно деяние. Применительно к статье 272.1 УК РФ в литературе высказываются опасения относительно избыточной криминализации: под признаки состава при широком толковании может подпадать деятельность исследователей информационной безопасности, журналистов и специалистов по анализу открытых данных, что диктует необходимость ограничительного толкования признака незаконности получения информации. Наконец, эффективность оборотных штрафов будет зависеть от последовательности правоприменения: практика первых месяцев действия новелл, обобщаемая в справочных правовых системах, свидетельствует об осторожном подходе судов и регулятора, ориентированных прежде всего на крупные и резонансные инциденты.

Оценивая проведённую реформу в сравнительно-правовом ключе, нельзя не заметить её концептуальную близость к европейской модели регулирования. Общий регламент Европейского союза о защите персональных данных (GDPR) с 2018 года предусматривает административные штрафы, достигающие двадцати миллионов евро либо четырёх процентов совокупного мирового оборота компании за предшествующий финансовый год, и практика его применения демонстрирует готовность надзорных органов налагать чувствительные взыскания на крупнейшие технологические корпорации. Российский законодатель воспринял сам принцип исчисления санкции от оборота, однако придал ему более осторожную конфигурацию: оборотный штраф применяется лишь при повторной утечке, ограничен абсолютным максимумом в пятьсот миллионов рублей и сопровождается стимулирующими изъятиями для добросовестных операторов. Подобная умеренность объяснима стремлением не подорвать экономическую устойчивость операторов на этапе адаптации к новым требованиям; вместе с тем в перспективе не исключено дальнейшее сближение отечественного регулирования с европейскими стандартами, включая расширение оснований применения оборотных санкций и усиление акцента на подотчётности операторов, обязанных не просто соблюдать установленные требования, но и быть в состоянии доказать их соблюдение.

Практическим следствием реформы становится формирование в организациях полноценных систем комплаенса в сфере обработки персональных данных. Минимизация правовых рисков предполагает проведение инвентаризации и аудита всех процессов обработки, сокращение состава собираемых сведений до действительно необходимого, внедрение обезличивания и псевдонимизации, разграничение доступа работников к информационным системам, применение технических средств предотвращения утечек, а также разработку внутренних регламентов реагирования на инциденты, обеспечивающих соблюдение двадцатичетырёхчасового срока уведомления регулятора. Существенное значение приобретает документирование затрат на информационную безопасность: именно подтверждённые инвестиции в защиту информации позволяют оператору претендовать на льготное исчисление оборотного штрафа. Отдельного внимания заслуживает выстраивание отношений с контрагентами, которым поручается обработка данных: неблагоприятные последствия инцидента, произошедшего на стороне обработчика, по общему правилу ложатся на оператора, что диктует необходимость тщательной договорной регламентации требований к защите информации, порядка взаимного информирования об инцидентах и распределения возникающих убытков.

Реформа публично-правовой ответственности не отменяет значения частноправовых средств защиты. Субъекты персональных данных, пострадавшие от утечки, вправе требовать компенсации морального вреда, и судебная практика по таким делам устойчиво расширяется, хотя присуждаемые суммы остаются скромными и едва ли способны самостоятельно стимулировать операторов к надлежащей защите информации. В этих условиях именно сочетание чувствительных публичных санкций, частных исков и репутационных издержек формирует комплексный механизм сдерживания. Дополнительным направлением развития следует признать страхование киберрисков, распространение которого способно смягчить финансовые последствия инцидентов для добросовестных операторов, а также внедрение внутрикорпоративного комплаенса в сфере обработки данных, значение которого после 30 мая 2025 года возросло многократно.

Подводя итог, следует констатировать, что новеллы 2024–2025 годов знаменуют принципиальный сдвиг парадигмы: от компенсаторной модели, при которой ответственность за утечки была пренебрежимо мала, законодатель перешёл к превентивной модели, в которой размер санкции сопоставим с оборотом бизнеса, а участие в незаконном обороте данных влечёт уголовное преследование. Такой подход соответствует мировым тенденциям ужесточения ответственности в сфере защиты данных и способен переломить многолетнюю практику остаточного финансирования информационной безопасности. Вместе с тем успех реформы будет определяться качеством правоприменения: необходимы разъяснения высшей судебной инстанции по вопросам разграничения административной и уголовной ответственности, выработка критериев исчисления оборотных штрафов в группах компаний и ограничительное толкование уголовно-правовых запретов, исключающее привлечение к ответственности за социально полезную деятельность с данными.

Список литературы

  1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) // Официальный интернет-портал правовой информации. [электронный ресурс] – Режим доступа. – URL: http://pravo.gov.ru (дата обращения: 15.06.2026).
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изм. и доп.) // Собрание законодательства РФ. – 2006. – № 31 (ч. I). – Ст. 3451.
  3. Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» // Официальный интернет-портал правовой информации. [электронный ресурс] – Режим доступа. – URL: http://pravo.gov.ru (дата обращения: 15.06.2026).
  4. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (с изм. и доп.) // Собрание законодательства РФ. – 2002. – № 1 (ч. I). – Ст. 1.
  5. Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» // Официальный интернет-портал правовой информации. [электронный ресурс] – Режим доступа. – URL: http://pravo.gov.ru (дата обращения: 15.06.2026).
  6. Персональные данные: новые штрафы с 30 мая 2025 года // СПС «КонсультантПлюс». [электронный ресурс] – Режим доступа. – URL: https://www.consultant.ru/legalnews/28492/ (дата обращения: 15.06.2026).
  7. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (с изм. и доп.) // Собрание законодательства РФ. – 1996. – № 25. – Ст. 2954.
  8. Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» // Официальный интернет-портал правовой информации. [электронный ресурс] – Режим доступа. – URL: http://pravo.gov.ru (дата обращения: 15.06.2026).
  9. Щепельков В.Ф. Уголовная ответственность за незаконный оборот персональных данных (ст. 272.1 УК РФ) // Вестник Волгоградской академии МВД России. – 2025. – № 3 (74). – С. 35-42.
  10. Корешников Д.С. Конкуренция норм об охране персональных данных: разграничение статьи 272.1 УК РФ и статьи 13.11 КоАП РФ // Правопорядок: история, теория, практика. – 2025. – № 3 (46). – С. 49-54.

Поделиться

5
Обнаружили грубую ошибку (плагиат, фальсифицированные данные или иные нарушения научно-издательской этики)? Напишите письмо в редакцию журнала: info@apni.ru

Похожие статьи

Другие статьи из раздела «Юриспруденция»

Все статьи выпуска
Актуальные исследования

#29 (315)

Прием материалов

11 июля - 17 июля

осталось 7 дней

Размещение PDF-версии журнала

22 июля

Размещение электронной версии статьи

сразу после оплаты

Рассылка печатных экземпляров

5 августа