До 10 лет тюрьмы и миллионные штрафы: что грозит за утечку данных в России
5 мин
139
5
Какие штрафы предусмотрены за утечки баз данных
За утечку каких данных могут оштрафовать:
Персональные данные. К ним относятся как полные данные граждан (Ф. И. О., дата рождения, адрес и так далее), так и частичные (уникальные идентификаторы, например, номер паспорта, СНИЛС, ИНН и так далее), по которым можно определить конкретного гражданина (субъекта).
Специальные категории персональных данных. Это информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни.
Биометрические данные. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность: генный код (ДНК), отпечатки пальцев, рисунок сетчатки глаза, овал и строение лица и так далее.
30 мая 2025 года начали действовать поправки в КоАП РФ, согласно которым компании, занимающиеся хранением и обработкой персональных данных, будут более строго отвечать за утечки баз данных людей, информацию о которых обрабатывают. Причём штрафы грозят не только за сам факт утечки, но и за то, что фирма не уведомила Роскомнадзор или сделала это с опозданием. Так что скрывать взломы и надеяться, что никто ничего не заметит, уже не получится.
Однако есть важный нюанс. Если предприятие создало все необходимые условия для защиты данных, а виновным оказался конкретный сотрудник, то он может отвечать за произошедшее лично — как физическое или должностное лицо. Размеры штрафов при этом зависят от масштаба утечки и характера скомпрометированных данных. Но для начала разберёмся, что же на самом деле считать утечкой.
Утечкой данных считается как преднамеренное, так и случайное раскрытие конфиденциальной информации. Это означает, что данные оказались в руках третьих лиц без согласия владельца. Причём утечки случаются разными путями. Информация может «утечь» через веб-каналы, приложения, физические устройства (например, флешки или распечатки на принтере).
Важно понимать, что законодательство под утечкой подразумевает не только кражу данных. Согласно поправкам в КоАП РФ, нарушение включает в себя любую неправомерную передачу, распространение или предоставление информации, содержащей персональные данные. Это касается и специальных категорий информации, например медицинской, а также биометрических данных.
Таким образом, утечкой можно считать потерю контроля над хранящимися персональными данными с предоставлением к ним доступа третьим лицам. В свою очередь, действия этих третьих лиц уже могут быть квалифицированы иным образом в зависимости от конкретных обстоятельств совершённого нарушения.
Штрафы для юридических, физических и должностных лиц
- По данным центра мониторинга внешних цифровых угроз Solar Aura ГК «Солар», объём утёкших у российских компаний данных за первые девять месяцев 2025 года вырос в 138 раз по сравнению с аналогичным периодом 2024 года, достигнув 748 терабайт, зафиксировано 573 публичных заявления об утечках в российских компаниях — это от двух до пяти сообщений в день.
- Около 225 крупных утечек данных российских компаний, суммарно затронувших более 767 млн строк данных, появилось в публичном пространстве в течение 2025 года. Наибольшему риску взломов подверглись ретейл, сфера здравоохранения, государственные службы и информационные технологии, говорится в исследовании компании F6.
Кому грозит уголовная ответственность
Компании, как юридические лица, не могут нести уголовную ответственность. Но в УК РФ введена статья, по которой физическое или должностное лицо могут привлечь:
- за незаконное использование, передачу, сбор, хранение неправомерно полученной компьютерной информации, содержащей персональные данные;
- создание или обеспечение функционирования информационных ресурсов, предназначенных для её незаконного хранения или распространения;
- кражу и последующее незаконное использование персональных данных несовершеннолетних лиц.
Компания может не понести ответственности, если:
- локальными актами компании предусмотрены меры безопасности для сотрудников при работе с компьютерной или физической информацией, содержащей данные пользователей;
- используется антивирус, который систематически обновляется;
- внедрены системы идентификации и наблюдения за сотрудниками, имеющими доступ к персональным данным;
- есть конкретные лица, отвечающие за сохранность персональных данных.
В этом случае ответственность за утечку может понести конкретный сотрудник:
- Ответственный за информационную или кибербезопасность — если плохо выполняет свои обязанности.
- Специалист по антивирусной защите — если нет специалиста по кибербезопасности, а обновления защиты осуществляются неэффективно.
- Руководитель соответствующего департамента или всей компании — если в компании нет качественной системы кибербезопасности.
- Сотрудник, имеющий доступ к персональным данным, — если не соблюдает меры безопасности при работе с данными.
- Сотрудник без доступа к персональным данным — если каким-то образом получил доступ и это можно доказать.
Однако решение о привлечении компании или её работника к ответственности принимает суд, исходя из фактических обстоятельств каждого конкретного дела.
Наказание зависит от особенностей потерянной и незаконно использующейся базы данных:
- Содержит обычные данные взрослых лиц — грозит штраф в размере до 300 тыс. руб., принудительные работы сроком до 4 лет или заключение на тот же срок.
- Содержит данные о несовершеннолетних, специальных категориях или биометрическую информацию — штраф до 700 тыс. руб., лишение права занимать определённые должности или заниматься определённой деятельностью на 2 года либо до 5 лет принудительных работ или лишения свободы.
Составы с отягчающими обстоятельствами:
- Если совершено в корыстных целях, с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения — штраф до 1 млн руб., принудительные работы до 5 лет или до 6 лет тюрьмы. Плюс лишение права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет.
- За трансграничное перемещение персональных данных — до 8 лет тюрьмы и штраф до 2 млн руб., плюс лишение права занимать определённые должности или заниматься определённой деятельностью сроком до 4 лет.
- Если совершено организованной группой или повлекло тяжкие последствия — до 10 лет тюрьмы, штраф до 3 млн рублей и лишение права занимать определённые должности или заниматься определённой деятельностью на 5 лет.
Важно понимать, что в уголовном праве нет деления на физических и должностных лиц. Но если преступление совершено с использованием своего служебного положения, это рассматривается как обстоятельство, усугубляющее ответственность.
Существует вероятность ошибки в определении лица, виновного в утечке данных, так как законодательство в этой сфере не до конца сформировано, а правоохранительные и судебные органы имеют недостаточно прецедентов для выработки чёткой и эффективной практики расследования таких дел.
Именно поэтому руководителям компаний (владельцам бизнеса) необходимо самим позаботиться о внедрении мер, позволяющих избежать этих ошибок. К таким мерам можно отнести чёткое распределение прав доступа к программным ресурсам компании, использование систем авторизации, закрепление прав и обязанностей в соответствующих локальных нормативных актах.
Как компаниям защитить свои данные
Учитывая всё возрастающее количество атак и ужесточение ответственности за утечки, компаниям стоит усилить меры по охране персональных данных. Существуют различные инструменты и методы защиты от несанкционированного доступа. К ним относятся:
1. Антивирусы. Программы, которые сканируют устройства на наличие вредоносов, предотвращая их запуск и распространение.
2. DLP-системы (Data Loss Prevention). Осуществляют мониторинг и контроль передачи данных, обеспечивают соблюдение политик безопасности и защищают чувствительные данные от внешних и внутренних угроз.
3. Программы для шифрования данных. Защищают информацию при хранении и передаче, делая её недоступной для неавторизованных пользователей.
- Secret Disk 5
- Secret Net Studio
- ViPNet SafeDisk
4. Менеджеры паролей. Помогают пользователям генерировать и сохранять сложные пароли. Упрощают управление учётными записями и защищают их от взлома.
- «Пассворк»
- Kaspersky Password Manager
- MultiPassword
5. Инструменты для защиты электронной почты. Шифруют сообщения и применяют различные фильтры безопасности. Защищают содержимое писем от несанкционированного доступа и фишинга.
- «ViPNet Деловая почта»
- «КриптоАРМ ГОСТ»
- «КриптоПро CSP»
6. Сканеры Dark Web. Отслеживают компрометацию данных в даркнете. Позволяют быстро реагировать на утечки и принимать меры.
- Kaspersky Digital Footprint Intelligence
- BI.ZONE Digital Risk Protection
- F.A.C.C.T. Digital Risk Protection
Эти инструменты и методы лучше использовать вместе и постоянно, но для начала можно ограничиться базовыми и комплексными решениями. Например, одна только пара «антивирус + DLP-система» способна значительно снизить риск утечки корпоративных и клиентских данных.
Важно регулярно мониторить и обновлять системы безопасности. Кроме того, необходимо уделять внимание обучению сотрудников. Регулярные тренинги по кибербезопасности помогут им распознавать фишинг и другие виды угроз.
