Перейти к содержанию
аналитика 9 февраля 2028 По состоянию на 9 февраля 2028

Доказательная база утечки именно биометрии

Утечка биометрических персональных данных — отдельный состав по ст. 11 ФЗ-152 с отдельным тарифом штрафа: 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП, и до 500 млн ₽ оборотного штрафа по ч. 18 при повторности.
Ключевой вопрос в любом деле по ч. 17 — доказана ли «биометричность» утекших данных. Если РКН не докажет, что утёкшие файлы позволяют идентифицировать человека по физиологическим характеристикам, состав переквалифицируют на ч. 12–14 ст. 13.11 с кратно меньшим штрафом.
→ Если компания получила протокол по ч. 17 ст. 13.11 — у CEO есть возможность оспорить квалификацию: нужна правовая позиция до первого заседания.

С 30 мая 2025 года утечка биометрических персональных данных влечёт штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. При повторности — оборотный штраф по ч. 18: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Разрыв между «обычной» утечкой (ч. 12–14, до 15 млн ₽) и биометрической (ч. 17) — кратный. Именно поэтому доказательная база, подтверждающая, что утекли именно биометрические данные, становится центральным предметом спора в арбитраже. В этой статье — что доказывает РКН, что должен проверить CEO и как строится защита.

Что считается биометрическими данными по ст. 11 ФЗ-152?

Биометрические персональные данные — физиологические и биологические характеристики человека, на основании которых можно установить его личность. Ст. 11 ФЗ-152 определяет обработку биометрии как допустимую только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом.

На практике к биометрическим данным суды и РКН относят: изображение лица (фотографию, видеозапись) в сочетании с идентификатором личности, слепки голоса, сканы радужки глаза, отпечатки пальцев, ДНК-сведения. Ключевой критерий — данные должны позволять идентифицировать конкретного человека по физиологическим характеристикам.

«Ст. 11 ФЗ-152 — обработка биометрических персональных данных допустима только при наличии письменного согласия субъекта. Обработка без согласия — нарушение, влекущее ответственность по ч. 16 ст. 13.11 КоАП; утечка — по ч. 17 ст. 13.11 КоАП (штраф 15–20 млн ₽ для юрлица).»

Сложность возникает с пограничными категориями. Фотография в паспортных данных — биометрия или нет? Голосовая запись в call-центре — биометрия или просто аудиофайл? Ответ зависит от контекста обработки: если оператор использовал данные для идентификации по физиологическим параметрам, суд, вероятно, признает их биометрическими. Если фотография хранилась просто как вложение в карточке клиента без функции распознавания — квалификация становится спорной.

Как РКН доказывает «биометричность» утёкших данных?

Роскомнадзор при составлении протокола по ч. 17 ст. 13.11 обязан доказать два обстоятельства: факт утечки (неправомерного распространения, предоставления или доступа) и то, что утекшие данные являются биометрическими в смысле ст. 11 ФЗ-152.

Типичный инструментарий РКН при расследовании:

  • Технический анализ файлов из утечки — состав полей, форматы, метаданные.
  • Запросы к оператору о составе обрабатываемых данных и используемых системах идентификации.
  • Сопоставление утёкших записей с заявленными категориями ПДн в уведомлении по ст. 22 ФЗ-152.
  • Экспертное заключение о возможности идентификации субъекта по утекшим данным.
  • Показания сотрудников оператора об архитектуре системы.

Слабое место позиции РКН — доказательство именно идентификационной функции. Если утёкший файл содержит фотографию, но система оператора никогда не использовала её для биометрической идентификации, а хранила как скан документа, регулятор может не иметь достаточных доказательств для квалификации по ч. 17.

Получили протокол по ч. 17 ст. 13.11 — что делать CEO в первые 48 часов?

Протокол по ч. 17 ст. 13.11 КоАП означает, что РКН квалифицировал утечку как биометрическую — с минимальным штрафом 15 млн ₽. До первого заседания у оператора есть возможность оспорить квалификацию, представить альтернативную правовую позицию и собрать доказательства, исключающие «биометричность» данных. Каждый день промедления сужает процессуальные возможности.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие доказательства исключают состав по ч. 17 ст. 13.11?

Стратегия защиты строится на опровержении одного из двух элементов: либо утечки как таковой в смысле ст. 21 ФЗ-152, либо «биометричности» утекших данных. На практике второй путь чаще результативен — особенно если оператор никогда официально не регистрировал обработку биометрии в уведомлении РКН.

Ключевые доказательства в пользу оператора:

  • Архитектурные документы ИСПДн — технические паспорта систем, подтверждающие, что фотографии или голосовые записи хранились как нефункциональные вложения, без подключения к системам распознавания.
  • Отсутствие биометрии в уведомлении РКН — если в поданном уведомлении по ст. 22 ФЗ-152 не заявлена обработка биометрических данных, это аргумент в пользу того, что оператор не считал данные биометрическими.
  • Договоры с вендорами — отсутствие подключения к системам идентификации по лицу или голосу.
  • Независимая техническая экспертиза — заключение о невозможности идентификации субъекта по конкретному формату утекших данных.
  • Сравнительный анализ баз данных — если утечка затронула данные, которые по составу полей не отличаются от стандартных персональных данных (ФИО, телефон, email) и фотография присутствует лишь как скан паспорта без функции распознавания.
«Ч. 17 ст. 13.11 КоАП (в ред. ФЗ-420, действует с 30.05.2025) — за утечку биометрических ПДн, за исключением случаев ст. 13.11.3, юрлицу грозит штраф 15 000 000 – 20 000 000 ₽. Повторное нарушение по ч. 18 — оборотный: 1–3% совокупной выручки, минимум 20 млн ₽, максимум 500 млн ₽.»

Дополнительный аргумент — разграничение с составом ст. 13.11.3 КоАП. Эта отдельная статья регулирует нарушения при работе с биометрией именно в рамках Единой биометрической системы (ЕБС по ФЗ-572): банки, МФЦ, иные участники ЕБС. Если оператор подпадает под ст. 13.11.3, а не под ч. 17 ст. 13.11 — штраф принципиально иной: 500 тыс. – 1 млн ₽ для юрлица. Грамотная квалификация субъектного состава оператора способна перевести дело из ч. 17 в ст. 13.11.3.

Матрица сценариев: как CEO оценить риск переквалификации

Сценарий 1. Утечка базы данных клиентов с фотографиями. Ретейлер использовал фотографии клиентов в карточках программы лояльности. После кибератаки база оказалась в открытом доступе. РКН составил протокол по ч. 17 ст. 13.11. Позиция защиты: фотографии хранились как пользовательские аватары, система распознавания лиц в инфраструктуре не внедрялась, уведомление в реестре РКН биометрию не упоминает. Независимая экспертиза установила, что изображения в разрешении и формате хранения не позволяют использовать алгоритмы идентификации без дополнительной обработки. Результат: переквалификация на ч. 14 ст. 13.11 (более 100 000 субъектов), штраф — в диапазоне 10–15 млн ₽ вместо 15–20 млн ₽ с исключением оборотного риска по ч. 18.

Сценарий 2. Утечка данных системы СКУД с биометрическим считывателем. Производственное предприятие использовало систему контроля доступа с идентификацией по отпечаткам пальцев. При взломе внутренней сети утекла база шаблонов отпечатков. В уведомлении РКН биометрия была заявлена. Здесь позиция защиты слабее: факт биометрической обработки зафиксирован самим оператором. Стратегия смещается: применение ст. 4.1 КоАП (смягчающие обстоятельства), инвестиции в ИБ за последние 3 года (снижение штрафа по правилам примечания 3.4-2 к ст. 4.1 КоАП до 1/10 минимального размера), оперативность реагирования (уведомление РКН за 24 часа). Итог: штраф по ч. 17 сохраняется, но реальная сумма снижается в разы.

Сценарий 3. Утечка через подрядчика — аутсорсера обработки. Медицинская клиника передала обработку ПДн пациентов сторонней IT-компании по поручению. Утечка произошла на стороне подрядчика; в составе утекших данных — фотографии из медицинских карт. Оператор (клиника) получил протокол по ч. 17. Позиция: ответственность подрядчика не снимает ответственность оператора (принцип ВС РФ о ответственности за обработчика), однако наличие договора поручения, актуальных инструкций безопасности и периодических проверок подрядчика — смягчающие обстоятельства по ст. 4.1 КоАП. Параллельно — предъявление требований к подрядчику о возмещении убытков.

Если у вас есть СКУД с биометрией, медицинская МИС с фотографиями пациентов или call-центр с голосовыми записями — проверьте, как они квалифицированы в уведомлении РКН. Ошибка в реестре стоит 15–20 млн ₽ по ч. 17 ст. 13.11.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. В Северо-Западном федеральном округе (осень 2025 года) торговая сеть получила протокол по ч. 17 ст. 13.11 КоАП после утечки клиентской базы, включавшей фотографии из программы лояльности. Юристы оператора представили техническую документацию, подтверждающую, что изображения хранились как вложения без подключения к какой-либо системе распознавания лиц. Независимый эксперт дал заключение об отсутствии у утекших файлов идентификационной функции. Арбитражный суд переквалифицировал нарушение с ч. 17 на ч. 14 ст. 13.11; оборотный риск по ч. 18 был исключён. Снижение потенциального штрафа составило несколько миллионов рублей. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. В Приволжском федеральном округе (начало 2026 года) промышленное предприятие с биометрической системой СКУД уведомило РКН об утечке шаблонов отпечатков в течение 22 часов с момента обнаружения инцидента. Отчёт о расследовании был представлен через 68 часов. Оператор документально подтвердил инвестиции в информационную безопасность за 3 предшествующих года в размере, превышающем 0,1% совокупной выручки. По итогу применения примечания 3.4-2 к ст. 4.1 КоАП штраф был снижен до 1/10 минимального размера, предусмотренного ч. 17. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Что подготовить CEO до получения протокола

  • Проверить уведомление в реестре РКН: включена ли биометрия в заявленные категории ПДн — если нет, зафиксировать это письменно.
  • Получить техническую документацию ИСПДн: какие системы обрабатывают изображения, голос или иные физиологические данные и используется ли функция идентификации.
  • Собрать финансовые документы об инвестициях в ИБ за 3 последних года для возможного применения примечания 3.4-2 ст. 4.1 КоАП.
  • Убедиться, что договоры с подрядчиками-обработчиками содержат инструкции по безопасности и условие ответственности за нарушение.
  • Проверить, не подпадает ли деятельность под ст. 13.11.3 КоАП (ЕБС) вместо ч. 17 — разница в штрафе принципиальная.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30 мая 2025 года действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 9. За утечку биометрических ПДн введена отдельная ч. 17 со штрафом 15–20 млн ₽ для юрлица. За повторную утечку биометрии — оборотный штраф по ч. 18: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. За «обычную» утечку от 100 000 субъектов — ч. 14: 10–15 млн ₽. Дела с 28 декабря 2025 года рассматривают мировые судьи (ФЗ-508 от 28.12.2025).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 (за повторную утечку «обычных» ПДн) и ч. 18 (за повторную утечку биометрии) рассчитывается от совокупной выручки оператора за предшествующий календарный год. Нижняя граница — 20 млн ₽ вне зависимости от размера выручки. Верхняя — 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется. Повторность определяется как совершение аналогичного нарушения лицом, уже привлекавшимся по ч. 12–15, 16–18 ст. 13.11.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ — нижняя граница оборотного штрафа по ч. 15 и ч. 18 ст. 13.11 КоАП. Он применяется, когда расчётная сумма 1–3% выручки оказывается ниже этого порога. Например, при годовой выручке 500 млн ₽ и ставке 1% расчётный штраф составит 5 млн ₽, но фактически будет назначен минимум — 20 млн ₽. Исключение: при соблюдении условий примечания 3.4-2 ст. 4.1 КоАП (инвестиции в ИБ ≥ 0,1% выручки за 3 года) штраф снижается до 1/10 минимального, но не менее 15 млн ₽.

4. Можно ли заменить штраф по ч. 17 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП доступна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда. Однако к оборотным составам — ч. 15 и ч. 18 ст. 13.11 — ст. 4.1.1 не применяется. К ч. 17 (не повторная биометрическая утечка) замена теоретически возможна для микропредприятия, если иные условия соблюдены. На практике суды применяют её крайне осторожно по делам с биометрией из-за повышенной общественной опасности состава.

5. Какая подсудность дел после ФЗ-508?

ФЗ-508 от 28 декабря 2025 года вернул рассмотрение дел по ст. 13.11 КоАП мировым судьям. С 30 мая по 27 декабря 2025 года дела рассматривали арбитражные суды. С 28 декабря 2025 года — снова мировые судьи по месту совершения нарушения или месту нахождения оператора. Это влияет на процессуальную стратегию: мировые суды имеют меньший опыт с корпоративными делами по ст. 13.11, что создаёт как риски, так и возможности для грамотной защиты.

Итог

Квалификация утечки как биометрической по ч. 17 ст. 13.11 КоАП не автоматична — она требует от РКН доказательства идентификационной функции утекших данных. Оператор, получивший протокол по ч. 17, имеет процессуальные инструменты: переквалификация на ч. 12–14, применение ст. 13.11.3 КоАП при работе с ЕБС, снижение штрафа по ст. 4.1 КоАП при подтверждённых инвестициях в ИБ. Каждый из этих инструментов требует документальной базы, собранной до первого заседания.

Практика DATUM включает сопровождение дел по ч. 16–18 ст. 13.11 КоАП, оспаривание биометрической квалификации и применение механизмов снижения оборотного штрафа. Подход — правовая позиция до составления протокола или в течение первых 48 часов после его получения.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.