аналитика 19 февраля 2028 По состоянию на 19 февраля 2028

Доказательная база утечки именно биометрии

Утечка биометрических персональных данных — отдельный состав правонарушения с максимальным штрафом 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП. Повторность переводит дело в оборотный штраф по ч. 18: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Доказать, что утекли именно биометрические данные, а не общие ПДн, — обязанность регулятора. Но и оператор вправе оспаривать квалификацию, представляя техническую экспертизу, архитектуру системы и состав базы. Качество доказательной базы прямо определяет, по какой части статьи выпишут протокол и будет ли применён оборотный состав.

→ Если компания получила запрос РКН или уже идёт проверка по факту утечки биометрии — каждый час формирует или разрушает доказательную позицию.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: для биометрических данных введены самостоятельные составы — ч. 16 и ч. 17, а повторное нарушение влечёт оборотный штраф по ч. 18. Для генерального директора это не абстрактный риск: компания с выручкой 1 млрд ₽ при повторной утечке биометрии заплатит минимум 20 млн ₽. Настоящий материал разбирает, как формируется доказательная база по таким делам, какие аргументы работают в пользу оператора и как неправильная квалификация данных становится главной ошибкой защиты.

Что считается биометрическими персональными данными и почему это важно для квалификации?

Статья 11 ФЗ-152 определяет биометрические персональные данные как сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Типичные примеры — изображение лица, голос, отпечатки пальцев, рисунок радужной оболочки, ДНК. Но не каждая фотография автоматически является биометрическим ПДн в смысле ст. 11: если изображение не обрабатывается с целью идентификации личности, Роскомнадзор и суды квалифицируют его как обычные ПДн.

Ключевое разграничение для доказательной базы: биометрия — это данные, которые оператор целенаправленно использует для распознавания или верификации конкретного человека. Если утечка затронула базу с фотографиями в личных кабинетах, где изображения хранились без подключения к системам распознавания, защита строится на аргументе об отсутствии признака «установления личности». Роскомнадзор обязан доказать, что оператор фактически обрабатывал данные именно как биометрические — то есть применял соответствующие технологии или методы.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только при наличии письменного согласия субъекта, если иное прямо не установлено законом. Отсутствие такого согласия само по себе образует нарушение, независимо от факта утечки.»

Этот нюанс критически важен для CEO: один и тот же массив данных может быть квалифицирован либо по ч. 12–14 ст. 13.11 (утечка общих ПДн, штраф 3–15 млн ₽), либо по ч. 17 (утечка биометрии, 15–20 млн ₽). Разница — в доказанном функциональном назначении данных в информационной системе на момент инцидента.

Вас квалифицировали по ч. 17 ст. 13.11 — насколько это обоснованно?

Если регулятор вменяет утечку именно биометрии, первый шаг — проверить, действительно ли данные в вашей системе соответствуют признакам ст. 11 ФЗ-152. Это технико-правовой анализ: архитектура ИС, состав и цель обработки, наличие функции идентификации. Ошибка в квалификации при пассивной позиции оператора означает штраф 15–20 млн ₽ вместо возможных 3–5 млн ₽. Срок на подачу возражений на протокол — 10 рабочих дней с момента вручения.

Защитить от штрафа по ст. 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как РКН доказывает факт утечки биометрии: стандарт доказывания и типичные ошибки регулятора

Роскомнадзор возбуждает дело на основании: уведомления оператора об инциденте по ч. 3.1 ст. 21 ФЗ-152 (Приказ РКН №187), публичного появления данных в открытом доступе или даркнете, сигнала от субъектов ПДн или правоохранительных органов. Доказательная база регулятора, как правило, включает распечатку утечки с образцами данных, технический анализ происхождения массива и запросы к оператору о составе обрабатываемых данных.

Типичные уязвимости в позиции РКН: регулятор нередко ограничивается визуальным анализом утечки («на скриншотах видны фотографии»), не исследуя функциональное назначение данных в системе оператора. Если в материалах дела отсутствует заключение о том, что система использовала эти данные именно для биометрической идентификации, у оператора есть основание для снижения квалификации.

Второй уязвимый момент — доказывание причинно-следственной связи между действиями оператора и фактом утечки. В случае атаки через подрядчика (уязвимость в стороннем ПО или сервисе) оператор несёт ответственность как лицо, поручившее обработку, но это не снимает вопроса о виновности при выборе надлежащего контрагента.

Что входит в доказательную базу оператора при оспаривании квалификации по ч. 17 ст. 13.11?

Защитная документация формируется по нескольким направлениям. Первое — техническая архитектура системы на момент инцидента: схема информационной системы, подтверждающая или опровергающая наличие модуля биометрической идентификации, журналы обращений к данным, конфигурация БД с указанием типов полей. Если фотографии хранились в формате «аватар пользователя» без привязки к функции распознавания — это документируется технической справкой.

Второе направление — правовое описание цели обработки из уведомления в реестре РКН (ст. 22 ФЗ-152). Если в уведомлении не заявлялась обработка биометрических ПДн — это аргумент, хотя и не абсолютный: регулятор вправе доказывать фактическое несоответствие заявленному составу.

Третье — наличие или отсутствие письменных согласий субъектов на обработку биометрии по ст. 11 ФЗ-152. Если согласий нет, это усиливает позицию РКН (нарушение порядка обработки), но не автоматически подтверждает биометрический характер данных для целей ч. 17.

«Ч. 17 ст. 13.11 КоАП (ред. с 30.05.2025) — утечка биометрических ПДн влечёт для юридического лица штраф 15 000 000 – 20 000 000 ₽. Повторность — оборотный состав по ч. 18: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.»

Что подготовить для защиты при квалификации по ч. 17 ст. 13.11

Техническая документация ИС на момент инцидента — схема системы, состав полей БД, функциональные модули с описанием цели каждого
Выписка из реестра операторов ПДн (pd.rkn.gov.ru) с заявленными категориями обрабатываемых данных
Журналы и логи доступа к базе — для доказывания или опровержения функции идентификации
Письменные согласия субъектов (или их отсутствие) с указанием перечня ПДн и цели — по ст. 9, 11 ФЗ-152
Политика обработки ПДн и регламент обработки биометрии (при наличии) — актуальная редакция на дату инцидента

Как применяются ст. 4.1 и ст. 4.1.1 КоАП при оспаривании штрафа за утечку биометрии?

Статья 4.1 КоАП содержит общее правило об учёте смягчающих обстоятельств при назначении наказания. Применительно к оборотным составам (ч. 18 ст. 13.11) действует специальная норма примечания 3.4-2 к ст. 4.1 КоАП, введённая ФЗ-420: если оператор в течение трёх предшествующих лет инвестировал в информационную безопасность не менее 0,1% от совокупной годовой выручки, штраф по оборотному составу рассчитывается как 1/10 от минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Для компании с выручкой 1 млрд ₽ это снижение с 20 млн ₽ до 15 млн ₽ — значимо, но принципиально меняет ситуацию только при больших выручках.

Статья 4.1.1 КоАП позволяет заменить штраф предупреждением для микропредприятий и субъектов МСП при первичном нарушении и отсутствии имущественного вреда. Применительно к ч. 17 ст. 13.11 (утечка биометрии) эта норма теоретически применима при первичности, но суды подходят к замене осторожно: утечка биометрии расценивается как нарушение с повышенным общественным значением. К ч. 18 (оборотный) ст. 4.1.1 не применяется.

Для генерального директора ключевой практический вывод: документирование расходов на ИБ за последние три года — это не просто отчётность, это прямой инструмент снижения штрафа при применении оборотного состава.

Если против компании уже составлен протокол по ч. 17 или ч. 18 ст. 13.11 — срок подачи возражений ограничен. Юристы DATUM проведут технико-правовой анализ квалификации и подготовят позицию для мирового суда или арбитражного суда.

Защитить от штрафа по ст. 13.11

Три типовых сценария и позиция оператора в каждом

Сценарий 1. Утечка из СКУД с биометрической идентификацией. Компания эксплуатирует систему контроля доступа с распознаванием лиц. Хакерская атака компрометирует базу с шаблонами лиц сотрудников. РКН квалифицирует по ч. 17 ст. 13.11 — 15–20 млн ₽. Доказательства в пользу регулятора очевидны: система явно обрабатывает данные для идентификации. Позиция защиты: проверить наличие письменных согласий по ст. 11 ФЗ-152, документировать инвестиции в ИБ за три года для применения примечания 3.4-2 ст. 4.1 КоАП, проверить соблюдение срока уведомления РКН за 24 часа (ч. 3.1 ст. 21 ФЗ-152) — нарушение добавит ч. 11 ст. 13.11 с штрафом 1–3 млн ₽.

Сценарий 2. Утечка из CRM с фотографиями клиентов. Интернет-магазин хранит фотографии в личных кабинетах для визуальной идентификации менеджером — без автоматического распознавания. После атаки фотографии появляются в открытом доступе. РКН пытается квалифицировать по ч. 17. Защитная позиция: технически доказать, что система не содержала функции автоматической идентификации, фотографии не обрабатывались как биометрические данные по смыслу ст. 11 ФЗ-152. Альтернативная квалификация — ч. 12–14 ст. 13.11 в зависимости от числа субъектов (3–15 млн ₽). Разница с ч. 17 — до 5 млн ₽ и отсутствие биометрического состава при повторности.

Сценарий 3. Повторная утечка после первого протокола. Компания уже привлекалась по ч. 17 ст. 13.11, год спустя — новый инцидент с биометрией. Применяется ч. 18 (оборотный). При выручке 500 млн ₽ минимальный штраф — 20 млн ₽. Единственный инструмент снижения — примечание 3.4-2 ст. 4.1 КоАП (инвестиции ≥ 0,1% выручки за три года): снижение до 15 млн ₽. Стратегия: параллельно оспаривать правомерность первоначального привлечения по ч. 17 — если первое постановление незаконно, повторность отпадает.

Как это выглядит на практике

Кейс 1. В компании розничной торговли (Центральный ФО, лето 2025) произошла утечка базы данных из мобильного приложения. РКН квалифицировал нарушение по ч. 17 ст. 13.11, указав на наличие фотографий пользователей. Юристы оператора представили техническую документацию: функция распознавания лиц была отключена ещё за восемь месяцев до инцидента, фотографии хранились исключительно для отображения в профиле. Суд принял этот аргумент и переквалифицировал дело с ч. 17 на ч. 13 ст. 13.11. Штраф снизился с верхней границы 20 млн ₽ до диапазона 5–10 млн ₽, применено нижнее значение с учётом смягчающих по ст. 4.1 КоАП. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. Медицинская организация (Приволжский ФО, осень 2025) использовала систему биометрической идентификации пациентов на входе. После кибератаки утекла база шаблонов лиц около 12 000 субъектов. РКН составил протокол по ч. 17 ст. 13.11. Оператор уведомил РКН за 20 часов (в пределах 24-часового окна по ч. 3.1 ст. 21 ФЗ-152), представил отчёт о расследовании за 68 часов. Документация инвестиций в ИБ за три года подтвердила порог 0,1% выручки. Суд применил примечание 3.4-2 ст. 4.1 КоАП — штраф снижен до 15 млн ₽. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, включая оборотные составы ч. 15, 18
Аудит соответствия 152-ФЗ — проверка классификации данных по категориям, включая биометрические, оценка рисков ч. 16–18
Сопровождение проверок РКН — представление интересов при внеплановой проверке по факту утечки биометрии

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. Для биометрии предусмотрены ч. 16 (нарушение порядка обработки), ч. 17 (утечка биометрических ПДн, 15–20 млн ₽ для юрлица) и ч. 18 (повторная утечка биометрии — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽). Для утечек общих ПДн — ч. 12–14 в зависимости от числа субъектов: от 1 000 субъектов — 3–5 млн ₽, от 10 000 — 5–10 млн ₽, от 100 000 — 10–15 млн ₽.

2. Что такое оборотный штраф 1–3% и к чему он применяется?

Оборотный штраф по ч. 15 ст. 13.11 применяется при повторной утечке общих ПДн (после первого привлечения по ч. 12–14), по ч. 18 — при повторной утечке биометрических ПДн. Базой расчёта служит совокупная выручка оператора за предшествующий календарный год по данным бухгалтерской отчётности. Минимальный порог — 20 млн ₽, максимальный — 500 млн ₽. При подтверждённых инвестициях в ИБ ≥ 0,1% выручки за три года применяется льгота по примечанию 3.4-2 ст. 4.1 КоАП: штраф пересчитывается как 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

3. Когда применяется минимум 20 млн ₽ по оборотному составу?

Минимальный порог 20 млн ₽ применяется, когда расчётная сумма 1–3% выручки оказывается ниже этой величины — то есть при годовой выручке менее 667 млн ₽ (для ставки 3%). Если оператор подтвердил инвестиции в ИБ, действует пониженная льготная база: минимум снижается до 15 млн ₽ при выручке менее 500 млн ₽ на ставке 3%. Максимум 500 млн ₽ ограничивает штраф при выручке свыше ~16,7 млрд ₽.

4. Можно ли заменить штраф за утечку биометрии на предупреждение?

Теоретически ст. 4.1.1 КоАП допускает замену штрафа предупреждением для микропредприятий и субъектов МСП при первичном нарушении и отсутствии имущественного вреда. Однако к ч. 17 ст. 13.11 (утечка биометрии) суды применяют эту норму крайне осторожно в связи с повышенной общественной значимостью категории данных. К ч. 18 (оборотный состав) ст. 4.1.1 не применяется в принципе. Реальный инструмент снижения при оборотном составе — только примечание 3.4-2 ст. 4.1 КоАП (инвестиции в ИБ).

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи. В период с 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. ФЗ-508 от 28.12.2025 вернул подсудность мировым. Это практически важно: мировые судьи рассматривают дела в упрощённом порядке, процессуальные возможности для представления доказательств и технических экспертиз менее широки, чем в арбитраже. Для сложных дел с оспариванием квалификации биометрических данных это означает необходимость тщательной досудебной подготовки позиции.

Итог

Доказательная база по утечке биометрии — это прежде всего технический вопрос: функциональное назначение данных в системе оператора на момент инцидента определяет, будет ли применена ч. 17 ст. 13.11 (15–20 млн ₽) или более мягкие составы ч. 12–14. Пассивная позиция оператора — когда компания принимает квалификацию регулятора без возражений — означает автоматическое применение максимального состава.

Практика DATUM по защите операторов ПДн от штрафов по ст. 13.11 КоАП включает дела с оспариванием квалификации биометрических данных, применение примечания 3.4-2 ст. 4.1 КоАП при оборотных составах, а также сопровождение проверок РКН по фактам инцидентов с биометрией.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — обжалование протоколов и постановлений по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.

19 февраля 2028 года