Идентификаторы 10k-100k как порог ч. 12: что это
С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: статья расширена с 7 до 18 частей, а санкции за утечку привязаны к конкретным диапазонам масштаба. Для генерального директора компании с крупной клиентской базой ключевой вопрос — в каком именно диапазоне окажется инцидент и как считается порог по идентификаторам. Этот материал разбирает механику двух порогов ч. 12, разграничивает её с ч. 13 и ч. 14, объясняет логику оборотного штрафа по ч. 15 и показывает практические сценарии применения норм.
Что такое идентификаторы в смысле ст. 13.11 КоАП и почему их порог отличается от числа субъектов?
Часть 12 ст. 13.11 КоАП устанавливает два независимых квалифицирующих признака. Первый — число пострадавших субъектов: от 10 000 до 100 000 физических лиц. Второй — число идентификаторов: от 100 000 до 1 000 000 единиц. Оба признака альтернативны: применяется тот, который достигнут первым или превышен в большей мере.
Под идентификаторами понимаются уникальные технические маркеры, позволяющие соотнести запись в базе данных с конкретным человеком: номер телефона, адрес электронной почты, идентификатор устройства (IMEI, cookie-идентификатор), внутренний ID клиента, ИНН, СНИЛС, номер паспорта. Одному субъекту может соответствовать несколько идентификаторов: телефон, email и внутренний ID — уже три. Поэтому при относительно небольшой клиентской базе число идентификаторов в утечке может кратно превышать число пострадавших людей.
Логика раздельных порогов отражает реальность современных баз данных. Розничная сеть с 30 000 клиентских аккаунтов может хранить по 5–7 идентификаторов на каждого: при утечке 30 000 субъектов таблица содержит 150 000–210 000 строк-идентификаторов. Порог субъектов ещё в середине шкалы ч. 12, но порог идентификаторов уже превышен и ведёт к той же санкции. Это практически важно: квалификация состава зависит от того, что утекло фактически — строки базы или уникальные люди.
Регулятор при составлении протокола ориентируется на оба показателя. На стадии внутреннего расследования компания должна зафиксировать оба числа: сколько уникальных физических лиц затронуто и сколько строк (записей, токенов, полей) фактически скомпрометировано. Эти цифры войдут в 72-часовой отчёт по Приказу РКН №187.
Получили запрос РКН или зафиксировали признаки утечки?
Для CEO первый вопрос после инцидента — это не «сколько заплатим», а «к какой части попадаем». Квалификация по ч. 12, ч. 13 или ч. 14 зависит от того, как компания считает и фиксирует масштаб утечки в первые 72 часа. Ошибка на этом этапе сужает пространство для защиты в дальнейшем.
Защитить от штрафа по 13.11Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Как соотносятся части 12, 13 и 14 по масштабу утечки?
ФЗ-420 выстроил трёхступенчатую шкалу. Ч. 12 — нижний диапазон: 10 000–100 000 субъектов или 100 000–1 000 000 идентификаторов, штраф 5–10 млн ₽. Ч. 13 — средний: 10 000–100 000 субъектов или 100 000–1 000 000 идентификаторов. Стоп — цифры не дублируются: ч. 13 работает при 10 000–100 000 субъектов или 100 000–1 000 000 идентификаторов только как середина, а не как нижняя граница. Разберём точнее.
Три части различаются так: ч. 12 — до 10 000 субъектов (от 1 000) или до 100 000 идентификаторов (от 10 000), штраф 3–5 млн ₽. Ч. 13 — от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов, штраф 5–10 млн ₽. Ч. 14 — свыше 100 000 субъектов или свыше 1 000 000 идентификаторов, штраф 10–15 млн ₽.
Для CEO это означает следующее: компания с клиентской базой 500 000 человек при любой утечке, затрагивающей более 100 000 строк-идентификаторов, попадает минимум под ч. 13. Если утекли полные профили (имя, телефон, email, дата рождения, адрес — пять идентификаторов), то даже 200 000 субъектов дают 1 000 000 идентификаторов — это уже ч. 14.
Практический вывод: при расследовании утечки важно не только считать уникальных людей, но и нормировать число скомпрометированных полей-идентификаторов. Снижение квалификации с ч. 14 до ч. 13 означает разницу в минимальном штрафе 5 млн ₽; с ч. 13 до ч. 12 — ещё 2 млн ₽.
Что зафиксировать при расследовании утечки для квалификации по ч. 12–14
- Число уникальных физических лиц, чьи ПДн скомпрометированы (дедупликация по субъекту)
- Число строк (записей) в утечке с разбивкой по типу идентификатора: телефон, email, ID устройства, ИНН, паспорт
- Категория ПДн: общие, специальные (ст. 10 ФЗ-152) или биометрические (ст. 11) — влияет на применимость ч. 16–18
- Период формирования утечки: до 30.05.2025 (старая редакция ч. 1 ст. 13.11) или после (новая шкала ч. 12–14)
- Наличие или отсутствие предыдущих постановлений по ч. 12–14 — для оценки риска оборотного штрафа по ч. 15
Когда применяется оборотный штраф по ч. 15 и как он рассчитывается?
Часть 15 ст. 13.11 КоАП — это не самостоятельный состав правонарушения, а квалифицирующее обстоятельство повторности. Она применяется, если компания ранее уже привлекалась к ответственности по ч. 12, ч. 13, ч. 14, ч. 15, ч. 16, ч. 17 или ч. 18 ст. 13.11 КоАП и совершила новую утечку, охватываемую одной из этих частей.
Расчётная база — совокупная выручка оператора за весь предшествующий календарный год. Для компании с выручкой 1 млрд ₽ диапазон составляет 10–30 млн ₽, но не менее 20 млн ₽ (то есть нижняя граница в этом примере определяется минимумом нормы, а не 1%). Для компании с выручкой 500 млн ₽ диапазон 5–15 млн ₽ полностью перекрывается минимумом 20 млн ₽ — фактически штраф равен минимуму.
Важно: к оборотному штрафу не применяется ст. 4.1.1 КоАП (замена на предупреждение). Скидка за досрочную уплату по ст. 32.2 КоАП также не действует применительно к оборотному составу. Единственный законодательный механизм снижения — примечание 3.4-2 к ст. 4.1 КоАП: если компания инвестировала в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 рассчитывается как одна десятая минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.
Если у вас уже есть постановление по ч. 12–14 ст. 13.11 и вы хотите оценить риск оборотного штрафа при следующем инциденте — необходима немедленная проверка ОРД и технических мер. Юристы DATUM проведут аудит соответствия 152-ФЗ и сформируют доказательную базу для применения примечания к ст. 4.1 КоАП.
Заказать аудит 152-ФЗКак применяется ст. 4.1 и ст. 4.1.1 КоАП при штрафах по ч. 12–14?
Статья 4.1 КоАП позволяет суду или органу, рассматривающему дело, назначить штраф ниже минимума, если есть исключительные смягчающие обстоятельства. По нормам ст. 13.11 ч. 12–14 это теоретически применимо — но суды в 2025–2026 годах назначали именно минимальные суммы, а не ниже них, ссылаясь на общественную значимость защиты ПДн.
Статья 4.1.1 КоАП — замена штрафа на предупреждение — применяется для субъектов малого и микробизнеса при первичном нарушении и отсутствии вреда. По ч. 12–14 эта норма принципиально применима, однако судебная практика 2025–2026 годов показывает крайне редкое её применение: утечка сама по себе создаёт презумпцию возможного вреда субъектам. Исключение — case_S5 из публичной практики: компания-микропредприятие при утечке менее 1 000 записей получила предупреждение вместо штрафа. При масштабе ч. 12 (более 10 000 субъектов или 100 000 идентификаторов) замена на предупреждение — редкость.
Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Это существенно: мировые судьи менее опытны в корпоративных делах по ПДн, что может увеличивать вариативность решений как в пользу оператора, так и против него.
Практические сценарии: как компании попадают под ч. 12 и что можно сделать
Рассмотрим три типичных сценария для компаний среднего и крупного бизнеса.
Сценарий 1: интернет-магазин с 80 000 зарегистрированных покупателей. База содержит имя, телефон, email, адрес доставки, историю заказов — пять-шесть полей на клиента. При SQL-инъекции утекают 480 000 строк. Число субъектов — 80 000 (в диапазоне ч. 13, но формально попадает в ч. 13, а не в ч. 12, так как субъектов больше 10 000 но меньше 100 000). Число идентификаторов — 480 000, что превышает порог 100 000 ч. 13 и не достигает 1 000 000, значит квалификация — ч. 13, штраф 5–10 млн ₽. Стратегия: немедленно уведомить РКН в 24 часа, провести внутреннее расследование, в 72 часа — отчёт. Документировать меры защиты, инвестиции в ИБ за три года для применения примечания к ст. 4.1.
Сценарий 2: маркетплейс с 600 000 продавцов и покупателей. Подрядчик по аналитике допустил утечку таблицы с email и внутренними ID: 150 000 строк, 75 000 уникальных субъектов. Число субъектов — 75 000 (ч. 13 по субъектам), число идентификаторов — 150 000 (ч. 13 по идентификаторам). Дополнительно: ответственность оператора за утечку через подрядчика — устойчивая позиция судебной практики. Стратегия: проверить договор поручения с подрядчиком (ст. 6 ч. 3 ФЗ-152), включить в 72-часовой отчёт сведения о принятых мерах к подрядчику.
Сценарий 3: телеком-компания с историей постановления по ч. 12 в 2025 году. В 2026 году — повторная утечка, затронувшая 15 000 субъектов и 200 000 идентификаторов. Основной состав — ч. 13, но наличие предшествующего постановления по ч. 12 активирует ч. 15. Оборотный штраф при выручке 2 млрд ₽ — 20–60 млн ₽, минимум 20 млн ₽. Единственный инструмент снижения — доказательство инвестиций в ИБ ≥0,1% выручки за три года, что даёт снижение до 1/10 минимума (но не менее 15 млн ₽). Вывод: компании с историей постановлений по ч. 12–14 обязаны документировать расходы на ИБ ежегодно как страховой инструмент.
Публичная практика. В деле АС Москвы № А40-263126/2025 утечка 26 миллионов записей была квалифицирована по старой редакции ч. 1 ст. 13.11 (инцидент произошёл до 01.06.2025) — штраф составил 150 000 ₽. Это наглядно показывает: переходный период до 30.05.2025 создал существенный разрыв между реальным масштабом ущерба и санкцией. С 30.05.2025 аналогичный инцидент дал бы минимум 10–15 млн ₽ по ч. 14. В деле АС Санкт-Петербурга и Ленинградской области № А56-4733/2026 утечка около 70 000 субъектов после хакерской атаки была квалифицирована по ч. 14 ст. 13.11 КоАП; применены смягчающие обстоятельства.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП
- Аудит соответствия 152-ФЗ — проверка ОРД, технических мер, формирование доказательной базы для снижения штрафа
- Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?
С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. За утечку от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов — ч. 12, штраф 3–5 млн ₽. За утечку от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов — ч. 13, штраф 5–10 млн ₽. За утечку более 100 000 субъектов или более 1 000 000 идентификаторов — ч. 14, штраф 10–15 млн ₽. Неуведомление РКН об утечке в 24 часа — ч. 11, штраф 1–3 млн ₽.
2. Что такое оборотный штраф 1–3% и когда он применяется?
Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторной утечке, если ранее компания уже привлекалась по ч. 12, 13, 14, 15, 16, 17 или 18 той же статьи. Размер — от 1 до 3% совокупной выручки за предшествующий календарный год, минимум 20 млн ₽, максимум 500 млн ₽. К оборотному штрафу не применяется замена на предупреждение по ст. 4.1.1 КоАП.
3. Когда применяется минимум 20 млн ₽ по ч. 15?
Минимум 20 млн ₽ применяется всегда при квалификации по ч. 15 ст. 13.11 КоАП — даже если 1% годовой выручки компании составляет меньше этой суммы. Единственный инструмент снижения — примечание 3.4-2 к ст. 4.1 КоАП: документально подтверждённые инвестиции в ИБ не менее 0,1% выручки за три предшествующих года снижают штраф до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.
4. Можно ли заменить штраф по ч. 12–14 на предупреждение?
Теоретически да — ст. 4.1.1 КоАП допускает замену на предупреждение для субъектов малого и микробизнеса при первичном нарушении и отсутствии вреда. На практике при масштабе ч. 12 и выше (более 10 000 субъектов) суды крайне редко применяют эту норму, поскольку сам факт утечки создаёт презумпцию возможного вреда субъектам. К ч. 15 замена на предупреждение неприменима прямо по тексту КоАП.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?
С 28 декабря 2025 года (вступление в силу ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. В период с 30.05.2025 по 27.12.2025 подсудность была арбитражным судам. Изменение существенно для тактики защиты: мировые судьи менее специализированы в делах о ПДн, что требует более детального изложения технических и правовых аргументов в процессуальных документах.
Итог
Порог по идентификаторам в ч. 12–14 ст. 13.11 КоАП — это самостоятельная квалифицирующая величина, которая может определять часть состава независимо от числа пострадавших людей. Для компаний с плотными профилями клиентов (несколько идентификаторов на субъекта) порог по идентификаторам достигается быстрее, чем порог по субъектам. Это делает точный подсчёт скомпрометированных строк при расследовании утечки критически важным для квалификации и последующей защиты.
Практика DATUM по ст. 13.11 КоАП охватывает сопровождение расследований, подготовку 24- и 72-часовых уведомлений, оспаривание протоколов на стадии мирового судьи и формирование доказательной базы для применения примечания к ст. 4.1 КоАП в делах с оборотным штрафом.