аналитика 17 февраля 2028 По состоянию на 17 февраля 2028

Как определяют масштаб утечки 10k-100k

Масштаб утечки — число субъектов или идентификаторов — напрямую определяет размер штрафа: от 5 до 10 млн ₽ по ч. 13 ст. 13.11 КоАП в редакции с 30.05.2025.

Если скомпрометировано от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов, применяется именно этот диапазон. При повторности — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Если вы CEO и ваша компания столкнулась с инцидентом — ключевой вопрос первых часов: сколько субъектов затронуто и как это зафиксировать. → От этого зависит, какую норму ст. 13.11 применит суд.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей, три «пороговых» состава по масштабу утечки (ч. 12–14) и оборотный штраф при повторности (ч. 15). Для компании с выручкой 1 млрд ₽ попадание в ч. 13 означает штраф 5–10 млн ₽; при повторном нарушении — минимум 20 млн ₽ вне зависимости от выручки. В этой статье — методология подсчёта масштаба, которую использует Роскомнадзор и суды, типичные ошибки операторов и стратегия защиты.

Что считается субъектом и идентификатором по ст. 13.11 КоАП?

Ч. 12–14 ст. 13.11 КоАП оперируют двумя счётными единицами: субъектами персональных данных и идентификаторами. Субъект — физическое лицо, чьи персональные данные скомпрометированы. Идентификатор — уникальная цифровая или буквенно-цифровая строка, позволяющая отличить одну запись от другой: номер телефона, адрес электронной почты, номер банковской карты, СНИЛС, ИНН.

Ключевое разграничение: один субъект может дать несколько идентификаторов. Если в утечке оказалось 50 000 строк с телефонами и 80 000 строк с email-адресами, а уникальных физических лиц — 40 000, то по субъектам дело попадает в ч. 13 (10 000–100 000), а по идентификаторам — тоже в ч. 13 (100 000–1 000 000). Если бы уникальных лиц было менее 10 000, но идентификаторов более 100 000 — состав тот же. Достаточно превысить любой из двух порогов.

«Ч. 13 ст. 13.11 КоАП (ред. с 30.05.2025) — штраф для юрлица 5 000 000 – 10 000 000 ₽ при утечке от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов. Ч. 12 — 3 000 000 – 5 000 000 ₽ при утечке от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов.»

На практике РКН считает субъектов по уникальным физическим лицам в скомпрометированном файле или базе данных. Если одна запись содержит ФИО + телефон + email + дата рождения — это один субъект и три-четыре идентификатора. Задвоенные строки с одинаковым субъектом не суммируются при подсчёте субъектов, но суммируются при подсчёте идентификаторов.

Как Роскомнадзор устанавливает число субъектов при проверке?

При поступлении первичного уведомления об инциденте по ч. 3.1 ст. 21 ФЗ-152 РКН получает предварительную оценку оператора. В течение 24 часов оператор обязан сообщить: какие категории ПДн затронуты, предварительное число субъектов, дату и время обнаружения. Через 72 часа — отчёт с результатами внутреннего расследования, уже с уточнёнными цифрами.

Регулятор сопоставляет данные оператора с независимыми источниками: публикациями в даркнете, сведениями от НКЦКИ (Национального координационного центра по компьютерным инцидентам), обращениями субъектов. Если данные расходятся, РКН назначает внеплановую проверку. По её итогам составляется акт с собственным подсчётом числа субъектов — как правило, на основе выгрузки из скомпрометированной базы, предоставленной оператором, или образца данных, опубликованного злоумышленниками.

«Ст. 21 ч. 3.1 ФЗ-152 — при выявлении утечки оператор уведомляет РКН в течение 24 часов; через 72 часа представляет результаты внутреннего расследования. Порядок уведомления — Приказ РКН №187 от 14.11.2022.»

Суды принимают подсчёт РКН как доказательство, если он подтверждён актом проверки. Оспорить его можно, представив альтернативную выгрузку с дедупликацией — но для этого нужна собственная техническая экспертиза. Компании, не сохранившие логи на момент инцидента, лишены возможности оспорить цифры регулятора.

Получили запрос РКН после утечки — что делать первым?

Если CEO получил уведомление о внеплановой проверке или протокол по ст. 13.11 — цифры в документе РКН уже зафиксированы. Изменить их в суде можно только при наличии собственного технического расследования. У вас есть время до первого заседания — обычно 15–30 дней. Юристы DATUM оценят протокол, проверят методологию подсчёта субъектов и подготовят позицию для снижения штрафа или его замены по ст. 4.1.1 КоАП.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какова методология подсчёта при публичной утечке в даркнете?

Значительная часть утечек 2024–2025 годов стала известна не из уведомлений операторов, а из публикаций хакерских групп на специализированных форумах. В таких случаях РКН фиксирует факт утечки самостоятельно и запрашивает у оператора объяснения. Методология подсчёта субъектов в этом сценарии строится на трёх источниках.

Первый: образец данных, опубликованный злоумышленником. Как правило, это 1–5% от заявленного объёма базы. РКН анализирует структуру образца, определяет уникальные идентификаторы и экстраполирует на полный объём. Второй: заявленный хакером объём — число строк или записей. РКН не принимает его буквально, но использует как ориентир. Третий: собственные данные оператора из реестра субъектов, которые он обязан вести по ст. 18.1 ФЗ-152.

Для диапазона 10 000–100 000 субъектов критична точность дедупликации. Если в базе было 150 000 строк, но 60 000 — дубли одних и тех же субъектов, уникальных лиц может оказаться менее 100 000 — и состав сместится с ч. 14 (более 100 000) на ч. 13. Это разница в штрафе: 10–15 млн ₽ против 5–10 млн ₽.

Как снизить квалификацию с ч. 13 до ч. 12 или добиться минимального штрафа?

Снижение квалификации — первая линия защиты. Если РКН вменяет ч. 13, а оператор может доказать, что уникальных субъектов менее 10 000 (или идентификаторов менее 100 000), состав переходит в ч. 12: штраф 3–5 млн ₽ вместо 5–10 млн ₽. Доказательства — дедуплицированная выгрузка, заверенная IT-специалистом или независимым аудитором, с хэш-суммами файла.

Второй инструмент — применение минимального размера санкции. По ч. 13 минимум — 5 млн ₽. Суд вправе назначить штраф ниже минимума только в исключительных случаях по ч. 2.2 ст. 4.1 КоАП — при наличии смягчающих обстоятельств, несоразмерности последствиям и имущественному положению. На практике суды применяют эту норму осторожно: в деле РЭШ (АС Москвы, 2026) снижение произошло через переквалификацию по ч. 1 ст. 4.1.2 КоАП (статус микропредприятия), а не через исключительность.

«Ст. 4.1 КоАП, примечание 3.4-2: при инвестициях в ИБ не менее 0,1% совокупной выручки за 3 предшествующих года штраф по ч. 15 и ч. 18 ст. 13.11 — 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.»

Третий инструмент — ст. 4.1.1 КоАП: замена штрафа предупреждением для микропредприятий и субъектов МСП при отсутствии вреда и первичности нарушения. Важно: к ч. 15 и ч. 18 ст. 13.11 эта норма не применяется. Но при ч. 12 и ч. 13 при первичном нарушении — доступна. По данным практики, суды применяют ст. 4.1.1 в случаях, когда оператор самостоятельно уведомил РКН, принял меры к устранению последствий и не имел предшествующих нарушений по ст. 13.11.

Если протокол уже составлен — оценим методологию подсчёта субъектов и найдём основания для снижения квалификации. 15–30 дней до первого заседания — достаточно для подготовки позиции.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. Розничная компания (Центральный ФО, осень 2025) получила протокол по ч. 13 ст. 13.11 КоАП: РКН насчитал 87 000 уникальных субъектов по образцу из даркнета. CEO привлёк технических специалистов, которые провели дедупликацию по внутренней CRM и установили 8 400 уникальных лиц — остальное составляли технические дубли после миграции данных. Суд принял дедуплицированную выгрузку с хэш-суммой, переквалифицировал деяние на ч. 12, назначил штраф в нижней части диапазона. Экономия по сравнению с первоначальной квалификацией — в несколько миллионов рублей.

Кейс 2. По делу АС Москвы № А40-351064/2025 (РЭШ, 2026) утечка затронула более 100 000 субъектов — квалификация по ч. 14. Однако суд применил ч. 1 ст. 4.1.2 КоАП (статус организации, приравненной к микропредприятию для целей КоАП) и снизил штраф до 400 000 ₽. Этот прецедент показывает: статусные основания снижения работают независимо от масштаба утечки, но требуют документального подтверждения статуса.

Типовые сценарии для CEO: масштаб, квалификация, стратегия

Сценарий 1. Утечка обнаружена внутренней службой ИБ, данные не попали в открытый доступ. Оператор уведомляет РКН в течение 24 часов с предварительным числом субъектов. Если предварительная оценка — 15 000 субъектов, а уточнённая через 72 часа — 8 500, РКН может применить ч. 12 (3–5 млн ₽). Стратегия CEO: зафиксировать методологию подсчёта в отчёте по 72-часовому сроку, сохранить логи и выгрузку. Это снимает основания для более жёсткой квалификации регулятором.

Сценарий 2. Данные опубликованы в даркнете, хакер заявил 500 000 строк. РКН инициирует внеплановую проверку. Если компания не сохранила актуальный реестр субъектов на дату инцидента — оспорить цифры РКН почти невозможно. Вероятная квалификация: ч. 13 или ч. 14. При первичном нарушении — штраф 5–15 млн ₽, при наличии предыдущего дела по ч. 12–14 — оборотный штраф по ч. 15 (не менее 20 млн ₽). Стратегия: немедленно восстановить данные реестра из резервных копий, назначить технического эксперта для дедупликации.

Сценарий 3. Компания уже привлекалась по ч. 12 ст. 13.11 в 2025 году, новая утечка — 12 000 субъектов. Повторность автоматически переводит квалификацию в ч. 15 КоАП. Для компании с выручкой 800 млн ₽ это 8–24 млн ₽, но не менее 20 млн ₽. Инвестиции в ИБ за 3 предшествующих года на уровне ≥ 0,1% выручки позволяют применить ст. 4.1 КоАП (примечание 3.4-2): штраф — 1/10 минимума, т.е. 2 млн ₽, но не менее 15 млн ₽. Стратегия: собрать документальное подтверждение расходов на ИБ за 2022–2024 годы.

Что подготовить CEO после обнаружения утечки

Дедуплицированная выгрузка скомпрометированной базы с хэш-суммой файла и датой формирования
Реестр субъектов ПДн на дату инцидента — подтверждение числа уникальных лиц в системе
Логи SIEM или иных средств мониторинга за период инцидента — для установления точного времени события
Документы о расходах на ИБ за последние 3 года — для применения ст. 4.1 КоАП (снижение оборотного штрафа)
Первичное уведомление РКН по Приказу №187 с отметкой о направлении и временной меткой — не позднее 24 часов с момента обнаружения

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и ст. 4.1.1 КоАП
Сопровождение проверок РКН — подготовка к внеплановой проверке, представление интересов перед регулятором
Аудит соответствия 152-ФЗ — проверка системы учёта субъектов, логирования и документации по 38 параметрам

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 действует редакция ФЗ-420 от 30.11.2024: 18 частей статьи. За утечку от 1 000 до 10 000 субъектов — ч. 12, штраф для юрлица 3–5 млн ₽. От 10 000 до 100 000 субъектов — ч. 13, 5–10 млн ₽. Более 100 000 субъектов — ч. 14, 10–15 млн ₽. При повторности по ч. 12–14 применяется ч. 15: оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается от совокупной выручки компании за предшествующий календарный год. Для компании с выручкой 1 млрд ₽ это 10–30 млн ₽, но нижняя граница — не менее 20 млн ₽ независимо от выручки. Применяется только при повторности: если компания уже привлекалась по ч. 12, 13, 14, 15, 16, 17 или 18 той же статьи. При первой утечке этой нормы нет.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ — это нижняя граница оборотного штрафа по ч. 15 ст. 13.11 КоАП при повторной утечке. Он применяется, когда расчётный штраф (1–3% выручки) оказывается ниже этой суммы. Например, для компании с выручкой 200 млн ₽ расчёт даёт 2–6 млн ₽ — но штраф всё равно будет не менее 20 млн ₽. Исключение: при документально подтверждённых инвестициях в ИБ ≥ 0,1% выручки за 3 года минимум снижается до 15 млн ₽ по ст. 4.1 КоАП (примечание 3.4-2).

4. Можно ли заменить штраф на предупреждение?

Да, при соблюдении условий ст. 4.1.1 КоАП: компания является микропредприятием или субъектом МСП, нарушение совершено впервые, вред субъектам не причинён. Замена недоступна для оборотных составов (ч. 15 и ч. 18 ст. 13.11). На практике суды применяли её по ч. 12 и ч. 13 при первичных нарушениях, когда оператор самостоятельно уведомил РКН и устранил последствия. Прецедент 2026 года (law.ru) подтверждает: даже при хакерской атаке и утечке кадровых ПДн микропредприятие получило предупреждение, а не штраф.

5. Какая подсудность дел после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул дела по ст. 13.11 КоАП мировым судьям. С 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. С 28.12.2025 — снова мировые, за исключением случаев, когда дело уже было принято к производству арбитражем. Это означает иной порядок обжалования и иные процессуальные сроки. При получении постановления важно правильно определить суд апелляционной инстанции.

Итог

Квалификация по ч. 12, 13 или 14 ст. 13.11 КоАП зависит от двух счётных единиц: уникальных субъектов и идентификаторов. Достаточно превысить любой из двух порогов. Методология РКН строится на данных оператора, образцах из открытых источников и актах проверки — и может быть оспорена при наличии дедуплицированной выгрузки с хэш-суммой. Снижение квалификации на одну ступень ниже — разница в штрафе от 2 до 5 млн ₽; при повторности — вопрос применимости 20-миллионного минимума.

Практика DATUM по защите операторов от штрафов по ст. 13.11 КоАП охватывает дела с подсчётом субъектов, оспариванием актов РКН и применением ст. 4.1, ст. 4.1.1 КоАП. Подход — техническая аргументация в связке с правовой позицией.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (ред. ФЗ-420), ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.