аналитика 25 января 2028 По состоянию на 25 января 2028

Как считают число субъектов в утечке по ч. 12

Число субъектов — ключевой параметр, который разграничивает состав по ч. 12, ч. 13 и ч. 14 ст. 13.11 КоАП и определяет минимальный штраф от 3 до 15 млн ₽.

Закон не содержит единой методики подсчёта: РКН и суды применяют три конкурирующих подхода — по уникальным записям, по количеству идентификаторов, по числу пострадавших физических лиц. Ошибка в квалификации может удвоить штраф.

Если вы CEO и компания столкнулась с утечкой — вопрос методологии подсчёта субъектов стоит решать до составления протокола, а не в зале суда. →

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: три новых «утечечных» состава (ч. 12, 13, 14) привязаны к числу субъектов или идентификаторов. Именно от этого числа зависит, получит ли компания штраф в 3–5 млн ₽ или в 10–15 млн ₽, а при повторности — оборотный штраф по ч. 15 от 1 до 3% выручки, но не менее 20 млн ₽. Ни ФЗ-420, ни ФЗ-152 не устанавливают, как именно считать субъектов. В 2025–2026 годах суды выработали противоречивые подходы: в некоторых делах одна утечка квалифицировалась одновременно по ч. 12 и ч. 13 в зависимости от того, брать ли строки базы или уникальные физические лица.

Как ч. 12, 13 и 14 разграничивают диапазоны по числу субъектов?

Статья 13.11 КоАП в редакции с 30 мая 2025 года делит утечки на три категории. Ч. 12 охватывает утечку от 1 000 до 10 000 субъектов персональных данных или от 10 000 до 100 000 идентификаторов — штраф для юридического лица от 3 до 5 млн ₽. Ч. 13 применяется при утечке от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов — штраф 5–10 млн ₽. Ч. 14 — свыше 100 000 субъектов или свыше 1 000 000 идентификаторов — штраф 10–15 млн ₽.

«Ч. 12 ст. 13.11 КоАП (в ред. ФЗ-420, действует с 30.05.2025): утечка ПДн от 1 000 до 10 000 субъектов либо от 10 000 до 100 000 идентификаторов — штраф для юрлица от 3 000 000 до 5 000 000 ₽. Ч. 14: свыше 100 000 субъектов или свыше 1 000 000 идентификаторов — от 10 000 000 до 15 000 000 ₽.»

Законодатель намеренно ввёл два параллельных критерия — «субъекты» и «идентификаторы». Это означает, что даже при небольшом числе физических лиц состав более тяжкой части может быть вменён, если идентификаторов (номеров телефонов, адресов email, СНИЛС) в базе значительно больше. Именно этот дуализм создаёт основное поле для споров.

Что считается «субъектом» и что — «идентификатором» при квалификации утечки?

Ни ФЗ-152, ни КоАП не раскрывают содержание термина «идентификатор» применительно к ст. 13.11. Ст. 3 ФЗ-152 определяет субъекта персональных данных как физическое лицо, которому относятся обрабатываемые данные. Из этого следует, что субъект персональных данных — конкретное физическое лицо, тогда как идентификатор — отдельная запись, позволяющая это лицо идентифицировать: номер телефона, email, паспортные данные, ИНН.

На практике РКН в протоколах 2025 года использовал несколько методов подсчёта:

Метод строк базы данных — число записей в таблице, где каждая строка = одна «запись о субъекте» вне зависимости от уникальности физического лица. При этом один человек может фигурировать в нескольких строках.
Метод уникальных физических лиц — дедупликация по ключевому полю (ФИО + дата рождения или СНИЛС). Число субъектов оказывается ниже числа строк.
Метод идентификаторов — подсчёт уникальных значений отдельных полей (телефонов, email, паспортов). Используется как альтернативный порог в составе.

Суды в делах А40-351064/2025 (РЭШ) и А56-4733/2026 (ПКР Аналитика) применяли метод уникальных физических лиц при наличии дублирующих записей. Однако это не стало обязательным прецедентом: в другом деле арбитражный суд Центрального округа принял позицию РКН, который считал строки без дедупликации, признав протокол законным.

Вам предъявили протокол по ч. 12 или ч. 13 — и вы не согласны с числом субъектов?

Методология подсчёта в протоколе РКН почти всегда оспорима. Если метод не зафиксирован в протоколе или применён без дедупликации, у компании есть реальные основания снизить квалификацию с ч. 13 до ч. 12 или добиться замены штрафа по ст. 4.1.1 КоАП. Время на подготовку возражений ограничено — протокол вступает в законную силу через установленный процессуальный срок. Юристы DATUM специализируются на защите по ст. 13.11 КоАП с момента введения новых составов в мае 2025 года.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как суды и РКН применяли методологию в реальных делах 2025–2026 годов?

По данным InfoWatch (отчёт февраль 2026), в 2025 году было назначено шесть административных штрафов по новым нормам ст. 13.11 на общую сумму около 570 тыс. ₽. Эта цифра отражает первый год применения ФЗ-420: суды и регулятор только вырабатывают устойчивую практику. Три из шести дел касались квалификации по числу субъектов.

Кейс 1. В деле АС Москвы № А40-351064/2025 (РЭШ) утечка затронула более 100 000 субъектов — квалификация по ч. 14 ст. 13.11, штраф в диапазоне 10–15 млн ₽. Суд применил ч. 1 ст. 4.1.2 КоАП: организация имела статус, сопоставимый с микропредприятием, и штраф был снижен до 400 000 ₽ по правилам расчёта для субъектов малого предпринимательства. Методология подсчёта субъектов в этом деле отдельно не оспаривалась.

Кейс 2. В деле АС Санкт-Петербурга и Ленинградской области № А56-4733/2026 утечка составила около 70 000 субъектов (ФИО, должность, служебный email, телефон) после хакерской атаки. Изначально РКН квалифицировал нарушение по ч. 14 (свыше 100 000 субъектов), основываясь на числе строк базы. Суд при рассмотрении дела применил дедупликацию и установил, что уникальных физических лиц — около 70 000, что соответствует ч. 13 (10 000–100 000 субъектов). Применены смягчающие обстоятельства.

Оба дела показывают: методология подсчёта влияет на квалификацию и, следовательно, на размер штрафа. В деле ПКР Аналитика разница между ч. 13 и ч. 14 составила не менее 5 млн ₽ минимального штрафа.

Какие аргументы снижают квалификацию с ч. 13 или ч. 14 до ч. 12?

Практика 2025–2026 годов выявила несколько устойчивых аргументов для снижения квалификации:

Дедупликация записей. Если база содержит дублирующие строки — один и тот же человек зарегистрирован дважды (изменил email, завёл второй аккаунт), — суд вправе принять количество уникальных физических лиц. Для этого нужно представить техническое заключение по ключевым полям дедупликации.
Разграничение «субъектов» и «идентификаторов». Если РКН применил порог по идентификаторам, оператор может доказать, что число уникальных субъектов ниже порогового значения для более тяжкой части.
Частичная компрометация базы. Если в результате инцидента фактически скомпрометирована не вся база, а её часть, размер которой подтверждён криминалистической экспертизой, квалификация строится именно на этой части.
Отсутствие верификации хакерского объявления. Когда число субъектов в протоколе опирается исключительно на публикацию злоумышленников в даркнете без независимой проверки, такой расчёт оспорим как недостаточно доказанный.

«Ст. 4.1 КоАП: при назначении наказания учитываются характер нарушения, имущественное положение, смягчающие и отягчающие обстоятельства. Для оборотного штрафа по ч. 15 ст. 13.11 — инвестиции в ИБ не менее 0,1% выручки за три года снижают штраф до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП, введено ФЗ-420).»

Если вы CEO и число субъектов в протоколе завышено — оспаривание методологии подсчёта снижает квалификацию. При переходе с ч. 13 на ч. 12 минимальный штраф уменьшается на 2 млн ₽. При переходе с ч. 14 на ч. 13 — на 5 млн ₽. Юристы DATUM оценят протокол и предложат стратегию за 24 часа.

Защитить от штрафа 13.11

Когда применяется оборотный штраф по ч. 15 и как он связан с числом субъектов?

Ч. 15 ст. 13.11 КоАП — оборотный штраф — применяется не при первой утечке, а при повторности. Компания, уже привлечённая по ч. 12, 13 или 14, при новой утечке вместо фиксированного штрафа получает 1–3% совокупной годовой выручки за прошлый год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.

Связь с числом субъектов здесь косвенная: чем тяжелее квалификация первого инцидента (ч. 12, 13 или 14), тем выше риск, что второй инцидент получит оборотный штраф автоматически. Поэтому оспаривание методологии подсчёта при первой утечке — это не только борьба за текущий штраф, но и снижение базовой квалификации для потенциального «повторного» дела.

Исключение — ст. 4.1 КоАП, примечание 3.4-2: если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, оборотный штраф снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Документальное подтверждение таких инвестиций — один из ключевых элементов стратегии защиты по ч. 15.

Матрица сценариев: как число субъектов влияет на исход для генерального директора

Сценарий 1 — РКН считает строки, не проводя дедупликацию. Ситуация: хакер слил базу из 150 000 строк, из которых 80 000 — уникальные физические лица. РКН составляет протокол по ч. 14 (свыше 100 000 субъектов, штраф 10–15 млн ₽). Доказательства: техническое заключение о дедупликации по полям ФИО + дата рождения. Вероятный исход: суд переквалифицирует на ч. 13 (10 000–100 000 субъектов, штраф 5–10 млн ₽). Стратегия: немедленно заказать криминалистический анализ базы и подготовить возражение на протокол до передачи дела в суд.

Сценарий 2 — число субъектов установлено по публикации в даркнете. Ситуация: злоумышленник выложил объявление «2 миллиона записей клиентов компании N». РКН составляет протокол по ч. 14. Независимая проверка не проводилась. Доказательства: внутренний аудит баз данных, подтверждающий фактический объём. Вероятный исход: при наличии собственного технического заключения суд рассматривает его как допустимое доказательство. Снижение квалификации или штрафа реально при активной позиции. Стратегия: до суда представить сводку из систем логирования и DLP с фактическим числом скомпрометированных записей.

Сценарий 3 — повторная утечка, компания уже привлечена по ч. 12. Ситуация: через год после первого штрафа произошёл новый инцидент с числом субъектов более 1 000. Применяется ч. 15 — оборотный штраф. Выручка компании — 1 млрд ₽ в год, минимальный штраф по ч. 15 — 20 млн ₽. Доказательства: документы об инвестициях в ИБ за три года в сумме не менее 1 млн ₽ (0,1% от 1 млрд ₽). Вероятный исход: применение примечания 3.4-2 к ст. 4.1 КоАП снижает штраф до 1/10 минимума — до 2 млн ₽, но не менее 15 млн ₽. Стратегия: формировать доказательную базу инвестиций в ИБ заблаговременно, а не в момент инцидента.

Что подготовить для оспаривания методологии подсчёта субъектов

Техническое заключение о структуре базы данных с указанием числа строк и уникальных физических лиц (дедупликация по ключевым полям).
Выгрузку из DLP-системы или логов, подтверждающую реальный объём скомпрометированных данных на момент инцидента.
Документацию об инвестициях в ИБ за три предшествующих года — для применения снижающего коэффициента по примечанию 3.4-2 к ст. 4.1 КоАП.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и внутренний регламент реагирования на инциденты.
Документы о первичном уведомлении РКН в течение 24 часов и 72-часовом отчёте по Приказу РКН №187.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и включает 18 частей. Для утечек: ч. 12 — 3–5 млн ₽ (от 1 000 до 10 000 субъектов или 10 000–100 000 идентификаторов), ч. 13 — 5–10 млн ₽ (от 10 000 до 100 000 субъектов), ч. 14 — 10–15 млн ₽ (свыше 100 000 субъектов). При повторности применяется ч. 15 — оборотный штраф от 1 до 3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается от совокупной выручки компании за предшествующий календарный год. Нижний порог — 1%, верхний — 3%. Минимальный штраф вне зависимости от выручки — 20 млн ₽, максимальный — 500 млн ₽. Применяется только при повторном нарушении по ч. 12–14, 16–18 или ч. 15. Скидка за быструю уплату по ст. 32.2 КоАП к этому составу не применяется.

3. Когда применяется минимум 20 млн ₽ по ч. 15?

Минимум 20 млн ₽ применяется, когда 1% выручки оказывается ниже этого порога — то есть при годовой выручке менее 2 млрд ₽. Для компаний с выручкой свыше 2 млрд ₽ штраф будет не менее 1% выручки. Если оператор документально подтвердил инвестиции в ИБ не менее 0,1% выручки за три года, штраф снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП).

4. Можно ли заменить штраф по ч. 12 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии имущественного вреда. В деле о замене штрафа на предупреждение (Центральный ФО, 2026) хакеры похитили базу менее 1 000 субъектов, компания-микропредприятие получила предупреждение вместо штрафа. К ч. 15 и ч. 18 ст. 13.11 (оборотные составы) ст. 4.1.1 КоАП не применяется.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — ФЗ-508 от 28.12.2025 вернул им эту подсудность. В период с 30 мая по 27 декабря 2025 года дела рассматривали арбитражные суды. Перемена подсудности влияет на процессуальный порядок обжалования и доступность специализированных аргументов арбитражной защиты, поэтому выбор стратегии зависит от того, на какой стадии находится дело.

Итог

Число субъектов в утечке — не технический факт, а правовая конструкция, которая формируется в результате выбора методологии подсчёта. Разница между ч. 12, 13 и 14 ст. 13.11 КоАП составляет от 2 до 10 млн ₽ минимального штрафа. При повторной утечке неправильная квалификация первого инцидента автоматически увеличивает риск оборотного штрафа по ч. 15. DATUM сопровождает операторов на всех стадиях — от оспаривания протокола до представления интересов у мирового судьи и документирования инвестиций в ИБ для снижения оборотного штрафа.

Практика «Ветров и партнёры» по защите от штрафов по ст. 13.11 КоАП ведётся с момента введения новых составов в мае 2025 года. За это время юристы DATUM участвовали в делах с диапазоном штрафов от 60 тыс. до 15 млн ₽, применяя аргументы о дедупликации, инвестициях в ИБ и ст. 4.1.1 КоАП.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1
Аудит соответствия 152-ФЗ — выявление рисков квалификации по ч. 12–14 до инцидента
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420), оборотные штрафы с 30.05.2025, подсудность после ФЗ-508.

25 января 2028 года