аналитика 17 февраля 2027 По состоянию на 17 февраля 2027

Когда РКН квалифицирует по ч. 14: критерии

Часть 14 ст. 13.11 КоАП — это штраф от 10 до 15 млн ₽ за утечку более 100 000 субъектов или более 1 000 000 идентификаторов.

С 30.05.2025 действует редакция ФЗ-420 от 30.11.2024: 18 частей, новые пороги субъектов, оборотный штраф по ч. 15 при повторности — до 500 млн ₽. Для CEO это означает прямую зависимость между масштабом утечки и ценой ошибки.

→ Если ваша компания получила запрос от РКН или обнаружила признаки инцидента — критерии квалификации по ч. 14 определяют стратегию защиты с первого дня.

Квалификация утечки по ч. 14 ст. 13.11 КоАП — не техническое решение инспектора, а применение конкретных числовых порогов. Понимание этих критериев позволяет CEO оценить реальный финансовый риск до завершения проверки, выбрать аргументы в арбитраже и использовать механизмы снижения санкции. В этом материале — полная карта критериев, логика их применения и судебная практика первых дел по ФЗ-420.

Какие пороги субъектов делают утечку «частью 14»?

Ст. 13.11 КоАП в редакции с 30.05.2025 содержит три градации по масштабу утечки. Часть 12 применяется при утечке данных от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов. Часть 13 — от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов. Часть 14 — при превышении 100 000 субъектов или 1 000 000 идентификаторов.

«Ч. 14 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025): утечка ПДн более 100 000 субъектов или более 1 000 000 идентификаторов — штраф для юрлица 10 000 000 — 15 000 000 ₽.»

Ключевое слово в конструкции нормы — «или». РКН применяет ч. 14 при превышении любого из двух порогов: либо по числу субъектов, либо по числу идентификаторов. Это означает, что база с 50 000 уникальных пользователей, но содержащая по несколько записей на каждого (телефон, email, адрес, история заказов), может суммарно превысить порог в 1 000 000 идентификаторов и попасть под ч. 14.

Идентификатор в практике РКН — это отдельная единица персональных данных: номер телефона, адрес email, СНИЛС, ИНН, номер карты, адрес доставки. При подсчёте инспектор учитывает не только уникальных субъектов, но и число отдельных атрибутов в утёкшей базе. Это принципиально для оценки риска в ритейле, логистике, программах лояльности.

Получили запрос от РКН или выявили инцидент?

Квалификация по ч. 14 фиксируется на стадии протокола. Если вы CEO и компания уже под проверкой — время на формирование позиции ограничено. Ошибка в подсчёте субъектов или идентификаторов может поднять квалификацию с ч. 12 до ч. 14, увеличив штраф в три раза. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения санкции.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как РКН считает субъектов и идентификаторы при квалификации?

Методика подсчёта — один из самых спорных вопросов в первых делах по ФЗ-420. РКН исходит из объёма данных, зафиксированного в публичных источниках утечки (даркнет-форумы, Telegram-каналы, специализированные базы) и подтверждённого в ходе технического расследования оператора.

На практике РКН применяет следующую логику. Если оператор сам уведомил об инциденте по ч. 3.1 ст. 21 ФЗ-152 и в первичном уведомлении указал «не более 50 000 субъектов» — это число фигурирует в протоколе. Если уведомление не подавалось, а данные появились в даркнете, — инспектор берёт заявленный хакерами объём. Расхождение между реальным объёмом и заявленным создаёт дополнительные риски.

Важный нюанс: ч. 12–14 применяются к факту утечки, а не к намерению. Оператор не может снизить квалификацию, ссылаясь на то, что «данные были зашифрованы» или «злоумышленник не успел использовать базу». Факт неправомерного доступа и объём доступных данных — достаточные основания для протокола.

Что проверить при оценке риска квалификации по ч. 14

Установите точное число уникальных субъектов в затронутой базе — по внутреннему реестру операторов ПДн.
Подсчитайте число идентификаторов в утёкшем файле (телефоны, email, ИНН, адреса — каждый атрибут отдельно).
Сравните с числом, которое вы указали в первичном уведомлении РКН за 24 часа по Приказу РКН №187.
Проверьте, появились ли данные в публичных источниках и в каком объёме — это потенциальная позиция РКН при подсчёте.
Зафиксируйте дату обнаружения инцидента — от неё отсчитываются 24 и 72 часа по ч. 3.1 ст. 21 ФЗ-152.

Когда ч. 14 переходит в оборотный штраф по ч. 15?

Часть 15 ст. 13.11 КоАП — это не самостоятельный состав, а отягчающий механизм для повторных нарушителей. Оборотный штраф применяется, если компания ранее привлекалась по ч. 12, ч. 13 или ч. 14 (либо по ч. 15–18) и вновь допустила утечку, квалифицируемую по ч. 12–14.

«Ч. 15 ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): повторная утечка при наличии предыдущего привлечения по ч. 12–14 или ч. 15–18 — штраф 1–3% совокупной выручки за предшествующий календарный год, не менее 20 000 000 ₽, не более 500 000 000 ₽.»

Для компании с годовой выручкой 2 млрд ₽ оборотный штраф составит 20–60 млн ₽. Для компании с выручкой 10 млрд ₽ — уже 100–300 млн ₽. Порог «не менее 20 млн ₽» означает, что даже при минимальном проценте компания с выручкой ниже 2 млрд ₽ заплатит фиксированный минимум.

Есть один механизм снижения, прямо предусмотренный законом. По ст. 4.1 КоАП при документально подтверждённых инвестициях в информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года штраф по ч. 15 снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это единственный официальный путь к снижению оборотного штрафа без обжалования.

Если компания уже получала штраф по ч. 12–14 ст. 13.11 — следующая утечка активирует оборотный механизм ч. 15. Срок исковой давности по административным делам — 1 год. Юристы DATUM оценят реальный риск повторности и подготовят документальное обоснование инвестиций в ИБ для применения ст. 4.1 КоАП.

Защитить от штрафа 13.11

Как суды применяют ч. 14 на практике: первые дела по ФЗ-420

Судебная практика по новым нормам формируется с лета 2025 года. Первые дела показывают две устойчивые тенденции.

Кейс 1. Арбитражный суд Москвы (дело № А40-351064/2025) рассмотрел дело о компрометации базы более 100 000 субъектов. Суд квалифицировал нарушение по ч. 14 ст. 13.11 КоАП, однако применил специальный расчёт для компании со статусом микропредприятия согласно ч. 1 ст. 4.1.2 КоАП. В результате вместо штрафа 10–15 млн ₽ назначено 400 000 ₽. Вывод для практики: правовой статус компании и применение специальных правил расчёта штрафа для малого бизнеса — первое, что проверяется при защите.

Кейс 2. Арбитражный суд Санкт-Петербурга и Ленинградской области (дело № А56-4733/2026) рассмотрел утечку около 70 000 субъектов. Формально — ч. 13, не ч. 14. Однако суд учёл, что по числу идентификаторов (ФИО, должность, служебный email, телефон — четыре атрибута на каждого субъекта) цифра приблизилась к пороговой. Дело показывает: разница между ч. 13 и ч. 14 при мультиатрибутных базах может решаться именно на стадии подсчёта идентификаторов, а не субъектов.

Общий вывод первой волны практики: суды принимают доводы о смягчении, если оператор своевременно уведомил РКН, провёл внутреннее расследование и задокументировал принятые меры по Приказу РКН №187. Отсутствие уведомления — дополнительный штраф по ч. 11 ст. 13.11 (1–3 млн ₽) и утрата аргументов о добросовестности.

Три сценария квалификации по ч. 14 и стратегия защиты

Сценарий 1. Утечка зафиксирована внутри, уведомление подано в срок. Ситуация: CISO обнаружил компрометацию базы из 150 000 записей, первичное уведомление направлено в РКН за 20 часов, отчёт — за 68 часов. Доказательства: журналы SIEM, переписка с РКН, внутренний акт расследования. Вероятный исход: протокол по ч. 14 (штраф 10–15 млн ₽), но высока вероятность применения ч. 2 ст. 4.1 КоАП (учёт смягчающих обстоятельств) и снижения до нижней границы. Стратегия: максимально документировать оперативность реагирования и инвестиции в ИБ.

Сценарий 2. Данные появились в даркнете, компания не уведомляла РКН. Ситуация: хакеры выставили на продажу базу с 200 000 записей клиентов интернет-магазина. РКН зафиксировал факт самостоятельно. Доказательства на стороне регулятора: объём базы по заявлению продавца. Вероятный исход: протокол одновременно по ч. 11 (неуведомление, 1–3 млн ₽) и ч. 14 (утечка, 10–15 млн ₽). Стратегия: оспорить корректность подсчёта субъектов и идентификаторов в базе из даркнета, добиться признания неполноты доказательной базы.

Сценарий 3. Повторная утечка — активация ч. 15. Ситуация: компания год назад получила штраф по ч. 12 (3–5 млн ₽), новая утечка затронула 120 000 субъектов. Вероятный исход: квалификация по ч. 15, оборотный штраф 1–3% выручки (не менее 20 млн ₽). Стратегия: проверить, истёк ли срок, в течение которого лицо считается подвергнутым административному наказанию (1 год с момента исполнения первого постановления по ст. 4.6 КоАП). Если да — повторности нет, квалификация по ч. 14. Если нет — применять ст. 4.1 КоАП через документирование инвестиций в ИБ.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1 КоАП.
Сопровождение проверок РКН — подготовка к проверке, представление интересов оператора, обжалование предписаний.
Аудит соответствия 152-ФЗ — проверка ОРД, уведомлений и технических мер до проверки регулятора.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 вступила в силу редакция ФЗ-420 от 30.11.2024, расширившая ст. 13.11 КоАП до 18 частей. За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12). От 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13). Более 100 000 субъектов или более 1 000 000 идентификаторов — 10–15 млн ₽ (ч. 14). За неуведомление РКН об утечке — отдельный штраф 1–3 млн ₽ по ч. 11. При повторной утечке — оборотный штраф по ч. 15 от 1% до 3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается от совокупной выручки оператора за предшествующий календарный год. Процент — от 1 до 3, конкретный размер определяет суд с учётом обстоятельств дела. Нижний предел — 20 млн ₽ вне зависимости от размера выручки. Верхний — 500 млн ₽. При документально подтверждённых инвестициях в информационную безопасность не менее 0,1% выручки за три года штраф снижается до 1/10 минимума (но не менее 15 млн ₽ и не более 50 млн ₽) по механизму ст. 4.1 КоАП.

3. Когда применяется минимум 20 млн ₽ по ч. 15?

Минимум 20 млн ₽ применяется всегда при наступлении повторности — когда процент от выручки дал бы сумму ниже этого порога. Например, компания с выручкой 500 млн ₽: 1% = 5 млн ₽, но штраф не может быть ниже 20 млн ₽. Минимум не зависит от размера компании, категории ПДн или масштаба утечки. Единственный способ снизить его — применение ст. 4.1 КоАП через инвестиции в ИБ, что уменьшает минимум до 15 млн ₽.

4. Можно ли заменить штраф по ч. 14 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП теоретически возможна для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии вреда. На практике суды крайне редко применяют это к ч. 12–14, поскольку сам факт утечки более 100 000 субъектов свидетельствует о причинении вреда интересам граждан. Исключение — дело АС Москвы № А40-351064/2025 по РЭШ, где применено снижение по ч. 1 ст. 4.1.2 КоАП для микропредприятия. К ч. 15 (оборотный) и ч. 18 замена на предупреждение прямо запрещена.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи — в соответствии с ФЗ-508 от 28.12.2025. В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Это важно для выбора процессуальной стратегии: мировые судьи менее опытны в делах о корпоративных нарушениях в сфере ПДн, что влияет как на риски, так и на возможности обжалования.

Итог

Квалификация по ч. 14 ст. 13.11 КоАП определяется двумя пороговыми критериями: более 100 000 субъектов или более 1 000 000 идентификаторов. Достаточно превышения одного из них. Методика подсчёта идентификаторов — ключевое поле для оспаривания, особенно в мультиатрибутных базах ритейла и логистики. При повторности включается механизм ч. 15 с оборотным штрафом до 500 млн ₽, единственный инструмент снижения которого — документирование инвестиций в ИБ по ст. 4.1 КоАП.

Практика DATUM по защите от ст. 13.11 КоАП включает сопровождение с момента получения протокола до вступления постановления в силу. Применяем аргументы о подсчёте субъектов и идентификаторов, смягчающие обстоятельства по ст. 4.1, замену штрафа на предупреждение по ст. 4.1.1 там, где это допустимо.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025.

17 февраля 2027 года