инструкция 18 января 2029 По состоянию на 18 января 2029

Микрофон в приложении: согласие

Доступ приложения к микрофону — это обработка биометрических и иных персональных данных. Без надлежащего согласия пользователя оператор нарушает ч. 2 ст. 13.11 КоАП, что даёт РКН основание для штрафа до 700 000 ₽.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025). Голосовые данные, записанные через микрофон, могут квалифицироваться как биометрия по ст. 11 ФЗ-152, что влечёт дополнительные требования и штраф до 20 000 000 ₽ по ч. 17 ст. 13.11 при утечке.

Если вы маркетолог и ваше приложение запрашивает доступ к микрофону — проверьте форму согласия и политику конфиденциальности до следующей версии релиза.

Голосовые помощники, запись отзывов, живые чаты, аудиоподтверждение заказов — мобильные приложения интернет-магазинов и маркетплейсов всё активнее используют микрофон. Роскомнадзор в 2024–2025 годах зафиксировал нарушения в работе с биометрическими и голосовыми данными в ходе плановых и внеплановых проверок. В этой инструкции — шесть практических шагов: от квалификации голосовых данных до проверки публикации политики и формы согласия.

Шаг 1. Определите, какие данные собирает микрофон и как их квалифицировать по ФЗ-152

Первый вопрос — не технический, а правовой: что именно попадает в обработку при включённом микрофоне. Возможны три ситуации.

Голос как биометрия. Если приложение записывает голос для идентификации личности — верификации пользователя, авторизации или подтверждения операции — это биометрические персональные данные по ст. 11 ФЗ-152. Обработка возможна только с письменного согласия, кроме случаев, прямо установленных законом.

Голос как иные ПДн. Если запись голоса не используется для идентификации (например, записывается устный отзыв на товар, голосовая заметка, запрос в службу поддержки), данные квалифицируются как общие ПДн по ст. 3 ФЗ-152. Основание обработки — согласие по ст. 9 или иные основания ст. 6.

Граничный случай. Если запись передаётся на сторонний сервис распознавания речи (например, облачный STT-провайдер в другой стране), возникает трансграничная передача по ст. 12 ФЗ-152 и, вероятно, вопрос о cookies как ПДн при интеграции с аналитикой типа GA4 через API.

«Ст. 11 ФЗ-152: биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность. Обработка биометрии без письменного согласия субъекта по общему правилу запрещена.»

Проведите инвентаризацию: перечислите все функции приложения, использующие микрофон, и для каждой определите категорию данных и цель. Этот список станет основой согласия и политики.

Шаг 2. Проверьте форму согласия — требования с 01.09.2025

С 01.09.2025 согласие на обработку ПДн должно оформляться отдельным документом — его нельзя включать в текст пользовательского соглашения, договора-оферты или политики конфиденциальности (ФЗ-156 от 24.06.2025, поправки в ч. 1 ст. 9 ФЗ-152). Для маркетолога это означает: чекбокс «Принимаю условия» рядом с ссылкой на политику — больше не соответствует закону.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

ФИО субъекта (или иные идентификаторы)
наименование и адрес оператора
цель обработки ПДн
перечень обрабатываемых ПДн
перечень действий с ПДн и описание способов обработки
срок действия согласия и порядок его отзыва

Для голосовых данных, квалифицированных как биометрия, согласие оформляется в письменной форме. В мобильном приложении это может быть экран с полным текстом согласия и кнопкой подтверждения — при условии, что система сохраняет факт и время акцепта. Если согласие в приложении сделано через УКЭП — оно приравнивается к письменному.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (с 01.09.2025): согласие субъекта — отдельный документ. Объединение с договором, офертой или политикой конфиденциальности не допускается.»

Проверьте, сохраняете ли вы лог-файл или иную запись о том, что пользователь дал согласие до первого использования микрофона. Без этого доказать правомерность обработки при проверке невозможно.

Согласие на микрофон уже встроено в пользовательское соглашение?

Если маркетолог обнаружил, что форма согласия на обработку голосовых данных включена в договор или политику — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽. Юристы DATUM разработают отдельную форму согласия под требования ФЗ-156 и проверят архитектуру экранов приложения. Времени до следующей проверки РКН может быть меньше, чем до следующего релиза.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Обновите политику конфиденциальности — что добавить для микрофона

Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна быть опубликована в открытом доступе и отражать реальную практику. Если приложение использует микрофон, а политика об этом молчит — РКН квалифицирует это как нарушение по ч. 1 ст. 13.11 (несовместимость обработки с заявленными целями) и ч. 3 ст. 13.11 (ненадлежащая политика). Совокупный штраф — до 360 000 ₽ по каждому составу.

Включите в политику для интернет-магазина или маркетплейса следующие разделы:

Цели доступа к микрофону: перечислите каждую функцию — голосовой поиск, запись отзыва, чат с поддержкой, идентификация при оплате.
Категория данных: общие ПДн или биометрические — в зависимости от результата шага 1.
Срок хранения: конкретный период или условие удаления (например, «до истечения 90 дней после записи»).
Передача третьим лицам: если речь передаётся STT-провайдеру или аналитическому сервису — указать, кому, в какой стране, на каком основании. Для GA4 и аналогичных сервисов это вопрос трансграничной передачи по ст. 12 ФЗ-152.
Права субъекта: порядок отзыва доступа к микрофону, удаления записей, получения информации об обработке в течение 10 рабочих дней (ст. 20 ФЗ-152).

Политика для интернет-магазина должна также охватывать cookies как ПДн — по позиции РКН идентификаторы cookie, позволяющие установить личность, относятся к персональным данным. Баннер cookies — это не опция дизайна, а элемент системы согласий.

Шаг 4. Проверьте передачу голосовых данных подрядчикам и за рубеж

Большинство мобильных приложений используют сторонние SDK или облачные сервисы для обработки голоса. Каждая такая передача требует правового оформления.

Поручение обработки (п. 3 ст. 6 ФЗ-152). Если подрядчик — российская компания, оформите договор поручения с перечнем действий, целями и обязанностью обеспечить конфиденциальность. Без договора оператор несёт ответственность за действия подрядчика как за собственные — это подтверждает судебная практика.

Трансграничная передача (ст. 12 ФЗ-152). Если STT-сервис или аналитика находятся за рубежом: проверьте, входит ли страна в перечень государств с адекватной защитой ПДн по актуальному приказу РКН. Если нет — до начала передачи уведомьте РКН. Нарушение локализации (ч. 5 ст. 18 ФЗ-152) влечёт штраф 1–6 млн ₽ по ч. 8 ст. 13.11.

GA4 и аналитические пиксели. Если приложение отправляет голосовые события или метаданные в Google Analytics 4 или аналогичный инструмент с серверами за рубежом — это трансграничная передача. Включите соответствующий раздел в уведомление РКН по форме Приказа №180 от 28.10.2022.

«Ч. 5 ст. 18 ФЗ-152: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан России осуществляются только с использованием баз данных на территории России. Нарушение — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП.»

Если маркетолог подключил облачный STT-сервис или GA4 для аналитики голосовых событий — проверьте, подано ли уведомление РКН о трансграничной передаче. Без него штраф по ч. 8 ст. 13.11 начинается от 1 000 000 ₽. Сроки уведомления не восстанавливаются.

Оценить риски по 152-ФЗ

Шаг 5. Настройте технический запрос разрешений в приложении

iOS и Android требуют явного запроса разрешения на доступ к микрофону через системный диалог. Это необходимое, но недостаточное условие соответствия ФЗ-152. Системный диалог ОС не заменяет юридически оформленное согласие субъекта по ст. 9 ФЗ-152.

Практические требования к технической реализации:

Показывайте экран согласия по ФЗ-152 до системного диалога ОС — пользователь должен понимать, зачем нужен микрофон, ещё до того, как ОС спросит разрешение.
Не запрашивайте доступ к микрофону при первом запуске приложения, если функция используется только в одном разделе — запрос должен быть контекстным.
Если пользователь отозвал разрешение через настройки ОС — прекратите обработку и удалите ранее записанные данные в соответствии с политикой хранения.
Логируйте время выдачи и отзыва разрешения — эти данные понадобятся при ответе на запрос субъекта по ст. 20 ФЗ-152 в течение 10 рабочих дней.

Шаг 6. Проверьте готовность к запросу РКН и обращению субъекта

Роскомнадзор включает приложения с доступом к микрофону в индикаторы риска при плановых и внеплановых проверках. Для маркетолога важно понимать: при поступлении жалобы пользователя регулятор вправе запросить у оператора копию согласия, журнал обработки и политику. Если документов нет — протокол по ст. 13.11 составляется в течение нескольких дней.

Что подготовить до выхода релиза с функцией микрофона

Отдельная форма согласия на обработку голосовых данных с обязательными реквизитами по ст. 9 ФЗ-152 (редакция с 01.09.2025)
Обновлённая политика конфиденциальности с разделами о микрофоне, категории данных, сроке хранения и передаче подрядчикам
Договор поручения с каждым подрядчиком, обрабатывающим голосовые данные (STT, аналитика)
Уведомление РКН о трансграничной передаче, если данные уходят за рубеж (Приказ РКН №180)
Журнал логирования согласий: время выдачи, версия формы, идентификатор пользователя (без хранения сверх необходимого)

Как это применяется на практике

Кейс 1. Маркетолог e-commerce компании в Сибирском федеральном округе (осень 2025) запустил голосовой поиск по каталогу. Согласие на обработку было включено в пользовательское соглашение единым чекбоксом. После жалобы пользователя РКН запросил копию согласия. Поскольку форма не отвечала требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025, компания получила предписание и штраф в сотни тысяч рублей по ч. 2 ст. 13.11. Исправление заняло две недели и потребовало нового релиза приложения.

Кейс 2. Мобильное приложение маркетплейса (Центральный ФО, начало 2026) использовало STT-сервис с серверами в Германии. Уведомление о трансграничной передаче в РКН не подавалось. При внеплановой проверке выявлено нарушение ч. 8 ст. 13.11 КоАП — обработка данных за пределами РФ без выполнения требований локализации. Штраф составил несколько миллионов рублей. Потребовалась замена провайдера на российский или подача уведомления с документальным обоснованием.

Типовые ситуации для маркетолога

Ситуация 1: Голосовой поиск без отдельного согласия. Пользователь жалуется в РКН, что приложение включает микрофон без его ведома. Доказательства: скриншот экрана согласия, лог акцепта. Вероятный исход: если отдельного согласия нет — штраф по ч. 2 ст. 13.11 до 700 000 ₽. Стратегия: выпустить hotfix с отдельным экраном согласия и уведомить РКН об устранении нарушения.

Ситуация 2: Запись аудиоотзывов с неопределённым сроком хранения. Политика конфиденциальности не указывает срок хранения голосовых записей. Пользователь требует удаления по ст. 21 ФЗ-152. Вероятный исход: невыполнение требования в 7 рабочих дней — штраф по ч. 5 ст. 13.11 до 90 000 ₽. Стратегия: прописать срок хранения в политике и внедрить автоматическое удаление.

Ситуация 3: Программа лояльности с голосовой верификацией. Приложение идентифицирует постоянных клиентов по голосу для начисления бонусов. Это биометрия по ст. 11 ФЗ-152. Вероятный исход: обработка биометрии без письменного согласия — штраф по ч. 16 ст. 13.11. При утечке — ч. 17 ст. 13.11, штраф 15–20 млн ₽. Стратегия: оформить письменное биометрическое согласие, добавить DPIA, рассмотреть альтернативный метод идентификации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм согласий, политики и архитектуры приложения
Комплект ОРД под ключ — разработка согласий, политики, договоров поручения для приложений
Защита при штрафе в арбитраже — обжалование протоколов по ст. 13.11 КоАП

Частые вопросы

1. Считаются ли cookies персональными данными?

По позиции Роскомнадзора — да, если cookie-идентификатор позволяет прямо или косвенно установить личность пользователя. Это влечёт обязанность получить согласие до установки таких файлов и разместить баннер. Отсутствие баннера cookies — основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Технические и сессионные cookies, не позволяющие идентифицировать личность, под это регулирование не подпадают.

2. Можно ли использовать GA4 после ограничений по трансграничной передаче?

Использование GA4 возможно, но требует оформления: уведомление РКН о трансграничной передаче по форме Приказа №180 от 28.10.2022, включение информации о передаче в политику конфиденциальности и в согласие пользователя. Если данные, уходящие в GA4, позволяют идентифицировать субъекта — первичная запись должна происходить на серверах в России (ч. 5 ст. 18 ФЗ-152).

3. Кто является оператором ПДн: маркетплейс или продавец?

Зависит от того, кто определяет цели и способы обработки. Если маркетплейс предоставляет продавцу инфраструктуру и сам определяет порядок хранения данных покупателя — он оператор. Продавец, получающий ПДн покупателя через платформу, также является оператором в части обработки для исполнения заказа. Ответственность по ст. 13.11 КоАП несут оба — пропорционально роли в обработке.

4. Что грозит за отсутствие баннера cookies?

Роскомнадзор квалифицирует отсутствие баннера cookies (при наличии идентифицирующих cookie) как обработку ПДн без согласия субъекта — нарушение ч. 1 ст. 13.11 КоАП. Штраф для юридического лица — 150 000–300 000 ₽. При повторном нарушении (ч. 1.1 ст. 13.11) — 300 000–500 000 ₽. Кроме того, возможно предписание об устранении с коротким сроком исполнения.

5. Как правильно оформить отзыв подписки на рассылки?

По ст. 9 ФЗ-152 субъект вправе отозвать согласие в любой момент. Оператор обязан прекратить обработку в течение 30 дней с момента получения отзыва, если иное не предусмотрено договором или законом. Для email-рассылки достаточно ссылки «Отписаться» в каждом письме, но архитектура должна обеспечить реальное прекращение отправки, а не только смену флага в базе. Механизм отзыва должен быть описан в согласии.

6. Нужно ли переоформлять согласия пользователей приложения, полученные до 01.09.2025?

Согласия, полученные до вступления в силу ФЗ-156, обратной силы не имеют: их переоформлять не требуется. Однако все новые согласия, собираемые с 01.09.2025, должны соответствовать требованию об отдельном документе. Если старые согласия не включали цели обработки голосовых данных — для новой функции микрофона потребуется отдельное согласие независимо от даты регистрации пользователя.

Итог

Доступ приложения к микрофону — это полноценная цепочка обработки ПДн: сбор, передача, хранение, возможная идентификация. Правовая квалификация данных, форма согласия, политика конфиденциальности, договоры с подрядчиками и уведомление РКН о трансграничной передаче — каждый элемент этой цепочки проверяется регулятором отдельно.

DATUM сопровождает мобильные приложения интернет-магазинов и маркетплейсов: от аудита форм согласий до разработки пакета ОРД и защиты в арбитраже при штрафе по ст. 13.11 КоАП.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, политики конфиденциальности для маркетплейсов и мобильных приложений.

18 января 2029 года