аналитика 22 января 2028 По состоянию на 22 января 2028

Сценарий 1 млн идентификаторов без 100k субъектов

Утечка миллиона идентификаторов — это ч. 13 или ч. 14 ст. 13.11 КоАП, если число субъектов не достигло 100 000. Штраф для юрлица — от 5 до 10 млн ₽ или от 10 до 15 млн ₽ в зависимости от диапазона.

ФЗ-420 от 30.11.2024 ввёл параллельный критерий: ответственность наступает при превышении порогов либо по числу субъектов, либо по числу идентификаторов. Компания с узкой базой может попасть под крупный штраф, даже если затронуты тысячи, а не сотни тысяч людей.

Если вы CEO и компания столкнулась с утечкой базы данных, где число субъектов мало, а строк или токенов — миллионы, — ваш риск определяется другим критерием. Читайте, как это работает и как снизить штраф.

С 30.05.2025 ст. 13.11 КоАП работает в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, два независимых критерия для крупных утечек — количество субъектов и количество идентификаторов. Сценарий, когда число идентификаторов перевалило за миллион, а субъектов — меньше 100 000, встречается в аналитических системах, CRM с множественными токенами на одного пользователя и в e-commerce с историей транзакций. Разбираем, в какую часть статьи попадает такой случай, какой штраф грозит, как его снизить и что делать генеральному директору прямо сейчас.

Как ст. 13.11 КоАП разграничивает субъектов и идентификаторы?

Редакция ФЗ-420 закрепила в ч. 12–14 ст. 13.11 КоАП два самостоятельных критерия квалификации утечки. Первый — число субъектов персональных данных (физических лиц, чьи данные скомпрометированы). Второй — число идентификаторов: записей, строк, токенов, уникальных ключей, привязанных к персональным данным.

Оба критерия применяются альтернативно: достаточно превышения хотя бы одного из них, чтобы квалифицировать нарушение по соответствующей части. Это означает, что компания, обрабатывающая небольшую базу из 40 000 клиентов, но хранящая по каждому десятки записей о транзакциях, сессиях или устройствах, рискует попасть в более тяжкий состав — не потому что пострадало много людей, а потому что утекло много строк.

«Ч. 13 ст. 13.11 КоАП — утечка персональных данных от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов: штраф для юрлица 5 000 000 — 10 000 000 ₽ (в редакции с 30.05.2025).»

«Ч. 14 ст. 13.11 КоАП — утечка более 100 000 субъектов или более 1 000 000 идентификаторов: штраф для юрлица 10 000 000 — 15 000 000 ₽ (в редакции с 30.05.2025).»

Таким образом, утечка ровно одного миллиона идентификаторов — пороговый сценарий ч. 14. Если утекло 999 999 — это ч. 13 со штрафом 5–10 млн ₽. Если хотя бы один миллион — ч. 14 со штрафом 10–15 млн ₽. При этом число субъектов — допустим, 40 000 — само по себе в ч. 13 не переводит, потому что 40 000 субъектов меньше нижнего порога ч. 13 (10 000 субъектов). Квалификация определяется критерием идентификаторов.

Компания получила предписание или готовится к проверке РКН по факту утечки?

Если число идентификаторов в скомпрометированной базе превысило миллион, а субъектов — значительно меньше 100 000, квалификация по ч. 14 ст. 13.11 КоАП и штраф в диапазоне 10–15 млн ₽ реальны. Ошибка в позиции на стадии протокола сужает возможности в арбитраже. Юристы DATUM разберут квалификацию, оценят применимость ст. 4.1 и ст. 4.1.1 КоАП и выстроят стратегию защиты с первого заседания.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как считают идентификаторы: что попадает в миллион?

Закон не содержит закрытого определения «идентификатора» для целей ст. 13.11 КоАП. На практике под идентификаторами понимают любые уникальные ключи, привязанные к персональным данным: номера транзакций, идентификаторы устройств (device ID, IMEI), сессионные токены, записи журналов с IP-адресами физических лиц, строки истории заказов, уникальные коды купонов или бонусных операций.

Роскомнадзор при расследовании инцидента запрашивает у оператора сведения об объёме скомпрометированной базы. Если оператор не может обосновать, что утекло менее миллиона записей, регулятор вправе опираться на данные из открытых источников — объявлений хакеров, образцов слитых файлов, оценок ИБ-компаний. Это создаёт риск: компания, не ведущая точный учёт структуры своих баз, не может оперативно опровергнуть завышенные цифры.

Практически важен вопрос дедупликации: считаются ли уникальные строки или уникальные субъекты. Позиция, выгодная оператору, — считать уникальных физических лиц. Позиция регулятора — считать строки в утёкшем файле. На этапе возбуждения дела РКН обычно исходит из числа строк; аргументы о дедупликации — предмет арбитражного спора.

Что такое оборотный штраф и когда он применяется при сценарии 1 млн идентификаторов?

Ч. 15 ст. 13.11 КоАП — оборотный штраф — применяется не за первую утечку, а за повторное нарушение. Условие: компания уже привлекалась по ч. 12, 13, 14, 15, 16, 17 или 18 ст. 13.11 КоАП, и в течение срока, установленного ст. 4.6 КоАП (один год с момента исполнения предыдущего постановления), допустила новую утечку, квалифицируемую по тем же частям.

«Ч. 15 ст. 13.11 КоАП — повторная утечка (при наличии предыдущего привлечения по ч. 12–18): 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 000 000 ₽, не более 500 000 000 ₽ (в редакции с 30.05.2025).»

Для компании с выручкой 2 млрд ₽ минимальный оборотный штраф — 20 млн ₽ (порог «не менее»), максимальный — 60 млн ₽ (3% от 2 млрд). Для компании с выручкой 20 млрд ₽ диапазон — 200–600 млн ₽, ограниченный потолком 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

Сценарий 1 млн идентификаторов при первой утечке — ч. 14, штраф 10–15 млн ₽. При повторной — ч. 15, штраф от 20 млн ₽. Разница принципиальна: даже минимум ч. 15 превышает максимум ч. 14.

Если у компании уже есть постановление по ст. 13.11 КоАП и произошла новая утечка — вы в зоне ч. 15 (оборотный штраф от 20 млн ₽). Срок обжалования постановления — 10 суток. Каждый день промедления сужает аргументы защиты.

Защитить от штрафа 13.11

Какие инструменты снижения штрафа работают в 2026 году?

Три инструмента действуют как в арбитражном суде, так и на стадии рассмотрения дела регулятором.

Ст. 4.1.1 КоАП — замена штрафа на предупреждение. Применяется при первичном нарушении, отсутствии вреда жизни и здоровью, если компания является малым или средним предприятием. Не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотным составам). Для сценария первой утечки 1 млн идентификаторов (ч. 14) замена теоретически возможна, если компания — МСП, нарушение первично и регулятор или суд сочтут вред минимальным. На практике суды применяют ст. 4.1.1 осторожно при штрафах выше 5 млн ₽, но прецеденты есть.

Ст. 4.1 КоАП — смягчающие обстоятельства и снижение ниже минимума. Добровольное уведомление РКН об утечке за 24 часа, немедленное устранение нарушений, содействие расследованию, отсутствие повторности — суд вправе снизить штраф ниже минимума, но не более чем вдвое. Это снижает штраф по ч. 14 с 10–15 млн до 5 млн ₽ при наличии совокупности смягчающих.

Примечание 3.4-2 к ст. 4.1 КоАП (инвестиции в ИБ). Если компания инвестировала в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 и ч. 18 ст. 13.11 рассчитывается как одна десятая минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это ключевой инструмент снижения оборотного штрафа: при выручке 5 млрд ₽ стандартный оборотный штраф — 50–150 млн ₽, с инвестиционной льготой — 15 млн ₽. Для применения льготы нужна документация расходов на ИБ за три года.

Сценарии: как это работает на практике

Сценарий А. E-commerce, первая утечка, 40 000 клиентов, 1,2 млн строк заказов.

Интернет-магазин (Центральный ФО, лето 2025) обнаружил утечку базы заказов через уязвимость в API. Число уникальных клиентов — 40 000, строк с идентификаторами заказов — 1,2 млн. Компания уведомила РКН за 20 часов, представила отчёт за 68 часов. РКН возбудил дело по ч. 14 ст. 13.11 КоАП (более 1 млн идентификаторов). Компания — МСП. В арбитражном суде юристы заявили ходатайство о применении ст. 4.1.1 КоАП и представили доказательства первичности нарушения и своевременного уведомления. Суд снизил квалификацию до предупреждения. Итог: штраф не назначен. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Сценарий Б. SaaS-платформа, повторная утечка, оборотный штраф.

Технологическая компания (Северо-Западный ФО, начало 2026) ранее привлекалась по ч. 12 ст. 13.11 КоАП (утечка 3 000 субъектов). Через 8 месяцев — повторный инцидент: 50 000 субъектов, 1,5 млн токенов авторизации. Квалификация — ч. 15 ст. 13.11 КоАП (повторная утечка). Выручка за предыдущий год — 800 млн ₽. Стандартный штраф: 1–3% от 800 млн = 8–24 млн ₽, но не менее 20 млн ₽. Компания представила документы о расходах на ИБ (0,15% выручки за три года) — применено примечание 3.4-2 к ст. 4.1 КоАП. Штраф снижен до 15 млн ₽. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Сценарий В. Нет уведомления за 24 часа — двойной штраф.

Производственная компания (Поволжский ФО, осень 2025) обнаружила утечку через 3 дня после инцидента, уведомила РКН на пятый день. Число субъектов — 15 000, идентификаторов — 1,1 млн. Два состава: ч. 14 ст. 13.11 (штраф 10–15 млн ₽) и ч. 11 ст. 13.11 (неуведомление об утечке в 24 часа — штраф 1–3 млн ₽). Совокупный риск — до 18 млн ₽. Смягчающих оснований для ст. 4.1.1 нет: компания не МСП. Результат — штраф в нижней части диапазона по ч. 14 с учётом смягчающих по ст. 4.1 КоАП. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Что подготовить CEO до проверки РКН по факту утечки

Технический отчёт об инциденте: дата обнаружения, число строк и уникальных субъектов в скомпрометированной базе, метод подсчёта — это основа квалификации по ч. 12–14 ст. 13.11 КоАП.
Копии уведомлений РКН: первичное за 24 часа и отчёт за 72 часа по Приказу РКН №187 — они подтверждают добросовестность и работают как смягчающее обстоятельство по ст. 4.1 КоАП.
Документация расходов на ИБ за три предшествующих года (для применения примечания 3.4-2 к ст. 4.1 КоАП и снижения оборотного штрафа).
Выписка из реестра МСП (если компания — малое или среднее предприятие) для обоснования ст. 4.1.1 КоАП.
Журнал внутреннего расследования с фиксацией мер, принятых после инцидента, — для аргументации об устранении нарушений.

Услуги DATUM по теме

Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП.
Аудит соответствия 152-ФЗ — проверка структуры баз данных, оценка рисков по ч. 12–15 ст. 13.11.
Сопровождение проверок РКН — представление интересов при расследовании инцидента, подготовка позиции.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП применяются с 30.05.2025?

С 30.05.2025 действует редакция ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. За утечку от 1 000 до 10 000 субъектов (или 10 000–100 000 идентификаторов) — ч. 12, штраф 3–5 млн ₽. За утечку от 10 000 до 100 000 субъектов (или 100 000–1 000 000 идентификаторов) — ч. 13, штраф 5–10 млн ₽. За утечку более 100 000 субъектов или более 1 000 000 идентификаторов — ч. 14, штраф 10–15 млн ₽. За повторную утечку по ч. 12–14 — ч. 15, оборотный штраф 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП — процент от совокупной выручки компании за предшествующий календарный год. База расчёта — годовая выручка по данным бухгалтерской отчётности. Диапазон 1–3% означает, что суд вправе назначить любое значение в этом диапазоне с учётом тяжести нарушения и смягчающих обстоятельств. Абсолютный минимум — 20 млн ₽ вне зависимости от выручки. Абсолютный максимум — 500 млн ₽. Применяется только при повторном нарушении, то есть если компания ранее привлекалась по ч. 12–18 ст. 13.11 КоАП.

3. Когда применяется минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП?

Минимум 20 млн ₽ применяется при любом оборотном штрафе по ч. 15, если 1% выручки меньше 20 млн ₽. Например, компания с выручкой 500 млн ₽ и штрафом в 1% выручки формально должна заплатить 5 млн ₽, но закон устанавливает пол в 20 млн ₽. Исключение: при инвестициях в ИБ не менее 0,1% выручки за три года применяется примечание 3.4-2 к ст. 4.1 КоАП — штраф снижается до 1/10 минимума (но не менее 15 млн ₽ и не более 50 млн ₽).

4. Можно ли заменить штраф по ч. 14 ст. 13.11 на предупреждение?

Теоретически да — при первичном нарушении, если компания является субъектом МСП и отсутствует вред жизни и здоровью (ст. 4.1.1 КоАП). На практике суды применяют замену осторожно при крупных составах. К оборотным составам (ч. 15, ч. 18) замена на предупреждение не применяется. Аргументы для замены: первичность, своевременное уведомление РКН за 24 и 72 часа, принятие мер после инцидента, статус МСП по реестру ФНС.

5. Какая подсудность дел по ст. 13.11 КоАП после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела по ст. 13.11 КоАП возвращены мировым судьям. С 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. Это важно для выбора процессуальной стратегии: обжалование постановления мирового судьи идёт в районный суд, а затем в вышестоящие суды общей юрисдикции — процессуальные правила и сроки отличаются от арбитражного процесса.

Итог

Сценарий утечки миллиона идентификаторов при числе субъектов ниже 100 000 — это квалификация по ч. 14 ст. 13.11 КоАП (штраф 10–15 млн ₽), а при повторности — ч. 15 (оборотный штраф от 20 млн ₽). Инструменты снижения — ст. 4.1, ст. 4.1.1 КоАП и инвестиционная льгота по примечанию 3.4-2 — работают, но требуют документальной подготовки до возбуждения дела. Правильная позиция формируется на стадии первичного уведомления РКН, а не в зале суда.

DATUM сопровождает операторов персональных данных при расследованиях РКН и в арбитражных спорах по ст. 13.11 КоАП с момента введения ФЗ-420. Практика включает как защиту от первичных штрафов, так и работу с оборотными составами в интересах крупных компаний.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.