Связь с ЕБС по 572-ФЗ — Часть 17 ст. 13.11
С 30.05.2025 Россия получила принципиально новую архитектуру ответственности за персональные данные. Для CEO компаний, связанных с Единой биометрической системой по 572-ФЗ, это означает прямой риск: утечка биометрии — 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП, повторное нарушение — оборотный штраф 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽ по ч. 18. Ниже — анализ того, как работает связка 572-ФЗ и ч. 17 ст. 13.11, кто попадает под состав и как снизить риск до приемлемого уровня.
Что такое ч. 17 ст. 13.11 КоАП и как она связана с ЕБС?
Часть 17 ст. 13.11 КоАП — отдельный состав за утечку биометрических персональных данных. Она применяется за случаи, которые не подпадают под специальную ст. 13.11.3 КоАП (нарушения банков и МФЦ при размещении биометрии в ЕБС). Иначе говоря, ч. 17 — резидуальный, но самый жёсткий состав по размеру штрафа среди необоротных.
Единая биометрическая система создана по 572-ФЗ от 29.12.2022. Её оператор — АО «Центр Биометрических Технологий». Система агрегирует биометрические образцы (изображение лица и голосовой слепок) для дистанционной идентификации граждан. С 01.06.2023 хранить исходную биометрию вне ЕБС запрещено: банки, МФЦ, нотариусы и иные организации, которые прежде вели собственные хранилища, обязаны были либо передать данные в ЕБС, либо уничтожить их.
Связь с ч. 17 ст. 13.11 — прямая. Биометрические данные по ст. 11 ФЗ-152 относятся к особо охраняемым. Любая утечка — неправомерная передача, распространение, несанкционированный доступ — квалифицируется по ч. 17. При этом речь идёт не только об операторах ЕБС: под состав попадает любая организация, которая обрабатывала биометрию в связанных системах (клиентские приложения с Face ID, СКУД с распознаванием лиц, медицинские сервисы с голосовой аутентификацией).
Кто попадает под ч. 17 ст. 13.11 при работе с ЕБС?
Круг субъектов шире, чем кажется. В него входят не только банки, обязанные размещать биометрию в ЕБС по 572-ФЗ, но и все организации, которые так или иначе обрабатывают биометрические данные в системах, смежных с ЕБС или технически с ней взаимодействующих.
Банки и МФО. Кредитные организации обязаны предлагать клиентам сдачу биометрии в ЕБС и сами используют её для дистанционной идентификации. Утечка из банковской ИТ-системы, которая хранит или передаёт биометрические образцы, — это ч. 17 ст. 13.11. Если нарушение связано с самим порядком размещения в ЕБС (например, банк разместил неверные данные), применяется ст. 13.11.3 со штрафом 500 тыс. — 1 млн ₽. Разграничение — в характере нарушения: процедурное или связанное с безопасностью данных.
МФЦ. Многофункциональные центры принимают биометрию для ЕБС. Нарушение на стороне МФЦ при сборе — ст. 13.11.3. Нарушение безопасности хранимых образцов до передачи в ЕБС — ч. 17 ст. 13.11.
Работодатели с системами контроля доступа. Компании, использующие СКУД с биометрической идентификацией сотрудников (отпечатки, распознавание лиц), не передают данные в ЕБС — но обрабатывают биометрические ПДн по ст. 11 ФЗ-152. Утечка из такой системы также квалифицируется по ч. 17 ст. 13.11.
ИТ-подрядчики. По принципу, подтверждённому судебной практикой, оператор отвечает за действия подрядчика, которому поручена обработка. Если разработчик мобильного банка допустил утечку биометрии из SDK — банк несёт ответственность по ч. 17.
Ваша компания связана с ЕБС или использует биометрию — проверьте позицию до проверки
Штраф по ч. 17 ст. 13.11 КоАП — от 15 до 20 млн ₽ при первом инциденте. Повторное нарушение переводит дело в оборотный состав по ч. 18: 1–3% годовой выручки, не менее 20 млн ₽. Для компании с выручкой 500 млн ₽ в год — это минимум 20 млн ₽ штрафа, который не покрывается страховкой и не снижается за быструю уплату. Юристы DATUM оценят уязвимости в обработке биометрии и помогут выстроить защиту до первого инцидента.
Защитить от штрафа 13.11+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как соотносятся ч. 16, ч. 17 и ч. 18 ст. 13.11 при нарушениях с биометрией?
ФЗ-420 выстроил трёхуровневую лестницу ответственности за биометрию в рамках ст. 13.11 КоАП. Понимание логики этой лестницы критично для оценки риска.
Ч. 16 — нарушение порядка обработки биометрии. Состав применяется, когда биометрия собирается или обрабатывается без надлежащего письменного согласия, вне законных оснований по ст. 11 ФЗ-152, либо без соблюдения иных процедурных требований. Это «процедурный» состав.
Ч. 17 — утечка биометрии. Применяется при фактическом несанкционированном распространении, передаче или иных неправомерных действиях с биометрическими данными. Минимальная санкция — 15 млн ₽. Это «инцидентный» состав, и он не поглощает ч. 16: при одновременном нарушении порядка обработки и факте утечки возможно совокупное применение обоих составов.
Ч. 18 — оборотный штраф за повторное нарушение по ч. 16 или ч. 17. При повторном нарушении любого из двух составов санкция переходит в оборотный режим: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Повторность определяется в течение одного года с момента вступления в силу предыдущего постановления.
Параллельно с административной ответственностью действует уголовная: ст. 272.1 УК РФ, введённая ФЗ-421 от 30.11.2024 (действует с 11.12.2024), предусматривает до 10 лет лишения свободы (ч. 5) за незаконные действия с компьютерной информацией, содержащей ПДн, повлёкшие тяжкие последствия. При крупной биометрической утечке прокуратура может возбудить дело одновременно с административным производством РКН.
Как снизить штраф по ч. 17 и ч. 18 ст. 13.11?
Механизмы смягчения ответственности по биометрическим составам ограничены, но они существуют. Важно знать их до инцидента, а не после.
Ст. 4.1 КоАП — инвестиции в информационную безопасность. Примечание 3.4-2 к ст. 4.1 КоАП, введённое ФЗ-420, предусматривает: если оператор вложил в ИБ не менее 0,1% совокупной годовой выручки за три предшествующих года, штраф по оборотным составам (ч. 15 и ч. 18 ст. 13.11) снижается до 1/10 минимального размера — но не менее 15 млн ₽ и не более 50 млн ₽. Для компании с выручкой 5 млрд ₽ разница между стандартным оборотным минимумом (20 млн ₽) и льготным (15 млн ₽) — небольшая, но для компании с выручкой 10 млрд ₽ применение льготы может снизить штраф с 100–300 млн ₽ до 50 млн ₽.
Ст. 4.1.1 КоАП — замена штрафа на предупреждение. Для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда возможна замена штрафа предупреждением. Однако ч. 18 ст. 13.11 (оборотный по биометрии) из этого механизма прямо исключена. Ч. 17 при первичном нарушении теоретически допускает замену — но доказать отсутствие вреда при биометрической утечке крайне затруднительно.
Снижение через квалификацию. Если обстоятельства позволяют квалифицировать инцидент по ст. 13.11.3 (нарушение при размещении в ЕБС) вместо ч. 17 — санкция существенно ниже (500 тыс. — 1 млн ₽). Это требует детального анализа обстоятельств инцидента и грамотной позиции в протоколе.
Если в вашей компании уже открыто административное дело по ч. 17 или ч. 16 ст. 13.11 — позиция в протоколе определяет итоговую сумму. 72 часа с момента обнаружения инцидента — срок, после которого возможности существенно сужаются. Юристы DATUM работают с протоколами РКН по биометрическим составам и применяют ст. 4.1 КоАП для снижения санкции.
Защитить от штрафа 13.11Практические сценарии: как возникает ответственность по ч. 17
Три типовые ситуации, с которыми сталкиваются CEO компаний, связанных с биометрией.
Сценарий 1. Утечка из СКУД на производственном объекте. Компания использует систему контроля доступа с распознаванием лиц для 800 сотрудников. Подрядчик по ИТ-обслуживанию обновил прошивку оборудования и оставил открытый API-эндпоинт. Через 3 недели данные появились в открытом доступе. Ситуация: оператор — сама компания, согласие работников было получено, но техническая защита не соответствовала требованиям Приказа ФСТЭК №21. Вероятный исход: ч. 17 ст. 13.11, штраф 15–20 млн ₽. Ответственность за действия подрядчика — на операторе. Стратегия: фиксация инцидента, уведомление РКН в 24 часа, документирование инвестиций в ИБ за 3 года для применения льготы по ст. 4.1 КоАП, обжалование нижнего предела санкции.
Сценарий 2. Банк — повторный инцидент с биометрией клиентов. В 2025 году банк получил штраф по ч. 17 ст. 13.11 за утечку голосовых слепков из колл-центровой системы. В 2026 году произошёл второй инцидент — утечка фото из мобильного приложения. Ситуация: повторность зафиксирована в течение одного года. Применяется ч. 18 ст. 13.11 — оборотный штраф. Для банка с выручкой 8 млрд ₽ это 80–240 млн ₽. Стратегия: оспаривание факта повторности (доказать, что первое постановление не вступило в силу), применение льготы ст. 4.1 КоАП при наличии подтверждённых инвестиций в ИБ, документирование мер, принятых после первого инцидента.
Сценарий 3. ИТ-компания — подрядчик банка, обработчик биометрии. Компания разрабатывала SDK для биометрической аутентификации в мобильном банке. В результате уязвимости в коде произошла утечка шаблонов. Ситуация: ИТ-компания — лицо, осуществляющее обработку по поручению (ст. 6 ФЗ-152), договор поручения был. Административная ответственность по ч. 17 — на банке-операторе, но уголовная ответственность по ст. 272.1 УК возможна на сотрудниках ИТ-компании. Стратегия: немедленное уведомление банка, участие в составлении уведомления для РКН, документирование факта соблюдения технических требований со стороны разработчика.
Что подготовить, если компания работает с биометрией
- Инвентаризация всех систем, обрабатывающих биометрические ПДн: СКУД, мобильные приложения, колл-центры, ЕБС-интеграции — с указанием оснований обработки по ст. 11 ФЗ-152
- Письменные согласия субъектов в актуальной форме: с 01.09.2025 согласие оформляется отдельным документом по требованиям ФЗ-156 от 24.06.2025
- Подтверждение инвестиций в ИБ за последние 3 года (не менее 0,1% выручки) — для применения льготы ст. 4.1 КоАП при оборотном штрафе
- Регламент реагирования на инцидент с биометрией: цепочка уведомления, назначенный ответственный, форма первичного уведомления РКН по Приказу №187 за 24 часа
- Договоры поручения с ИТ-подрядчиками, обрабатывающими биометрию: требования к защите, ответственность сторон, право аудита
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?
С 30.05.2025 ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП с 7 до 18 частей. По биометрическим составам: ч. 17 (утечка биометрии) — от 15 до 20 млн ₽ для юридических лиц; ч. 18 (повторное нарушение по ч. 16 или ч. 17) — оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Отдельный состав ст. 13.11.3 КоАП предусматривает штраф 500 тыс. — 1 млн ₽ за нарушения при размещении биометрии в ЕБС банками и МФЦ.
2. Что такое оборотный штраф 1–3% по ч. 18 ст. 13.11?
Оборотный штраф рассчитывается от совокупной выручки компании за предшествующий календарный год. Минимальная сумма — 20 млн ₽ (даже если 1% выручки меньше), максимальная — 500 млн ₽ (даже если 3% выручки больше). Он применяется при повторном совершении нарушения по ч. 16 или ч. 17 ст. 13.11. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным штрафам не применяется.
3. Когда применяется минимум 20 млн ₽ по оборотному составу?
Минимум 20 млн ₽ применяется, когда расчётная сумма (1–3% выручки) оказывается ниже этого порога. Например, при выручке компании 500 млн ₽ за год даже 3% составит 15 млн ₽ — штраф всё равно будет 20 млн ₽. При наличии подтверждённых инвестиций в ИБ (не менее 0,1% выручки за 3 года) льготный минимум по ст. 4.1 КоАП снижается до 15 млн ₽, максимум — до 50 млн ₽.
4. Можно ли заменить штраф по ч. 17 ст. 13.11 на предупреждение?
Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда. Ч. 18 ст. 13.11 (оборотный) из этого механизма исключена. По ч. 17 при первичной утечке биометрии теоретически применима, но на практике доказать отсутствие вреда при компрометации биометрических данных крайне сложно — суды, как правило, расценивают сам факт утечки биометрии как причинение вреда субъектам.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508?
ФЗ-508 от 28.12.2025 вернул подсудность дел по ст. 13.11 КоАП мировым судьям. С 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. С 28.12.2025 — снова мировые суды. Это влияет на тактику обжалования: апелляционная инстанция для мировых судей — районный суд, не арбитражный. При этом протоколы по-прежнему составляет Роскомнадзор.
Итог
Ч. 17 ст. 13.11 КоАП — один из наиболее жёстких необоротных составов в актуальной редакции закона: минимальный штраф для юридического лица составляет 15 млн ₽. В связке с ч. 18 (оборотный за повторность) биометрический блок ст. 13.11 создаёт риск, сопоставимый по размеру с утечками крупнейших массивов обычных ПДн. Компании, работающие с ЕБС по 572-ФЗ, несут двойную нагрузку: процедурные требования по ст. 13.11.3 и инцидентные по ч. 17.
DATUM сопровождает операторов биометрических систем — банки, МФО, работодателей с биометрическим СКУД, ИТ-подрядчиков — в части оценки рисков по ч. 16–18 ст. 13.11 КоАП, подготовки к проверкам РКН и защиты в судебных разбирательствах по биометрическим составам.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1
- Аудит соответствия 152-ФЗ — проверка обработки биометрии, соответствие ст. 11 ФЗ-152 и требованиям 572-ФЗ
- Сопровождение проверок РКН — подготовка, присутствие на проверке, обжалование предписаний
29 января 2028 года