аналитика 11 марта 2029 По состоянию на 11 марта 2029

Токенизация карт: ПДн или нет

Токен платёжной карты — это суррогатный идентификатор, который заменяет PAN при расчётах. Вопрос о том, считать ли его персональными данными, напрямую влияет на правовое основание обработки, обязательства по локализации и размер штрафа при утечке.

С 30.05.2025 утечка от 1 000 до 10 000 субъектов грозит юрлицу штрафом 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; при повторности — оборотный штраф до 500 млн ₽ по ч. 15. Для финансовых директоров это прямая строка бюджетного риска.

→ Если ваша компания обрабатывает токены карт или биометрию клиентов — проверьте правовую квалификацию до того, как РКН сделает это за вас.

Для финансового директора токенизация — прежде всего инструмент снижения PCI DSS-нагрузки и операционного риска. Но с 2025 года регуляторная среда усложнилась: ФЗ-420 от 30.11.2024 ввёл 18 частей в ст. 13.11 КоАП, ФЗ-572 закрепил ЕБС как единственное хранилище биометрии, а ФЗ-156 с 01.09.2025 потребовал отдельного согласия на каждую цель обработки. Ответ на вопрос «токен — это ПДн?» определяет, какие из этих норм применимы, и сколько стоит ошибка.

Что такое токен карты и почему вопрос о ПДн возникает?

Платёжный токен (payment token) — случайная последовательность символов, привязанная к PAN (номеру карты) через таблицу соответствия у эмитента или токенизационного провайдера. Сам по себе токен не позволяет однозначно установить личность держателя карты без обращения к этой таблице.

Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому либо определяемому физическому лицу. Ключевое слово — «косвенно определяемому». Если оператор хранит токен совместно с именем, номером телефона или историей транзакций, идентификация становится тривиальной. В этом случае токен превращается в ПДн.

«Ст. 3 ФЗ-152: персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).»

Таким образом, ответ зависит не от природы токена, а от контекста его хранения. Изолированный токен без таблицы соответствия — технический идентификатор. Токен в базе рядом с ФИО, датой рождения или историей покупок — персональные данные, к которым применяются все требования ФЗ-152: локализация по ч. 5 ст. 18, уведомление РКН по ст. 22, защитные меры по ст. 19.

Как банки и МФО применяют ст. 16 ФЗ-152 при скоринге?

Автоматизированная обработка ПДн, порождающая юридически значимые последствия для субъекта — в первую очередь отказ в кредите, — регулируется ст. 16 ФЗ-152. Норма требует либо прямого согласия субъекта на такое решение, либо иного законного основания, установленного федеральным законом.

На практике скоринговая модель банка или МФО обрабатывает данные из нескольких источников: внутренняя история транзакций, сведения из БКИ по ФЗ-218, данные ЕБС при биометрической идентификации по ФЗ-572. Токенизированные транзакционные данные входят в скоринговый профиль. Если они квалифицированы как ПДн — автоматизированное решение по ним попадает под ст. 16 ФЗ-152.

«Ст. 16 ФЗ-152: решение, порождающее юридические последствия для субъекта или существенно затрагивающее его права и законные интересы, не может быть принято только на основании автоматизированной обработки его персональных данных без согласия субъекта или иного законного основания.»

Для МФО ситуация острее: они чаще применяют полностью автоматизированный андеррайтинг, а документация по ст. 16 нередко отсутствует или сводится к пункту в договоре оферты. После 01.09.2025 такой пункт недостаточен — согласие должно быть оформлено отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156.

Финансовый директор видит строку «ИБ и комплаенс» в бюджете — но не видит, что именно покупает?

Если токенизированные данные в вашей системе квалифицированы как ПДн, а правовое основание обработки при скоринге не задокументировано, — это готовый состав по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) и ч. 2 (300–700 тыс. ₽). При повторности включается оборотный счётчик. Аудит покажет реальный профиль риска за фиксированную сумму — до того, как покажет РКН.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Биометрия в банке: ЕБС, ФЗ-572 и запрет хранить вне системы

Биометрические персональные данные — это сведения об изображении лица и голосе, которые используются для установления личности субъекта. Такое определение следует из ст. 11 ФЗ-152 в совокупности с ФЗ-572 о Единой биометрической системе.

С 01.06.2023 банки, МФЦ и иные организации, которые ранее собирали биометрию самостоятельно, обязаны передать её в ГИС ЕБС (оператор — АО «Центр Биометрических Технологий») и удалить собственные копии. Хранить исходные биометрические шаблоны вне ЕБС запрещено.

В контексте токенизации это означает следующее: если банк токенизирует биометрические шаблоны для внутреннего распознавания и хранит токен-биометрию вне ЕБС — это нарушение ФЗ-572. Санкция — ч. 16 или ч. 17 ст. 13.11 КоАП. При утечке биометрических ПДн штраф составляет 15–20 млн ₽ по ч. 17. При повторности — оборотный по ч. 18.

«Ст. 11 ФЗ-152 в связке с ФЗ-572: биометрические ПДн обрабатываются только с письменного согласия субъекта; хранение биометрических шаблонов допустимо исключительно в ГИС ЕБС с 01.06.2023.»

Отдельный риск — ч. 8 ст. 14.8 КоАП: отказ обслуживать клиента, который не предоставил биометрию в ЕБС, влечёт штраф до 500 тыс. ₽. Банки и МФО, которые сделали биометрическую идентификацию обязательным условием выдачи продукта, создают двойной риск: нарушение прав потребителя и административную ответственность.

Что грозит финансовой компании при утечке токенизированных данных?

Если токены хранятся вместе с атрибутами субъекта и квалифицируются как ПДн, утечка базы токенов — это утечка персональных данных со всеми последствиями ст. 13.11 КоАП в редакции с 30.05.2025.

Градация штрафов по числу субъектов:

от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12 ст. 13.11);
от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13);
более 100 000 субъектов — 10–15 млн ₽ (ч. 14);
повторная утечка — 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽ (ч. 15).

Дополнительно: неуведомление РКН об инциденте в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187) влечёт самостоятельный штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Срок не восстанавливается.

Для финансового директора это означает: при крупной утечке платёжной базы совокупная санкция складывается минимум из двух составов — по факту утечки и по факту неуведомления. Если нарушение повторное — включается оборотный счётчик ч. 15, и 1% выручки среднего банка легко превышает 100 млн ₽.

Что подготовить финансовой компании по токенизации и ПДн

Провести классификацию токенов: изолированные (не ПДн) или контекстно связанные (ПДн) — зафиксировать в реестре систем обработки.
Проверить уведомление в реестре РКН (pd.rkn.gov.ru): указаны ли в нём платёжные и транзакционные данные как категория обрабатываемых ПДн.
Актуализировать правовое основание скоринга по ст. 16 ФЗ-152: отдельное согласие или федеральный закон.
Убедиться, что биометрические шаблоны переданы в ЕБС и удалены из собственных систем; проверить регламент взаимодействия с АО «ЦБТ».
Подготовить процедуру уведомления РКН об инциденте за 24/72 часа по Приказу РКН №187 — с назначением ответственного и шаблоном первичного уведомления.

Типовые ситуации: как финансовый директор сталкивается с проблемой

Ситуация 1. Токены в аналитической базе без изоляции. Финтех-компания (Приволжский ФО, осень 2025) хранила токены платёжных карт в единой аналитической БД совместно с идентификаторами пользователей, историей транзакций и геолокацией. При внешнем аудите выяснилось: таблица соответствия токен — PAN находилась в той же инфраструктуре. Весь массив квалифицирован как ПДн. Уведомление в РКН не включало транзакционные данные как отдельную категорию. Компании предстояло внести изменения в реестр, переоформить согласия и заплатить штраф в десятки тысяч рублей по ч. 10 ст. 13.11 за неполноту уведомления. Привлечение юристов до проверки сократило бы итоговые затраты втрое.

Ситуация 2. МФО с автоматизированным скорингом и устаревшими согласиями. Микрофинансовая организация (Уральский ФО, начало 2026) использовала полностью автоматизированную модель принятия кредитных решений. Согласие на обработку ПДн было встроено в договор оферты. После 01.09.2025 такая форма не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Одновременно отсутствовала документация по ст. 16 ФЗ-152 для автоматизированных решений. При проверке РКН выявил два самостоятельных нарушения: ч. 2 ст. 13.11 (отсутствие надлежащего согласия, штраф 300–700 тыс. ₽) и ч. 1 (обработка за пределами задокументированных целей, штраф 150–300 тыс. ₽). Юристы оспорили один из составов, применив ст. 4.1.1 КоАП с учётом первичности нарушения.

Если финансовый директор видит, что согласия на обработку ПДн встроены в договоры и не обновлялись после 01.09.2025 — это готовый состав по ч. 2 ст. 13.11 (до 700 тыс. ₽). Комплект ОРД под ключ закрывает этот риск за фиксированную стоимость.

Собрать ОРД под ключ

Как 115-ФЗ и НПС пересекаются с режимом ПДн

Банки и платёжные системы обрабатывают данные клиентов одновременно в нескольких правовых режимах. Идентификация по 115-ФЗ («антиотмывочный» закон) требует сбора и хранения сведений о клиенте в объёме, достаточном для установления личности. Эти данные неизбежно персональные и попадают под ФЗ-152.

Национальная платёжная система (НПС) и её оператор — Банк России — устанавливают требования к защите информации в платёжных системах. Токены в контексте НПС — технический элемент платёжного инструмента. Однако связка «токен + субъект» у эмитента карты — ПДн, которые локализуются в России по ч. 5 ст. 18 ФЗ-152 и не могут первично обрабатываться за рубежом.

Практически это означает, что финтех-компании, использующие зарубежные токенизационные провайдеры или облачные платёжные шлюзы, должны проверить: где физически хранится таблица соответствия токен — PAN и связанные атрибуты субъекта. Если за рубежом — нарушение ч. 5 ст. 18 ФЗ-152, штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽, при повторности — от 6 до 18 млн ₽.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — классификация токенов, реестр систем, пробелы в правовых основаниях
Комплект ОРД под ключ — согласия по ФЗ-156, документация по ст. 16, регламент 24/72 часа
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает обусловливать предоставление услуги обязательным предоставлением биометрии в ЕБС. Клиент вправе отказаться от биометрической идентификации и получить услугу иным способом. Нарушение влечёт штраф для юрлица до 500 тыс. ₽. Банки и МФО, которые встроили биометрию как обязательное условие в договор или регламент, создают административный риск по двум основаниям одновременно — нарушение прав потребителя и ФЗ-572.

2. Что грозит МФО за утечку токенизированной базы клиентов?

Если токены хранятся в контексте, позволяющем идентифицировать субъекта, — это утечка ПДн. При числе субъектов от 1 000 до 10 000 штраф составляет 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в ред. с 30.05.2025). Дополнительно — штраф 1–3 млн ₽ за неуведомление РКН в 24 часа по ч. 11 той же статьи. При повторном нарушении подключается оборотный штраф ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽.

3. Какое правовое основание для обработки ПДн в банке при выдаче кредита?

Основным основанием служит п. 5 ч. 1 ст. 6 ФЗ-152 — необходимость исполнения договора, стороной которого является субъект. Скоринговая обработка данных из БКИ дополнительно опирается на ФЗ-218: субъект при запросе кредита даёт согласие на запрос в бюро кредитных историй. Для автоматизированных решений, существенно затрагивающих права субъекта, необходимо отдельное правовое основание по ст. 16 ФЗ-152 — согласие или прямая норма федерального закона.

4. Где хранится биометрия — в банке или в ЕБС?

С 01.06.2023 исходные биометрические шаблоны (изображение лица, голос) хранятся исключительно в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». Банки обязаны передать ранее собранные шаблоны в ЕБС и удалить собственные копии. Хранение биометрии вне ЕБС — нарушение ФЗ-572. При утечке биометрических ПДн вне ЕБС применяется ч. 17 ст. 13.11 КоАП: штраф 15–20 млн ₽ для юрлица.

5. Как оспорить отказ в кредите, если решение принято автоматически?

По ст. 16 ФЗ-152 субъект вправе потребовать от оператора рассмотрения заявления лицом, не принимающим решения исключительно на основе автоматизированной обработки. Оператор обязан рассмотреть такое заявление и уведомить субъекта о результате. Если оператор отказывается или не отвечает в срок (10 рабочих дней по ст. 20 ФЗ-152), субъект вправе обратиться в РКН с жалобой. Для кредитного учреждения это означает риск проверки и протокола по ст. 13.11 КоАП.

Итог

Токен платёжной карты — не ПДн сам по себе, но становится им в момент, когда хранится в связке с идентифицирующими атрибутами субъекта. Для финансовой компании это означает: архитектура хранения данных напрямую определяет правовой режим и объём санкций при нарушении. Биометрия — отдельная категория с жёсткими требованиями ФЗ-572 и ЕБС, скоринг — зона риска по ст. 16 ФЗ-152, локализация — обязательное условие для любого оператора, чьи клиенты — граждане РФ.

Практика DATUM в финансовом секторе охватывает классификацию токенизированных баз, документирование правовых оснований по ст. 6 и ст. 16 ФЗ-152, сопровождение взаимодействия с РКН и защиту в арбитраже при протоколах по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

11 марта 2029 года