Защита банка от штрафа по ч. 17 ст. 13.11
Финансовый директор банка или МФО сталкивается с ч. 17 ст. 13.11 КоАП там, где раньше видел только общую ст. 13.11. С 30 мая 2025 года биометрические персональные данные выделены в отдельный состав: утечка лица, голоса, радужки или отпечатков — это 15–20 млн рублей вне зависимости от числа субъектов. Настоящий материал разбирает, как устроен состав, какие смягчающие обстоятельства работают в арбитраже, и что нужно подготовить до того, как придёт протокол Роскомнадзора.
Что такое биометрические персональные данные в банке и почему ч. 17 применяется чаще, чем кажется?
Биометрические персональные данные — это физиологические или биологические характеристики человека, по которым его можно однозначно идентифицировать: изображение лица, голосовая запись, отпечатки пальцев, рисунок радужной оболочки, ДНК (ст. 11 ФЗ-152). Для банков это не экзотика: видеозапись в отделении, голосовой робот в контакт-центре, Face ID при входе в мобильное приложение — всё это биометрия по позиции Роскомнадзора при наличии цели идентификации.
Часть 17 ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025) устанавливает самостоятельный состав: утечка биометрических персональных данных влечёт штраф для юридического лица в размере от 15 до 20 млн рублей. Это выше максимума по ч. 14 (10–15 млн за утечку свыше 100 000 субъектов общих данных). Норма применяется независимо от числа затронутых субъектов — достаточно факта утечки биометрии.
На практике финансовые организации попадают под ч. 17 по трём типичным сценариям. Первый — утечка базы клиентов с фотографиями и голосовыми записями из CRM или контакт-центра. Второй — инцидент на стороне вендора биометрической СКУД или системы видеоаналитики. Третий — компрометация данных в рамках удалённой идентификации вне ЕБС (собственные решения банка без использования Единой биометрической системы).
Отдельный вопрос — разграничение с ч. 14 и со ст. 13.11.3 КоАП. Статья 13.11.3 регулирует нарушения при размещении биометрии в ЕБС (банками, МФЦ, операторами ЕБС): штраф для юрлица 500 тыс. — 1 млн рублей. Часть 17 применяется, когда речь о биометрии вне ЕБС или когда организация хранила биометрию самостоятельно после вступления в силу ФЗ-572. Для финансового директора это означает, что собственные биометрические базы вне ЕБС создают риск именно по ч. 17, а не по ст. 13.11.3.
Как ч. 17 взаимодействует с ФЗ-572, ФЗ-218 и специальным регулированием финансового сектора?
Банки работают в пересечении нескольких регуляторных пластов, каждый из которых усиливает риск по ч. 17.
ФЗ-572 и ЕБС. С 1 июня 2023 года банки обязаны хранить исходную биометрию только в Единой биометрической системе (ГИС ЕБС), оператором которой выступает АО «Центр Биометрических Технологий». Хранение биометрии во внутренних базах вне ЕБС после этой даты — нарушение ФЗ-572. Если такая база утекла, Роскомнадзор квалифицирует ситуацию по ч. 17 ст. 13.11, а не по ст. 13.11.3: речь об утечке, а не о нарушении порядка размещения.
ФЗ-218 и БКИ. Бюро кредитных историй — операторы персональных данных. Кредитная история включает идентификационные данные субъекта, но не биометрию в строгом смысле. Однако ряд систем скоринга интегрирован с биометрической верификацией: голосовой антифрод, видеоверификация при оформлении онлайн-займа. Утечка из такой интегрированной системы создаёт одновременно риски по ФЗ-218 (нарушение порядка работы с кредитной историей) и по ч. 17 ст. 13.11 (биометрия).
Ст. 16 ФЗ-152 и скоринг. Автоматизированная обработка персональных данных с принятием решений, существенно влияющих на права субъекта (отказ в кредите), требует отдельного согласия и возможности оспорить решение. Когда в скоринговой модели используются биометрические параметры, согласие должно прямо описывать биометрическую обработку. Его отсутствие создаёт состав по ч. 2 ст. 13.11 (отсутствие согласия), а при утечке — по ч. 17.
115-ФЗ и идентификация. Банки обязаны идентифицировать клиентов по антиотмывочному законодательству. Часть этой идентификации строится на биометрических данных. Важно разграничить: биометрия для целей 115-ФЗ не освобождает от требований ФЗ-572 и ст. 11 ФЗ-152. Ошибочное смешение этих оснований — типичная причина уязвимостей в ОРД банков.
НПС и платёжные данные. Национальная платёжная система (НПС) регулирует защиту информации в платёжной инфраструктуре. Отдельные требования Банка России (ГОСТ Р 57580) пересекаются с ПП РФ №1119 по уровням защищённости. Если платёжная система хранит биометрические параметры для подтверждения транзакции, требования суммируются.
Финансовый директор оценивает риски по биометрии — с чего начать?
Типичная картина: банк или МФО использует биометрию в нескольких точках (контакт-центр, СКУД, мобильное приложение), но единого реестра таких систем нет. Роскомнадзор при проверке видит несоответствие уведомления фактической обработке и возбуждает дело по ч. 2 и ч. 17. Стоимость аудита биометрической обработки — от 100 000 рублей. Стоимость штрафа по ч. 17 — от 15 000 000 рублей.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Какие смягчающие обстоятельства снижают штраф по ч. 17 — и когда работает ст. 4.1 КоАП?
Штраф по ч. 17 — от 15 до 20 млн рублей. Это фиксированный диапазон, но правоприменитель (с декабря 2025 года — мировой судья после ФЗ-508 от 28.12.2025) назначает конкретную сумму с учётом смягчающих и отягчающих обстоятельств по ст. 4.2 и ст. 4.3 КоАП.
Ст. 4.1 КоАП — инвестиции в информационную безопасность. Примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420) устанавливает: если оператор вложил в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) снижается до 1/10 минимального размера — но не менее 15 млн рублей и не более 50 млн рублей. Для ч. 17 (необоротный состав) это примечание применяется косвенно, через общую логику ст. 4.2 КоАП как смягчающее обстоятельство при мотивировании судьёй конкретной суммы.
Замена на предупреждение по ст. 4.1.1 КоАП. Для субъектов малого и среднего предпринимательства при отсутствии вреда и первичности нарушения штраф может быть заменён на предупреждение. Однако применительно к ч. 17 это работает только в отношении МФО, имеющих статус микропредприятия, и только при первом нарушении. Крупные банки под ст. 4.1.1 не подпадают. Ст. 4.1.1 не применяется к оборотным составам — ч. 15 и ч. 18.
Ст. 4.2 КоАП — конкретные смягчающие обстоятельства. Суды учитывают: добровольное уведомление РКН об утечке в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152); устранение нарушения до вынесения постановления; возмещение ущерба субъектам; сотрудничество с регулятором; наличие аттестованной ИСПД и выполнение требований Приказа ФСТЭК №21. Оперативное уведомление — наиболее весомый аргумент в арбитраже, поскольку демонстрирует добросовестность оператора.
Оборотный штраф по ч. 18. Повторное нарушение по ч. 16 или ч. 17 влечёт оборотный штраф: 1–3% совокупной годовой выручки, не менее 20 млн рублей, не более 500 млн рублей. Для крупного банка это может составить сотни миллионов рублей. Именно поэтому финансовому директору важно закрыть риск по ч. 17 до первого инцидента, а не после второго.
Практические сценарии: банк, МФО, финтех-платформа
Сценарий 1. Банк: утечка из контакт-центра с голосовыми записями. Контакт-центр банка хранит записи звонков с верифицированными клиентами. Подрядчик по технической поддержке получает несанкционированный доступ к базе. Утечка охватывает голосовые слепки 30 000 клиентов. Роскомнадзор возбуждает дело по ч. 17 ст. 13.11. Ключевые вопросы: есть ли договор поручения с подрядчиком (ч. 3 ст. 6 ФЗ-152), было ли уведомление за 24 часа (ч. 3.1 ст. 21), есть ли аттестованная ИСПД. Если договор поручения оформлен корректно, а уведомление направлено вовремя, — суд при назначении штрафа, вероятно, выберет сумму ближе к нижней границе диапазона (15 млн ₽). Без этих документов позиция слабее, а штраф тяготеет к верхней границе (20 млн ₽). Стратегия: приоритет — документировать факт уведомления и корректность поручения; в арбитраже апеллировать к ст. 4.2 КоАП.
Сценарий 2. МФО: видеоверификация на стороннем сервисе без договора поручения. МФО использует облачный сервис видеоверификации при выдаче онлайн-займов. Договор с сервисом — лицензионный, без условий о поручении обработки ПДн. Сервис взломан, видеозаписи с изображениями лиц заёмщиков утекают в публичный доступ. РКН квалифицирует ситуацию по ч. 17 (биометрия) и ч. 2 ст. 13.11 (отсутствие надлежащего согласия, поскольку согласие не описывало передачу биометрии третьему лицу). МФО имеет статус малого предприятия. Применение ст. 4.1.1 КоАП теоретически возможно по ч. 17, если нарушение первичное и вред субъектам не доказан — но Роскомнадзор, как правило, настаивает на штрафе. Стратегия: доказывать отсутствие умысла, устранение нарушения, компенсацию субъектам; ходатайствовать о применении ст. 4.1.1.
Сценарий 3. Финтех-платформа: биометрическая СКУД для сотрудников. Финтех-компания использует систему контроля доступа с распознаванием лиц для сотрудников. База шаблонов лиц хранится локально на сервере офиса. В результате атаки шаблоны компрометируются. Субъекты — работники, а не клиенты. Часть 17 применима: законодатель не разграничивает биометрию клиентов и сотрудников. Дополнительно — риск по ч. 2 ст. 13.11, если согласия работников на обработку биометрии оформлены ненадлежащим образом (с 01.09.2025 требуется отдельный документ по ФЗ-156 от 24.06.2025). Стратегия: немедленное уведомление РКН, ревизия согласий работников, подготовка документального подтверждения мер защиты по Приказу ФСТЭК №21.
Если финансовый директор получил запрос РКН по биометрии или в компании произошёл инцидент — у вас 24 часа на первичное уведомление (ч. 3.1 ст. 21 ФЗ-152). Этот срок не восстанавливается, его пропуск сам по себе создаёт состав по ч. 11 ст. 13.11 (штраф 1–3 млн ₽ дополнительно к ч. 17).
Заказать аудит 152-ФЗЧто подготовить финансовой организации для защиты от ч. 17
Что подготовить
- Реестр систем, обрабатывающих биометрию: СКУД, контакт-центр, мобильное приложение, скоринговые модели с биометрическими параметрами — с указанием правового основания для каждой.
- Письменные согласия клиентов и работников на обработку биометрических персональных данных в соответствии со ст. 11 ФЗ-152 и требованиями ФЗ-156 (отдельный документ с 01.09.2025).
- Договоры поручения обработки ПДн с вендорами биометрических систем по ч. 3 ст. 6 ФЗ-152 с условиями конфиденциальности и ограничения целей обработки.
- Подтверждение соответствия уровню защищённости по ПП РФ №1119: для биометрии и специальных категорий актуален УЗ-1 или УЗ-2 в зависимости от типа угроз и числа субъектов.
- Регламент реагирования на инциденты с таймлайном 24/72 часа согласно Приказу РКН №187 от 14.11.2022 и ответственным, назначенным по ст. 22.1 ФЗ-152.
Как арбитражная практика по ч. 17 формируется в 2025–2026 годах?
Норма ч. 17 введена ФЗ-420 и действует с 30 мая 2025 года. Практика по ней накапливается медленно: по данным InfoWatch за январь 2026 года, всего шесть административных штрафов назначено по новым нормам ст. 13.11 — суммарно около 570 тыс. рублей. Большинство дел 2025 года касаются инцидентов, произошедших до 30.05.2025, и квалифицированы по старой редакции статьи с существенно меньшими санкциями.
Два показательных ранних дела по новым нормам рассмотрены арбитражными судами в 2025–2026 годах. Арбитражный суд Москвы рассмотрел дело об утечке свыше 100 000 субъектов (квалификация по ч. 14) и назначил минимальный штраф — 150 тыс. рублей, применив старую редакцию, поскольку инцидент произошёл до 01.06.2025. Арбитражный суд Санкт-Петербурга и Ленинградской области в деле №А56-4733/2026 рассмотрел утечку около 70 000 субъектов (ФИО, должность, служебный email) после хакерской атаки и применил смягчающие обстоятельства.
Выводы для финансового директора: суды с готовностью снижают штраф при наличии документальных доказательств выполнения мер защиты и оперативного уведомления регулятора. Отсутствие этих документов лишает компанию возможности апеллировать к ст. 4.2 КоАП. С декабря 2025 года дела по ст. 13.11 перешли к мировым судьям (ФЗ-508), что влияет на специализацию рассматривающего лица — детальность юридической аргументации становится ещё важнее.
Кейс 1. Финтех-компания Северо-Западного федерального округа (осень 2025) получила протокол по ч. 17 ст. 13.11 после компрометации базы биометрических шаблонов системы видеоверификации. Финансовый директор компании инициировал аудит обработки ПДн за два месяца до инцидента, в результате которого был выявлен и частично устранён ряд нарушений. Суд учёл наличие утверждённой политики обработки ПДн, корректно оформленные согласия и уведомление РКН в течение 20 часов. Штраф назначен в сумме, близкой к нижней границе диапазона. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Кейс 2. МФО Приволжского федерального округа (начало 2026) получила протокол по ч. 17 после утечки видеозаписей верификации заёмщиков. Договор с облачным провайдером не содержал условий о поручении обработки ПДн. Суд применил смягчающие обстоятельства в виде добровольного устранения нарушения и отсутствия повторности, но отказал в применении ст. 4.1.1 КоАП, сославшись на значимость биометрических данных как категории. Итоговый штраф — в середине диапазона 15–20 млн ₽. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — полная проверка обработки биометрии в банке или МФО, выявление рисков по ч. 17.
- Комплект ОРД под ключ — согласия на биометрию, договоры поручения, регламент реагирования за 24/72 часа.
- Защита при штрафе в арбитраже — оспаривание протокола и постановления по ч. 17, применение ст. 4.1 и ст. 4.2 КоАП.
Частые вопросы
1. Можно ли отказать клиенту без биометрии?
По общему правилу — нет. Часть 8 ст. 14.8 КоАП (введена ФЗ-420) устанавливает ответственность за отказ в обслуживании потребителя, который не предоставил биометрию для Единой биометрической системы. Банк вправе предложить биометрическую идентификацию, но отказ клиента от её предоставления не может быть основанием для отказа в стандартном обслуживании. Исключения прямо установлены законом (например, идентификация по 115-ФЗ с использованием альтернативных методов).
2. Что грозит МФО за утечку биометрии?
МФО, допустившая утечку биометрических персональных данных (изображений лиц заёмщиков при видеоверификации, голосовых записей), несёт ответственность по ч. 17 ст. 13.11 КоАП — штраф от 15 до 20 млн рублей. Если МФО имеет статус малого предприятия и нарушение первичное — возможно ходатайство о применении ст. 4.1.1 КоАП (замена штрафа на предупреждение). Повторная утечка переводит дело в ч. 18 — оборотный штраф 1–3% выручки, не менее 20 млн рублей.
3. Какое правовое основание для обработки биометрии в банке?
Основное основание — письменное согласие субъекта по ст. 11 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом, не включается в договор или оферту. Исключения из требования согласия: судопроизводство, исполнение обязательных требований 115-ФЗ в части идентификации при строго предусмотренных законом случаях. Обработка биометрии в системах аналитики, скоринга или маркетинга без согласия — нарушение ч. 2 ст. 13.11 КоАП (300 000 — 700 000 рублей) плюс риск по ч. 17 при инциденте.
4. Где хранится биометрия клиентов банка?
С 01.06.2023 банки обязаны хранить исходную биометрию клиентов исключительно в Единой биометрической системе (ГИС ЕБС) — требование ФЗ-572 от 29.12.2022. Оператор ЕБС — АО «Центр Биометрических Технологий». Банк хранит у себя только токен или результат верификации, но не биометрический шаблон. Хранение исходных биометрических шаблонов во внутренних базах банка после 01.06.2023 — нарушение ФЗ-572 и основание для привлечения по ст. 13.11.3 КоАП. При утечке таких данных дополнительно применяется ч. 17.
5. Как оспорить отказ в кредите на основании биометрического скоринга?
Статья 16 ФЗ-152 устанавливает право субъекта потребовать от оператора, принявшего решение на основе исключительно автоматизированной обработки его персональных данных, рассмотрения этого решения с участием человека. Банк обязан обеспечить такую возможность и уведомить субъекта о праве на оспаривание. Срок рассмотрения обращения субъекта — 10 рабочих дней по ст. 20 ФЗ-152 (с возможностью продления ещё на 5 рабочих дней при уведомлении заявителя). Отсутствие процедуры оспаривания при автоматизированном скоринге с биометрией — нарушение ст. 16 ФЗ-152.
Итог
Часть 17 ст. 13.11 КоАП — самостоятельный состав с фиксированным диапазоном 15–20 млн рублей, не зависящим от числа субъектов. Для банков и МФО риск по ч. 17 присутствует везде, где есть биометрическая верификация, голосовые записи, системы видеоаналитики или СКУД с распознаванием лиц. Повторность переводит дело в оборотный штраф по ч. 18. Основные инструменты защиты — документальное подтверждение мер по ст. 19 ФЗ-152 и Приказу ФСТЭК №21, корректные договоры поручения с вендорами, письменные согласия на биометрию и уведомление РКН в течение 24 часов при инциденте.
Практика DATUM в финансовом секторе охватывает аудит биометрической обработки в банках, МФО и финтех-компаниях, подготовку ОРД под новые требования ФЗ-156, а также арбитражную защиту при протоколах по ч. 17 ст. 13.11 КоАП.
13 января 2029 года
Получили протокол по ч. 17 или оцениваете риски по биометрии?
Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram