Практика привлечения к ответственности за утечку персональных данных ставит перед сообществом вопрос: не идем ли мы к тому, что любая утечка автоматически будет означать вину оператора, а пропущенная атака — свидетельствовать о небрежности к требованиям по обеспечению информационной безопасности (далее — ИБ), то есть к повсеместному объективному вменению? Результат — штрафы по 13.11 КоАП РФ, а в некоторых сферах (в первую очередь, в банковской) также и крупные компенсации субъектам.
Согласно ст. 13.11 КоАП РФ, оператор несет ответственность и за действия, и за бездействие, результатом которых стала утечка данных. Примером действий может быть неправильная конфигурация «облака», размещение базы данных на открытом ресурсе или, как было в деле №А51-17988/2025, отправка паспортных данных группы туристов в общий чат с теми же туристами. В этих случаях оператор несет ответственность за волевое, намеренное действие.
Ситуации бездействия сложнее. В них оператор несет ответственность за инциденты, фактической причиной которых были намеренные действия третьих лиц — внешних или внутренних нарушителей.
Отметим сразу, что законодательство не должно потворствовать беспечности в вопросах ИБ и экономии на безопасности клиентов или сотрудников. Оператор должен нести ответственность за отсутствие разумных мер защиты данных, результатом которого стала утечка. Но эта ответственность не должна быть абсолютной. Законодательство должно стимулировать ответственных операторов, которые заботятся о безопасности информации, давая им гарантию того, что их усилия будут зачтены при определении ответственности. Для этого законодательство устанавливает некую «верхнюю границу» осмотрительности в вопросах безопасности, после которой суд должен сделать вывод о том, что оператор сделал все возможное, чтобы предотвратить утечку и, следовательно, не несет за нее ответственность. В таком случае суд признает, что оператор обеспечил должный уровень безопасности, но нарушитель действовал столь изощренно и упорно, что никакой разумный оператор не мог бы его остановить. Так атака злоумышленников принимает характер форс-мажорного обстоятельства. Отсутствие же такой «верхней границы» и является объективным вменением, ситуацией, где за любым инцидентом по вине третьих следует ответственность оператора. Такая ситуация, кстати, также приводит к снижению инвестиций в ИБ — оператор не видит в этом выгоды, поскольку в любом случае будет оштрафован в случае инцидента.
Установка «верхней границы» безопасности — сложная задача для законодателя. Подобная граница должна быть динамичной и повышаться соответственно масштабу обработки данных. Она не должна быть излишне конкретной, поскольку это приведет к губительному для ИБ формализму, но и не должна быть абстрактной, поскольку тогда она станет неэффективной.
Самой известно мировой практикой установки «верхней границы» разумной безопасности является статья 32 GDPR. Согласно ей разумный оператор должен защищать данные, принимая во внимание современный уровень развития технологий и разумный объем расходов на ИБ. Таким образом, в случае инцидента по вине третьей стороны, в особенности хакерской атаки, оператор имеет сразу два довода для доказывания своей невиновности.
- Первый — что на рынке в принципе не существует решения, способного защитить от такой атаки со 100% эффективностью.
- Второй — что защита от такой атаки потребовала бы непропорциональных и неподъемных для бизнеса расходов.
Пример использования принципа «верхней границы» приведен в знаковом решении Европейского суда по делу С-340/21. В этом деле суд принял во внимание, что оператор выстроил систему защиты информации в соответствии с лучшими практиками рынка, разумно как выделял, так и расходовал бюджет на защиту данных. Причиной утечки стали действия внутреннего нарушителя, который намеренно и последовательно обходил системы защиты информации. Это решение ввело практику «проверки адекватности» (adequacy test) принимаемых мер защиты при определении вины оператора.
В свою очередь статья 19 отечественного ФЗ «О персональных данных», определяющая порядок защиты данных при их обработке, указывает на обязанность оператора принимать «необходимые» меры безопасности. Минимальные меры приведены, к примеру, в профильных приказах ФСТЭК России, а вот «верхняя граница» в отраслевом законодательстве не прослеживается ни прямо, ни косвенно. На практике это приводит к ситуациям, описанным ниже.
В деле №А39-7047/2025 суд рассматривал вину оператора в утечке, произошедшей в результате действий хакеров. Факт атаки был подтвержден не только внутренним расследованием, но и публичным заявлением самих хакеров и никем не оспаривался. Суд отметил — угроза (обществу) от нарушений требований к обеспечению ИБ проявляется не в последствиях утечки, а в пренебрежительном отношении конкретного оператора к защите данных. Верный вывод, который должен означать, что в деле должно быть исследовано то, насколько серьезно оператор отнесся к вопросу безопасности данных при их обработке. Но вместо этого суд ограничился замечанием, что он не усмотрел препятствий для оператора, которые мешали бы выполнить требования законодательства об обеспечении безопасности данных при обработке. Оператор был признан виновным в утечке.
Схожим образом в деле №А33-20866/2025 оператор сослался на то, что причиной утечки стала ошибка сотрудника, который направил персональные данные клиента А на электронную почту клиента Б. Суд указал, что оператор, во-первых, отвечает за действия работников, а во-вторых, не обеспечил должную защиту данных, поскольку инцидент фактически является утечкой. Следует предположить, что суды исходят из технической возможности перехвата исходящего сообщения. У оператора не было решения такого класса? Вина оператора.
Аналогичный сценарий представлен в деле №А55-36038/2025, однако в нем причиной утечки стали намеренные действия внутреннего нарушителя. При увольнении работники сфотографировали экраны рабочих компьютеров, фотографии всплыли в сети и оператор был признан виновным в утечке. Опять же, технически, решения, которые позволяют блокировать такие нарушения, существуют, однако их эффективность далеко не абсолютна. Суд не принял во внимание сложность противодействия подобному типу угроз.
Так в практике судов РФ наметилось движение в сторону абсолютного признания вины оператора в утечке. Административная практика дополняется гражданской, где риск компьютерной атаки всецело возлагается на пострадавшую от нее сторону. Более того, из решения в решение кочует идея о том, что компьютерные атаки являются нормальным, известным и обыденным риском для российского рынка. Следовательно, неподготовленность оператора к атакам является проблемой последнего. Так в деле №А75-13132/2025 компьютерная атака не была признана достаточным оправданием для просрочки платежа, который не прошел из-за сбоя информационной системы. А в деле №А33-25417/2025 атака на систему взаимодействия клиент-оператор не была признана достаточным основанием для неисполнения оператором своих обязанностей по заявкам, направленным клиентом, поскольку он мог выполнить их альтернативными способами.
Однако, противоположная практика тоже имеется. Недавним примером стало Постановление Апелляционного суда по делу №А40-263206/2025 (ПАО «РЖД»), в котором выводы суда первой инстанции о вине оператора в утечке данных были названы преждевременными. Причина в том, что в материалы дела были представлены доказательства признания оператора потерпевшим в преступлении, предусмотренном ст. 272 УК РФ. Суд отметил, что фактическая причина утечки — действия хакеров, а РКН не представил доказательств бездействия оператора.
Суд не исследовал принятых мер защиты. Более того, оператор представил в дело результаты внутреннего расследования, которое не обнаружило самого факта утечки. Учитывая уголовное дело и малое количество информации об утечке и у РКН, и у оператора, суд принял решение, что пока о вине последнего в инциденте говорить преждевременно. Возможно, если бы хакера удалось поймать, допросить и узнать, насколько сложно ему было преодолевать выстроенные оператором системы защиты, то тогда уже можно было бы вести речь о вине самого оператора.
Более близкими к идее исследования разумности и достаточности мер защиты информации являются решения по делам №5-309/54/2023 (ООО «Спортмастер», Постановление Мирового судьи судебного участка №54 г. Москвы по делу №5-309/2023 от 05.07.2023) и №05-1048/244/2023 (АО «АльфаСтрахование», Постановление Мирового судьи судебного участка №244 г. Москвы по делу №05-1048/2023 от 25.09.2023), которые были вынесены в 2023 году. В обоих делах операторы были признаны невиновными, а дела были прекращены. Суды приняли во внимание, что причиной инцидента была компьютерная атака, то есть намеренные действия третьих лиц по преодолению систем защиты. При этом в тексте обоих решений отмечено, что оператор соблюдал все применимые положения 152-ФЗ, в том числе и о защите данных при обработке. Также суды учитывали и действия после компьютерной атаки: локализацию инцидента, работу с субъектами ПДн и повышение уровня защиты информации.
Значит, в сфере административной ответственности все же есть возможность доказать отсутствие вины Оператора в бездействии, ставшем причиной утечки данных. Автор считает следующую последовательность аргументов имеющей небольшие шансы на успех.
В первую очередь необходимо обосновать, что оператор вел себя добросовестно в вопросе принятия на себя риска возможных атак злоумышленников и иных инцидентов ИБ и готовился к ним заранее. Для этого необходима модель угроз, включающая в себя и ту угрозу, которая была реализована нарушителем. Представляя суду модель угроз, оператор получает возможность показать, как именно он готовился к ее предотвращению. Иными словами, каким именно способом он исполнял свою публично-правовую обязанность защищать данные. Именно модель угроз в данном случае определяет, какие действия и средства будут являться разумными.
Далее необходимо доказать, что все разумные действия по защите данных были исполнены. Доказательствами послужат результаты внутренних и внешних аудитов и сертификаций, акты ввода СЗИ в эксплуатацию (или документы, подтверждающие их покупку), заключения внутренних комиссий и должностные записки.
В заключении необходимо доказать, что причиной утечки стало преодоление разумного уровня защиты третьим лицом — нарушителем. Для этого необходимо представить материалы внутреннего расследования, в котором будет указан способ реализации атаки. Следует делать акцент на использованных уязвимостях и их природе: технической, организационной или психологической.
Оператор, сумевший показать последовательную и реалистичную картину нарушения и усилий по противодействию ему, будет иметь серьезные шансы на успех.
Развить их поможет работа с результатами инцидента: своевременное уведомление РКН, сотрудничество с ведомством в удалении утекших данных, локализация инцидента и минимизация ущерба для субъекта.
