В эпоху цифровой трансформации персональные данные становятся одним из наиболее ценных активов, а их защита — критически важной задачей для любой организации. По данным компании InfoWatch, в 2023 году количество утечек конфиденциальных данных в мире увеличилось в 2,4 раза, а число скомпрометированных записей персональных данных достигло 18,3 миллиарда. В России этот показатель составил 705 миллионов записей [4]. Эксперты констатируют, что персональные данные практически всех россиян уже продолжительное время находятся в открытом доступе [5]. В этих условиях правовые последствия утечки данных для корпораций и их должностных лиц приобретают особую актуальность.

Анализ статистических данных позволяет оценить реальные масштабы угрозы. Согласно информации, приведенной в исследовании С. Ю. Булочникова, за 2020–2021 годы было выявлено более 100 миллионов персональных данных и платежной информации граждан страны, попавших в свободный доступ [5]. При этом почти 80 % утечек произошло в результате умышленных и халатных действий сотрудников компаний. Особую тревогу вызывает тот факт, что в 2019 году доля таких случаев составляла лишь 38,7 %. Самыми незащищенными сферами деятельности в Российской Федерации являются сфера высоких технологий и финансовый сектор, где было зарегистрировано более 40 % утечек персональных данных [6].

Показательным примером является утечка данных в компании ООО «Яндекс.Еда» в феврале 2022 года, когда в открытом доступе оказались 6 миллионов 882 тысячи уникальных номеров телефонов. По заявлению представителей компании, утечка произошла из-за халатности сотрудника, имевшего доступ к данным. Аналогичный инцидент произошел в апреле 2022 года в ООО «Лаборатория Гемотест», где были скомпрометированы около 30 миллионов персональных данных клиентов [6]. Эти случаи наглядно демонстрируют, что даже крупные компании с развитой инфраструктурой информационной безопасности не застрахованы от утечек по вине персонала.

Ответственность юридического лица за утечку персональных данных может наступать в различных формах [3]. Наиболее существенной является административная ответственность, предусмотренная ст. 13.11 КоАП РФ [8]. В 2024 году законодатель существенно ужесточил санкции, введя дифференциацию штрафов в зависимости от количества пострадавших субъектов персональных данных. Согласно внесенным изменениям, при утечке данных от 1000 до 10 000 субъектов штраф для юридических лиц составляет от 3 до 5 млн рублей; при утечке от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей; при утечке более 100 000 субъектов — от 10 до 15 млн рублей [5]. В качестве примера, компания ООО «Яндекс.Еда» получила максимальный штраф по ранее действовавшей редакции статьи в размере 60 тысяч рублей, что при нынешних масштабах утечки было бы на несколько порядков выше [6].

Гражданско-правовая ответственность корпорации выражается в обязанности возместить убытки, причиненные субъектам персональных данных, а также компенсировать моральный вред. Юридические меры не создают для компаний существенного финансового риска, однако влекут потерю репутации и доверия клиентов. Это косвенное последствие зачастую оказывается более разрушительным, чем прямые финансовые санкции.

Репутационные потери — это особая категория последствий, не имеющая прямой денежной оценки, но способная привести к существенному снижению выручки и рыночной капитализации. После крупных утечек данных компании сталкиваются с оттоком клиентов и падением доверия, что в долгосрочной перспективе наносит ущерб, сопоставимый с многомиллионными штрафами [10].

Должностные лица корпораций несут самостоятельную ответственность за нарушения в сфере защиты персональных данных. В соответствии со ст. 13.11 КоАП РФ, для должностных лиц установлены административные штрафы, дифференцированные в зависимости от масштаба утечки: от 200 до 400 тыс. рублей при средней утечке, от 300 до 500 тыс. рублей при крупной утечке, от 400 до 600 тыс. рублей при особо крупной утечке [5; 8].

Уголовная ответственность предусмотрена ст. 183 УК РФ за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. При наличии квалифицирующих признаков (крупный ущерб, корыстная цель, тяжкие последствия) наказание может достигать семи лет лишения свободы [9]. Однако, как показывает практика, реальное привлечение к уголовной ответственности должностных лиц за утечки персональных данных происходит крайне редко в силу сложности доказывания вины и причинно-следственной связи между действиями конкретного лица и наступившими последствиями.

Дисциплинарная ответственность руководителей, допустивших утечку данных, может выражаться в увольнении по подпункту «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение охраняемой законом тайны. При этом работодатели сталкиваются с трудностями доказывания вины работника, что снижает эффективность данного механизма [7].

Анализ существующей практики позволяет выделить ряд системных проблем. Первая проблема связана с несоразмерностью санкций реальному ущербу. Несмотря на существенное увеличение административных штрафов, их размер остается несопоставимым с возможными потерями компании от утраты доверия клиентов. Как отмечается в исследовании Д. Маркуса, в зарубежных юрисдикциях истцы сталкиваются с проблемой доказывания конкретного фактического вреда, что делает гражданско-правовые иски малоэффективными [10, с. 566].

Вторая проблема — сложность доказывания вины конкретного должностного лица. В крупных корпорациях, где доступ к персональным данным имеют сотни сотрудников, выявить непосредственного виновника утечки технически сложно, а правовые механизмы привлечения к ответственности руководителя за ненадлежащую организацию защиты информации недостаточно проработаны.

Третья проблема связана с новыми технологическими вызовами, в частности с использованием технологии Deepfake (дипфейк). Как указывают А. А. Бычинская и С. И. Иванова, эта технология, основанная на использовании искусственного интеллекта, создает фальшивые цифровые материалы, которые могут реалистично имитировать оригиналы, а в основе этих материалов часто лежат персональные данные граждан, используемые незаконно [2, с. 32]. В ответ на этот вызов в 2024 году в Государственную Думу были внесены законопроекты, предлагающие признавать использование дипфейков отягчающим обстоятельством при совершении преступлений, а также закрепляющие за гражданином право распоряжаться записями своего голоса, в том числе синтезированного с помощью искусственного интеллекта [5].

В качестве перспективного направления защиты от последствий утечек персональных данных рассматривается киберстрахование. В западных странах киберстрахование является коммерчески популярным решением, позволяющим защищать предприятия и частных лиц от финансовых потерь, вызванных подверженностью киберрискам [1]. В России в 2024 году предложили ввести на законодательном уровне понятие «киберстрахование» — страхование от киберрисков, связанных с утечкой и неправомерным использованием персональных данных [5].

Предполагается, что с помощью этого механизма граждане смогут получать компенсации в случае утечек своих персональных данных из государственных информационных систем. Выплачивать компенсации будет оператор персональных данных, а именно Министерство цифрового развития, связи и массовых коммуникаций РФ, из собственных средств, что стимулирует государственные органы к повышению уровня защищенности информации.

Государственная Дума приняла законопроект об обязательном страховании вреда, причиненного искусственным интеллектом в рамках экспериментальных правовых режимов: программа ЭПР должна предусматривать страхование участниками гражданской ответственности, включая использование искусственного интеллекта [5].

Правовые последствия утечки персональных данных для корпораций и их должностных лиц в России претерпевают существенные изменения. Законодатель последовательно ужесточает административную ответственность, вводя дифференцированные штрафы, и расширяет сферу уголовно-правовой защиты. Вместе с тем остаются нерешенными проблемы доказывания вины и размера причиненного ущерба, а также адаптации законодательства к новым технологическим вызовам, таким как технология Deepfake.

Перспективным направлением является развитие института киберстрахования, который позволит не только компенсировать потери пострадавших граждан, но и стимулировать организации к повышению уровня защиты персональных данных. Для повышения эффективности правового регулирования представляется целесообразным: разработать методические рекомендации по оценке ущерба от утечек персональных данных; усилить контроль за соблюдением требований информационной безопасности внутри организаций; продолжить совершенствование механизмов привлечения должностных лиц к уголовной ответственности за грубые нарушения в сфере защиты персональных данных.

Литература:

1. Бадюков, В. Ф. Риски цифровой экономики: особенности и перспективы развития киберстрахования в России / В. Ф. Бадюков, М. Н. Докучаев // Страховое право. — 2021. — № 1 (90). — С. 42–44.
2. Бычинская, А. А. Deepfake: новая реальность / А. А. Бычинская, С. И. Иванова // Новизна. Эксперимент. Традиции (Н.Экс.Т). — 2024. — Т. 10, № 2 (26). — С. 32–39.
3. Головкина, Д. В. Обеспечение информационной безопасности установлением режима коммерческой тайны // Вестник Прикамского социального института. — 2019. — № 1 (82). — С. 12–16.
4. Лохина, Н. О. Проблематика правового обеспечения защиты конфиденциальной информации в больших компаниях // Auditorium. Электронный научный журнал Курского государственного университета. — 2022. — № 2 (34).
5. Булочников, С. Ю. О правотворчестве и правовых новациях в части защиты от утечек персональных данных / С. Ю. Булочников // Новизна. Эксперимент. Традиции (Н.Экс.Т). — 2025. — Т. 11, № 1 (29). — С. 6–15.
6. Лохина, Н. О. Проблематика правового обеспечения защиты конфиденциальной информации в больших компаниях // Auditorium. Электронный научный журнал Курского государственного университета. — 2022. — № 2 (34).
7. Пугачева, Н. В. Обеспечение права работодателя на защиту информации: проблемы правового регулирования // Ежегодник трудового права. — 2024. — Выпуск 14. — С. 219–230.
8. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 24.02.2024) // Собрание законодательства РФ. — 2002. — № 1 (ч. 1). — Ст. 1.
9. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 24.02.2024) // Собрание законодательства РФ. — 1996. — № 25. — Ст. 2954.
10. Marcus, D. J. The data breach dilemma: Proactive solutions for protecting consumers’ personal information // Duke law journal. — 2018. — Vol. 68, N 555. — P. 555–593.
11. Helman, L. Pay for (privacy) performance holding social network executives accountable for breaches in data privacy protection // Brooklyn law review. — 2019. — Vol. 84, N 2. — P. 523–569.