Центральное место в системе правового регулирования информационной безопасности занимают договорные отношения. Именно договор на оказание интернет-услуг является основным правовым инструментом, опосредующим взаимодействие операторов информационных систем с пользователями — физическими и юридическими лицами. Содержание и условия таких договоров во многом определяют уровень защищённости информации, распределение рисков утечки данных и меры ответственности сторон за нарушение информационной безопасности.

Вместе с тем действующее законодательство не содержит специальных норм, непосредственно регулирующих договор возмездного оказания интернет-услуг. Это порождает значительный разрыв между императивными требованиями публичного права в сфере защиты информации и диспозитивностью гражданско-правового регулирования договорных отношений. Операторы нередко злоупотребляют своим доминирующим положением при формировании условий пользовательских соглашений, перекладывая все риски утечки данных на пользователей.

Цель настоящей статьи — комплексный анализ правовых механизмов обеспечения информационной безопасности при договорном регулировании отношений в сфере интернет-услуг, выявление системных противоречий действующего законодательства и формулирование предложений по их устранению.

Под информационной безопасностью в контексте договорных отношений по оказанию интернет-услуг следует понимать состояние защищённости информации и информационной инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб обладателям информации и пользователям информационных систем. Данное определение охватывает как технические, так и организационно-правовые аспекты защиты информации и подчёркивает комплексный характер информационной безопасности.

Законодательную основу обеспечения информационной безопасности составляет Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [3]. Статья 16 указанного закона обязывает операторов информационных систем принимать меры по обеспечению безопасности обрабатываемой информации, включая предотвращение несанкционированного доступа, уничтожения, модифицирования, блокирования, копирования и распространения информации.

Специальные требования к защите персональных данных установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». [4] Статья 19 данного закона конкретизирует обязанности оператора по обеспечению безопасности персональных данных: определение угроз безопасности, применение сертифицированных средств защиты информации, оценку эффективности принимаемых мер. Важную роль в регулировании технических стандартов безопасности играет Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [5].

Следует обратить внимание на существенный разрыв между требованиями публично-правового регулирования и практикой формирования условий пользовательских соглашений в сфере интернет-услуг. Системный анализ пользовательских соглашений крупнейших российских интернет-платформ позволяет констатировать устойчивую тенденцию к включению в договоры условий об ограничении ответственности оператора за нарушения информационной безопасности. Типовое положение гласит: «Оператор не гарантирует абсолютную защиту от несанкционированного доступа и не несёт ответственности за ущерб, причинённый действиями третьих лиц». Буквальное толкование такой оговорки означает освобождение от любой ответственности, включая случаи грубой неосторожности или умышленного бездействия при обнаружении уязвимостей системы.

Данное условие вступает в явное противоречие с пунктом 3 статьи 401 ГК РФ, допускающим освобождение от ответственности лишь за случайные нарушения при условии добросовестности и разумной осмотрительности. В системной связи с пунктом 2 статьи 307 ГК РФ, закрепляющим принцип равенства участников обязательства, подобные условия следует признавать злоупотреблением доминирующим положением оператора при формировании договора присоединения (статья 428 ГК РФ).

Правовые механизмы обеспечения информационной безопасности при договорном регулировании отношений в сфере интернет-услуг образуют трёхуровневую систему, включающую законодательные требования, договорные условия и технические стандарты.

На договорном уровне обеспечение информационной безопасности реализуется посредством включения в договоры на оказание интернет-услуг специальных условий о защите информации. К числу типичных договорных условий, направленных на обеспечение информационной безопасности, относятся: обязательство исполнителя применять сертифицированные средства защиты информации; требования к уровню защищённости информационных систем; порядок обработки и хранения конфиденциальной информации; обязательства по резервному копированию данных; процедуры реагирования на инциденты информационной безопасности; условия о разграничении доступа; обязательства по уведомлению о нарушениях безопасности.

Технические меры обеспечения информационной безопасности включают применение средств криптографической защиты информации, систем контроля доступа, средств обнаружения и предотвращения вторжений, антивирусного программного обеспечения, межсетевых экранов. Правовое регулирование применения технических средств защиты информации осуществляется в том числе Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».

Организационные меры включают разработку политики информационной безопасности, назначение ответственных лиц за обеспечение безопасности информации, проведение обучения персонала, осуществление контроля за соблюдением требований безопасности. Статья 18.1 Федерального закона № 152-ФЗ прямо обязывает операторов, обрабатывающих персональные данные, назначить лицо, ответственное за организацию обработки персональных данных.

Существенное значение для обеспечения информационной безопасности имеет механизм сертификации средств защиты информации. Федеральная служба безопасности РФ и Федеральная служба по техническому и экспортному контролю осуществляют лицензирование деятельности по разработке и производству средств защиты конфиденциальной информации, а также их сертификацию. Использование сертифицированных средств защиты является обязательным для государственных информационных систем и систем, обрабатывающих персональные данные.

Важным элементом системы обеспечения безопасности информации является обязанность по уведомлению о нарушениях. Статья 21 Федерального закона № 152-ФЗ устанавливает, что в случае установления факта неправомерной передачи, предоставления, распространения либо доступа к персональным данным оператор обязан уведомить Роскомнадзор о произошедшем инциденте в течение 24 часов, а также представить сведения о результатах внутреннего расследования в течение 72 часов. Несвоевременное уведомление влечёт административную ответственность по статье 13.11 КоАП РФ [2].

Договорные механизмы включают также условия о проведении аудита информационной безопасности — комплексной проверки соответствия применяемых мер защиты информации установленным требованиям и оценки их эффективности. Включение в договор обязательства исполнителя проводить регулярный аудит и представлять заказчику отчёты о его результатах позволяет обеспечить непрерывный контроль над уровнем защищённости информационной инфраструктуры.

Перспективы развития правовых механизмов обеспечения информационной безопасности при договорном регулировании отношений в сфере интернет-услуг определяются необходимостью преодоления выявленных системных противоречий.

Во-первых, целесообразно законодательно закрепить обязательный перечень существенных условий договора возмездного оказания интернет-услуг, включающий требования к уровню защищённости информационных систем, перечню технических средств защиты информации, порядку реагирования на инциденты безопасности и условиям уведомления пользователей об утечке данных. Отсутствие таких условий должно повлечь признание договора незаключённым в части соответствующих положений с применением диспозитивных норм, установленных законодательством.

Во-вторых, представляется необходимым ввести законодательный запрет на включение в договоры присоединения условий об освобождении оператора от ответственности за нарушения информационной безопасности, допущенные вследствие грубой неосторожности или умышленного бездействия. Такие условия следует считать ничтожными как противоречащие существу законодательного регулирования в силу пункта 2 статьи 168 ГК РФ.

В-третьих, требует совершенствования механизм распределения бремени доказывания по делам о нарушении информационной безопасности. Следует законодательно закрепить презумпцию вины оператора информационной системы в случае утечки персональных данных пользователей, возложив на него бремя доказывания того, что нарушение безопасности произошло вследствие обстоятельств, которые он не мог предвидеть и предотвратить.

В-четвёртых, необходимо существенно повысить размеры административных санкций за нарушение требований информационной безопасности, приведя их в соответствие с реальным экономическим ущербом, причиняемым субъектам персональных данных и иным участникам информационных правоотношений.

Литература:

1. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (ред. от 25.11.2025) // Собрание законодательства РФ. — 1994. — № 32. — Ст. 3301.
2. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 20.02.2026) // Собрание законодательства РФ. — 2002. — № 1 (Часть I). — Ст. 1.
3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 29.12.2025) // Собрание законодательства РФ. — 2006. — № 31 (Часть I). — Ст. 3448.
4. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 24.06.2025) // Собрание законодательства РФ. — 2006. — № 31 (Часть I). — Ст. 3451.
5. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Собрание законодательства РФ. — 2012. — № 45. — Ст. 6257.