До вступления в силу ФЗ-420 уголовная ответственность за нарушения в сфере персональных данных в России фактически отсутствовала. Виновные отделывались административными штрафами, которые нередко платила компания, а не конкретный нарушитель. С 30 мая 2025 года ситуация изменилась: введена статья 272.1 Уголовного кодекса РФ, предусматривающая лишение свободы на срок до 10 лет.
Статья 272.1 УК РФ: основные составы
Новая статья УК РФ «Незаконный оборот персональных данных» охватывает несколько самостоятельных составов преступления. Важно понимать: речь идёт не об утечке как таковой (если она произошла по неосторожности), а об умышленных действиях — незаконном сборе, хранении, продаже или распространении персональных данных.
Базовый состав: незаконный оборот ПДн в коммерческих целях
Незаконный сбор, хранение, использование, передача или распространение персональных данных без согласия субъекта в целях извлечения прибыли наказывается лишением свободы на срок до 4 лет. Кроме того, предусмотрен штраф до 700 000 рублей или в размере дохода осуждённого за период до 2 лет.
Квалифицированный состав: отягчающие обстоятельства
Наказание ужесточается при наличии следующих обстоятельств:
- Совершение преступления группой лиц по предварительному сговору — до 6 лет лишения свободы
- Использование служебного положения (должностное лицо, получившее доступ к данным в силу своих функций) — до 6 лет лишения свободы
- Использование специальных технических средств для незаконного получения данных — до 6 лет лишения свободы
Особо квалифицированный состав: тяжкие последствия
Максимальное наказание предусмотрено при наступлении тяжких последствий для потерпевших: лишение свободы на срок до 10 лет со штрафом до 1 000 000 рублей.
Из пояснительной записки к ФЗ-420: «Введение уголовной ответственности направлено на предотвращение создания и использования баз данных персональных данных граждан в преступных и коммерческих целях, противодействие торговле такими базами данных».
Кто реально попадает под уголовное преследование
| Категория | Типичные действия | Статья УК | Максимальное наказание |
|---|---|---|---|
| Сотрудник с доступом к базе данных | Продажа клиентской базы конкурентам | 272.1 ч. 2 (должностное лицо) | 6 лет + штраф |
| IT-специалист компании | Незаконное копирование и продажа ПДн | 272.1 ч. 2 (должностное лицо) | 6 лет + штраф |
| Руководитель отдела | Организация схемы торговли данными клиентов | 272.1 ч. 2 + ст. 33 УК (организатор) | 8 лет + штраф |
| Хакер или взломщик | Кража базы данных для последующей продажи | 272.1 + 272 УК (неправомерный доступ) | 10 лет + штраф |
| Перекупщик баз данных | Приобретение и перепродажа украденных ПДн | 272.1 ч. 1 | 4 года + штраф |
Отличие уголовной ответственности от административной
Когда применяется КоАП (административная)
- Технические сбои, приведшие к утечке
- Недостаточные меры защиты
- Нарушение порядка обработки (без умысла на распространение)
- Несвоевременное уведомление РКН
- Отсутствие документации
Когда применяется УК (уголовная)
- Умышленная продажа или передача персональных данных
- Незаконный сбор данных с целью последующего использования
- Организация «сервисов» по торговле базами данных
- Использование украденных данных для шантажа или мошенничества
Практика применения в 2025-2026 годах
В первый год действия статьи 272.1 уголовные дела возбуждались преимущественно по материалам ФСБ и МВД в отношении организованных групп, торгующих базами данных. Под преследование попали:
- Администраторы Telegram-каналов и форумов, торгующих «пробивом» данных
- Бывшие сотрудники банков и телеком-операторов, продававшие клиентские базы
- IT-специалисты, обеспечивавшие техническую сторону утечек по заказу
При этом «рядовая» утечка из-за слабой защиты по-прежнему влечёт административную, а не уголовную ответственность — при условии отсутствия умысла на распространение данных.
Что означает «тяжкие последствия»
Понятие «тяжкие последствия» в контексте статьи 272.1 трактуется широко. К ним могут быть отнесены:
- Причинение значительного имущественного ущерба (если данные использованы для мошенничества)
- Вред здоровью или гибель человека (в крайних случаях)
- Серьёзный репутационный ущерб для большого числа граждан
- Угроза государственной безопасности (если среди субъектов — должностные лица)
Ключевой вывод для бизнеса: уголовная ответственность несёт директор, IT-директор, системный администратор или любой сотрудник, у которого был доступ к данным и который воспользовался этим доступом незаконно. Компания платит административный штраф; конкретный человек — идёт в тюрьму.
Как защитить себя и компанию
Главная защита от уголовного преследования — это чёткая фиксация того, у кого был доступ к базам данных и что с этим доступом делалось. Система логирования действий пользователей, политика разграничения доступа и регулярный аудит — это не только инструменты защиты от взломов, но и доказательная база невиновности конкретных сотрудников при расследовании инцидентов.
