Госдума усилила ответственность за утечки персданных

Госдума усилила ответственность за утечки персданных

Госдума усилила ответственность за утечки персданных

Госдума приняла во втором и третьем чтениях поправки в законодательство, которые повышают ответственность за утечки и неправомерный оборот персональных данных. Они предусматривают многократное увеличение штрафов, вводят оборотные штрафы и уголовную ответственность.

Законопроект был внесен в Госдуму в начале декабря 2023 года и был принят в первом чтении практически сразу после новогодних каникул. С того времени в документ были внесены несколько поправок.

В частности, усилена ответственность за утечку биометрических данных, при этом размер штрафов для должностных лиц наоборот, уменьшен. Всего, как отметил член комитета по государственному строительству и законодательству Дмитрий Вяткин, который представлял документы, поступило 30 поправок, из которых было принято 14.

26 ноября, эти поправки, как сообщил «Интерфакс», были приняты Госдумой сразу в двух чтениях.

За незаконное распространение от 1 тыс. до 10 тыс. субъектов персональных данных или от 10 тыс. до 100 тыс. идентификаторов предлагается установить штрафы для граждан в размере от 100 тыс. до 200 тыс. рублей; для должностных лиц — от 200 тыс. до 400 тыс. рублей; для юридических лиц — от 3 млн до 5 млн рублей.

За утечку от 10 тыс. до 100 тыс. персональных данных или от 100 тыс. до 1 млн идентификаторов закон предусматривает штраф для граждан в размере от 200 тыс. до 300 тыс. руб.; для должностных лиц — от 300 тыс. до 500 тыс. руб.; для юридических лиц — от 5 млн до 10 млн руб.

Если было скомпрометировано более 100 тыс. субъектов персональных данных или более 1 млн идентификаторов, размер штрафа вырастет до 400 тыс., 600 тыс. и до 15 млн рублей.

При рецидиве — до 600 тыс. рублей для граждан и до 1,2 млн для должностных лиц, для юридических лиц — от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 млн руб. и не более 500 млн руб.

Вводится административная ответственность и за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных: о намерении осуществлять обработку персональных данных — штраф на граждан в размере от 5 тыс. до 10 тыс. руб.; на должностных лиц — от 30 тыс. до 50 тыс. руб.; на юридических лиц — от 100 тыс. до 300 тыс. руб.

Также вводится ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации или аутентификации с использованием его биометрических персональных данных.

В ряде случаев утечек штраф для компаний может быть снижен при наличии смягчающих обстоятельств. К ним отнесено три совокупных фактора: объём вложений в ИБ не ниже 0,2% от оборотов в течение трех лет; отсутствие привлечения к административной ответственности по целому ряду составов, связанных с соблюдением мер информационной безопасности; уровень цифровой зрелости.

Незаконное использование персональных данных влечет уже уголовную ответственность. В качестве наказания по новой статье УК виновнику грозит штраф до 300 тыс. рублей или в размере дохода осужденного за период до одного года, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок. Ответственность за утечку биометрических данных, персданных несовершеннолетних, при установлении корыстного мотива или в особо крупном размере ответственность может быть до 10 лет лишения свободы.

Закон в случае его подписания президентом вступит в силу по истечении 180 дней после дня его официального опубликования.

«Дополнительная ответственность подтолкнёт бизнес инвестировать в развитие инфраструктуры безопасности и защиту персональных данных пользователей. Компаниям будет проще вложить средства в кибербез, чем раз за разом платить оборотные штрафы. Угроза уголовного преследования станет дополнительным сдерживающим фактором для злоумышленников», - говорится в разъяснениях Минцифры, выпущенных сразу после принятия Госдумой законопроектов.

Вместе с тем целый ряд вопросов остается пока без ответа. В частности, высказывались опасения, что ужесточение ответственности может рикошетом ударить по компаниям, занимающимся мониторингом утечек данных.

В ИИ-приложениях почти каждая третья уязвимость оказалась высокорисковой

ИИ-приложения снова напоминают: если к обычному веб-сервису прикрутить большую языковую модель, магия появляется не только в презентации, но и в списке уязвимостей. По данным «Информзащиты», в 2026 году 32% уязвимостей, найденных при пентестах ИИ- и LLM-приложений, относятся к высокорисковым.

Для сравнения: по всем классам активов этот показатель составляет около 12%. То есть риск-профиль ИИ-приложений оказался в 2,7 раза выше среднего.

За второй год наблюдений пропорция не изменилась. Более того, медианный срок устранения серьёзных находок вырос с 19 дней в 2025 году до 36 дней в 2026-м.

Проблема в том, что ИИ-системы тащат за собой сразу два слоя риска. Первый — классика веба и API: аутентификация, авторизация, инъекции, секреты, обработка пользовательского ввода.

Второй — уже нейросетевой зоопарк: инъекции в промпт, утечки системного промпта, ошибки RAG-контуров, отравление данных, небезопасная обработка ответов LLM, проблемы в векторных хранилищах и отказ в обслуживании на уровне модели.

Особенно весело становится, когда модель подключают к корпоративным данным, CRM, базе знаний, API или инструментам автоматизации. В этот момент чат-бот перестаёт быть просто болталкой и получает возможность влиять на процессы. А ошибка в правах или логике вызовов превращает его в аккуратную дверь во внутренние системы.

Автоматическими сканерами всё это ловится плохо. По данным исследования, 78% команд сталкивались с тем, что такие средства пропускали критические уязвимости. Поэтому готовность полностью доверить пентесты автономным инструментам за год упала с 29% до 9%.

С устранением тоже не праздник. В 2026 году компании закрывали только 38,4% высокорисковых находок в ИИ / LLM-приложениях — это самый низкий показатель среди типов тестирования. Для API, например, он составил 77,3%.

RSS: Новости на портале Anti-Malware.ru